【SpringSecurity】使用注解方式实现匿名访问

最新推荐文章于 2024-10-12 17:40:17 发布
最新推荐文章于 2024-10-12 17:40:17 发布
阅读量7.1k 收藏 24
点赞数 7
文章标签: java spring spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_28597959/article/details/114094758
版权

SpringSecurity实现匿名访问的方式如下,

/**
 * spring security配置
 * {@link EnableGlobalMethodSecurity } 如果想要启用spring方法级安全时,使用这个注解
 *
 * @author ruoyi
 */
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {  
    
    @Override
    protected void configure(HttpSecurity httpSecurity) throws Exception {
        httpSecurity                
                .authorizeRequests()
                // 对于登录login 验证码captchaImage 允许匿名访问
                .antMatchers("/login", "/captchaImage").anonymous();
    }
}

如果有很多个路径都需要匿名访问,那岂不是要在 antMatchers 加很多路径?这样太繁琐

使用注解方式实现匿名访问,步骤如下

  1. 先定义一个注解
/**
 * Security允许匿名访问
 */
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface AnonymousAccess {
}
  1. 修改 security 配置类
/**
 * spring security配置
 * {@link EnableGlobalMethodSecurity } 如果想要启用spring方法级安全时,使用这个注解
 *
 * @author ruoyi
 */
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {  
    
    @Override
    protected void configure(HttpSecurity httpSecurity) throws Exception {
        httpSecurity                
                .authorizeRequests()
                // 对于登录login 验证码captchaImage 允许匿名访问
                .antMatchers("/login", "/captchaImage").anonymous()
                // 所有加 AnonymousAccess 注解的请求都允许匿名访问
                .antMatchers(getAnonymousUrls()).anonymous();
    }

	/**
     * 获取标有注解 AnonymousAccess 的访问路径
     */
    private String[] getAnonymousUrls() {
        // 获取所有的 RequestMapping
        Map<RequestMappingInfo, HandlerMethod> handlerMethods = SpringUtils.getBean(RequestMappingHandlerMapping.class).getHandlerMethods();
        Set<String> allAnonymousAccess = new HashSet<>();
        // 循环 RequestMapping
        for (Map.Entry<RequestMappingInfo, HandlerMethod> infoEntry : handlerMethods.entrySet()) {
            HandlerMethod value = infoEntry.getValue();
            // 获取方法上 AnonymousAccess 类型的注解
            AnonymousAccess methodAnnotation = value.getMethodAnnotation(AnonymousAccess.class);
            // 如果方法上标注了 AnonymousAccess 注解,就获取该方法的访问全路径
            if (methodAnnotation != null) {
                allAnonymousAccess.addAll(infoEntry.getKey().getPatternsCondition().getPatterns());
            }
        }
        return allAnonymousAccess.toArray(new String[0]);
    }
}
  1. 使用
@RestController
@RequestMapping("/consignment")
public class RmbssDcDepotController extends BaseController {

    @Autowired
    private IRmbssDcDepotService rmbssDcDepotService;

