permitAl和anonymous都允许未经身份验证的访问,但它们在处理经过身份验证的用户时有所不同。

最新推荐文章于 2024-08-15 14:47:41 发布
最新推荐文章于 2024-08-15 14:47:41 发布
阅读量956 收藏 5
点赞数 5
文章标签: java spring security jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74007708/article/details/136727438
版权

我们在使用spring security和 Jwt结合使用的时候,对特殊路径设置权限时肯能会有不同的效果

anonymous:这个表达式用于指定某个资源或服务只能被匿名用户访问,,一旦用户通过了登录认证流程(例如,用户携带有效的token信息请求资源),该用户将不能再访问被标记为.anonymous()的资源。

permitAll:此表达式指示资源对所有用户开放,无论他们是否经过了身份验证。换句话说,它允许匿名用户和已登录用户都能够访问相关的资源。

我们先看一个security配置这个配置对 以下路径有特殊处理

"/api/user/register","/api/user/login1","/api/upload/write"

@Configuration
@EnableWebSecurity //开启spring security,可以省略
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable(); //禁用跨域功能
        http.logout().disable(); //禁用注销功能
        http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);//禁用session功能
        http    .authorizeRequests()
                .antMatchers("/api/user/register","/api/user/login1","/api/upload/write").permitAll() //antMatchers可以精细化配置
                .anyRequest().authenticated(); //除了上面的配置以外,所有的请求都需要认证
        http.addFilter(new TokenFilter(this.authenticationManager())); //把token里面的角色方法SecurityContextHolder里面
        http.exceptionHandling().authenticationEntryPoint((request,response,authException)->{
            response.setContentType("application/json; charset=utf-8");
            response.getWriter().write("{'code':403,'msg':'权限不足'}");
        });
    }

    public static  class  TokenFilter extends BasicAuthenticationFilter {
        public TokenFilter(AuthenticationManager authenticationManager) {
            super(authenticationManager);
        }
        @Override
        protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws IOException, ServletException {
            String token = request.getHeader("token");
            if(ObjUtil.isNotEmpty(token)){
                //存储在ThreadLocal的token身份
                LocalUser localUser  = JSONUtil.toBean(JWTUtil.parseToken(token).getPayload().toString(),LocalUser.class);
                List<GrantedAuthority> grantedAuthorities = new ArrayList<>();
                String[] roles = localUser.getRoles();
                for (String role : roles) {
                    //ROLE_ 一定要加上,否则会报错,它是为了兼容老的规则
                    grantedAuthorities.add(new SimpleGrantedAuthority("ROLE_"+role));
                }
                UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(
                        localUser.getId(), // 用户名
                        "",
                        grantedAuthorities
                ); // 角色列表
                SecurityContextHolder.getContext().setAuthentication(authentication);
            }
            chain.doFilter(request, response);
        }
    }
}

 anonymous在使用时遇到的问题:如果使用anonymous登录系统,token的有效期过期之后会自动返回登录页面,但是此时是以aonoymous登入系统的,JWT不会清除token,再次登录会携带之前已经过期的token,但是token已经过期,

