初学spring security(二)-----请求控制

已于 2023-03-19 09:22:58 修改
阅读量431 收藏
点赞数
文章标签: spring java 后端
于 2023-03-19 08:52:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_48631806/article/details/129646537
版权

上一篇说了如何去定义自定义登录界面,现在来说下请求url的控制

请求URL控制

http.authorizeRequests()主要是对url进行控制

1.anyRequest()

在之前认证过程中我们就已经使用过anyRequest(),表示匹配所有的请求。一般情况下此方法都会使用,设置全部内容都需要进行认证。

anyRequest().authenticated();

2.antMatcher()

参数是不定向参数,每个参数是一个ant表达式,用于匹配URL规则。

public C antMatchers(String... antPatterns)

规则:? 匹配一个字符, * 匹配0个或多个字符, ** 匹配0个或多个目录

3.regexMatchers()

使用正则表达式进行匹配。和antMatchers()主要的区别就是参数,antMatchers()参数是ant表达式,regexMatchers()参数是正则表达式。

.regexMatchers(".+[.]js").permitAll() 

    无论是antMatchers()还是regexMatchers()都具有两个参数的方法,其中第一个参数都是HttpMethod,表示请求方式,当设置了HttpMethod后表示只有设定的特定的请求方式才执行对应的权限设置。

     Spring Security匹配了URL后调用了permitAll()表示不需要认证,随意访问。在Spring Security中提供了多种内置控制。

1.permitAll()permitAll()表示所匹配的URL任何人都允许访问。

2.authenticated() 表示所匹配的URL都需要被认证才能访问。

3. anonymous() 表示可以匿名访问匹配的URL。和permitAll()效果类似

4. denyAll() 表示所匹配的URL都不允许被访问。

5.rememberMe()被“remember me”的用户允许访问

6.fullyAuthenticated() 如果用户不是被remember me的,才可以访问。

http.authorizeRequests()
	.antMatchers("/showLogin","/showFail").permitAll()
	.antMatchers("/js/**").permitAll()
	// .antMatchers("/**/*.js").permitAll()  只要是js文件都可以放行
	// .regexMatchers("/js/.*").permitAll()   支持正则
	.anyRequest().authenticated();

请求权限控制

1.权限控制

1.hasAuthority(String) 判断用户是否具有特定的权限,用户的权限是在自定义登录逻辑中创建User对象时指定的。

在配置类中通过hasAuthority(“admin”)设置具有admin权限时才能访问。

2.hasAnyAuthority(String ...) 如果用户具备给定权限中某一个,就允许访问。

下面代码中由于大小写和用户的权限不相同,所以用户无权访问/main1.html
.antMatchers("/main1.html").hasAnyAuthority("adMin","admiN")

3. hasRole(String) 如果用户具备给定角色就允许访问。否则出现403。

参数取值来源于自定义登录逻辑UserDetailsService实现类中创建User对象时给User赋予的授权。​ 在给用户赋予角色时角色需要以:ROLE_ 开头,后面添加角色名称。例如:ROLE_abc 其中abc是角色名,ROLE_是固定的字符开头。使用hasRole()时参数也只写abc即可。否则启动报错。

 .antMatchers("/main1.html").hasRole("abc")

4.hasAnyRole(String ...) 如果用户具备给定角色的任意一个,就允许被访问

5.hasIpAddress(String) 如果请求是指定的IP就运行访问。可以通过request.getRemoteAddr()获取ip地址。

.antMatchers(**"/main1.html"**).hasAuthority(**"admin"**)
http.authorizeRequests()
	.antMatchers("/showLogin","/showFail").permitAll()
	// .antMatchers("/authority").hasAuthority("abc") // 用户权限中有 admin1.admin2
	.antMatchers("/authority").hasAnyAuthority("abc","admin1") // 用户权限中有 abc.admin1 中的一个就能通过
	.antMatchers("/role").hasRole("admin3") // // 用户有角色 admin3
	.antMatchers("/ip").hasIpAddress("192.155.131.3") // // 用户有角色 admin3
	.antMatchers("/abc").denyAll("abc") 
	.anyRequest().authenticated();

