【SpringSecurity】SpringSecurity版本5.7.4静态资源放行失败解决,SpringBoot版本2.7.5

已于 2022-11-21 00:47:40 修改
阅读量5.2k 收藏 9
点赞数 5
分类专栏: SpringBoot 文章标签: java spring boot spring mybatis junit
于 2022-11-21 00:46:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nifengdeshuye/article/details/127955586
版权

刚学了SpringSecurity,拿来做一个SpringBoot+SSMP项目,想着用最新版本边做边学,慢慢摸索。参照这个配置的:

SpringSecurity 配置与使用(含新 API 替换过时的 WebSecurityConfigurerAdapter)

都搭好了以后,想测试能不能直接访问静态资源。 

以下是SecurityConfig.class内容:

// Springboot2.7.0以及SrpignSecurity5.7版本以上应采用如下配置方式
@Configuration
@EnableWebSecurity  // 启用SpringSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)  // 启用方法级别的权限认证
public class SecurityConfig {

    /**
     * 配置全局的某些通用事物,例如静态资源等
     * @return
     */
    @Bean
    public WebSecurityCustomizer securityCustomizer() {
        return (web) -> web.ignoring().antMatchers("/static/**");
    }

    /**
     * http接口拦截
     * @param http
     * @return
     * @throws Exception
     */
    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http
                .csrf().disable()
                .sessionManagement()
                .sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                .and()
                .authorizeRequests()
                .antMatchers("/user/login", "/user/register", "/user/code").anonymous()
                .anyRequest().authenticated();

        http.addFilterBefore(tokenFilter, UsernamePasswordAuthenticationFilter.class);
        // 配置异常处理器
        http.exceptionHandling()
                .authenticationEntryPoint(entryPoint);  
        // SpringSecurity设置允许跨域
        http.cors();
        return http.build();
    }
}

resources目录结构:

 正常按道理是可以访问的,然而并没有...

 资源仍然被拦截了...

于是开始百度找有没有相似情况的大佬,用了各种方式,什么法子都试了,包括但不限于:

SpringBoot与SpringSecurity跨域冲突

Spring Security 两种资源放行策略

如果在HttpSecurity中放行静态资源,试了以下,倒是不会被拦截了,但404了...

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http
                .csrf().disable()
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                .and()
                .authorizeRequests()
                .antMatchers("/user/login", "/user/register", "/user/code").anonymous()
                /* 倒是不会拦截了,但是直接找不到
                .antMatchers("/static/head/123.jpeg").permitAll()
                */
                .anyRequest().authenticated();

        http.addFilterBefore(tokenFilter, UsernamePasswordAuthenticationFilter.class);
        // 配置异常处理器
        http.exceptionHandling()
                .authenticationEntryPoint(entryPoint);   // 配置认证异常处理器
        // SpringSecurity设置允许跨域
        http.cors();
        return http.build();
    }

我还想着至少被放行了,算有点进步,浪费了大量时间去解决这个404问题。但其实这是一个错误的方向,之后仔细研究了一下,发现这边主要放行的端口,静态资源似乎并不适用...

于是回到了上一步,继续解决被拦截问题,看了一篇文章:

找不到链接了,大致就是说SpringMVC静态资源映射配置,于是自己各种捣鼓、尝试,总算访问成功了,以下是两种解决方案:

1.静态资源不放在static文件夹

我在resources下新建了一个head文件夹,里面放上图片,然后把路径配置到WebSecurityCustomizer中,然后发现可以访问到head里面的图片

    @Bean
    public WebSecurityCustomizer securityCustomizer() {
        return (web) -> web.ignoring().antMatchers("/static/**", "/head/**");
    }

访问成功!!!可喜可贺

static文件夹为什么访问不了具体啥原因也不太清楚,可能是SpringMVC(或是SpringBoot?)和SpringSecurity映射冲突了,static 被SpringMVC锁了还是怎么的,因为我的static文件夹是创建项目时自动生成的,望大佬解答。

总之不用static文件夹就行!

2.配置SpringMVC静态资源映射路径

代码如下:

@Configuration
public class WebConfig extends WebMvcConfigurationSupport {

    @Override
    public void addResourceHandlers(ResourceHandlerRegistry registry) {
        registry.addResourceHandler("/static/**").addResourceLocations("classpath:/static/");
    }
}

大概就是重新映射静态资源路径到 classpath:/static/ 下面,通过/static/**访问,这样的话static文件夹就可以访问了!

结果:

 这样也可以访问。需要注意的是,这样配置的话,就只能访问到static文件夹下的东西,其它文件夹就访问不到了,除非继续配置。

就是这样了

小菜鸟一枚,主要网上查不到什么具体讲解与解决办法,于是决定自己记录一下,方便自己以后出现类似问题查看,也能多少帮到点其它人吧。好了,睡觉!

