springsecurity匿名访问不鉴权注解

已于 2023-01-04 16:56:12 修改
阅读量1.2k 收藏 2
点赞数
分类专栏: SpringBoot Java 文章标签: java spring 开发语言
于 2023-01-03 17:00:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/luojiawen208/article/details/128535869
版权 
import java.lang.annotation.*;

/**
 * 匿名访问不鉴权注解
 *
 */
@Documented
@Retention(RetentionPolicy.RUNTIME)
@Target({ ElementType.METHOD, ElementType.TYPE })
public @interface Anonymous {

}
package org.example.anonymous;

import org.apache.commons.lang3.RegExUtils;
import org.springframework.beans.BeansException;
import org.springframework.beans.factory.InitializingBean;
import org.springframework.context.ApplicationContext;
import org.springframework.context.ApplicationContextAware;
import org.springframework.core.annotation.AnnotationUtils;
import org.springframework.lang.NonNull;
import org.springframework.stereotype.Component;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.mvc.method.RequestMappingInfo;
import org.springframework.web.servlet.mvc.method.annotation.RequestMappingHandlerMapping;
import java.util.ArrayList;
import java.util.List;
import java.util.Map;
import java.util.Objects;
import java.util.regex.Pattern;

/**
 * 设置Anonymous注解允许匿名访问的url
 */
@Component
public class PermitAllUrlProperties implements InitializingBean, ApplicationContextAware {

    /**
     * \{(.*?)\}
     */
    private static final Pattern PATTERN = Pattern.compile("\\{(.*?)}");

    public static final String ASTERISK = "*";

    private ApplicationContext applicationContext;

    private final List<String> urls = new ArrayList<>();

    @Override
    public void afterPropertiesSet() {
        RequestMappingHandlerMapping mapping = applicationContext.getBean(RequestMappingHandlerMapping.class);
        Map<RequestMappingInfo, HandlerMethod> map = mapping.getHandlerMethods();

        map.keySet().forEach(info -> {
            HandlerMethod handlerMethod = map.get(info);

            // 获取方法上边的注解 替代path variable 为 *
            Anonymous method = AnnotationUtils.findAnnotation(handlerMethod.getMethod(), Anonymous.class);

            if (Objects.nonNull(method) && Objects.nonNull(info.getPatternsCondition())) {
                info.getPatternsCondition().getPatterns()
                        .forEach(url -> urls.add(RegExUtils.replaceAll(url, PATTERN, ASTERISK)));
            }

            // 获取类上边的注解, 替代path variable 为 *
            Anonymous controller = AnnotationUtils.findAnnotation(handlerMethod.getBeanType(), Anonymous.class);

            if (Objects.nonNull(controller) && Objects.nonNull(info.getPatternsCondition())) {
                info.getPatternsCondition().getPatterns()
                        .forEach(url -> urls.add(RegExUtils.replaceAll(url, PATTERN, ASTERISK)));
            }
        });
    }

    @Override
    public void setApplicationContext(@NonNull ApplicationContext context) throws BeansException {
        this.applicationContext = context;
    }

    public List<String> getUrls() {
        return urls;
    }

}


import com.traffic.admin.business.security.filter.JwtAuthenticationTokenFilter;
import com.traffic.admin.business.security.handle.AuthenticationEntryPointImpl;
import com.traffic.admin.business.security.handle.LogoutSuccessHandlerImpl;
import com.traffic.admin.business.security.properties.PermitAllUrlProperties;
import lombok.RequiredArgsConstructor;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.http.HttpMethod;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.annotation.web.configurers.ExpressionUrlAuthorizationConfigurer;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;
import org.springframework.security.web.authentication.logout.LogoutFilter;
import org.springframework.web.filter.CorsFilter;

/**
 * spring security配置
 */
@RequiredArgsConstructor(onConstructor_ = {@Autowired})
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    /**
     * 自定义用户认证逻辑
     */
    private final UserDetailsService userDetailsService;

    /**
     * 认证失败处理类
     */
    private final AuthenticationEntryPointImpl unauthorizedHandler;

