spring security自定义ServerWebExchangeMatcher设置无需认证的url

最新推荐文章于 2024-08-08 23:55:21 发布
最新推荐文章于 2024-08-08 23:55:21 发布
阅读量1.3k 收藏
点赞数
分类专栏: spring/springboot/springcloud 文章标签: spring java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41358574/article/details/126803603
版权

ServerWebExchangeMatcher官方文档地址:
spring-ServerWebExchangeMatcher
spring security匹配请求路径的功能是由 PathPatterParserServerWebExchangeMatcher 来实现的。它会拦截请求路径,并且提取请求路径的参数。它有一个方法matches用来判断请求是否匹配
在这里插入图片描述
实现流程:
自定义一个properties类设置不用拦截的url:

@Setter
@Getter
public class PermitProperties {
    /**
     * 监控中心和swagger需要访问的url
     */
    private static final String[] ENDPOINTS = {
            "/oauth/**",
            "/actuator/**",
            "/*/v2/api-docs",
            "/swagger/api-docs",
            "/swagger-ui.html",
            "/doc.html",
            "/swagger-resources/**",
            "/webjars/**",
            "/druid/**"
    };

    /**
     * 设置不用认证的url
     */
    private String[] httpUrls = {};

    public String[] getUrls() {
        if (httpUrls == null || httpUrls.length == 0) {
            return ENDPOINTS;
        }
        List<String> list = new ArrayList<>();
        for (String url : ENDPOINTS) {
            list.add(url);
        }
        for (String url : httpUrls) {
            list.add(url);
        }
        return list.toArray(new String[list.size()]);
    }
}

再配置一个总的security properties:

@Setter
@Getter
@ConfigurationProperties(prefix = "zlt.security")
@RefreshScope
public class SecurityProperties {


    private PermitProperties ignore = new PermitProperties();

    private ValidateCodeProperties code = new ValidateCodeProperties();
}

自定义一个ServerWebExchangeMatcher类:

public class CustomServerWebExchangeMatchers implements ServerWebExchangeMatcher {
    private final SecurityProperties securityProperties;

    private final AntPathMatcher antPathMatcher = new AntPathMatcher();

    public CustomServerWebExchangeMatchers(SecurityProperties securityProperties) {
        this.securityProperties = securityProperties;
    }