后台会报token有效期的错误。

浏览器登录页面就不能再次访问被标记的资源

解决办法:将anonymous()更改为permitAll()即可

冰冰很社恐
关注
  • 5
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
passport-anonym-uuid:提供uuid的Passport匿名身份验证策略
05-27
护照-匿名-uuid 使用匿名用户的唯一uuid进行匿名身份验证的策略。 该模块使您可以在Node.js应用程序中提供匿名身份验证。 通过插入Passport,可以轻松,毫不费力地将匿名身份验证集成到任何支持风格中间件(包括应用程序或框架中。 安装 $ npm install passport-anonym-uuid 用法 配置策略 匿名身份验证策略通过请求的身份验证,该请求使用{uuid: "anonymous_<uuid>"}提供的req.user 。 passport.use(new AnonymIdStrategy()); 如果将done验证函数传递给该策略,它将随req和生成的uuid 。 通过此类verify回调,您可以使用与相同的方式使用此策略。 该策略将不会触摸回调返回的用户对象。 验证请求 使用passport.authenticate() (指定'anonym
SymfonyRESTAPI的JWT身份验证
08-07
Symfony REST API的JWT身份验证是基于JSON Web Token (JWT) 的一种安全机制,它用于在分布式系统中进行用户身份验证JWT是一种轻量级的、安全的身份表示方式,允许服务器和客户端之间通过加密的令牌来交换信息,而...
理解Spring SecuritypermitAll()和anonymous()的区别
小汤圆
08-16 5024
Spring文档: 采用“默认拒绝”通常被认为是良好的安全实践,您可以明确指定允许的内容并禁止其他所有内容。定义未经身份验证用户可以访问的内容是类似的情况,尤其是对于 Web 应用程序。许多站点要求用户必须通过除少数 URL 之外的任何其他内容(例如主页和登录页面)的身份验证。在这种情况下,最容易为这些特定 URL 定义访问配置属性,而不是为每个受保护的资源定义访问配置属性。换句话说,有可以说默认情况下需要 ROLE_SOMETHING 并且只允许此规则的某些例外情况,例如登录、注销和应用程序的主页
Spring Security核心组件之授权
clyu的博客
01-01 4004
Spring Security 中对于权限控制默认已经提供了很多了,但是,一个优秀的框架必须具备良好的扩展性,恰好,Spring Security 的扩展性就非常棒,我们既可以使用 Spring Security 提供的方式做授权,也可以自定义授权逻辑。一句话,你想怎么玩都可以! 一、 URL层面的授权 1.1 访问控制url的匹配 在配置类中http.authorizeRequests()主要是对url进行控制。配置顺序会影响之后授权的效果,越是具体的应该放在前面,越是笼统的应该放到后面。 anyRequ
JS方法使用匿名函数作为参数
lensko的博客
09-18 1034
mysql使用group by 报错: SQLSTATE[42000]: Syntax error or access violation: 1055 Expression #1 of SELECT list is not in GROUP BY clause and contains nonaggregated column ‘xxxxx’ which is not functionally ...
Spring Security中的小坑
KyrieXJL的博客
08-18 583
spring security中的小问题
SpringSecurity中.antMatchers的anoymous()方法和permitAll()的区别
LionHearthz的博客
04-18 5614
antMatchers的anoymous()方法和permitAll()方法的区别
聊聊spring securitypermitAll以及webIgnore
weixin_34023863的博客
11-25 1304
序 本文主要聊一下spring securitypermitAll以及webIgnore的区别 permitAll配置实例 @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override pub...
BLA:分布式车辆雾服务的区块链辅助轻型匿名身份验证
03-15
- 跨数据中心认证(Cross-Datacenter Authentication):即在不同数据中心之间进行身份验证的过程。 - 非交互式(Noninteractive):在本研究中指车辆和服务管理器之间无需实通信或交互,以减少认证过程中的延迟。...
FlaskAuthentication:使用Flask登录及其他功能实现身份验证
05-06
`flask_login`是用于处理用户身份验证的库,`flask_sqlalchemy`则为Flask提供SQLAlchemy集成,允许我们在数据库中存储用户信息。`werkzeug`包含了一些安全相关的工具,比如密码哈希函数。 1. **配置数据库**:使用`...