    /**
     * 退出处理类
     */
    private final LogoutSuccessHandlerImpl logoutSuccessHandler;

    /**
     * token认证过滤器
     */
    private final JwtAuthenticationTokenFilter authenticationTokenFilter;

    /**
     * 跨域过滤器
     */
    private final CorsFilter corsFilter;

    /**
     * 允许匿名访问的地址
     */
    private final PermitAllUrlProperties permitAllUrl;

    /**
     * 解决 无法直接注入 AuthenticationManager
     */
    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    /**
     * anyRequest          |   匹配所有请求路径
     * access              |   SpringEl表达式结果为true时可以访问
     * anonymous           |   匿名可以访问
     * denyAll             |   用户不能访问
     * fullyAuthenticated  |   用户完全认证可以访问(非remember-me下自动登录)
     * hasAnyAuthority     |   如果有参数,参数表示权限,则其中任何一个权限可以访问
     * hasAnyRole          |   如果有参数,参数表示角色,则其中任何一个角色可以访问
     * hasAuthority        |   如果有参数,参数表示权限,则其权限可以访问
     * hasIpAddress        |   如果有参数,参数表示IP地址,如果用户IP和参数匹配,则可以访问
     * hasRole             |   如果有参数,参数表示角色,则其角色可以访问
     * permitAll           |   用户可以任意访问
     * rememberMe          |   允许通过remember-me登录的用户访问
     * authenticated       |   用户登录后可访问
     */
    @Override
    protected void configure(HttpSecurity httpSecurity) throws Exception {
        // 注解标记允许匿名访问的url
        ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry registry = httpSecurity.authorizeRequests();
        permitAllUrl.getUrls().forEach(url -> registry.antMatchers(url).permitAll());

        httpSecurity
                // CSRF禁用,因为不使用session
                .csrf().disable()
                // 认证失败处理类
                .exceptionHandling().authenticationEntryPoint(unauthorizedHandler).and()
                // 基于token,所以不需要session
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and()
                // 过滤请求
                .authorizeRequests()
                // 静态资源,可匿名访问
                .antMatchers(HttpMethod.GET, "/", "/*.html", "/**/*.html", "/**/*.css", "/**/*.js", "/profile/**").permitAll()
                .antMatchers("/swagger-ui.html", "/swagger-resources/**", "/webjars/**", "/*/api-docs", "/druid/**").permitAll()
                // 除上面外的所有请求全部需要鉴权认证
                .anyRequest().authenticated()
                .and()
                .headers().frameOptions().disable();
        // 添加Logout filter
        httpSecurity.logout().logoutUrl("/system/logout").logoutSuccessHandler(logoutSuccessHandler);
        // 添加JWT filter
        httpSecurity.addFilterBefore(authenticationTokenFilter, UsernamePasswordAuthenticationFilter.class);
        // 添加CORS filter
        httpSecurity.addFilterBefore(corsFilter, JwtAuthenticationTokenFilter.class);
        httpSecurity.addFilterBefore(corsFilter, LogoutFilter.class);
    }

    /**
     * 强散列哈希加密实现
     */
    @Bean
    public static BCryptPasswordEncoder bCryptPasswordEncoder() {
        return new BCryptPasswordEncoder();
    }

    /**
     * 身份认证接口
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService).passwordEncoder(bCryptPasswordEncoder());
    }

