SpringSecurity系列——授权Http请求day4-2(源于官网5.7.2版本)

最新推荐文章于 2024-03-24 14:37:42 发布
最新推荐文章于 2024-03-24 14:37:42 发布
阅读量1.3k 收藏 2
点赞数 2
分类专栏: 笔记 Java学习 # SpringSecurity 文章标签: http java servlet
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51553982/article/details/125940434
版权
笔记 同时被 3 个专栏收录
334 篇文章 42 订阅
订阅专栏
Java学习
181 篇文章 3 订阅
订阅专栏
SpringSecurity
24 篇文章 31 订阅
订阅专栏

SpringSecurity系列——授权Http请求day4-2(源于官网5.7.2版本)

前言

源于官方最新5.7.2文档,若你觉得官方文档阅读起来很枯燥,内容复杂,我提供了解析概括在每个部分的结尾,我对官方文档的内容做了一些改变,实例代码我会在后续进行更新,请查看如:SpringSecurity系列——认证架构实例代码的文章

但是如果你有能力,还是推荐直接阅读官方文档

Authorize HttpServletRequests with AuthorizationFilter(使用 AuthorizationFilter 授权 HttpServletRequests)

AuthorizationFilter取代 FilterSecurityInterceptor. 为了保持向后兼容, FilterSecurityInterceptor保持默认。 本节讨论如何 AuthorizationFilter工作原理以及如何覆盖默认配置。

AuthorizationFilter 为 HttpServletRequests 提供授权。 它作为安全过滤器之一插入到 FilterChainProxy 中。

您可以在声明 SecurityFilterChain 时覆盖默认值。 不要使用 authorizeRequests,而是使用 authorizeHttpRequests,如下所示:

@Bean
SecurityFilterChain web(HttpSecurity http) throws AuthenticationException {
    http
        .authorizeHttpRequests((authorize) -> authorize
            .anyRequest().authenticated();
        )
        // ...

    return http.build();
}

这以多种方式改进了 authorizeRequests:

  1. 使用简化的 AuthorizationManager API,而不是元数据源、配置属性、决策管理器和选民。 这简化了重用和定制。
  2. 延迟身份验证查找。 而不是需要为每个请求查找身份验证,它只会在授权决策需要身份验证的请求中查找它。
  3. 基于 Bean 的配置支持。

当使用 authorizeHttpRequests 代替 authorizeRequests 时,则使用 AuthorizationFilter 代替 FilterSecurityInterceptor。
在这里插入图片描述

  1. 首先,AuthorizationFilter 从 SecurityContextHolder 获得一个 Authentication。 它将其包装在供应商中以延迟查找。
  2. 其次,AuthorizationFilter 从 HttpServletRequest、HttpServletResponse 和 FilterChain 创建一个 FilterInvocation。
  3. 接下来,它将 Supplier<Authentication> 和 FilterInvocation 传递给 AuthorizationManager。
    4. 如果授权被拒绝,则抛出 AccessDeniedException。 在这种情况下,ExceptionTranslationFilter 处理 AccessDeniedException。
    5. 如果授予访问权限,AuthorizationFilter 继续使用允许应用程序正常处理的 FilterChain。

我们可以通过按优先顺序添加更多规则来配置 Spring Security 以具有不同的规则。

//授权请求
@Bean
SecurityFilterChain web(HttpSecurity http) throws Exception {
	http
		// ...
		//指定了多个授权规则。  每个规则都按照它们被声明的顺序来考虑。
		.authorizeHttpRequests(authorize -> authorize
		// 我们指定了任何用户都可以访问的多个 URL 模式。  具体来说,如果 URL 以“/resources/”开头、等于“/signup”或等于“/about”,则任何用户都可以访问请求。
			.mvcMatchers("/resources/**", "/signup", "/about").permitAll()
			//任何以“/admin/”开头的 URL 都将被限制为具有“ROLE_ADMIN”角色的用户。  您会注意到,由于我们正在调用 hasRole 方法,因此我们不需要指定“ROLE_”前缀。
			.mvcMatchers("/admin/**").hasRole("ADMIN")
			// 任何以“/db/”开头的 URL 都要求用户同时拥有“ROLE_ADMIN”和“ROLE_DBA”。  您会注意到,由于我们使用了 hasRole 表达式,我们不需要指定“ROLE_”前缀。
			.mvcMatchers("/db/**").access((authentication, request) ->
			    Optional.of(hasRole("ADMIN").check(authentication, request))
			        .filter((decision) -> !decision.isGranted())
			        .orElseGet(() -> hasRole("DBA").check(authentication, request));
			)
			// 任何尚未匹配的 URL 都将被拒绝访问。  如果您不想意外忘记更新授权规则,这是一个很好的策略。
			.anyRequest().denyAll()
		);

	return http.build();
}

您可以通过构建自己的 RequestMatcherDelegatingAuthorizationManager 来采用基于 bean 的方法,如下所示:

@Bean
SecurityFilterChain web(HttpSecurity http, AuthorizationManager<RequestAuthorizationContext> access)
        throws AuthenticationException {
    http
        .authorizeHttpRequests((authorize) -> authorize
            .anyRequest().access(access)
        )
        // ...

    return http.build();
}

@Bean
AuthorizationManager<RequestAuthorizationContext> requestMatcherAuthorizationManager(HandlerMappingIntrospector introspector) {
    RequestMatcher permitAll =
            new AndRequestMatcher(
                    new MvcRequestMatcher(introspector, "/resources/**"),
                    new MvcRequestMatcher(introspector, "/signup"),
                    new MvcRequestMatcher(introspector, "/about"));
    RequestMatcher admin = new MvcRequestMatcher(introspector, "/admin/**");
    RequestMatcher db = new MvcRequestMatcher(introspector, "/db/**");
    RequestMatcher any = AnyRequestMatcher.INSTANCE;
    AuthorizationManager<HttpRequestServlet> manager = RequestMatcherDelegatingAuthorizationManager.builder()
            .add(permitAll, (context) -> new AuthorizationDecision(true))
            .add(admin, AuthorityAuthorizationManager.hasRole("ADMIN"))
            .add(db, AuthorityAuthorizationManager.hasRole("DBA"))
            .add(any, new AuthenticatedAuthorizationManager())
            .build();
    return (context) -> manager.check(context.getRequest());
}

您还可以为任何请求匹配器连接您自己的自定义授权管理器。

以下是将自定义授权管理器映射到 my/authorized/endpoint 的示例:

@Bean
SecurityFilterChain web(HttpSecurity http) throws Exception {
    http
        .authorizeHttpRequests((authorize) -> authorize
            .mvcMatchers("/my/authorized/endpoint").access(new CustomAuthorizationManager());
        )
        // ...

    return http.build();
}

或者您可以为所有请求提供它,如下所示:

@Bean
SecurityFilterChain web(HttpSecurity http) throws Exception {
    http
        .authorizeHttpRequests((authorize) -> authorize
            .anyRequest.access(new CustomAuthorizationManager());
        )
        // ...

    return http.build();
}

默认情况下,AuthorizationFilter 不适用于 DispatcherType.ERROR 和 DispatcherType.ASYNC。 我们可以使用 shouldFilterAllDispatcherTypes 方法配置 Spring Security 以将授权规则应用于所有调度程序类型:

@Bean
SecurityFilterChain web(HttpSecurity http) throws Exception {
    http
        .authorizeHttpRequests((authorize) -> authorize
            .shouldFilterAllDispatcherTypes(true)
            .anyRequest.authenticated()
        )
        // ...

