Spring Security + OAuth2.0第三天 HttpSecurity的几个重要参数说明

最新推荐文章于 2024-05-26 14:42:28 发布
最新推荐文章于 2024-05-26 14:42:28 发布
阅读量2.3k 收藏 6
点赞数
分类专栏: OAuth2 spring security spring 文章标签: SpringSecurity OAuth2.0 SpringBoot SpringCloud JAVA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tianlong1569/article/details/108398149
版权
spring 同时被 3 个专栏收录
13 篇文章 1 订阅
订阅专栏
spring security
6 篇文章 2 订阅
订阅专栏
OAuth2
5 篇文章 1 订阅
订阅专栏

HttpSecurity全名为org.springframework.security.config.annotation.web.builders.HttpSecurity

这个类是Spring Security中继承WebSecurityConfigurerAdapter时需要复写的接口中的一个重要参数,用于配置Security重要的拦截及权限控制。这方法在父类中保护方法。

同时这个类也是OAuth2.0中资源服务继承ResourceServerConfigurerAdapter时,需要复写的接口中的一个重要参数。也是用于配置Security的重要拦截及权限。因此当我们使用Security及OAuth2.0时会有配置重复的问题。这点需要注意。这个方法在父类中属于公开方法。

HttpSecurity 重要方法:

requestMatchers()

取得RequestMatcherConfigurer对象并配置允许过滤的路由;如requestMatchers().anyRequest()等同于http.authorizeRequests().anyRequest().access("permitAll");如下面两个例子:

	@Override
	public void configure(HttpSecurity http) throws Exception {
		
//只允许路由由test开头的需要进行权限认证,其他的接口不需要权限认证;requestMatchers().anyRequest()即所有接口可以不进行认证;	
	http.requestMatchers().anyRequest().and().authorizeRequests().antMatchers("/test/*").authenticated();

	}
	@Override
	public void configure(HttpSecurity http) throws Exception {
		//只有以/test 开头的路由需要进行权限认证;其他路由不需要权限认证
		http.requestMatchers().antMatchers("/test/**").and().authorizeRequests().antMatchers("/**").authenticated();

	}

上面两个例子中可以看出:http.requestMatchers().anyRequest().and().authorizeRequests().antMatchers("/test/**").authenticated();配置和http.requestMatchers().antMatchers("/test/**").and().authorizeRequests().antMatchers("/**").authenticated();配置后的效果是完全一样的。

authorizeRequests()

授权管理控制的方法,这个方法返回一个ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry对象。Security所有的权限控制都基于这个类进行控制。如:http.authorizeRequests().anyRequest().authenticated();要求所有接口都需要进行权限认证,这个类中的anyRequest()即所有接口,等同于http.authorizeRequests().antMatchers("/**").authenticated();  而其中的authenticated()则要求必须进行权限认证。而http.authorizeRequests().antMatchers("/**").permitAll();这个配置中permitAll方法则要求所有接口都不需要进行权限认证。另外这两个代码中antMatchers方法则是配置匹配规则。即哪些接口需要进行权限认证或不需要进行权限认证。

		//所有接口都不需要权限认证
		http.authorizeRequests().antMatchers("/**").permitAll();
		//所有接口都要进行权限认证
		http.authorizeRequests().antMatchers("/**").authenticated();
		//只有以test开头的接口需要进行权限认证
		http.authorizeRequests().antMatchers("/test/**").authenticated();

http.authorizeRequests().antMatchers("/test/**").hasRole("user").antMatchers("/**").authenticated();在这个代码中要求以/test开头的路由需要进行角色认证(这里要求user角色),而其他接口只要登录即可访问。当我们需要配置多个角色时可以通过hasAnyRole方法配置多个角色的访问权限,如

http.authorizeRequests().antMatchers("/test/**").hasAnyRole("user","admin").antMatchers("/**").authenticated();

 

 

