springsecurity的http.permitall与web.ignoring的区别

最新推荐文章于 2024-06-11 09:58:42 发布
最新推荐文章于 2024-06-11 09:58:42 发布
阅读量3.6k 收藏 5
点赞数 2
分类专栏: 安全框架 文章标签: springsecurity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_38015372/article/details/86525024
版权

springsecurity的http.permitAll与web.ignoring的区别

  1. 这两个都是继承WebSecurityConfigurerAdapter后重写的方法
  2. http.permitAll不会绕开springsecurity验证,相当于是允许该路径通过
  3. web.ignoring是直接绕开spring security的所有filter,直接跳过验证
祁云泠伊
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring security踩坑记录(web.ignoring不生效、无法@Autowired注入其他组件)
allen
08-12 5580
spring Security版本:1.5.10 1、spring Securityweb.ignoring不生效: 原因分析: 自定义过滤器交给了spring IOC管理,所以你在spring Security的config无论怎么配都会走到自己的过滤器。 解决办法: 自定义过滤器不能以bean的形式注入spring IOC,交给容器管理,检查自定义过滤器是否有以@bean、@component、@configuration的形式注入到spring IOC容器,如果有去掉即可。 2、自定义过滤器无法@A
SpringSecurity web.ignoring()不起作用分析
c630843901的博客
07-25 1316
虽然在WebSecurity.ignoring().antMatchers()中配置了自己要放行的地址,但是我定义了自定义的过滤器。然而自定义过滤器交给了spring IOC管理,所以你在spring Security的config无论怎么配都会走到自己的过滤器。请注意如若只在自己的过滤器中设置白名单还不行,因为请求还会走SpringSecurity的过滤器链,必须两边都配置。如果只想配置一边,可以在自己过滤器放行请求时,直接给本次请求设置一个默认的认证身份。
Spring Boot的安全机制---Security,及其常用属性方法说明
最新发布
寻码启示
06-11 806
Spring Security介绍及其常用属性方法说明。HttpSecurityWebSecutiry的区别
JWT和Security 登录权限判断和token访问和让token失效
yujunlong3919的专栏
12-10 9771
文章目录Spring SecurityJWT无状态的单点登录()流程用到的方法configure(HttpSecurity http)登录 authenticationSuccessHandler loadUserByUsername通过token访问 doFilterInternal方法设置权限 Spring Security Spring Security是一个功能强大且高度可定制的身份验...
Security Jwt 动态 URL 权限验证
十二翼堕落天使
07-20 1455
一、前言 1.1 概述 引用 项目集成Spring Security Spring Security 一句话概述:一组 filter 过滤器链组成的权限认证。 实际上教主为了把这个功能弄出来还是看了好多好多的博客和教程,但是仍然费了不少时间。主要原因基本可以概括为对概念的理解力太差。 如果只用 Security 登个录、拦截个 /hello-world、放行个 Swagger 其实还算容易,一是不用太多配置,二是毕竟有太多大神总结的代码可参考。可是关于其它的用户可能就需要了解一下 Security 的过
一文解决Security中访问静态资源和web.ignoring()和perimitAll()不起作用
CoSword
03-28 7976
微人事的InsufficientAuthenticationException解决
狂神spring-security静态资源.zip
10-07
Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架,用于保护Java应用程序。这个"狂神spring-security静态资源.zip"文件很可能包含了Spring Security的相关教程、代码示例或配置文件,帮助用户理解...
浅谈Spring Security 对于静态资源的拦截与放行
08-25
在本文中,我们将深入探讨如何处理Spring Security对于静态资源(如CSS、JavaScript和图片)的拦截与放行。 在初始创建的Spring Boot项目中,通常会使用模板引擎(如Thymeleaf)来构建动态网页。Spring Security...
狂神Spring Security静态资源
12-30
Spring Security 是一个强大的安全框架,主要用于Java Web应用的安全管理,包括认证、授权和访问控制等。在Spring Boot中,Spring Security 提供了简洁的API和自动化配置,使得开发者能够快速集成安全功能。在这个名...
spire.doc-5.4.0.jar
05-31
可以添加本地依赖通过命令mvn install:install-file -Dfile=C:\Users\spire.doc-5.4.0.jar -DgroupId=e-iceblue -DartifactId=spire.doc -Dversion=5.4.0 -Dpackaging=jar将该依赖添加到本地依赖库使用,其他添加到...
SpringBoot配置属性之Security
CODE男孩的博客
11-25 1万+
spring securityspringboot支持的权限控制系统。 security.basic.authorize-mode要使用权限控制模式. security.basic.enabled是否开启基本的鉴权,默认为true security.basic.path需要鉴权的path,多个的话以逗号分隔,默认为[/**] security.basic.r
聊聊spring securitypermitAll以及webIgnore
weixin_34023863的博客
11-25 1306
序 本文主要聊一下spring securitypermitAll以及webIgnore的区别 permitAll配置实例 @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override pub...
基于注解方式实现Spring Security忽略拦截
皓亮君的博客
12-22 4898
一般像一些静态资源文件需要过滤掉安全认证,例如图片,.css,.js等静态资源文件,像这种在配置文件中指定比较方便。: String url=baseUrl+接口访问路径(/login) =/test/login。像这种需要忽略某个接口需要在Spring Security配置类中在代码中写死,非常的不灵活。测试用注解修饰的接口路径,可以正常访问,由此可看配置是正常。如果从配置文件中删除了过滤的接口名称则访问接口会返回403。忽略的接口访问路径规则以下文3.3的测试接口为例,添加配置类注入配置的参数。
FLY攻略第一回之浅尝 security+JWT
qq_29979317的博客
02-09 274
整合 security+JWT 第一步:添加相关依赖 <!-- spring security --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <!--JWT工具依赖--> <de
2021-03-12 Springboot配置大全
okludawei的博客
03-12 732
SpringBoot配置文件常用配置示例 SpringBoot配置文件 flyway.baseline-description执行基线时标记已有Schema的描述。 flyway.baseline-on-migrate在没有元数据表的情况下,针对非空Schema执行迁移时是否自动调用基线。(默认值:false 。) flyway.baseline-version执行基线时用来标记已有Schema的版本。(默认值: 1 。) flyway.check-location检查迁移脚本所在的位置是否存在。