逆寻Fearless Seek
关注
  • 5
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
springsecurity5.7.x和springsecurity6.x配置文件对比
程序猿的傻白甜
11-24 853
SecurityConfig配置文件
SpringBoot2.1.7整合SpringSecurity系列(一)
Terry‘s Blog
08-31 1421
一 前言 安全管理框架中,Shiro和SpringSecurity都是响当当的存在。 相对于 Shiro,在 SSM/SSH 中整合 Spring Security 都是比较麻烦的操作,所以,Spring Security 虽然功能比 Shiro 强大,但是使用反而没有 Shiro 多(Shiro 虽然功能没有 Spring Security 多,但是对于大部分项目而言,Shiro 也够用了)。 ...
Spring Security 对于静态资源放行
qq_43578141的博客
10-29 1107
Spring Security静态资源被拦截导致的前台报错
(避坑)SpringSecurity关于使用.antMatchers放行接口不生效问题
Sinder小德的博客
05-26 644
当你在yml文件中配置了ContextPath的时候,security中的放行接口就不用加上contextPath路径;
关于Spring Security的基于路径的动态权限控制
最新发布
qq_68240667的博客
06-03 720
*** SpringSecurity相关配置,仅用于配置SecurityFilterChain*/@Bean//省略若干代码...//有动态权限配置时添加动态权限校验过滤器=null){
SpringSecurity 配置与使用(含新 API 替换过时的 WebSecurityConfigurerAdapter)
泡泡的博客
10-28 4963
As we all know,现今主流权限框架有 SpringSecurity、Shiro、SaToken,Shiro在前后端分离时代基本被淘汰,剩下适合大型项目的和 适合中小型项目的SaToken可以选择,SaToken 我也写了文章Springboot 使用 SaToken 进行登录认证、权限管理以及路由规则接口拦截。
别再用过时的方式了!全新版本Spring Security,这样用才够优雅!
yangjnsjbad的博客
06-09 4079
SpringBoot实战电商项目mall(50k+star)地址:github.com/macrozheng/…首先修改项目的文件,把Spring Boot版本升级至版本。 旧用法 在Spring Boot 2.7.0 之前的版本中,我们需要写个配置类继承,然后重写Adapter中的三个方法进行配置; 如果你在SpringBoot 2.7.0版本中进行使用的话,你就会发现已经被弃用了,看样子Spring Security要坚决放弃这种用法了!新用法非常简单,无需再继承,只需直接声明配置类,再配置一
浅谈Spring Security 对于静态资源的拦截与放行
08-25
主要介绍了浅谈Spring Security 对于静态资源的拦截与放行,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
SpringSecurity静态资源放行,登陆页面配置,权限访问控制,自定义403
hd_cash的博客
05-13 9883
1:静态资源和无需权限页面放行 如果是static下的静态资源或者无需验证身份即可访问的页面,可以通过在SpringSecurity的配置类中配置放行: @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() //无需认证的为static下的静态资源,以及/index请求 .antMa
SpringSecurity如何放行资源
程序三两行
08-13 2180
SpringSecurity如何放行资源不需要认证的资源
SpringBoot在使用Security和JWT时,应当怎么放行图片等静态资源#访问静态资源#静态资源放行#报错401
jingjiaohuan的博客
11-05 3366
springboot的文件上传总结,仅供学习
Spring Security 5.7 最新配置细节(直接就能用),WebSecurityConfigurerAdapter 已废弃
热门推荐
江帅帅
06-06 3万+
Spring Security 5.7.1 最新配置细节,WebSecurityConfigurerAdapter 已废弃
KNX编程软件 ETS5 Professional 版本 5.7.4(官网下载)
02-19
ETS5 Professional是KNX编程软件的一个重要版本,用于设计、配置和调试基于KNX技术的智能家居和楼宇自动化系统。KNX是一种国际标准(ISO/IEC 14543-3),它允许不同厂商的设备在一个网络中互相通信,实现照明、温控...
java springboot商品进销存ERP系统源码
05-07
建议开发者使用以下环境,可以避免版本带来的问题 * IDE: IntelliJ IDEA 2017+ * DB: Mysql5.7.4 * JDK: JDK1.8 * Maven: Maven3.2.3+ ### 运行环境 * 数据库服务器:Mysql5.7.4 * JAVA平台: JRE1.8 * 操作系统:...
ETS4 V4.1.6独立破解版本.rar
09-02
软件介绍: ETS4 4.1.6 独立破解版,请先安装ets4完整版,启动时虽然提示是Demo版,但使用起来并无功能上的限制。网友分享过来的资源,仅供本机测试。
CLTPHP v5.7.4
10-05
CLTPHP v5.7.4 是一个专为构建后台管理系统设计的开源框架,它集成了多种功能模块,便于开发者快速搭建和管理网站。这个版本是基于强大的PHP框架ThinkPHP5构建的,提供了丰富的功能和良好的用户体验。 首先,CLTPHP...
acorn-5.7.4.pom
01-10
acorn-5.7.4.pomacorn-5.7.4.pomacorn-5.7.4.pomv
Spring Boot 优雅集成 Spring Security 5.7(安全框架)与 JWT(双令牌机制)
欲变世界,先变其身
06-15 4528
Spring Security 是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在 Spring 应用上下文中配置的 Bean,充分利用了 Spring IOC(控制反转),DI(依赖注入)和 AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
SpringSecurity5.7从入门到精通全套教程-入门篇
weixin_46040278的博客
04-26 2826
本文章主要概述SpringSecurity的使用,从入门到精通一站式学习
Spring Security版本
07-28
Spring Security版本中的配置方式有什么变化? 回答: 根据引用\[2\]中的代码内容,可以看出在Springboot2.7.0以及Spring Security5.7版本以上,配置方式发生了变化。在SecurityConfig类中,使用了@EnableWebSecurity注解来启用Spring Security,同时使用@EnableGlobalMethodSecurity(prePostEnabled = true)注解来启用方法级别的权限认证。此外,还可以通过@Bean注解来配置全局的某些通用事物,例如静态资源等。在http接口拦截方面,使用了HttpSecurity对象来配置拦截规则,包括禁用CSRF保护、设置会话管理策略、配置请求授权规则等。同时,还可以添加过滤器和异常处理器。总之,Spring Security的配置方式在不同版本中可能会有一些差异,需要根据具体版本进行相应的配置。 #### 引用[.reference_title] - *1* [springBootspring security 版本对应关系](https://blog.csdn.net/xhf852963/article/details/121494936)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [【SpringSecuritySpringSecurity版本5.7.4静态资源放行失败解决SpringBoot版本2.7.5](https://blog.csdn.net/nifengdeshuye/article/details/127955586)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值