SpringSecurity如何正确的设置白名单

已于 2024-07-23 15:24:56 修改
阅读量542 收藏 7
点赞数 3
文章标签: java
于 2024-07-23 15:23:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/waooi/article/details/140541943
版权

在SpringSecurity中,往往需要对部分接口白名单访问,而大部分在使用Security中就有一个误区,那就是免鉴权访问和白名单的区别。

大部分的Security文章包括官方文档给出免鉴权访问都是使用.permitAll()去对相应路径进行免鉴权访问,但实际上这仅仅只表示该资源不需要相应的权限访问,但是用户还需要认证.也就是Security的认证/授权两个概念.

Security白名单策略

将需要放行的白名单使用.ignoring注册.

 @Bean
    public WebSecurityCustomizer ignoringCustomizer() {
        return web -> web.ignoring().requestMatchers(whiteUrlArr);
    }

当Spring启动后,会将其中每个url注册为一个MvcRequestMatcher并且放入到WebSecurity中的ignoredRequests管理。

然后在构建WebSecurity时去创建对应的DefaultSecurityFilterChain.

然后这些会被放入到Security的过滤链中交给WebSecurity进行管理,当有请求进入后就会进入到过滤链时,WebSecurity会去循环调用chian,以获取处理请求路径对应的过滤器组成过滤链,如果未注册ignor则会使用默认的AnyRequest,这将返回全部的Security过滤器.

    private List<Filter> getFilters(HttpServletRequest request) {
        int count = 0;
        Iterator var3 = this.filterChains.iterator();

        SecurityFilterChain chain;
        do {
            if (!var3.hasNext()) {
                return null;
            }

            chain = (SecurityFilterChain)var3.next();
            if (logger.isTraceEnabled()) {
                ++count;
                logger.trace(LogMessage.format("Trying to match request against %s (%d/%d)", chain, count, this.filterChains.size()));
            }
        } while(!chain.matches(request));

        return chain.getFilters();
    }

而DefaultSecurityChain则会使用其对应的match对请求路径进行匹配,如果匹配上则返回相应的过滤器.

匹配成功返回RequestMatchResult:

 通过返回的对象是否为空进行判断是否匹配成功:

匹配成功后会返回其对应的Filter,因为是通过igonr去进行忽略的所以filter为空,所以就会忽略对对应路径请求的鉴权等操作.

这就是SpringSecurity真正的白名单,而不仅仅是对相应路径进行免权访问.

后续会尝试去探索免权访问...

