Spring Security中permitAll()和anonymous()的区别

最新推荐文章于 2024-04-26 14:15:48 发布
最新推荐文章于 2024-04-26 14:15:48 发布
阅读量2.1w 收藏 32
点赞数 10
文章标签: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43900956/article/details/120621119
版权

anonymous() 允许匿名用户访问,不允许已登入用户访问
permitAll() 不管登入,不登入 都能访问
permitAll(): Always evaluates to true
isAnonymous(): Returns true if the current principal is an anonymous user
从 Spring文档:

采用“默认拒绝”通常被认为是良好的安全实践,您可以明确指定允许的内容并禁止其他所有内容。定义未经身份验证的用户可以访问的内容是类似的情况,尤其是对于 Web 应用程序。许多站点要求用户必须通过除少数 URL 之外的任何其他内容(例如主页和登录页面)的身份验证。在这种情况下,最容易为这些特定 URL 定义访问配置属性,而不是为每个受保护的资源定义访问配置属性。换句话说,有时可以说默认情况下需要 ROLE_SOMETHING 并且只允许此规则的某些例外情况,例如登录、注销和应用程序的主页。您也可以完全从过滤器链中省略这些页面,从而绕过访问控制检查,

这就是我们所说的匿名身份验证。

请注意,“经过匿名身份验证”的用户和未经身份验证的用户之间没有真正的概念差异。Spring Security 的匿名身份验证只是为您提供了一种更方便的方式来配置您的访问控制属性。