    @Override
    public Mono<MatchResult> matches(ServerWebExchange exchange) {
        for (String url : securityProperties.getIgnore().getUrls()) {
            if (antPathMatcher.match(url, exchange.getRequest().getURI().getPath())) {
                return MatchResult.notMatch();
            }
        }
        return MatchResult.match();
    }
}
march of Time
关注
专栏目录
【OAuth2系列】Spring Cloud Gateway 作为OAuth2 Client接入第三方单点登录代码实践
c18213590220的博客
12-06 2563
Spring Cloud Gateway是Spring Cloud生态系统中的一个组件,主要用于构建微服务架构中的网关服务。它提供了一种灵活而强大的方式来路由请求、过滤请求以及添加各种功能,如负载均衡、熔断、安全性等。通过将Spring Cloud Gateway作为OAuth2 Client,可以实现用户在系统中的统一认证体验。用户只需要一次登录,即可访问多个微服务,避免了在每个服务中都进行独立的认证,下游微服务只需要专注自己的业务代码即可。
第18章 OAuth2LoginAuthenticationWebFilter 之请求匹配器ServerWebExchangeMatcher
Shiro框架02
07-18 916
在上一篇我们分析到了OAuth2LoginAuthentiationWebFilter会拦截匹配成功的请求路径。哪些请求路径会被拦截、如何去自定义要拦截的请求路径。这两个问题将是今天的主题。
SpringSecurity(看这一篇就够了)
最新发布
m0_74436895的博客
08-08 2609
Spring SecuritySpring项目组提供的安全服务框架,核心功能包括认证和授权。它为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。认证认证即系统判断用户的身份是否合法,合法可继续访问,不合法则拒绝访问。常见的用户身份认证方式有:用户名密码登录、二维码登录、手机短信登录、脸部识别认证、指纹认证等方式。认证是为了保护系统的隐私数据与资源,用户的身份合法才能访问该系统的资源。授权授权即认证通过后。
SpringSecurity忽略某些url,如何配置?
LLLLLiSHI的博客
05-07 6824
针对Spring Security框架,对需要忽略某些url,跳过登录逻辑的场景 如,发送验证码之类的,如何配置呢? 代码如下: import org.springframework.security.config.annotation.web.builders.WebSecurity; import org.springframework.security.config.annot...
RequestMatcher(配置忽略url认证url)
java牛牛的博客
02-16 7374
一句话简介 匹配HttpServletRequest的简单策略接口RequestMatcher,其下定义了matches方法,如果返回是true表示提供的请求与提供的匹配规则匹配,如果返回的是false则不匹配。 RequestMatcher其实现类: AntPathRequestMatcher:重点 MvcRequestMatcher:重点 RegexRequestMatcher: 根据正则模...
Spring Security(二) —— 自定义配置
eyes++的博客
07-24 1297
http.authorizeRequests().regexMatchers("/login1").permitAll()//注意要开放登录请求接口.mvcMatchers("/hello1").permitAll().anyRequest().authenticated().and().formLogin().loginPage("/login1")//指定登录页面路径.loginProcessingUrl("/doLogin");时会拦截请求并抛出。...
springboot webflux 参数传递(表单传递)
weixin_43931625的博客
06-18 3307
springbootwebflux参数传递(表单传递)
spring security 自定义认证
migo_的专栏
03-02 907
当用户提交凭据时接下来,身份验证被传递到 AuthenticationManager 以进行身份验证如果身份验证失败,则为“失败”如果身份验证成功,则为“成功”。如下我们只需要实现 UserDetailsService 接口,spring就会自动注入我们的认证方法(可以引入其他存储中间件做替换)@Service@Autowired@Override// 模拟jdbc获取用户信息// 设置登录角色。
spring security自定义登录页面
08-29
Spring Security自定义登录页面 在 Spring Security 框架中,默认的登录页面并不是很友好,特别是在实际项目中,我们通常需要使用自己的登录页面来满足业务需求。今天,我们将讨论如何自定义 Spring Security 的...
spring-security实现自定义登录认证.rar
05-21
本资源“spring-security实现自定义登录认证.rar”包含了一个使用Spring Security进行登录认证的示例,以及JWT(JSON Web Tokens)与Spring Security集成的代码。 首先,让我们了解Spring Security的基本工作原理。...
security配置用户登录,不含安全请求验证
qq_45786340的博客
05-08 1316
配置User类,实现UserDetails接口 @Override public String getUsername() { return username; } @Override public boolean isAccountNonExpired() { return true; } @Override...
SpringCloud微服务实战——搭建企业级开发框架(四十四):【微服务监控告警实现方式一】使用Actuator + Spring Boot Admin实现简单的微服务监控告警系统
全栈程序猿的专栏
07-27 1917
业务系统正常运行的稳定性十分重要,作为SpringBoot的四大核心之一,Actuator让你时刻探知SpringBoot服务运行状态信息,是保障系统正常运行必不可少的组件。spring-boot-starter-actuator提供的是一系列HTTP或者JMX监控端点,通过监控端点我们可以获取到系统的运行统计信息,同时,我们可以自己选择开启需要的监控端点,也可以自定义扩展监控端点。...
Spring Boot的Gateway服务将Session信息保存在Redis示例
Lavenderhaha的博客
05-15 1062
启动Gateway服务后,就可以在访问各个微服务的过程中将Session信息保存在Redis中了。注:在实际应用中,需要根据需求修改RedisSession类的属性和方法。3、创建过滤器,拦截所有请求并将session封装好存储到Redis中。4、创建RedisSession类,封装Session数据。6、启动Gateway服务。2、配置Redis连接。
spring security webflux 三方用户授权登录说明
weixin_43931625的博客
06-12 3761
springsecuritywebflux三方用户授权说明 springsecurity默认整合了github、google、facebook、okta三方登录功能,直接配置client-id、client-secret就可自动登录; 其他三方客户端(如gitee、微博等)需要实现相关的接口 ...
ServerHttpSecurity设置pathMatchers.permitAll失效,仍然401.
慢慢的博客
01-26 6385
ServerHttpSecurity401,修改anyExchange访问
spring security webflux 自定义登录页面
weixin_43931625的博客
06-05 2809
springsecuritywebFlux自定义登录页面
SpringSecurity Oauth2 - 10 自定义SpEL权限表达式配置白名单url不需要token认证和鉴权
你今天真好看呀
11-10 4343
*** MethodSecurityExpressionOperations 接口方法的属性/*** SecurityExpressionRoot 类中的属性/*** 判断是否是白名单WhiteUrl,不校验权限,不需要token// 白名单url,直接返回true return true;} /*** 修改 SecurityExpressionRoot 类中的该方法** 登录请求url是否是白名单WhiteUrl,如果是则不需要校验权限,直接返回true。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值