VermouthSp
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Security实现接口基于路径的动态权限控制
荔枝当大佬的博客
10-24 1726
在荔枝之前的一篇博客中,已经对Spring Security的鉴证授权的相关知识进行了梳理,弄清楚了为什么使用JWT以及用户登录后台执行的相关的鉴证授权的逻辑。在下面的文章中荔枝主要是补充梳理一下在真实的项目中如何使用Spring Security来实现接口动态权限控制的功能。
通过Security设置白名单
weixin_51722520的博客
10-11 2284
请问请问
Spring Security
JielongYang的博客
11-18 366
简介 Spring Security是一种基于Spring AOP和Servlet过滤器Filter的安全框架,它提供全面的安全性解决方案,提供在Web请求和方法调用级别的用户鉴权和权限控制。 Filter在一个HTTP请求过程中的执行流程如下图: Spring Security 提供了多种登录认证策略。 典型的基于表单登录认证的流程如下图: 实战 1.创建spring boot项目 2.加入Security 和 Web 依赖 3.启动应用,浏览器访问 localhost:8080 得到一个登录表单页面
Spring Security6.2.2配置白名单
最新发布
qq_31706527的博客
03-14 1354
Spring Security6.2.2中AuthenticationFailureHandler、AuthorizeRequests已弃用,这个问题研究了很久。经过百度搜索和chatGPT查询,重要找到了解决方法,直接放代码。代码中的“/captcha”就是要变为不需要验证登录的路径。小白一个,如果有不对的地方还请大神指正!
SpringSecurity Oauth2 - 10 自定义SpEL权限表达式配置白名单url不需要token认证和鉴权
你今天真好看呀
11-10 4316
*** MethodSecurityExpressionOperations 接口方法的属性/*** SecurityExpressionRoot 类中的属性/*** 判断是否是白名单WhiteUrl,不校验权限,不需要token// 白名单url,直接返回true return true;} /*** 修改 SecurityExpressionRoot 类中的该方法** 登录请求url是否是白名单WhiteUrl,如果是则不需要校验权限,直接返回true。
spring security 配置相关
jxchallenger的专栏
01-19 191
org.springframework.security.config.annotation.authentication.configuration.AuthenticationConfiguration org.springframework.security.config.annotation.web.configuration.WebSecurityConfiguration  
SpringSecurity白名单路径不走自定义过滤器
qq_52614517的博客
07-01 999
第二步:自定义过滤器不要注入到Spring容器中(也就是不要使用@Component注解)在securityConfig中使用new的方式将filter注册到security filter链中,交由security去管理。第一步:在SpringSecurity的配置类中重写public void configure(WebSecurity web)方法。这样springsecurity白名单的路径就不会走自定义过滤器。参考:http://t.csdn.cn/AogH8。具体原因可以看上面博主的博文。
循序渐进学习spring security 第十四篇 自定义验证码认证逻辑,自定义动态权限下URL白名单配置
huangxuanheng的专栏
08-08 1547
文章目录学习目标回顾自定义认证逻辑,增加验证码校验创建项目:security-verify创建类:UsernamePasswordProvider编写获取验证码接口配置URL白名单测试如何添加URL白名单DefaultFilterInvocationSecurityMetadataSource 源码剖析将过滤器 MenuFilterInvocationSecurityMetadataSource 改为继承DefaultFilterInvocationSecurityMetadataSource配置URL白
关于Spring Security
weixin_70634087的博客
10-26 182
在pom文件中导入相关配置spring-boot-starter-security,fastjson,jjwt写securityConfig配置类,该配置类需要继承WebSecurityConfigurerAdapter。
SpringSecurity6 | 核心过滤器
热门推荐
分享思想,留下痕迹。
11-08 1万+
大家好,我是Leo哥🫣🫣🫣,上一节我们通过源码剖析以及图文分析,了解了关于委派筛选器代理和过滤器链代理的原理和作用。这节课我们接着学习SpringSecurity的过滤器,了解SpringSecurity中都有哪些核心过滤器。好了,话不多说让我们开始吧😎😎😎。以上便是本文的全部内容,本人才疏学浅,文章有什么错误的地方,欢迎大佬们批评指正!我是Leo,一个在互联网行业的小白,立志成为更好的自己。如果你想了解更多关于Leo,可以关注公众号-程序员Leo,后面文章会首先同步至公众号。
springsecurity教程
qq_35872777的博客
05-28 1万+
1、什么是springsecurity:
Spring Security详解(1)
weixin_43816557的博客
08-08 619
之前介绍了Spring Security是主要解决认证(Authenticate)和授权(Authorization)的框架。详细见关于Spring Security下面主要介绍如何使用Security开发自定义的登录流程。
spring security工作的大致流程
yu001207的博客
10-17 1757
spring security工作的大致流程,可以帮助你理解
spring Security配置拦截规则
weixin_43575792的博客
03-18 6592
问题描述 使用spring Security实现后台管理系统登录验证加拦截,访问图片时需要验证 解决方案: 配置spring Security拦截规则,将访问路径添加进入白名单中,比如博主将resources下files下的图片设置白名单,规则就是"/files/**" @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { protected void configure(HttpSecurit
整合springSecurity和JWT实现认证和授权
weixin_30357231的博客
08-02 290
SpringSecurity SpringSecurity是一个强大的可高度定制的认证和授权框架,对于Spring应用来说它是一套Web安全标准; JWT JWT是JSON WEB TOKEN的缩写,它是基于 RFC 7519 标准定义的一种可以安全传输的的JSON对象,由于使用了数字签名,所以是可信任和安全的。 JWT的应用场景: 身份认证在这种场景下,一旦用户完成了登...
对接系统设置白名单
qq_50373346的博客
12-16 456
shiro if("/zsSystem/order/updateLogistics".equals(((HttpServletRequest) request).getRequestURI())) { return true; } Spring Security @Configuration public class ResourceServerConfigurer extends ResourceServerConfigurerAdapter { @Override .
SpringBoot HTTP接口跨域调用及白名单实现
weixin_48965172的博客
06-20 1851
SpringBoot HTTP接口跨域调用及白名单实现 实现一 首先看下**@CrossOrigin**的源码(删掉了开头的部分注释) package org.springframework.web.bind.annotation; import java.lang.annotation.Documented; import java.lang.annotation.ElementType; import java.lang.annotation.Retention; import java.lang.a
Spring Security 实现IP白名单机制
neweastsun的专栏
03-08 1万+
Spring Security 实现IP白名单机制 本文讨论如何在Spring Security 中实现IP白名单机制。先看看默认实现机制,同时也讨论自定义AuthenticationProvider实现更加灵活的应用。 1. 默认实现 首先我们看下Java配置。使用hasIpAddress() 定义允许特定ip地址的用户访问特定资源。请看下面使用hasIpAddress()的配置: @Confi...
springsecurity设置白名单
09-15
Spring Security中,配置白名单可以通过在configure(HttpSecurity http)方法中添加.antMatchers("/path").permitAll()来实现。其中,"/path"是需要开放访问权限的路径。通过这样的配置,这些路径将被设置白名单,不需要进行身份验证,即可访问。请确保这些路径是你自己应用程序中需要开放的路径。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值