使用.permitAll()will 配置授权,以便在该特定路径上允许所有请求(来自匿名用户和登录用户)。

的.anonymous()表达主要是指用户(登录与否)的状态。基本上,在用户通过“身份验证”之前,它是“匿名用户”。这就像每个人都有一个“默认角色”。

DataPulse-辉常努腻
关注
  • 10
    点赞
  • 32
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
详解SpringBoot+SpringSecurity+jwt整合及初体验
08-25
因此,本文将详细介绍如何将SpringSecurity和jwt整合到SpringBoot项目,以提供一个安全的身份验证和授权机制。 什么是SpringSecuritySpringSecurity是一个基于Java的安全框架,它提供了一个灵活的安全机制来...
说一下Spring Security@PermitAll和@PreAuthorize的使用
qq_55754838的博客
11-25 2218
本文主要来自于看Java开源项目,方便理解开源项目的代码是怎么实现的,加深自己的基本功。
JS方法使用匿名函数作为参数
lensko的博客
09-18 1025
mysql使用group by 报错: SQLSTATE[42000]: Syntax error or access violation: 1055 Expression #1 of SELECT list is not in GROUP BY clause and contains nonaggregated column ‘xxxxx’ which is not functionally ...
Spring Security@PermitAll与@PreAuthorize的详解
最新发布
一勺菠萝丶的博客
04-26 889
在使用Spring Security构建安全的应用程序时,经常会涉及到对特定API或方法的访问控制。这时,@PermitAll和这两个注解就发挥了重要作用。本文将详细解释这两个注解的使用方法和它们之间的区别,使即便是初学者也能理解并正确应用它们。
聊聊spring securitypermitAll以及webIgnore
weixin_34023863的博客
11-25 1295
序 本文主要聊一下spring securitypermitAll以及webIgnore的区别 permitAll配置实例 @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override pub...
理解Spring SecuritypermitAll()和anonymous()的区别
小汤圆
08-16 5009
Spring文档: 采用“默认拒绝”通常被认为是良好的安全实践,您可以明确指定允许的内容并禁止其他所有内容。定义未经身份验证的用户可以访问的内容是类似的情况,尤其是对于 Web 应用程序。许多站点要求用户必须通过除少数 URL 之外的任何其他内容(例如主页和登录页面)的身份验证。在这种情况下,最容易为这些特定 URL 定义访问配置属性,而不是为每个受保护的资源定义访问配置属性。换句话说,有时可以说默认情况下需要 ROLE_SOMETHING 并且只允许此规则的某些例外情况,例如登录、注销和应用程序的主页
permitAl和anonymous都允许未经身份验证的访问,但它们在处理经过身份验证的用户时有所不同。
0
03-15 843
anonymous在使用时遇到的问题:如果使用anonymous登录系统,token的有效期过期之后会自动返回登录页面,但是此时是以aonoymous登入系统的,JWT不会清除token,再次登录会携带之前已经过期的token,但是token已经过期,一旦用户通过了登录认证流程(例如,用户携带有效的token信息请求资源),该用户将不能再访问被标记为.anonymous()的资源。我们在使用spring security和 Jwt结合使用的时候,对特殊路径设置权限时肯能会有不同的效果。
Spring Security 文教程.pdf
12-06
5.5. Spring Security的访问控制(验证) 5.5.1. 安全和AOP建议 5.5.2. 安全对象和AbstractSecurityInterceptor 5.5.2.1. 配置属性是什么? 5.5.2.2. RunAsManager 5.5.2.3. AfterInvocationManager ...
Spring Security 表单登录功能的实现方法
08-25
Spring Security 提供了一个灵活的安全框架,允许开发者轻松地集成身份验证和授权机制到基于 Java 的 Web 应用程序。通过使用 Spring Security,可以保护 Web 应用程序免受未经授权的访问。 2. Maven 依赖 要...
Spring Security 控制授权的方法
08-27
Spring Security 控制授权的方法是指在 Spring Security 框架对访问控制的实现方法,该方法通过使用授权表达式来控制访问权限。下面将详细介绍 Spring Security 控制授权的方法。 使用授权方法进行授权配置 在 ...
Spring Security入门宝典(二)
长夜漫漫,无心睡眠
10-10 2867
使用正则表达式进行匹配。和主要的区别就是参数,antMatchers()参数是ant表达式,参数是正则表达式。演示所有以.js结尾的文件都被放行。
Oauth2配置permitAll()无效 小坑
一颗小陨石的博客
12-24 4634
@Override public void configure(HttpSecurity http) throws Exception { //所有请求必须认证通过 http.authorizeRequests() //下边的路径放行 .antMatchers(..... "/web/member/member-register" .
为什么permitAll()不起作用,并要求在请求提供认证对象?
小汤圆
08-17 2255
@Configuration @EnableWebSecurity public class SecurityConfiguration extends WebSecurityConfigurerAdapter { @Autowired private CustomUserDetailService userDetailsService; @Bean public PasswordEncoder passwordEncoder() { return new StandardPasswordEnc
关于springboot security自定义拦截器 使用 permitAll() 之后仍然会走过滤器的解决方法
热门推荐
爱吃猪蹄的博客
04-09 1万+
前言 依然是我负责的认证模块,出现了业务上的问题,想要使某些接口不走过滤链,但是再security上配置 .antMatchers("/**").permitAll() 之后,前端访问进来,依然会走我的 token 过滤器 public class JWTAuthorizationFilter extends BasicAuthenticationFilter { ... } 解决方法一 尝...
SpringSecurity.antMatchers的anoymous()方法和permitAll()的区别
LionHearthz的博客
04-18 5568
antMatchers的anoymous()方法和permitAll()方法的区别
Spring Security的小坑
KyrieXJL的博客
08-18 570
spring security的小问题
SpringSecurityPermitAll、WebSecurityCustomizer和授权
qq_18841277的博客
12-09 3939
当使用PermitAll的时候,SpringSecurity会拿到你放行的请求进行判断,因此不会被SpringSecurity默认的过滤器所拦截,但是可能会被我们重写的过滤器所拦截,但是当在授权的时候如果实现了。的时候,过滤器会忽略后面请求的路径,默认就不会走springSecurity的过滤器和重写的springSecurity的过滤器。在SpringSecurity的日常开发,可能使用SpringSecurityPermitAll()请求还是会被拦截,这是为什么呢?决定此次请求是否被允许访问的。
springsecurityanonymous
08-26
Spring Security anonymous(匿名)是一种身份验证机制,在用户未进行身份验证时允许其保持匿名状态。当用户没有提供有效的身份验证凭证时,Spring Security 会将其标记为 anonymous。 在 Spring Security 的配置,可以通过以下方式启用 anonymous: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/public/**").permitAll() .anyRequest().authenticated() .and() .anonymous(); // 启用 anonymous } } ``` 在上面的示例,`http.anonymous()` 方法用于启用匿名访问。这意味着经过身份验证的用户将以其真实身份进行操作,而未经身份验证的用户将被视为匿名用户。 你可以根据自己的需求配置匿名用户的访问权限。在示例,`/public/**` 路径下的资源允许所有用户访问,其他路径需要进行身份验证。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

DataPulse-辉常努腻

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值