使用Spring Security 限制URL访问

最新推荐文章于 2022-11-25 15:54:19 发布
最新推荐文章于 2022-11-25 15:54:19 发布
阅读量1.3k 收藏 1
点赞数
原文链接:https://blog.csdn.net/neweastsun/article/details/79321320?utm_medium=distribute.pc_relevant.none-task-blog-searchFromBaidu-4.control&depth_1-utm_source=distribute.pc_relevant.none-task-blog-searchFromBaidu-4.control
版权

使用Spring Security 限制URL访问

通常保护url方式有以下几种:

  • 允许每个人访问的url
  • 基于角色保护url
  • 基于多个角色保护url
  • 基于IP地址保护url

本文介绍如何通过spring security 实现这些功能。

指定URL

指定url最常用的方法是通过antMatcher,如果我们想保护下列url:

url访问限制
http://www.example.com/static给所有人开放,如css, javascript
http://www.example.com/register给所有人开放
http://www.example.com/login给所有人开放
http://www.example.com/user/ROLE_USER 和 ROLE_ADMIN 开放,如用户profile
http://www.example.com/admin/仅ROLE_ADMIN ,并且限制ip地址,如:管理员界面

可以简单使用:

.antMatchers("/register")
  •  

或指定多个:

.antMatchers("/register","/login","/user","/admin")
  •  

也可以指定单个页面或目录:

.antMatchers("register.html"); // Individual
.antMatchers("/admin/**"); // Directory

保护URL

保护URL常用的方法有:

  • authenticated()
    保护UrL,需要用户登录
  • permitAll()
    指定URL无需保护,一般应用与静态资源文件
  • hasRole(String role)
    限制单个角色访问,角色将被增加 “ROLE_” .所以”ADMIN” 将和 “ROLE_ADMIN”进行比较. 另一个方法是hasAuthority(String authority)
  • hasAnyRole(String… roles)
    允许多个角色访问. 另一个方法是hasAnyAuthority(String… authorities)

其他有用的方法有:

  • access(String attribute)
    该方法使用 SPEL, 所以可以创建复杂的限制.
  • hasIpAddress(String ipaddressExpression)
    限制IP地址或子网

一起实现上述需求

实现代码如下:

@Override
protected void configure(HttpSecurity http) throws Exception {
  http
    .authorizeRequests()
       .antMatchers("/static","/register").permitAll()
       .antMatchers("/user/**").hasRoles("USER", "ADMIN") // can pass multiple roles
       .antMatchers("/admin/**").access("hasRole('ADMIN') and hasIpAddress('123.123.123.123')") // pass SPEL using access method
       .anyRequest().authenticated()
       .and()
   .formLogin()
       .loginUrl("/login")
       .permitAll();
}

关键点说明:

permitAll 允许所有人访问文件或目录
hasRoles 传递多个角色
access 用于复杂的访问限制

总结

本文通过示例说明spring security限制url访问的几种方法,可以利用多种不同组合实现现实需求。

阿姆斯特狸
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Spring Security如何使用URL地址进行权限控制
08-25
主要介绍了Spring Security如何使用URL地址进行权限控制,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring security用户URL权限FilterSecurityInterceptor使用解析
08-25
主要介绍了Spring security用户URL权限FilterSecurityInterceptor使用解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
1.本项目为SpringCloud Gateway的微服务框架,整合了SpringSecurity,微服务间使用Redis来获取登陆的用户信息。 2.由于Gat
springboot拦截器实例
qq_43268322的博客
11-01 648
首先我们要知道springboot可以做什么? 他可以对你加入访问条件的URL路径进行非法拦截,可以用于权限验证、解决乱码、操作日志记录、性能监控、异常处理等 首先我们首先我们需要在pom.xml引入一些主要使用依赖 <!-- thymeleaf --> <dependency> <groupId>org.springframework.boot</groupId> <.
Spring Security 动态url权限控制
weixin_44809110的博客
11-25 1508
记录一下。。。
学习SpringSecurity的日常生活(一)—— 配置路径权限
dongbeihuxiao的博客
04-01 1868
文章目录前言一、引入jar包二、配置路径权限结束语 前言 最近公司做项目用了若依框架,里面用到了SpringSecurity和JWT,对此技术不甚了解,于是就专门的找视频学习了一下,顺便记录一下自己的学习过程,方便加深记忆。 一、引入jar包 我们创建一个SpringBoot项目当我没有引入SpringSecurity的时候我们访问hello接口是正常访问的。 @RestController public class TestController { @RequestMapping("/hell
SpringSecurity 学习(二)
weixin_32196893的博客
02-14 4579
SpringSecurity 1. antMatchers() 方法定义: public C antMatchers(String... antPatterns) 方法参数不定,每个参数都是一个ant表达式,用于匹配URL规则。 规则如下: ?: 匹配一个字符 *: 匹配0个活多个字符 **: 匹配0个活多个目录 在实际项目中我们经常要放行所有静态资源,如放行js文件夹下的所有脚本。 .antMatchers("/js/**").perimitAll() 还有一种配置方式是只要是.js文件都放行
Spring Security
qq_34800986的博客
06-01 447
Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它是用于保护基于Spring的应用程序的实际标准。Spring Security是一个框架,致力于为Java应用程序提供身份验证和授权。与所有Spring项目一样,Spring Security的真正强大之处在于可以轻松扩展以满足自定义要求
springsecurity或者oauth2中设置某个开头的路径拦截,并且放行某个子路径
热门推荐
weixin_42844971的博客
04-16 1万+
@Override public void configure(HttpSecurity http) throws Exception { http.csrf().disable() .authorizeRequests() .antMatchers("/web/user/**").permitAll() ...
springsecurity使用demo
03-03
springsecurity使用demo
使用SpringSecurity.md
09-12
适合初学SpringSecurity人群
Spring Boot2.0使用Spring Security的示例代码
08-27
主要介绍了Spring Boot2.0使用Spring Security的示例代码,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
关于__Federico Milano 的电力系统分析工具箱.zip
04-26
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
mlab-upenn 研究小组的心脏模型模拟.zip
04-26
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
混合图像创建大师matlab代码.zip
04-26
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
中序遍历二叉树-java版本
04-26
在Java中,实现二叉树的中序遍历同样可以通过递归来完成。中序遍历的顺序是:首先递归地中序遍历左子树,然后访问根节点,最后递归地中序遍历右子树。 在这段代码中,Node类定义了二叉树的节点,BinaryTree类包含一个指向根节点的指针和inOrder方法,用于递归地进行中序遍历。printInOrder方法调用inOrder方法并打印出遍历的结果。 在Main类中,我们创建了一个示例二叉树,并调用printInOrder方法来输出中序遍历的结果。输出应该是:4 2 5 1 3,这表示中序遍历的顺序是左子树(4),然后是根节点(2),接着是右子树的左子树(5),然后是右子树的根节点(1),最后是右子树的右子树(3)。
无头单向非循环链表的实现(SList.c)
最新发布
04-26
无头单向非循环链表的实现(函数定义文件)
两个有序链表的合并pta
04-26
"PTA" 通常指的是一种在线编程平台,例如“Pata”或者某些特定学校或组织的编程练习与自动评测系统。在这种平台或系统中,学生或程序员会提交代码来解决各种问题,然后系统会自动运行并评测这些代码的正确性。 当提到“两个有序链表的合并PTA”时,这通常意味着在PTA平台上解决一个特定的问题,即合并两个有序链表。具体任务可能是给定两个已按升序排序的链表,要求编写代码来合并这两个链表,形成一个新的有序链表。
Spring security访问控制
05-09
我们可以使用Spring Security提供的HttpSecurity对象配置URL访问规则,例如限制某些URL只能被特定的角色或用户访问。 2. 基于方法的访问控制:这种方式是通过在方法上添加注解来实现访问控制。我们可以使用Spring...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值