Spring Security动态路径放权使用说明

最新推荐文章于 2024-06-03 12:36:48 发布
最新推荐文章于 2024-06-03 12:36:48 发布
阅读量1.9k 收藏 1
点赞数
分类专栏: spring cloud 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lbjfish/article/details/109187425
版权

目的

为了解决每添加一个不需要登录的接口,首先要去 security.ignore.http-urls 配置不需要登录的接口路径,然后重启网关服务(因为网关掌握着鉴权),这样生产环境频繁重启,很不友好。于是自己

  1. 结合Spring Security权限相关的功能
  2. 结合Nacos动态刷新配置优点扩展了能动态刷新需要放权路径的功能

警惕

该功能需要测试是否稳定,毕竟官方没有这种方案,自己结合已有知识和大量实践试错整合的,并不确定是否会影响以后Spring Security+OAuth2权限相关功能。如果影响,以后会下线此功能。当然本人已经自测能想到的大部分异常场景,基本发现的问题,都已经及时修补,如果还有其它大bug,可能会下线此功能。

#使用方法
把需要放权的地址配置到gateway-server-*.yml中的 dhgate.security.ignore.dynamic-http-urls 中,替换之前的 http-urls即可

dhgate:
  security:
    ignore:
      #固定放权地址(修改不会生效)
      http-urls: >    
        /actuator/health,
        /uaa/**
      #动态放权地址(修改会动态生效)
      dynamic-http-urls: >
        /dsuser/users-anon/**,
        /dsuser/api/**,
        /buser/users-anon/**,
        /buser/api/**