基于Python的使用Flask_Login实现用户登录和权限验证.zip
02-04
在本项目中,我们主要探讨如何使用Python编程语言和Flask框架来构建一个用户登录和权限验证系统。Flask是一个轻量级的Web服务器网关接口(WSGI)微框架,它非常适合快速开发简单的Web应用。Flask_Login是Flask的一个...
一文搞懂SpringSecurity---[Day06]内置访问控制方法解析角色权限判断
风归去.
07-07 456
匹配了 URL 后调用了 表示不需要认证,随意访问。在中提供了多 种内置控制。表示所匹配的 URL 任何人都允许访问。表示所匹配的 URL 都需要被认证才能访问。表示可以匿名访问匹配的URL。和效果类似,只是设置为的 url 会执行 filter 链中表示所匹配的 URL 都不允许访问。被的用户允许访问刚好和上面的相反, 如果用户不是被 的,才可以访问。除了之前讲解的内置权限控制。中还支持很多其他权限控制。这些方法一般都用于用户已经被认 证后,判断用户是否具有特定的要求。判断用户是否具有特定的权限,用户
SpringSecurity中.antMatchers anoymous()方法和permitAll()的区别
m0_50836836的博客
02-27 441
1.anonymous() :匿名访问,仅允许匿名用户访问,如果登录认证后,带有token信息再去请求,这个anonymous()关联的资源就不能被访问(就相当于登陆之后不允许访问,只允许匿名的用户)2.permitAll():登录能访问,不登录也能访问(一般用于静态资源js)
说一下Spring Security中@PermitAll和@PreAuthorize的使用
qq_55754838的博客
11-25 2454
本文主要来自于看Java开源项目,方便理解开源项目的代码是怎么实现的,加深自己的基本功。
Spring Security中@PermitAll与@PreAuthorize的详解
一勺菠萝丶的博客
04-26 1015
在使用Spring Security构建安全的应用程序,经常会涉及到对特定API或方法的访问控制。这,@PermitAll和这两个注解就发挥了重要作用。本文将详细解释这两个注解的使用方法和它们之间的区别,使即便是初学者也能理解并正确应用它们。
Spring Security入门宝典(二)中篇
长夜漫漫,无心睡眠
10-10 2902
使用正则表达式进行匹配。和主要的区别就是参数,antMatchers()参数是ant表达式,参数是正则表达式。演示所有以.js结尾的文件都被放行。
JAVA进阶补充
最新发布
2301_80150315的博客
08-15 561
概念:把已经有的方法拿过来用,当作函数式接口中抽象方法的方法体条件:引用处必须是函数式接口被引用的方法需要已经存在被引用方法的形参和返回值需要跟抽象方法的形参和返回值保持一致被引用方法的功能需要满足当前需求:方法引用符意义:就是为让控制台的报错信息更加的见名知意自定义异常的步骤:定义异常类写继承关系空参构造带参构造​file对象就表示一个路径,可以是文件的路径、也可以是文件夹的路径;这个路径可以是存在的,也允许是不存在的构造方法描述根据文件路径创建对象。
c# 代码 创建 IIS Ftp网站。 无ssl、匿名身份验证、授权所有用户读写权限。
06-12
以下是创建IIS FTP网站的C#代码示例,其中包括无SSL、匿名身份验证和授权所有用户读写权限: ```csharp using Microsoft.Web.Administration; using (ServerManager serverManager = new ServerManager()) { // 创建FTP网站 Site site = serverManager.Sites.Add("FTP", @"C:\inetpub\ftproot", 21); // 设置FTP网站的身份验证 site.FtpServer.Authentication.AuthenticationMode = AuthenticationMode.Anonymous; // 设置FTP网站的权限 Authorization authorization = site.FtpServer.Security.Authorization; authorization.AllowAllUsers = true; authorization.Users.Clear(); // 保存更改 serverManager.CommitChanges(); } ``` 解释一下代码,首先我们使用`ServerManager`类来获取IIS服务器的管理对象。然后,我们通过`Sites.Add`方法创建一个FTP网站,指定网站名称、网站根目录和FTP端口号。 接下来,我们设置身份验证模式为匿名身份验证,即`AuthenticationMode.Anonymous`。然后,我们通过`Authorization`对象设置FTP网站的权限,将`AllowAllUsers`属性设置为`true`,并清除所有用户。 最后,我们使用`serverManager.CommitChanges()`方法保存更改。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

冰冰很社恐

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值