java url 授权,Spring MVC框架 - 基本认证之URL 授权认证

最新推荐文章于 2023-04-15 01:04:26 发布
最新推荐文章于 2023-04-15 01:04:26 发布
阅读量323 收藏
点赞数
文章标签: java url 授权

[导读]为控制器添加注解是非常简单的,但这往往并不是最可行的方案。有时候,我们会想要完全控制授权功能。

为控制器添加注解是非常简单的,但这往往并不是最可行的方案。有时候,我们会想要完全控制授权功能。

移除@Secured 注解,我们将会采用一种更好的方案。

通过修改SecurityConfiguration 类,我们看一下Spring Security 允许实现什么功能:@Configuration

@EnableGlobalMethodSecurity(securedEnabled = true)

public class SecurityConfiguration extends WebSecurityConfigurerAdapter {

@Autowired

public void configureAuth(AuthenticationManagerBuilder auth)

throws Exception {

auth.inMemoryAuthentication().withUser("user").password("user")

.roles("USER").and().withUser("admin").password("admin")

.roles("USER", "ADMIN");

}

@Override

protected void configure(HttpSecurity http) throws Exception {

http.httpBasic().and().csrf().disable().authorizeRequests()

.antMatchers("/login", "/logout").permitAll()

.antMatchers(HttpMethod.GET, "/api/**").hasRole("USER")

.antMatchers(HttpMethod.POST, "/api/**").hasRole("ADMIN")

.antMatchers(HttpMethod.PUT, "/api/**").hasRole("ADMIN")

.antMatchers(HttpMethod.DELETE, "/api/**").hasRole("ADMIN")

.anyRequest().authenticated();

}

}

在前面的示例代码中,我们使用Spring Security 流畅的API,配置了应用程序的安全策略。

这个 API 通过调用相关安全功能的方法,能够在全局上配置Spring Security,这些方法可以通过and()连接起来。

我们刚刚定义的是一个基本认证,没有CSRF 保护功能。任何用户都允许发送针对“/login”和“/logout”的请求。对API 的GET 请求只允许具有USER 角色的用户访问,而对API 的POST、PUT 和DELETE 请求则只允许具有ADMIN 角色的用户访问。最后,对其他内容的访问则要求用户进行过认证,不管角色是什么,都可以进行访问。

CSRF 所代表的含义是跨站请求伪造(Cross Site Request Forgery),指的是一种攻击形式,恶意的Web 站点将会在他们的网站上展示一个表单,但是会将表单的数据POST 提交到我们的站点上。如果我们站点的用户没有退出的话,那么POST 请求能够获取用户的cookie,这样的话,就会被认为是认证过的用户。

针对 CSRF 的防护会生成短期存活的token,它会随着表单数据一起进行提交。我们会在下面的章节看到如何启用该功能,现在我们先将其禁用。参考http://docs.spring.io/spring-security/site/docs/current/ reference/htmlsingle/#csrf 来了解更多细节。

tips:如果想了解针对API 请求进行认证的更多知识,可以参考:http://docs.spring.io/spring-security/site/docs/current/reference/htmlsingle/#authorize-requests。