JAVA-新的开始
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
Oauth2.0的安全运行是否必须使用Https协议?官方总结的安全问题有哪些?(附英文文档分析)
goldenlavabao的博客
04-17 3312
Oauth2.0的user-agent不使用Https也很安全的错觉?
spring security + spring oauth2 +spring mvc SSO单点登录需要的最小jar包集合
06-14
接着,Spring OAuth2 是基于OAuth 2.0协议的开源库,主要用于处理授权流程。OAuth2允许第三方应用获取用户的有限授权,以便访问其受保护的资源,而无需知道用户的原始凭证。Spring OAuth2 提供了客户端、资源服务器...
oauth2中HttpSecurity配置疑惑指引
xianfengjunl的专栏
06-10 598
oauth2.0: 配置的生效顺序: @EnableAuthorizationServer ---> @EnableResourceServer ---> @EnableWebSecurity resourceServer中HttpSecurity设置覆盖webSecurityHttpSecurity时,注意查看"http.antMatcher().authorizeRequests().antMatchers()"与"http.authorizeRequests...
springboot2.0 security关闭验证(security.basic.enabled=false失效报错问题解决)
热门推荐
c851204293的博客
06-20 2万+
最近在跑demo的过程中,访问swagger页面的时候需要验证登录,记得在之前写的代码中是关闭了security验证,无需登录成功访问,直接在application.yml配置文件中添加上: management: security: enabled: false 发现报错,其实在添加的过程中就发现 此配置已经失效 ,经查阅发现spring boot 2.0+之后这样...
(避坑)SpringSecurity关于使用.antMatchers放行接口不生效问题
最新发布
Sinder小德的博客
05-26 463
当你在yml文件中配置了ContextPath的时候,security中的放行接口就不用加上contextPath路径;
Spring Security(二)OAuth2认证详解
乌龟的专栏
08-11 1万+
1、OAuth2.0 简介 OAuth 2.0是用于授权的行业标准协议。OAuth 2.0为简化客户端开发提供了特定的授权流,包括Web应用、桌面应用、移动端应用等。 1.1 OAuth2.0 相关名词解释 Resource owner(资源拥有者):拥有该资源的最终用户,他有访问资源的账号密码; Resource server(资源服务器):拥有受保护资源的服务器,如果请求包含正确的访问令牌,可以访问资源; Client(客户端):访问资源的客户端,会使用访问令牌去获取资源服务器的资源,可
oauth2登录页跳转改为https
小馒头味的博客
10-29 770
在WebSecurityConfigurerAdapter实现类中重写configure方法,补充以下处理逻辑: http .and() .loginPage("https://xxx")//指定请求自定义登录页地址https .loginProcessingUrl("/login")//指定登录请求处理地址(这个地址是oauth2处理地址,Post请求) ...
基于springcloud+security+oauth2.0实现的权限管理系统.zip
10-08
总结,基于SpringCloud+Security+OAuth2.0的权限管理系统,通过微服务架构实现了服务解耦,利用Spring Security提供了强大的安全保护,而OAuth2.0则为第三方应用的接入提供了安全的授权机制。这样的系统设计既保证了...
Spring security oauth源码
10-28
Spring Security OAuth 是一个用于保护RESTful Web服务的框架,它为OAuth 1.0a和OAuth 2.0协议提供了全面的支持。在这个源码中,我们可能会看到如何将Spring Security与OAuth结合,以构建安全的Web应用程序和服务。...
Javaoauth2.0 服务端与客户端的实现(源码)
10-31
OAuth 2.0 是一个授权框架,用于安全地允许第三方应用访问用户的数据,而无需共享用户的登录凭据。在Java中实现OAuth 2.0,我们可以利用Spring Security OAuth2库,它提供了服务端(Authorization Server)和客户端...
ssm搭建、Oauth2.0客户端和服务端
02-26
SSM(SpringSpringMVC、MyBatis)框架是Java Web开发中常见的组合,而OAuth2.0则是一种授权框架,常用于第三方应用获取用户资源的授权。本项目通过这三个部分的结合,实现了从简单SSM应用到OAuth2.0客户端和服务端...