}

<黑科技T_T
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springsecurityanonymous_学习笔记38-Spring Security
weixin_39959298的博客
11-26 3076
*概念概括:Spring Security 是一个高度自定义的 安全框架。利用 Spring IoC/DI和 AOP 功能,为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。使用 Spring Secruity 的原因有很多,但大部分都是发现了 javaEE的 Servlet 规范或 EJB 规范中的安全功能缺乏典型企业用场景。同时认识到他们在 WAR 或 EAR 级别...
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
在压缩包文件`spring_gateway_security_webflux`中,可能包含了示例代码或配置文件,用于演示如何在Spring Cloud Gateway中集成Spring Security,实现统一登录认证鉴权。这些资源可以帮助开发者更快地理解和实践上述...
SpringSecurity使用注解匿名访问接口
weixin_49390750的博客
08-24 731
SpringSecurity使用注解匿名访问接口
SpringSecurity学习记录---认证
最新发布
weixin_46660985的博客
05-06 123
新手自用学习SpringSecurity,望纠正
SpringSecurity】使用注解方式实现匿名访问
qq_28597959的博客
02-25 6698
SpringSecurity实现匿名访问的方式如下, /** * spring security配置 * {@link EnableGlobalMethodSecurity } 如果想要启用spring方法级安全时,使用这个注解 * * @author ruoyi */ @EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true) public class SecurityConfig extends WebSe
spring security 实现匿名访问接口
zhaosheng的博客
04-23 9117
就如同静态资源一样,我们不希望请求时需要认证,而是直接返回结果。 接下来我使用自定义注解完成匿名访问(以@AnonymousGetMapping举例) 第一步:我们需要写一个匿名访问注解@AnonymousGetMapping,其中我们需要此注解注解上@AnonymousAccess,保证在后续过程中获取匿名访问的url。 @AnonymousAccess @Target(ElementType.METHOD) @Retention(RetentionPolicy.RUNTIME) @Documente
Spring Security 匿名认证
weixin_33924220的博客
12-11 388
1、项目截图: 2、匿名认证配置: &lt;?xml version="1.0" encoding="UTF-8"?&gt; &lt;beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" ...
SpringSecurity中对接口进行匿名访问自定义@Anonymous注解
小姜的博客
04-22 2543
注解仅对Spring MVC的控制器方法生效,对于其他类型的接口,例如Spring Boot的REST端点、WebSocket端点等,需要根据具体的场景进行相应的配置。提问:我需要自定义一个注解@Anonymous来添加到接口的方法上,对该方法进行匿名访问,怎么实现?过滤器会拦截该请求,并将当前用户的身份设置为匿名用户,从而实现对该接口的匿名访问控制。如果匹配,则将当前用户的身份设置为匿名用户。对象,并将其设置为当前用户的身份,来实现匿名访问控制。注解,表示该接口可以进行匿名访问。过滤器之前添加自定义的。
Spring security+jwt服务鉴权完整代码.zip
09-09
Spring Security 是一个强大的...这个项目应该包含了一个运行的示例,展示了如何将Spring Security与JWT集成,实现服务鉴权访问开发者可以通过研究源代码,了解具体的实现细节,学习如何在自己的项目中应用这些技术。
spring security http接口鉴权使用示范项目
03-01
3. **权限分配**:Spring Security通过`hasRole`或`hasAuthority`注解来定义访问控制。例如,`@PreAuthorize("hasRole('ADMIN')"`将确保只有拥有"ADMIN"角色的用户才能访问该方法。 4. **自定义过滤器**:如果标准...
spring security方法鉴权使用示范项目
03-01
首先,Spring Security 提供了基于注解的方法安全特性,这允许我们在方法级别定义哪些用户或者角色可以访问该方法。通过使用 `@Secured` 或者 `@PreAuthorize` 和 `@PostAuthorize` 注解,我们可以声明性地指定访问...
SpringSecurity动态加载用户角色权限实现登录及鉴权功能
08-25
Spring Security 动态加载用户角色权限实现登录及鉴权功能 在 Spring Security 中,动态加载用户角色权限是实现登录及鉴权功能的关键步骤。本文将详细介绍如何使用 Spring Security 实现动态加载用户角色权限,并...
