http.authorizeRequests()详解

最新推荐文章于 2024-10-15 16:51:16 发布
最新推荐文章于 2024-10-15 16:51:16 发布
阅读量3.4k 收藏 10
点赞数 3
文章标签: http java springsecurity
原文链接:https://blog.csdn.net/m0_67390963/article/details/125244569
版权
文章详细介绍了SpringSecurity中用于URL匹配和权限控制的方法,包括anyRequest(),antMatcher(),regexMatchers()等,以及各种权限控制方法如permitAll(),authenticated(),hasRole()等,提供了代码示例来说明如何实现不同场景的访问控制。
摘要由CSDN通过智能技术生成

它遵循下面的链式写法

http.authorizeRequests() .url匹配规则1.权限控制方法1 .url匹配规则2.权限控制方法2..

下面分别讲一下url匹配规则都有哪些,权限控制方法都有哪些。

url匹配规则都有哪些:

  • anyRequest():
    表示匹配所有的url请求,配置类代码示例:
http.authorizeRequests()
        // 匹配所有的请求,并且所有请求都需要登录认证
        .anyRequest().authenticated();
  • antMatcher(String regx):antMatcher(String regx),传递一个ant表达式参数,表示匹配所有满足ant表达式的请求。
  • ant表达式中特殊字符解释
    ?匹配一个字符
    * 匹配0个或多个字符
    ** 匹配0个或多个目录
    配置类代码示例:
http.authorizeRequests()
        // 允许登录页面匿名访问
        .antMatchers("/showLogin", "/errPage").anonymous()
        // 所有的静态资源允许匿名访问
        .antMatchers(
                "/css/**",
                "/js/**",
                "/images/**",
                "/fonts/**",
                "/favicon.ico"
                ).anonymous()
        // 其他所有的请求都需要登录认证
        .anyRequest().authenticated();
  • antMatcher(HttpMethod.*, String regx),传递一个请求方法类型参数加ant表达式参数,表示匹配所有满足ant表达式的指定请求方式的url
    在这里插入图片描述
  • regexMatchers(String regexPattern):使用正则表达式进行匹配。和antMatchers()主要的区别就是参数,antMatchers()参数是ant表达式,而regexMatchers()参数是正则表达式。
    演示案例: 使用正则表达式放行一个名称以demo结尾的js文件,让用户可以匿名访问
http.authorizeRequests()
// 匹配所有名称以demo结尾的js并允许匿名访问
.regexMatchers(.+demo[.]js”).anonymous();
  • regexMatchers(HttpMethod.*, String regexPattern) 传递两个参数
    演示案例: 使用正则表达式放行一个名称以demo结尾的js文件,让用户可以通过get请求匿名访问
http.authorizeRequests()
    // 匹配所有名称以demo结尾的js并允许匿名GET请求访问
    .regexMatchers(HttpMethod.GET, ".+demo[.]js").anonymous();

权限控制方法

  • permitAll()
    表示所匹配的URL任何人都允许访问

  • anonymous()
    表示可以匿名访问匹配的URL。和permitAll()效果类似,只是设置为anonymous()的url会执行filterChain中的filter

  • denyAll()
    表示所匹配的URL都不允许被访问。

  • authenticated()
    表示所匹配的URL都需要被认证才能访问

  • rememberMe()
    允许通过remember-me登录的用户访问

  • access()
    SpringEl表达式结果为true时可以访问

  • fullyAuthenticated()
    用户完全认证可以访问(非remember-me下自动登录)