Spring Security Oauth2 permitAll()方法小记
weixin_33713503的博客
05-21 1506
黄鼠狼在养鸡场山崖边立了块碑,写道:“不勇敢地飞下去,你怎么知道自己原来是一只搏击长空的鹰?!” 从此以后 黄鼠狼每天都能在崖底吃到那些摔死的鸡! https://user-gold-cdn.xitu.io/2018/5/21/16382fb353742b5b?w=2250&amp;h=1500&amp;f=jpeg&amp;s=317270 前言 上周五有网友问道,在使用spring...
HttpSecurity初步理解
热门推荐
骑着蜗牛向前跑的博客
06-19 2万+
关于用户身份验证的相关知识请参看这个链接,本文只对HttpSecurity做以简单介绍。 Spring Security是一个强大的、可根据需求高度自定义的用户认证和访问控制框架。Spring Security怎么保证所有向Spring application发送请求的用户必须先通过认证;怎么保证它自己支持用户通过表单的方式进行认证。解决的办法是Spring Security中有个WebSec...
关于spring boot security设置忽略地址不生效问题
wang37444的专栏
08-29 1万+
最近在试下微服务改造,出现这样一个问题所有请求都经过spring cloud gateway进行认证授权后再访问后端数据方服务,但有些需要合作机构回调,由于进行了security认证,最终的方案是对回调地址进行忽略auth认证。 最终security主要代码如下: @Configuration @EnableWebSecurity public class WebSecurityConfig ex...
import org.springframework.beans.factory.annotation.Autowired; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.http.HttpMethod; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.builders.WebSecurity; import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity; import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter; import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder; import org.springframework.security.crypto.password.PasswordEncoder; import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter; @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Bean public JwtTokenProvider jwtTokenProvider() { return new JwtTokenProvider(); } @Autowired private JwtTokenProvider jwtTokenProvider; @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() .addFilterBefore(new JwtTokenFilter(jwtTokenProvider), UsernamePasswordAuthenticationFilter.class) .authorizeRequests() .antMatchers("/api/**").authenticated() .anyRequest().permitAll(); } @Override public void configure(WebSecurity web) throws Exception { web.ignoring().antMatchers(HttpMethod.OPTIONS, "/**"); } @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(12); } }请根据上述代码构建一个JwtTokenFilter类,让上述代码不报错
05-25
可以按照以下方式编写JwtTokenFilter类: ``` import org.springframework.security.authentication.UsernamePasswordAuthenticationToken; import org.springframework.security.core.context.SecurityContextHolder; import org.springframework.security.core.userdetails.UserDetails; import org.springframework.security.core.userdetails.UserDetailsService; import org.springframework.web.filter.OncePerRequestFilter; import javax.servlet.FilterChain; import javax.servlet.ServletException; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import java.io.IOException; public class JwtTokenFilter extends OncePerRequestFilter { private final JwtTokenProvider jwtTokenProvider; private final UserDetailsService userDetailsService; public JwtTokenFilter(JwtTokenProvider jwtTokenProvider, UserDetailsService userDetailsService) { this.jwtTokenProvider = jwtTokenProvider; this.userDetailsService = userDetailsService; } @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { String token = jwtTokenProvider.resolveToken(request); if (token != null && jwtTokenProvider.validateToken(token)) { UserDetails userDetails = userDetailsService.loadUserByUsername(jwtTokenProvider.getUsername(token)); UsernamePasswordAuthenticationToken auth = new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities()); SecurityContextHolder.getContext().setAuthentication(auth); } filterChain.doFilter(request, response); } } ``` 在此JwtTokenFilter类中,我们注入了JwtTokenProvider和UserDetailsService,其中JwtTokenProvider用于解析和验证JWT令牌,UserDetailsService用于获取用户详细信息。在doFilterInternal方法中,我们首先从请求中获取JWT令牌并验证其是否有效。如果令牌有效,我们使用UserDetailsService加载用户详细信息,并创建一个UsernamePasswordAuthenticationToken对象,将其设置为安全上下文的认证对象。最后,我们调用filterChain.doFilter方法继续处理请求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值