    /**
     * 查询所有有效的代储车间
     * @AnonymousAccess 允许匿名访问的注解
     */
    @AnonymousAccess 
    @GetMapping("/plantList")
    public AjaxResult plantList(RmbssDcDepot rmbssDcDepot) {
        return AjaxResult.success(rmbssDcDepotService.selectDcPlantList(rmbssDcDepot));
    }
}
樊彦龙~
关注
spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
SpringSecurity使用注解匿名访问接口
weixin_49390750的博客
08-24 811
SpringSecurity使用注解匿名访问接口
Spring Security 如何允许对同一地址进行匿名和身份验证访问
m13012606980的专栏
09-28 2793
场景描述 可能在开发过程中设置了一个匿名访问地址,但这个地址我们同时也想让它能够进行身份验证访问。就比如一个地址你把它分享出去就可以匿名访问,但如果这个地址如果没有被分享出去在系统内部或者在app中就可以进行身份验证访问。 遇到的问题 Spring Security 版本:4.1.0.RELEASE。现在版本到 5.5.2 为啥不用最新的,我只能说我也想。 Spring Security中默认对匿名访问的设置是如果你当前请求的地址为匿名访问设置,并且没有携带token的话,Spring Security会在
Spring Security中,anonymous()和permitAll()的区别
最新发布
Kally_tao的专栏
10-12 362
时,Spring Security会检查请求是否来自匿名用户(即没有经过认证的用户)。如果是,那么这些用户可以访问匹配的URL模式,而不需要进行认证。时,Spring Security不会对匹配的URL模式进行任何认证检查,所有用户都可以访问这些资源。: 这个方法用于允许所有用户(包括匿名用户和认证用户)访问特定的URL模式。都是用于定义安全配置的,但它们的作用和使用场景有所不同。: 这个方法用于允许匿名用户访问特定的URL模式。路径的用户,无论是否认证,都可以访问这些资源。路径下的资源,则需要用户拥有。
spring security 实现匿名访问接口
zhaosheng的博客
04-23 9538
就如同静态资源一样,我们不希望请求时需要认证,而是直接返回结果。 接下来我使用自定义注解完成匿名访问(以@AnonymousGetMapping举例) 第一步:我们需要写一个匿名访问注解@AnonymousGetMapping,其中我们需要此注解注解上@AnonymousAccess,保证在后续过程中获取匿名访问的url。 @AnonymousAccess @Target(ElementType.METHOD) @Retention(RetentionPolicy.RUNTIME) @Documente
自定义@AnonymousAccess注解
郝南过的博客
07-09 397
自定义@AnonymousAccess注解,可以直接在controller上添加该注解使请求绕过权限验证进行匿名访问,便于快速调用调试以及部分不需要进行安全验证的接口。而不是每次都需要去SecurityConfig文件中进行修改。
springsecurity匿名访问不鉴权注解
黑科技的专栏
01-03 1283
springsecurity匿名访问不鉴权注解
Anonymous Access
BLOG域名:programb.blog.csdn.net
04-21 1907
Overview This project uses Git to manage its source code. Instructions on Git use can be found at https://git-scm.com/documentation. Web Browser Access The following is a link to a browsable version o...
springsecurity使用配置详解
03-24
在提供的压缩包`springsecurity配置demo`中,你将找到示例代码和详细说明,这将帮助你更好地理解和实践上述概念。通过学习和实践这些示例,你将能够为自己的Spring应用程序构建强大的安全防护。
SpringBoot+Spring Security+JWT实现RESTful Api权限控制的方法
08-26
首先,配置Spring Security允许匿名访问某些公开路由,而对于需要认证的路由,则需要用户携带有效的JWT令牌。配置类可以扩展WebSecurityConfigurerAdapter,并重写其方法,例如configure(HttpSecurity http)。在这里...
如何利用自定义注解放行 Spring Security 项目的接口
Trouvailless的博客
04-23 517
在实际项目中使用到了springsecurity作为安全框架,我们会遇到需要放行一些接口,使其能匿名访问的业务需求。但是每当需要当需要放行时,都需要在security的配置类中进行修改,感觉非常的不优雅。 例如这样: 图片 所以想通过自定义一个注解,来进行接口匿名访问。在实现需求前,我们先了解一下security的两种方行思路。 第一种就是在configure(WebSecurity web)方法中配置放行,像下面这样: @Override public void configure(We...
Spring Security模块
09-03
Spring Security 可以通过 XML 配置、Java 配置或注解方式进行配置。XML 配置较为传统,但 Java 配置和注解方式提供了更高的灵活性和可读性。配置内容包括定义过滤器链、配置访问控制策略、指定用户详情服务等。 **...
玩转SpringSecurity之五基于注解访问控制
xtho62的博客
02-15 339
在实际开发中,我们往往需要对一些方法访问进行控制,这样会更加灵活,能够更好的控制,给程序设计有更多的自由度。 在Spring Security中提供了一些访问控制的注解。这些注解都是默认是都不可用的,需要通过@EnableGlobalMethodSecurity进行开启后使用。如果设置的条件允许,程序正常执行,如果不允许会报500错误。 这些注解可以写到Service接口或方法上,也可以写Controller或Controller的方法上。通常情况下都是写在控制器方法上的,控制接口URL是否允许被访问。 @