Security详解
myli92的博客
05-12 1060
1.HttpSecurity常用方法 方法 说明 openidLogin() 用于基于 OpenId 的验证 headers() 将安全标头添加到响应 cors() 配置跨域资源共享( CORS ) sessionManagement() 允许配置会话管理 portMapper() 允许配置一个PortMapper(HttpSecurity#(getSharedObject(class))),其他提供SecurityConfigurer的对象使用 P
Spring SecurityHttpSecurity常用方法及说明
wh柒八九的博客
05-29 3384
本文来说下spring securityHttpSecurity常用方法,这个类在spring security中使用的非常多,功能十分丰富,其中包含的方法也是非常多,在实际的开发中,需要重写里面的一些方法,来实现我们自己需要的功能。 文章目录概述 概述 在idea中生成HttpSecurity的类图 ...
spring security oauth2_十年架构师爆肝分享:基于SpringSecurity实现的基本认证及OAuth2
weixin_39889329的博客
11-26 222
实现安全机制本节将介绍基于Spring Security实现的基本认证及OAuth2。实现基本认证如果Spring Security位于类路径上,则所有HTTP端点上默认使用基本认证,这样就能使Web应用程序得到一定的安全保障。最为快捷的方式是在依赖中添加Spring Boot Security Starter。//依赖关系dependencies {//该依赖用于编译阶段compile('org...
security access角色名称
weixin_44261856的博客
03-19 584
出现这个错误 经查找资料了解access的角色名称必须以 **ROLE_**开头
spring security 登录、权限管理配置
Abel.lin的专栏
04-24 1万+
登录流程 1)容器启动(MySecurityMetadataSource:loadResourceDefine加载系统资源与权限列表)  2)用户发出请求  3)过滤器拦截(MySecurityFilter:doFilter)  4)取得请求资源所需权限(MySecurityMetadataSource:getAttributes)  5)匹配用户拥有权限和请求权限(MyAcce
Spring Security : HTTP请求安全构建器 HttpSecurity
Details Inside Spring
05-13 5234
HttpSecuritySpring Security Config用于配置http请求安全控制的安全构建器(类似于Spring Security XML配置中的http命名空间配置部分),它的构建目标是一个SecurityFilterChain,实现类使用DefaultSecurityFilterChain。该目标SecurityFilterChain最终会被Spring Security的安...
spring security 登录请求获取附加参数
看的恐惧
05-26 1819
[url]http://forum.springsource.org/showthread.php?t=15217&highlight=parameter[/url]
Spring Security + Oauth2.0
09-15
Spring Security是一个功能强大且灵活的安全框架,它提供了认证和授权的功能,能够帮助我们在应用程序中管理用户身份验证和访问控制。 OAuth 2.0是一种开放标准的授权协议,它允许用户授权第三方应用访问他们存储在另一个服务提供者上的资源,而无需将用户名和密码提供给第三方应用。在Spring Security中,我们可以使用Spring Security OAuth2模块来实现OAuth 2.0的认证和授权。 Spring Security OAuth2提供了一些核心概念和组件,包括: 1. Authorization Server(授权服务器):负责颁发访问令牌(Access Token)和刷新令牌(Refresh Token),以及验证客户端的身份和权限。 2. Resource Server(资源服务器):存储和保护受保护的资源,并验证访问令牌以授权对资源的访问。 3. Client(客户端):代表用户请求访问受保护的资源的应用程序。客户端必须通过授权服务器进行身份验证和授权,并使用访问令牌来访问受保护的资源。 4. User(用户):最终用户,拥有受保护资源的所有者。 使用Spring Security OAuth2时,我们需要配置Authorization Server和Resource Server,以及定义客户端和用户的详细信息。此外,还可以通过自定义OAuth2Configurer来配置和定制OAuth 2.0的行为和特性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值