spring security如何设定匿名访问
小汤圆
08-18 2902
anonymous() 允许配置匿名用户的表示方法。 当与WebSecurityConfigurerAdapter结合使用时,这将自动应用。 默认情况下,匿名用户将使用org.springframework.security.authentication.AnonymousAuthenticationToken表示,并包含角色 “ROLE_ANONYMOUS” 可以创建一个匿名用户的身份 当过滤器发现没有真实用户的时候,就给当前用户一个匿名身份 同时数据里设定一个匿名用户角色 让匿名的用户有权限访问匿名访
springsecurityspringmvc的路径配置
qq_44113347的博客
04-13 272
需要注意的是,如果您在Spring Security中配置了路径访问规则,但仍然需要在Spring MVC中进行其他操作,例如请求参数验证、日志记录等,您仍然可以使用Spring MVC的拦截器(Interceptor)来实现。在Spring Security的权限校验规则中,您可以定义需要登录才能访问的页面、需要特定角色或权限的接口等,这些规则会覆盖Spring MVC中的路径拦截规则。这些规则会在Spring Security的过滤器链中进行处理,独立于Spring MVC的请求处理逻辑。
使用@Anonymous注解实现匿名访问鉴权注解(不需要有效的Token就可以直接访问接口进行测试)
weixin_43543458的博客
11-22 809
在使用Swagger接口文档时,进行接口的测试,可以不需要有效的token,就可以直接操作
ruoyi框架源码阅读之--Anonymous注解 允许 匿名访问鉴权
weixin_44399264的博客
03-22 3090
这个值得一看,好像还可以拿到其他项目直接用/*** 匿名访问鉴权注解说不定会用的到,记录一下。
Spring Security 如何允许对同一地址进行匿名和身份验证访问
m13012606980的专栏
09-28 2558
场景描述 可能在开发过程中设置了一个匿名访问地址,但这个地址我们同时也想让它能够进行身份验证访问。就比如一个地址你把它分享出去就可以匿名访问,但如果这个地址如果没有被分享出去在系统内部或者在app中就可以进行身份验证访问。 遇到的问题 Spring Security 版本:4.1.0.RELEASE。现在版本到 5.5.2 为啥不用最新的,我只能说我也想。 Spring Security中默认对匿名访问的设置是如果你当前请求的地址为匿名访问设置,并且没有携带token的话,Spring Security会在
Spring security 自定义注解实现接口匿名访问
小汤圆
08-19 563
思路 自定义一个注解,添加到允许匿名访问的接口上,再configure中利用applicationcontext获取哪个允许访问的接口url,并添加到匿名访问列表中 自定义的注解 /** 此注解标识允许匿名访问 */ @Target(ElementType.METHOD) @Retention(RetentionPolicy.RUNTIME) public @interface AnonymousAccess { } 1 2 3 4 5 6 7 接口 @AnonymousAccess @GetMappi
笔记:若依的@Anonymous注解
weixin_44522680的博客
03-01 1082
*** 匿名访问鉴权注解* 也就是说不管是类还是方法上面,只要有这个注解,不需要登录就能访问*/
springSecurity忽略鉴权注解
07-28
Spring Security中,可以使用`@PermitAll`注解来忽略鉴权。该注解可以应用在Controller的方法上,表示该方法不需要进行鉴权验证。这样,在访问该方法时,不会触发Spring Security鉴权逻辑。这对于一些公开的接口或不需要鉴权的接口非常有用。 例如,如果你想要忽略某个Controller中的所有方法的鉴权验证,你可以在该Controller类上添加`@PermitAll`注解。这样,该Controller中的所有方法都将被忽略鉴权。 另外,你也可以在具体的方法上添加`@PermitAll`注解,表示该方法不需要进行鉴权验证。 需要注意的是,`@PermitAll`注解只是告诉Spring Security忽略鉴权验证,但其他的安全措施(如身份验证)仍然会生效。因此,在使用`@PermitAll`注解时,仍然需要确保其他安全措施的正确性。 引用\[2\]中提到了Spring Security是一个提供身份验证、授权和保护的框架,而引用\[3\]中提到了Spring Cloud Gateway是基于Spring Boot和Spring WebFlux构建的,因此可以结合使用Spring SecuritySpring Cloud Gateway来实现鉴权功能。 总结起来,如果你想在Spring Security中忽略鉴权注解,可以使用`@PermitAll`注解来标记不需要进行鉴权验证的方法或类。 #### 引用[.reference_title] - *1* *2* *3* [Gateway 整合 Spring Security鉴权](https://blog.csdn.net/qq_42394862/article/details/126682828)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值