星光心理工作室
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
基于Spring MVC 和 WxJava 实现的微信公众号Java后端Demo
10-27
本Demo使用Spring MVC 框架实现微信公众号开发功能。 本项目为WxJava的Demo演示程序,更多Demo请 查阅此处。 如果想支持多公众号,请参考spring boot版本的demo:https://github.com/binarywang/weixin-java-mp-demo-springboot 使用步骤: 新手遇到问题,请务必先阅读【开发文档首页】的常见问题部分,可以少走很多弯路,节省不少时间。 还有其他问题的,请 到此 提问讨论; 配置: 复制 /src/main/resources/wx.properties.template 或者修改其扩展名生成 wx.properties 文件,填写相关配置; 使用maven运行demo程序: mvn jetty:run 或者自己打war包发布到tomcat运行; 配置微信公众号的接口地址(微信公众平台 服务器配置 -> 服务器地址(URL)):http://xxx/wechat/portal (注意XXX需要是外网可访问的域名,需要符合微信官方的要求); 根据自己需要修改各个handler的实现,入自己的业务逻辑
java通过URL请求数据时验证设置Basic Access Authentication
sky_xin的专栏
07-20 937
java.io.IOException: Server returned HTTP response code: 401 for URL: at sun.net.www.protocol.http.HttpURLConnection.getInputStream(Unknown Source) at sun.net.www.protocol.https.HttpsURLCo...
spring security 5 (9)-httpBasic基本认证
JAVA博客
04-07 1万+
httpBasic是由http协议定义的最基础的认证方式。每次请求时,在请求头Authorization参数附带用户/密码的base64编码,参考base64。这个方式并不安全,不适合在web项目使用。但它是一些现代主流认证的基础,而且在spring security的oauth,内部认证默认就是用的httpBasic。 httpBasic基本配置 注意,这里没有配formLogin,也...
4种认证(authentication)或授权(authorization)方式
热门推荐
漫游学海之旅
04-12 8万+
Authentication vs. authorization It is easy to confuse authentication with another element of the security plan: authorization. While authentication verifies the user’s identity, authorization verifie...
JAVA实现微信授权登录(详解)
weixin_42342008的博客
01-27 1万+
第一步:(前期设置)登录微信公众号接口测试平台设置信息 登录微信公众号接口测试平台 登录成功后可以看到测试用的appid和appsecret,稍后再后台我们要用到这两个ID,如下图 紧接着需要设置网页授权(体验接口权限表 —》 网页服务 —》网页帐号 —》 网页授权获取用户基本信息) 没有域名的话可以用内网穿透动态解析一个域名 NATAPP链接 注册登录成功后可以看到下图,选择免费隧道 购买免费的隧道之后,可以直接按照官方的一分钟教程完成内网穿透,这样我们就拿到了我们的域名 这个地方有一个坑,就是m
javaurl请求登录验证_java 发送带Basic Auth认证的http post请求实例代码
weixin_42518930的博客
02-13 950
构造http headerprivate static final String URL = "url";private static final String APP_KEY = "key";private static final String SECRET_KEY = "secret";/*** 构造Basic Auth认证头信息** @return*/private String getH...
SpringMVC 整合shiro 实现url动态权限验证(二)
xcc_2269861428的博客
07-13 1227
前言:上一篇文章讲述了如何使用shiro进行登录认证,其实主要的实现还是自定义Realm,继承AuthorizingRealm实现其的 doGetAuthenticationInfo方法。上一篇文章链接:https://blog.csdn.net/xcc_2269861428/article/details/95107167 这篇文章主要实现url权限的认证,也就是roles的验证 如图:...
Java常用登录认证授权方式
雾林小妖的博客
04-15 3216
常用的实现统一用户认证授权的方式,session+aop+Filter+Intercerptor比较简单,其第五种方式通过shiro的方式,最为专业。
如何实现登录、URL 和页面按钮的访问控制
芋艿V
04-06 293
点击上方“芋道源码”,选择“设为星标”做积极的人,而不是积极废人!源码精品专栏原创 | Java 2020 超神之路,很肝~文详细注释的开源项目RPC 框架 Dubbo 源码解析网...
java 权限url权限_Spring Boot 2.X(十八):Spring Security-登录认证和权限控制
weixin_39783149的博客
11-21 249
前言在企业项目开发,对系统的安全和权限控制往往是必需的,常见的安全框架Spring Security、Apache Shiro 等。本文主要简单介绍一下 Spring Security,再通过 Spring Boot 集成开一个简单的示例。Spring Security什么是 Spring Security?Spring Security 是一种基于 Spring AOP 和 Servlet...
weixin-java-mp-demo-springmvc:基于Spring MVC 和 WxJava 实现的微信公众号Java后端Demo
05-01
本Demo使用Spring MVC 框架实现微信公众号开发功能。 本项目为WxJava的Demo演示程序,更多Demo请 。 如果想支持多公众号,请参考spring boot版本的demo: 使用步骤: 新手遇到问题,请务必先阅读的常见问题部分,...
java学习之SpringSecurity配置了登录链接无权限
最新发布
06-16
由于SpringSecurity的异常处理和mvc的异常处理是不一样的,认证类异常和权限异常了,并不会被全局异常捕获,而是SpringSecurity内部自己做了处理逻辑。 思路分析 我已经将本次请求的url到忽略名单里面了,起始...
rural:基于springmvc框架,使用简单,URL映射零配置零注解
06-13
 Rural是一个基于springmvc框架,设计上类似spring mvc,相比于spring mvc,Rural使用更简便,无需配置和注解就可以实现URLjava方法的映射。 取名Rural(乡村风味的,田园的)寓意简洁。  目前Rural支持json,...
java微信公众号MVC开发框架
12-20
jwx是开源的java公众号开发MVC框架,基于spring配置文件和微信消息或事件注解,通过微信上下文处理一个或多个微信公众号服务请求。目的主要有两个,其一生封装微信请求xml消息为java实体对象,将返回对象转换为xml...
java+验证url是通_java – 通过HttpURLConnection进行浏览器身份验证
weixin_39938855的博客
02-25 303
目前我正在研究TMDb API的实现.有一种叫做User Authentication的方法.我已成功实施了第1步Step 1: Generate a Request TokenStart by making an API call to the new token method. This will returna new request token that will be valid for...
java url 授权,Java:如何使用UrlConnection发布具有授权的请求?
weixin_30227565的博客
03-13 222
我想向需要身份验证的服务器生成POST请求。我尝试使用以下方法:private synchronized String CreateNewProductPOST (String urlString, String encodedString, String title, String content, Double price, String tags) {String data = "produ...
security权限管理详解
程序三两行
07-24 2589
Collection
Spring Security 动态url权限控制
mengfch的博客
11-19 1825
一、前言 本篇文章将讲述Spring Security 动态分配url权限,未登录权限控制,登录过后根据登录用户角色授予访问url权限 基本环境 spring-boot 2.1.8 mybatis-plus 2.2.0 mysql 数据库 maven项目 Spring Security入门学习可参考之前文章: SpringBoot集成Spring Security入门体验(一)https://blog.csdn.net/qq_38225558/article/details/101754743
java url权限控制_Spring Security如何使用URL地址进行权限控制
weixin_39821189的博客
02-13 432
这篇文章主要介绍了Spring Security如何使用URL地址进行权限控制,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下目的是:系统内存在很多不同的用户,每个用户具有不同的资源访问权限,具体表现就是某个用户对于某个URL是无权限访问的。需要Spring Security忙我们过滤。FilterSecurityInterceptor是Sprin...
Spring MVC框架基本架构
05-27
Spring MVC框架基本架构主要由以下几个组件组成: 1. 前端控制器(DispatcherServlet):它是整个Spring MVC框架的核心,负责接收所有的请求并将它们分发给不同的处理器进行处理。 2. 处理器映射器...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值