基于表达式的访问控制

1.access()方法使用

登录用户权限判断实际上底层实现都是调用access(表达式),可以通过access()实现和之前学习的权限控制完成相同的功能。

以hasRole和permitAll举例

下面代码和直接使用permitAll()和hasRole()是等效的。

可以使用自定义方法,例如判断登录用户是否具有访问当前URL权限。

新建一个接口

public interface MyService {
    boolean hasPermission(HttpServletRequest request, Authentication authentication);
}
@Component
public class MyServiceImpl implements MyService {
    @Override
    public boolean hasPermission(HttpServletRequest request, Authentication authentication) {
        Object obj = authentication.getPrincipal();
        if(obj instanceof UserDetails){
            UserDetails user = (UserDetails) obj;
            Collection<? extends GrantedAuthority> authorities = user.getAuthorities();
            return authorities.contains(new SimpleGrantedAuthority(request.getRequestURI()));
        }
        return false;
    }
}

然后修改配置类方法

在access中通过@bean的id名.方法(参数)的形式进行调用

 // url 拦截 (授权)
http.authorizeRequests()
        .antMatchers("/login.html").access("permitAll")
        .antMatchers("/fail.html").permitAll()
        .anyRequest().access("@myServiceImpl.hasPermission(request,authentication)");

只会CRUD的自赎
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Security学习总结
皮蛋小粥的博客
11-09 1528
关于设计模式的文章在公众号上面已经更新完了,感兴趣的小伙伴可以关注公众号每天学Java随时查看! 学习Spring Security是在一个客户的项目上看到客户在自己项目上使用Spring Security,当时很好奇这么框架是干嘛的,就私下问了他们的技术人员:Security是做什么的。他大致的意思是说,Security是一个提供安全权限控制的框架,利用这个框架可以为系统中的人员定制相关的权限...
SpringSecurity自定义权限校验(三)
臆想的一只猫
04-15 1305
INSERT INTO `tb_resource` VALUES (5, '登录权限', 'all:login'); INSERT INTO `tb_resource` VALUES (6, '登出权限', 'all:logout'); INSERT INTO `tb_resource` VALUES (7, '错误逻辑显示权限', 'all:error'); INSERT INTO `tb_resource` VALUES (8, '入口页面显示权限', 'all:toMain'); INSERT IN.
Spring-Security-Demo
01-03
SpringSecurity,这是一种基于Spring AOP和Servlet过滤器的安全框架。它提供全面的安全性解决方案,同时在Web请求级和方法调用级处理身份确认和授权。在Spring Framework基础上,Spring Security充分利用了依赖注入(DI,Dependency Injection)和面向切面技术。本实例简单配置了springsecurity权限控制,提供admin,user两个用户,在页面登录时以不同角色可访问不同页面,初学者可加以参考此例 谢谢!
初学spring security(四)-----角色权限控制
m0_48631806的博客
03-25 1183
在配置类中通过hasAuthority(“admin”)设置具有admin权限时才能访问。2.hasAnyAuthority(String ...) 如果用户具备给定权限中某一个,就允许访问。// 如果用户没有"adMin","admiN"这两个权限,将被拒绝访问(区分大小写)3.hasRole(String) 如果用户具备给定角色就允许访问。否则出现403。参数取值来源于自定义登录逻辑UserDetailsService实现类中创建User对象时给User赋予的授权。
【转存】Lambda 表达式完整教程
艾利克斯冰的博客
08-30 149
有了Sink对操作的包装,Stage之间的调用问题就解决了,执行时只需要从流水线的head开始对数据源依次调用每个Stage对应的Sink.{begin(), accept(), cancellationRequested(), end()}方法就可以了。由于Stream.map()是一个无状态的中间操作,所以map()方法返回了一个StatelessOp内部类对象(一个新的Stream),调用这个新Stream的opWripSink()方法将得到一个包装了当前回调函数的Sink。方法也是必须实现的。
SpringBoot 集成 SpringSecurity完全解读
laidanlove250的博客
06-17 449
一、Spring security 是什么? Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。 它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功...