    return http.build();
}

解释概括

  1. AuthorizationFilter取代 FilterSecurityInterceptor
  2. AuthorizationFilter 为 HttpServletRequests 提供授权
  3. 我们需要在使用SecurityFilterChain 时覆盖默认值。 使用 authorizeHttpRequests
  4. 我们可以自定义多种策略对授权自定义
简明编程
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SNMP安装包-net-snmp-utils-5.7.2-49.el7_9.2.x86_64
07-25
SNMP安装包-net-snmp-utils-5.7.2-49.el7_9.2.x86_64
SpringSecurity——HttpSecurity常用方法
允诺@晴天的博客
01-28 9732
文章目录HttpSecurity 常用方法及说明HttpSecurity常用方法详解antMatcher与antMatchers的区别以及使用场景requestMatchers()authorizeRequests()匹配规则URL匹配保护URL登录login登出logout多个antMatchers在Spring HttpSecurity 常用方法及说明 通常我们在使用Spring Securty的时候会继 WebSecurityConfigurerAdapter,通过以下方法可配置拦截什么URL、设置
Spring Security之基于HttpRequest配置权限
最新发布
Evan_L的博客
03-24 1376
前面我们探索了基于方法的权限配置方式,今天我们聊聊最为常用的基于HttpRequest的权限配置方式。
SpringBoot3 - Spring Security 6.0 Migration
java scala
03-27 4589
最近在做SpringBoot2.x到3.0的升级。其中最主要的一部分是packageName的变更,另外一部分是对一些废弃/删除的类进行替换。大部分升级都比较顺利,但是在SpringSecurity上遇到了不少坑。先看一下下面的代码这段代码在6.0有两个问题,一是标记为废弃,二是方法被移除,这两个问题我们一个个看。
Spring Security6 全新写法,大变样!
江南一点雨的专栏
06-14 4288
自定义 JSON 登录也和之前旧版不太一样了。小伙伴们知道,Spring Security 中默认的登录接口数据格式是 key-value 的形式,如果我们想使用 JSON 格式来登录,那么就必须自定义过滤器或者自定义登录接口,下面松哥先来和小伙伴们展示一下这两种不同的登录形式。Spring Security 默认处理登录数据的过滤器是 UsernamePasswordAuthenticationFilter,在这个过滤器中,系统会通过。
从 authorizeRequests 迁移到 authorizeHttpRequests:升级Spring Security授权配置
专注于深入研究多种编程语言,以实战为导向,逐步拓展开发技能,提升工程化编码和思维能力,展现无敌技术实力。
10-17 502
在Spring Security中,授权配置是确保应用程序安全性的关键部分。随着Spring Security的演进,新的 authorizeHttpRequests 提供更灵活的授权规则。本文指导迁移从传统的 authorizeRequests 到 authorizeHttpRequests,以满足较新版本Spring Security和复杂的授权需求。探讨迁移、表达式语言、最佳实践,确保应用程序安全可维护。
http.authorizeRequests()详解
lyy的博客
04-05 2461
表示可以匿名访问匹配的URL。访问控制方法都很简单, 只要匹配到url后直接在后面追加调用这个方法就行了,链式调用特别简单,不演示了。如果有参数,参数表示IP地址,如果用户IP和参数匹配,则可以访问。下面分别讲一下url匹配规则都有哪些,权限控制方法都有哪些。如果有参数,参数表示角色,则其中任何一个角色可以访问。如果有参数,参数表示权限,则其中任何一个权限可以访问。如果有参数,参数表示角色,则其角色可以访问。如果有参数,参数表示权限,则其权限可以访问。表示所匹配的URL都不允许被访问。
Spring Security 接口认证鉴权入门实践指南
互联网从业者/大数据架构师/全栈开发者
01-11 2996
Web API 接口服务场景里,用户的认证和鉴权是很常见的需求,Spring Security 据说是这个领域里事实上的标准,实践下来整体设计上确实有不少可圈可点之处,也在一定程度上印证了小伙们经常提到的 “太复杂了” 的说法也是很有道理的。 本文以一个简单的 SpringBoot Web 应用为例,重点介绍以下内容: 演示 Spring Security 接口认证和鉴权的配置方法; 以内存和数据库为例,介绍认证和鉴权数据的存储和读取机制; 若干模块的自定义实现,包括:认证过滤器、认证或鉴权失败处理器等
SpringSecurity权限管理框架系列(六)-Spring Security框架自定义配置类详解(二)之authorizeRequests配置详解
最爱嫣夜来
03-24 9247
1、预置演示环境 这个演示环境继续沿用 SpringSecurit权限管理框架系列(五)-Spring Security框架自定义配置类详解(一)之formLogin配置详解的环境。 2、自定义配置类之请求授权详解
spring security——学习笔记(day02)-基于默认的表单认证实现自定义登录页面
键上艺术家
12-18 1194
目录 3.表单认证 接下来学习基于表单认证的适用方式,由简单逐步深入学习,开始吧! 3.表单认证 默认的表单认证已经学了请看 2.3.3 ,现在产生了一些使用疑问, 1.不想使用security自带的登录页面,怎么自定义登陆页面? 2.想使用数据库操作用户的增删改查怎么办? 下面一一对应学习。 首先先解释一下 WebSecurityConfigurerAdapter 类中重写了三个 configure 方法:可跳过。 1.认证管理器配置方法 :void configure(Aut..
net-snmp-agent-libs-5.7.2-49.el7_9.1.x86_64.rpm
01-30
官方离线安装包,亲测可用。使用rpm -ivh [rpm完整包名] 进行安装
net-snmp-libs-5.7.2-49.el7_9.1.x86_64.rpm
01-10
官方离线安装包,测试可用。使用rpm -ivh [rpm完整包名] 进行安装
net-snmp-libs-5.7.2-49.el7.x86_64.rpm
01-10
官方离线安装包,测试可用。使用rpm -ivh [rpm完整包名] 进行安装
net-snmp-libs-5.7.2-37.el7.x86_64.rpm
11-30
离线安装包,亲测可用
Spring Security 03 认证处理器
weixin_46058921的博客
04-22 219
spring security 自定义任务处理器
Spring Security --- authorizeRequests配置
汤键的博客
04-13 2333
Spring Security --- authorizeRequests配置
Spring Security AuthorizationFilter代替FilterSecurityInterceptor重大变更逻辑
tof
02-09 941
spring security AuthorizationFilter FilterSecurityInterceptor
SpringSecurity授权(访问控制)
wyy的博客
10-30 5420
一、 访问控制url匹配 在前面讲解了认证中所有常用配置,主要是对httpSecurity.formLogin()进行操作。而在配置类中httphttpSecurity.authorizeRequests()主要是对url进行控制,也就是我们所说的授权(访问控制)。httpSecurity.authorizeRequests()也支持连缀写法,可以有很多url匹配规则和很多权限控制方法。这些内容进行各种组合就形成了Spring Security中的授权。 在所有匹配规则中取所有规则的交集。配置顺序影响了之
libmysqlclient.so.18()(64bit) is needed by (installed) net-snmp-agent-libs-1:5.7.2-49.el7_9.2.x86_64
03-07
这是一个关于 Linux 系统中缺少 libmysqlclient.so.18()(64bit) 库的问题,需要安装该库才能使用 net-snmp-agent-libs-1:5.7.2-49.el7_9.2.x86_64。可以通过在终端中使用命令 sudo yum install mysql-libs 来安装该...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值