SpringSecurity的antMatchers匹配顺序踩坑

最新推荐文章于 2024-06-12 19:31:55 发布
最新推荐文章于 2024-06-12 19:31:55 发布
阅读量1.8w 收藏 15
点赞数 5
分类专栏: Spring Security 文章标签: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39376487/article/details/121059134
版权

SpringSecurity的antMatchers匹配顺序踩坑

@Override
    protected void configure(HttpSecurity http) throws Exception {
        http.cors().and()
                .csrf().disable()
                //省略其他代码
                .and()
                .authorizeRequests()
                .antMatchers("/api/login","/api/common/registry/**","/api/common/pageQuestion/**").permitAll()
                .antMatchers("/api/admin/**").hasRole("admin")
                .antMatchers("/api/common/**").hasRole("common")
                //重点是下面这句
                .antMatchers("/api/common/userInfo").hasAnyRole("admin","common")	
                .anyRequest().authenticated()
                //省略其他代码
    }

这里我做了角色控制,什么角色只能访问什么地址。

.antMatchers("/api/common/**").hasRole("common")

表示只有common角色才能访问 /api/common/ 开头的地址,就算是admin角色也不能访问这个地址。
而这句

.antMatchers("/api/common/userInfo").hasAnyRole("admin","common")

访问 /api/common/userInfo 只要有admin角色或common角色就能访问了。
想象一下,/api/common/ 开头的地址只能common角色访问,所以/api/common/userInfo理应只有common角色才能访问,然后我单独对 /api/common/userInfo 这个地址设了 hasAnyRole(“admin”,“common”) 那现在这个地址应该就是只要有admin角色或common角色就能访问

测试
在这里插入图片描述
在这里插入图片描述
admin不能访问,普通用户(也就是common角色)能访问。这跟我想象的不一样。

然后我就把那两句代码调换了顺序,hasAnyRole()的放在上面

.antMatchers("/api/common/userInfo").hasAnyRole("admin","common")
.antMatchers("/api/common/**").hasRole("common")

测试
common角色的同样能访问,
在这里插入图片描述
现在admin角色也能访问了(系统里管理员的username是"admin",管理员的角色也是"admin")