注:http-urls为静态配置,除了认证中心和网关自身地址外,暂时不配置任何地址

其他

此次更新同步修复不需要登录的接口,传过期token导致报token过期异常问题。

lbjfish
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
springboot springsecurity动态权限控制
09-18
在这个“springboot springsecurity动态权限控制”的主题中,我们将深入探讨如何在Spring Boot项目中集成Spring Security,实现动态权限控制,让菜单权限的管理更加灵活和高效。 首先,我们需要理解Spring Security...
SpringSecurity动态加载用户角色权限实现登录及鉴权功能
08-25
本文将详细介绍如何使用 Spring Security 实现动态加载用户角色权限,并讲解相关的基础知识和实现方法。 一、动态数据登录验证的基础知识 在 Spring Security 中,用户、角色、权限信息通常存放在 RBAC 权限模型的...
Spring Security实现接口基于路径动态权限控制
荔枝当大佬的博客
10-24 1601
在荔枝之前的一篇博客中,已经对Spring Security的鉴证授权的相关知识进行了梳理,弄清楚了为什么使用JWT以及用户登录后台执行的相关的鉴证授权的逻辑。在下面的文章中荔枝主要是补充梳理一下在真实的项目中如何使用Spring Security来实现接口动态权限控制的功能。
SpringSecurity配置过滤路径问题总结
ybb_ymm的专栏
02-28 953
为了不重复写代码,之前写了一个基于SpringSecurity的权限控制工具,为了赶工没有做过多的优化,很多内容都是直接写死在代码中。比如过滤哪些接口或者静态资源文件等等。但是,在使用过程中,每个项目所需要过滤的请求路径或者静态资源路径是不尽相同的。所以今天将过滤路径这块进行一下优化,将其提出来,作为配置文件输入参数的形式,方便用户自己能够零活配置与使用
关于Spring Security的基于路径动态权限控制
最新发布
qq_68240667的博客
06-03 610
*** SpringSecurity相关配置,仅用于配置SecurityFilterChain*/@Bean//省略若干代码...//有动态权限配置时添加动态权限校验过滤器=null){
SpringSecurity如何放行资源
程序三两行
08-13 2150
SpringSecurity如何放行资源不需要认证的资源
学习SpringSecurity的日常生活(一)—— 配置路径权限
dongbeihuxiao的博客
04-01 1909
文章目录前言一、引入jar包二、配置路径权限结束语 前言 最近公司做项目用了若依框架,里面用到了SpringSecurity和JWT,对此技术不甚了解,于是就专门的找视频学习了一下,顺便记录一下自己的学习过程,方便加深记忆。 一、引入jar包 我们创建一个SpringBoot项目当我没有引入SpringSecurity的时候我们访问hello接口是正常访问的。 @RestController public class TestController { @RequestMapping("/hell
Spring-Security权限管理功能
weixin_50947287的博客
05-12 1238
壹.Spring-Security权限管理功能 一.简介 1.有些网页必须登录之后才能访问 ​ 即使都是登录用户,它们也有可能有身份的区别,不同身份有不同功能 2.只有学生才能访问发布问题的页面, ​ 只有老师才能访问回答问题的页面 3.Spring-Security也方便我们来管理这些问题 二.访问用户信息 下面我们就使用Spring-Security权限管理功能访问用户信息 1.开启权限管理功能 1.SecurityConfig这类中编写代码 //@Configuration表示当前类是配置类,可能向S
spring security动态配置url权限的2种实现方法
08-27
3. 使用Spring Security的`SecurityContextHolder`获取当前用户的身份信息(Authentication)。 4. 自行实现权限判断逻辑,如果用户具备访问权限,则允许请求继续,否则拒绝访问。 ### 方法二:利用Spring Security...
springsecurity使用demo
03-03
在本示例中,我们将探讨如何使用 SpringSecurity 构建一个基本的认证和授权流程。 首先,Spring Security 的核心组件包括认证(Authentication)和授权(Authorization)。认证涉及识别用户身份,而授权则是确定...
Spring Boot2.0使用Spring Security的示例代码
08-27
Spring Boot 2.0 使用 Spring Security 的示例代码 Spring Security 是一个基于 Spring 框架的安全性解决方案,提供了用户认证和用户授权两个主要功能。用户认证指的是验证某个用户是否为系统中的合法主体,而用户...
security 动态权限路径
weixin_42797012的博客
02-01 404
security角色,用户,路径访问决策管理器(MyAccessDecisionManager implements AccessDecisionManager)过滤器(返回符合当前条件的路径的过滤器)security 配置UserService 角色,用户,路径 用户需要实现 User implements UserDetails 接口 访问决策管理器(MyAccessDecisionManager implements AccessDecisionManager) package com.exam
Spring Security
flash_liang的博客
07-24 753
背景分析 企业中数据是最重要的资源,对于这些数据而言,有些可以直接匿名访问,有些只能登录以后才能访问,还有一些你登录成功以后,权限不够也不能访问.总之这些规则都是保护系统资源不被破坏的一种手段.几乎每个系统中都需要这样的措施对数据(资源)进行保护.我们通常会通过软件技术对这样业务进行具体的设计和实现.早期没有统一的标准,每个系统都有自己独立的设计实现,但是对于这个业务又是一个共性,后续市场上就基于共享做了具体的落地实现,例如Spring Security,Apache shiro诞生了. 认证授权分析
Spring Security 实现 antMatchers 配置路径动态获取
MrLee的博客
12-26 2340
2,实现 SecurityConfigAttributeLoader (这里也可以从数据库获取)
【转】Spring Security 两种资源放行策略,千万别用错了
魂-淡
07-27 2530
Spring Security 中,到底该怎么样给资源额外放行?
原来SpringSecurity整合OAuth2后开放权限拦截路径还能这么玩?
恒宇少年De成长之路
12-10 4199
当我们整合了Spring Security以及OAuth2后发现,有一些业务请求是需要开放的,因为种种原因这时访问者还没有身份标识(比如:用户刚来,还没有注册,需要进行新用户注册,这时注册业务相关的接口都应该是开放的),下面我们来看看ApiBoot是怎么排除路径不进行权限拦截的。 官方相关文档 相关ApiBoot Security官方使用文档,请访问 ApiBoot Security。 在文档的第...
spring security笔记
Rex__404的博客
10-24 1753
核心 - spring-security-core.jar 包含核心身份验证和access-contol类和接口,远程支持和基本配置API。任何使用Spring Security的应用程序都需要。支持独立应用程序,远程客户端,方法(服务层)安全性和JDBC用户配置。包含顶级包: org.springframework.security.core org.springframework.security.access org.springframework.security.authentication or
application.yml 配置springsecurity的过滤请求
linsenaa的博客
06-13 1732
第一步 注入 @Autowired private Environment env;
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值