Spring Security(七) 基于表达式/注解访问控制
奥迪的博客
09-29 938
一、 基于表达式的访问控制 1 access() 方法使用 之前学习的登录用户权限判断实际上底层实现都是调用access(表达式) 可以通过 access()实现和之前学习的权限控制完成相同的功能。 1.1 以 hasRole 和 和 permitAll 举例 下面代码和直接使用 permitAll()和 hasRole()是等效的。 2 使用自定义方法 虽然这里面已经包含了很多的表达式(方法)但是在实际项目中很有可能出现需要自己自定义逻辑的情况。 判断登录用户是否具有访问当...
SpringSecurity中对接口进行匿名访问自定义@Anonymous注解
小姜的博客
04-22 2999
注解仅对Spring MVC的控制器方法生效,对于其他类型的接口,例如Spring Boot的REST端点、WebSocket端点等,需要根据具体的场景进行相应的配置。提问:我需要自定义一个注解@Anonymous来添加到接口的方法上,对该方法进行匿名访问,怎么实现?过滤器会拦截该请求,并将当前用户的身份设置为匿名用户,从而实现对该接口的匿名访问控制。如果匹配,则将当前用户的身份设置为匿名用户。对象,并将其设置为当前用户的身份,来实现匿名访问控制。注解,表示该接口可以进行匿名访问。过滤器之前添加自定义的。
spring security如何设定匿名访问
小汤圆
08-18 2967
anonymous() 允许配置匿名用户的表示方法。 当与WebSecurityConfigurerAdapter结合使用时,这将自动应用。 默认情况下,匿名用户将使用org.springframework.security.authentication.AnonymousAuthenticationToken表示,并包含角色 “ROLE_ANONYMOUS” 可以创建一个匿名用户的身份 当过滤器发现没有真实用户的时候,就给当前用户一个匿名身份 同时数据里设定一个匿名用户角色 让匿名的用户有权限访问匿名访
springsecurity配置登录接口匿名访问无效,出现403Forbidden
weixin_42260782的博客
01-13 6815
在复习springsecurity的时候,出现一个奇怪的现象,登录接口已经设置为匿名访问了,但是通过postman测试的时候,出现了403禁止访问的情况 security配置类已经关闭了csrf,并且/user/login已经设置为匿名访问: 后来发现,原来是我入参写错了,传进来的User对象,实体类里面的用户名称是userName,而不是username, 改为userName,正常登录 但是数据库里面的用户名字段是user_name,这个不匹配,难道不会出现Unknown column 的错误吗
SpringSecurity不允许匿名(anonymous)访问Post接口(403)
secretdaixin的博客
02-09 2337
问题1:系统对外暴露接口,接口路径配置了匿名访问(anonymous),Get请求可正常访问,Post请求报错403或直接跳转到登陆页。 问题2:前端传递token调用匿名接口,报错403,不传递token可正常访问
java ssrs匿名_SSRS: 匿名访问配置方法( Anonymous Access )
weixin_34928522的博客
02-16 1217
1. 修改 Reporting Viewer 的設定檔 rsreportserver.config ,該檔案預設位在 C:\Program Files\Microsoft SQL Server\MSRS11.MSSQLSERVER\Reporting Services\ReportServer 的目錄下。修改前 : Off Proxy true 修改後 : Off Proxy true...
spring security详解
07-27
Spring Security是一个功能强大且灵活的身份验证和访问控制框架,用于保护基于Java的应用程序。它提供了一套全面的安全解决方案,可用于保护Web应用程序、RESTful API、方法级别的安全等。 Spring Security的核心原则是基于拦截器链(Filter Chain)的安全性,它通过一系列的过滤器(Filters)来处理不同的安全问题。这些过滤器可以在认证(Authentication)和授权(Authorization)过程中执行各种任务。 在Spring Security中,认证是指验证用户的身份,通常通过用户名和密码进行验证。授权是指根据用户的身份和角色来确定其是否有权访问特定资源或执行特定操作。 Spring Security提供了许多功能和扩展点,可以轻松地自定义和扩展以满足特定的需求。以下是一些Spring Security的主要功能: 1. 身份验证(Authentication):Spring Security支持多种身份验证方式,如基于数据库、LDAP、OAuth等。它还提供了记住我(Remember Me)和匿名访问等功能。 2. 授权(Authorization):Spring Security支持基于角色和权限的授权机制。可以配置细粒度的访问控制规则,以确保只有具有合适权限的用户可以访问受保护的资源。 3. 安全性注解Security Annotations):Spring Security提供了一套注解,可以在方法级别上标记安全性要求。这些注解可以用于限制对特定方法的访问,并进行细粒度的授权控制。 4. CSRF保护(CSRF Protection):Spring Security提供了一种防止跨站请求伪造(CSRF)攻击的机制。它通过生成和验证CSRF令牌来确保只有合法的请求才能被处理。 5. Session管理(Session Management):Spring Security提供了对会话管理的支持,包括会话过期、并发控制和无效会话处理等功能。 6. 安全事件与日志(Security Events and Logging):Spring Security可以生成安全相关的事件,并提供了灵活的日志配置选项,以便记录和监视应用程序的安全状态。 以上只是Spring Security的一些主要功能,它还有很多其他特性和扩展点可用于满足各种安全需求。要详细了解Spring Security使用和配置,可以参考官方文档或其他相关资源。
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值