a_wing啊
关注
  • 5
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security-antMatchers 访问控制-url-匹配、白名单
西京刀客
09-23 1万+
文章目录一、问题背景二、spring security访问控制 url 匹配1. 匹配规则1.1 antMatcher()1.2 regexMatchers()三、实战配置demo举例 一、问题背景 每个不同的业务服务有的接口需要认证后才能访问,有的接口是不需要认证就可以访问的,有的接口可能是需要某些权限、角色才可以访问。 二、spring security访问控制 url 匹配 Spring Security——访问控制 url 匹配 参考URL: http://www.wjxin.cn/wjx/2020
Spring Security实现验证码登录功能
08-25
"Spring Security实现验证码登录功能" Spring Security是Java应用程序安全性框架,广泛应用于Web应用程序的身份验证、授权和访问控制。验证码登录功能是Spring Security中的一个重要组件,主要用于防止自动化程序...
springboot+ spring security实现登录认证
05-04
springboot+ spring security实现登录认证
spring security antMatchers相关内容
weixin_34038293的博客
06-26 7798
一.antMatcherantMatchers的区别以及使用场景 来源:https://stackoverflow.com/questions/35890540/when-to-use-spring-securitys-antmatcher antMatcher用在多个HttpSecurity的场景下,用来为每个HttpSecurity过滤 @EnableWebSecurity pu...
(避)SpringSecurity关于使用.antMatchers放行接口不生效问题
Sinder小德的博客
05-26 335
当你在yml文件中配置了ContextPath的时候,security中的放行接口就不用加上contextPath路径;
Spring Security 实现 antMatchers 配置路径的动态获取
MrLee的博客
12-26 2299
2,实现 SecurityConfigAttributeLoader (这里也可以从数据库获取)
SpringSecurity学习笔记之四:拦截请求
热门推荐
zhoucheng05_13的博客
03-05 5万+
在任何应用中,并不是所有请求都需要同等程度地保护起来。有些请求需要认证,有些则不需要。 对每个请求进行细粒度安全性控制的关键在于重载configure(HttpSecurity)方法。如下代码片段展现了重载的configure(HttpSecurity)方法,它为不同的URL路径有选择地应用安全性:@Override protected void configure(HttpSecurity ht
Spring Security入门
07-30 1311
Spring Security入门
SpringSecurity课程文档下载 pdf 教学
05-05
SpringSecurity课程文档下载 pdf 教学
SpringSecurity.zip
06-08
Spring Securityspring家族一员。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转...
SpringSecurity.pdf
05-24
SpringSecurity入门到进阶到高级,是我们老师给我们讲课用的,我们都照着配就没有问题,可以跑通,
详解springSecurity之java配置篇
08-18
Spring Security 之 Java 配置篇 Spring Security 是一个功能强大且灵活的安全框架...我们可以使用 Spring Security 之 Java 配置篇来保护基于 Java 的 Web 应用程序,包括自定义登陆页面、使用多用户、过滤器顺序等。
spring-security
HapSlience
05-06 255
使用spring-security来设置登陆功能: 1、增加security配置文件 WebSecurityConfig 配置文件需要继承 WebSecurityConfigurerAdapter @EnableWebSecurity @EnableGlobalMethodSecurity public class WebSecurityConfig extends WebSec...
SpringSecurity中.antMatchers的anoymous()方法和permitAll()的区别
LionHearthz的博客
04-18 5488
antMatchers的anoymous()方法和permitAll()方法的区别
SpringSecurity的简单入手
weixin_49390750的博客
06-16 1747
SpringSecurity的简单入手
SpringSecurity学习笔记
weixin_44919936的博客
08-13 468
文章目录SpringSecurity入门基本原理认证控制实现案例认证功能加入数据库授权控制用户自定义403页面注解简化开发(不建议使用)注销或退出登录自动登录RememberMeCSRF跨站请求SpringSecurity微服务实现Oauth协议认证过程单点登录SSO总结: SpringSecurity入门 Shiro是轻量级的安全框架,而随着springboot的流行,现在是整合springsecurity,因为是spring家族的组件,整合非常的方便。 SpringSecurity本质上是一个过滤器
SpringSecurity 学习(二)
weixin_32196893的博客
02-14 4905
SpringSecurity 1. antMatchers() 方法定义: public C antMatchers(String... antPatterns) 方法参数不定,每个参数都是一个ant表达式,用于匹配URL规则。 规则如下: ?: 匹配一个字符 *: 匹配0个活多个字符 **: 匹配0个活多个目录 在实际项目中我们经常要放行所有静态资源,如放行js文件夹下的所有脚本。 .antMatchers("/js/**").perimitAll() 还有一种配置方式是只要是.js文件都放行
一文搞懂SpringSecurity---[Day05]anyRequest,antMatcher,regexMatchers,mvcMatchers详解
风归去.
07-06 4579
访问控制url匹配在前面讲解了认证中所有常用配置,主要是对 进行操作。而在配置类中 主要是对url进行控制,也就是我们所说的授权(访问控制)。 也支持连缀写法,总体公式为:通过上面的公式可以有很多 url 匹配规则和很多权限控制方法。这些内容进行各种组合就形成了中 的授权。 antMatcher() 方法定义如下 参数是不定向参数,每一个参数是一个ant表达式,用于匹配URL规则。规则如下:在实际项目中经常需要放行所有静态资源,下面演示放行 js 文件夹下所有脚本文件。 还有一种配置方式是只要是.js
Spring Security实现用户认证四:使用JWT与Redis实现无状态认证
最新发布
不做菜虚困的博客
06-12 815
在基本的通信流程中,我们一般采用Session去存储用户的认证状态。在Spring Security实现用户认证三中讲过,在拿到前端传输过来的用户名和密码之后,会有专门的过滤器处理这部分的需求,并且对认证成功的用户生成Token且存储在Session中。在下次发起请求时,直接从Session中取出同用户名的token进行密码哈希的比较要认证用户。对于无状态认证,则我们的认证不依赖与服务器端存储的Session的状态。所以无状态认证需要我们每次从前端传输一个包含完整认证信息的Token到服务器端进行自定义的认
spring security 源码读取顺序
07-08
Spring Security 是一个用于身份验证和授权的框架,它的源码读取顺序可以大致分为以下几个步骤: 1. 加载配置文件:Spring Security 使用 XML 或 Java Config 的方式进行配置,首先会加载配置文件,获取安全配置的相关信息。 2. 创建过滤器链:Spring Security 通过过滤器链来处理请求,根据配置文件中的顺序,创建不同的过滤器,并将它们按照一定的顺序组成过滤器链。 3. 加载认证信息:在过滤器链中,有一个特殊的过滤器称为 `UsernamePasswordAuthenticationFilter`,它负责处理用户名密码的认证。在请求到达该过滤器时,会根据配置的认证方式加载用户信息,例如从数据库或者内存中加载用户信息。 4. 执行认证逻辑:在认证过滤器中,会调用相应的 `AuthenticationManager` 进行认证。`AuthenticationManager` 是一个接口,具体的实现类是 `ProviderManager`,它会根据配置中的认证提供者(`AuthenticationProvider`)来进行认证操作。 5. 认证结果处理:认证完成后,会根据认证结果进行相应的处理。例如,如果认证成功,会生成一个身份验证凭证(`Authentication`)对象,并将其保存到 `SecurityContextHolder` 中,供后续的授权操作使用。 6. 执行授权逻辑:在过滤器链中,有一个称为 `FilterSecurityInterceptor` 的过滤器,它负责处理授权逻辑。当请求到达该过滤器时,会根据配置的访问规则进行权限检查,并决定是否允许请求进入。 7. 异常处理:在整个过程中,如果发生异常,Spring Security 会根据配置的异常处理机制进行相应的处理,例如重定向到登录页面或返回错误信息。 这只是 Spring Security 源码的一个简要读取顺序,具体的实现细节和流程会更加复杂,涉及到很多不同的类和接口。如果你想深入了解 Spring Security 的源码,建议阅读官方文档以及相关的源码注释和示例代码。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值