Spring Security 表单认证
快乐的小三菊的博客
12-14 3131
spring security 的表单认证
Spring Security 处理不同类型的请求
superbeyone
12-01 672
文章目录Spring Security 处理不同类型的请求1. 流程分析2. 系统配置封装 Spring Security 处理不同类型的请求 1. 流程分析 2. 系统配置封装 配置自定义登录页地址 tdt: security: browser: loginPage: /demo-signIn.html SecurityCoreConfig import c...
用户授权
qq_43843037的博客
01-24 1103
用户授权 授权的方式包括 web授权和方法授权,web授权是通过 url拦截进行授权,方法授权是通过 方法拦截进行授权。他 们都会调用accessDecisionManager进行授权决策,若为web授权则拦截器为 FilterSecurityInterceptor;若为方 法授权则拦截器为MethodSecurityInterceptor。如果同时通过web授权和方法授权则先执行web授权,再执行方 法授权,最后决策通过,则允许访问资源,否则将禁止访问。 web授权 Spring Security可以通过
SpringSecurity(十)---配置权限:应用限制
学习不止境的博客
10-26 1120
之前讲解了如何基于权限和角色配置访问。但是其中只应用了针对所有端点的配置。本章将介绍如何对特定的请求分组应用授权约束。在生产环境的应用程序中,不太可能对所有请求应用相同的规则。其中将具有只有某些特定用户才能调用的端点,而其他端点则可能每个用户都可以访问。根据业务需求,每个接口都有自己的自定义授权配置。 要选择应用授权配置的请求,可以使用匹配器方法。Spring Security提供了3种类型的匹配方法。首先看一个简单的示例,我们要创建一个暴露两个端点的应用程序,这两个端点是/hello和/xiao。我们希望
top-spring-security-architecture:Spring安全架构
05-13
标签专案安全Spring安全了解Spring安全性目录本指南是Spring Security的入门,它提供了对该框架的设计和基本构建块的见解。 我们仅介绍应用程序安全性的最基础知识。 但是,这样做可以消除使用Spring Security的开发...
掌握 Objective-C:初学者指南
最新发布
04-11
《掌握 Objective-C》是一本针对初学者的详细指南,给出了现代程序员对 Objective-C 的看法。 它介绍了 Objective-C 的原理以及当前的 Apple 编程技能和库,使读者能够充分利用可用的工具。 本书简洁易懂,涵盖了...
spring-boot:新手学习弹簧靴
05-11
笔者学习过程中的小demo,均测试过,非常适合初学者学习,以下demo均由maven管理 mybatisXML spring boot整合了mybatis的配置文件xml的单数据源版本 mybatisXML_multiResources 以两个数据库资源来源编写的demo,两个...
Spring MVC- Mybatis 框架清晰整合
04-23
Maven 对 Spring MVC - Mybatis 简单清晰整合,比较适合初学者学习使用!
springSecurity实现基于资源的访问控制
qiuxinfa123的博客
04-17 2525
通过自定义springSecurity的授权逻辑,参考上篇博客 :springSecurity授权简单分析 ,你会发现它的使用场景是 基于角色的访问控制,网上很多文章写的也是基于角色的权限控制。但是,我很觉得很诧异,为什么很少有人思考 基于资源的访问控制?毕竟,在shiro中是可以实现的。为什么要思考基于资源的访问控制? 我的出发点是,即使是同样的角色,也可以拥有不用的权限,可以动态...
SpringSecurity(十一)权限表达式和Rbac数据模型
lizc_lizc的博客
11-18 5076
常用表达式   表达式 说明 hasRole([role]) 用户拥有制定的角色时返回true (Spring security默认会带有ROLE_前缀) hasAnyRole([role1,role2]) 用户拥有任意一个制定的角色时返回true hasAuthority([authority]) 等同于hasRole,但不会带有ROLE_前缀 has...
Spring Security--基于表达式的访问控制 access的使用
我和井盖都笑了博客
04-05 5067
文章目录    基于表达式的访问控制      1 access()方法使用      1.1 以 hasRole 和 permitAll 举例       2 使用自定义方法&n...
Spring Security --- authorizeRequests配置
汤键的博客
04-13 2335
Spring Security --- authorizeRequests配置
理解Spring Security中permitAll()和anonymous()的区别
小汤圆
08-16 4904
Spring文档: 采用“默认拒绝”通常被认为是良好的安全实践,您可以明确指定允许的内容并禁止其他所有内容。定义未经身份验证的用户可以访问的内容是类似的情况,尤其是对于 Web 应用程序。许多站点要求用户必须通过除少数 URL 之外的任何其他内容(例如主页和登录页面)的身份验证。在这种情况下,最容易为这些特定 URL 定义访问配置属性,而不是为每个受保护的资源定义访问配置属性。换句话说,有时可以说默认情况下需要 ROLE_SOMETHING 并且只允许此规则的某些例外情况,例如登录、注销和应用程序的主页
spring-assistant-1.0.4
06-28
最后,spring-assistant-1.0.4 还集成了一些其他常用的开发工具,例如Spring Security(用于身份认证和授权)、Spring MVC(用于处理HTTP请求和响应)、Spring Data(用于简化数据访问)等。这些工具使得开发者能够...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值