  • hasRole()
    如果有参数,参数表示角色,则其角色可以访问

  • hasAnyRole()
    如果有参数,参数表示角色,则其中任何一个角色可以访问

  • hasAuthority()
    如果有参数,参数表示权限,则其权限可以访问

  • hasAnyAuthority()
    如果有参数,参数表示权限,则其中任何一个权限可以访问

  • hasIpAddress()
    如果有参数,参数表示IP地址,如果用户IP和参数匹配,则可以访问

访问控制方法都很简单, 只要匹配到url后直接在后面追加调用这个方法就行了,链式调用特别简单,不演示了。

转载声明

  • 上述基础引用自:https://blog.csdn.net/m0_67390963/article/details/125244569
CtrlZ1
关注
authorizeRequests 迁移到 authorizeHttpRequests:升级Spring Security授权配置
专注于深入研究多种编程语言,以实战为导向,逐步拓展开发技能,提升工程化编码和思维能力,展现无敌技术实力。
10-17 824
Spring Security中,授权配置是确保应用程序安全性的关键部分。随着Spring Security的演进,新的 authorizeHttpRequests 提供更灵活的授权规则。本文指导迁移从传统的 authorizeRequestsauthorizeHttpRequests,以满足较新版本Spring Security和复杂的授权需求。探讨迁移、表达式语言、最佳实践,确保应用程序安全可维护。
SpringSecurity权限管理框架系列(六)-Spring Security框架自定义配置类详解(二)之authorizeRequests配置详解
最爱嫣夜来
03-24 9721
1、预置演示环境 这个演示环境继续沿用 SpringSecurit权限管理框架系列(五)-Spring Security框架自定义配置类详解(一)之formLogin配置详解的环境。 2、自定义配置类之请求授权详解
SecurityFilterChain相关的配置和示例说明
闫小甲的专栏
09-11 646
最近在做技术升级工作,Spring Boot 2.x升级Spring Boot 3.x自然也就涉及到SecuritySecurity5.x升级Security6.x)`SecurityFilterChain`相关的配置和示例说明。
请求授权(Authorize Requests)
热门推荐
苏美尔人的天空
08-23 3万+
我们的案例目前使用的是WebSecurityConfigurerAdapter中默认的HttpSecurity对象的配置,该配置是要求应用中所有url的访问都需要进行验证。我们也可以自定义哪些URL需要权限验证,哪些不需要。只需要在我们的SecurityConfig类中覆写configure(HttpSecurity http)方法即可。 protected void configure(H
SpringSecurity中文文档(Servlet Authorize HttpServletRequests
znjy111的博客
07-08 1131
SpringSecurity 允许您在请求级别对授权进行建模。例如,对于 Spring Security,可以说/admin 下的所有页面都需要一个权限,而其他所有页面只需要身份验证。默认情况下,SpringSecurity 要求对每个请求进行身份验证。也就是说,任何时候使用 HttpSecurity 实例,都需要声明授权规则。无论何时有 HttpSecurity 实例,您至少应该这样做:这告诉 Spring Security,应用程序中的任何端点都需要至少对安全上下文进行身份验证才能允许它。
authorizeHttpRequests
最新发布
yyzz7579的博客
10-15 631
Spring Security 中用于配置 HTTP 请求授权的一个关键方法,它允许你根据特定的 URL 模式或请求属性来定义授权规则。还可以结合 Spring Security 的其他功能,如自定义 403 异常返回处理等,来提供更友好的用户体验和安全保障。支持链式写法,使得配置更加简洁和易读。连接多个匹配规则和授权策略,形成一条完整的授权链。:要求用户具有列表中的任何一个角色或权限。:要求用户具有指定的角色或权限。:要求用户已认证(即已登录)其他所有请求都需要用户已认证。
Spring Security --- authorizeRequests配置
汤键的博客
04-13 3132
Spring Security --- authorizeRequests配置
Spring Security HttpSecurity.authorizeRequests
Claroja
03-19 6278
http.authorizeRequests() .antMatchers("/login.html").permitAll()//放行/login.html,不需要认证 // .antMatchers("/css/**","/js/**","/images/**").permitAll()//放行静态资源 // .antMatchers("/**/*.png").permitAll()//放行...
SpringSecurity
weixin_38380811的博客
12-12 1562
SpringSecurity
http请求之requests详解
07-26
很详细的一个http请求的思维导图。你值得拥有。。。。
详解spring securityhttpSecurity使用示例
08-27
.authorizeRequests() .antMatchers("/").hasRole("USER") .and() .formLogin(); } @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth ....
Spring Boot学习总结(8)——SpringBoot Common application properties(application.properties)详解
科技D人生
05-05 3669
各种属性可以在您的application.properties/application.yml文件或命令行开关指定。下面提供了常见的Spring启动属性和引用它们的基础类的列表。 # =================================================================== # COMMON SPRING BOOT PROPERTIES # # T
SpringSecurity系列——授权Http请求day4-2(源于官网5.7.2版本)
qq_51553982的博客
07-22 1484
源于官方最新5.7.2文档,若你觉得官方文档阅读起来很枯燥,内容复杂,我提供了解析概括在每个部分的结尾,我对官方文档的内容做了一些改变,实例代码我会在后续进行更新,请查看如SpringSecurity系列——认证架构实例代码的文章但是如果你有能力,还是推荐直接阅读官方文档。...
SpringSecurity: 不能混用authorizeRequests和6.0里的authorizeHttpReuests
amadeus_liu2的博客
03-04 743
security
Spring Security之基于HttpRequest配置权限
Evan_L的博客
03-24 2165
前面我们探索了基于方法的权限配置方式,今天我们聊聊最为常用的基于HttpRequest的权限配置方式。
requestMatchers()方法与authorizeRequests()区别,ResourceServerConfigurerAdapter与WebSecurityConfigurerAdapt
join_null的博客
08-09 6607
一、requestMatchers()方法与authorizeRequests()区别 1.理解这两个方法的区别首先要知道springsecurity中,每声明一个adapter实例,就会产生一条过滤器链,一个请求过来要走哪个过滤器链就是由requestMatchers()方法配置的url决定的。请求匹配上requestMatchers()配置的过滤器链后,在进一步的详细控制则是authorizeRequests()决定的。例如: 下面这个adapter只对/api1...
Spring Security(十四):5.4 Authorize Requests
weixin_30767835的博客
12-17 4561
Our examples have only required users to be authenticated and have done so for every URL in our application. We can specify custom requirements for our URLs by adding multiple children to ourhttp.aut...
优雅的实现SpringBoot动态权限校验,可以这样做!
竹林幽深
01-17 236
关注公众号:woniuxgg,在公众号中回复:笔记 就可以获得蜗牛为你精心准备的java实战语雀笔记,回复面试、开发手册、有超赞的粉丝福利!
@Bean SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception { http.authorizeHttpRequests().requestMatchers("/yp/resources2/**").permitAll(); return http.build(); } 中的 http.authorizeHttpRequests().requestMatchers("/yp/resources2/**").permitAll(); 什么意思
06-10
这段代码是使用 Spring Security 框架配置 HTTP 安全过滤器的一部分。`authorizeHttpRequests()` 方法指定了一个 HTTP 安全规则,用于控制哪些请求需要经过授权才能访问。`requestMatchers("/yp/resources2/**")` 指定了一个请求匹配规则,用于匹配符合该规则的请求。`"/yp/resources2/**"` 表示匹配以 `/yp/resources2/` 开头的任何 URL。最后,`permitAll()` 方法指示对于匹配到的请求,不需要进行身份验证,即所有用户都可以访问这些请求。 因此,这段代码的作用是允许所有用户访问以 `/yp/resources2/` 开头的 URL,而不需要进行身份验证。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值