spring security运行时配置ignore url

最新推荐文章于 2024-05-30 16:48:00 发布
最新推荐文章于 2024-05-30 16:48:00 发布
阅读量4.2k 收藏 2
点赞数 1
文章标签: java
原文链接:https://segmentfault.com/a/1190000010645734
版权

以前用shiro的比较多,不过spring boot倒是挺推崇自家的spring security的,有默认的starter,于是也就拿来用了。

问题

对于免登陆的url,采用java config,可以这样配置:

@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    public void configure(WebSecurity web) throws Exception {
        //ignore
        web.ignoring().antMatchers("/info","/health","/hystrix.stream");
    }
}

但是这样配置有个缺点,就是每次要新增一个免登陆的url的时候,就得重新启动一遍,这个就不是太好了。有没有解决方案呢。

方案1

方案1就是对于业务场景下的免登陆的url,都统一添加一个前缀,比如/open/xxxx,这样就可以固定死了

web.ignoring().antMatchers("/info","/health","/hystrix.stream","/open/**");

后续有免登陆的url,比如/share,那么改成/open/share这样就不用重新启动了

方案2

方案2就是去hack一下spring security,这个需要了解一下spring security的运行机制:

Spring Security 的底层是通过一系列的 Filter 来管理的,每个 Filter 都有其自身的功能,它们的顺序也是非常重要的。
里头比较重要的一个就是名为SPRING_SECURITY_FILTER_CHAIN的FilterChainProxy,Security 将会为每一个 http 元素创建对应的 FilterChain(DefaultSecurityFilterChain),同时按照它们的声明顺序加入到 FilterChainProxy。所以当我们同时定义多个 http 元素时要确保将更具有特性的 URL 配置在前。

public class FilterChainProxy extends GenericFilterBean {
    // ~ Static fields/initializers
    // =====================================================================================

    private static final Log logger = LogFactory.getLog(FilterChainProxy.class);

    // ~ Instance fields
    // ================================================================================================

    private final static String FILTER_APPLIED = FilterChainProxy.class.getName().concat(
            ".APPLIED");

    private List<SecurityFilterChain> filterChains;

    private FilterChainValidator filterChainValidator = new NullFilterChainValidator();

    private HttpFirewall firewall = new DefaultHttpFirewall();

    // ~ Methods
    // ========================================================================================================

    public FilterChainProxy() {
    }

    public FilterChainProxy(SecurityFilterChain chain) {
        this(Arrays.asList(chain));
    }

    public FilterChainProxy(List<SecurityFilterChain> filterChains) {
        this.filterChains = filterChains;
    }

    //......

}

ignore的原理

DefaultSecurityFilterChain的构造器如下
spring-security-web-4.1.4.RELEASE-sources.jar!/org/springframework/security/web/DefaultSecurityFilterChain.java

public final class DefaultSecurityFilterChain implements SecurityFilterChain {
    private static final Log logger = LogFactory.getLog(DefaultSecurityFilterChain.class);
    private final RequestMatcher requestMatcher;
    private final List<Filter> filters;

    public DefaultSecurityFilterChain(RequestMatcher requestMatcher, Filter... filters) {
        this(requestMatcher, Arrays.asList(filters));
    }

    public DefaultSecurityFilterChain(RequestMatcher requestMatcher, List<Filter> filters) {
        logger.info("Creating filter chain: " + requestMatcher + ", " + filters);
        this.requestMatcher = requestMatcher;
        this.filters = new ArrayList<Filter>(filters);
    }
}

需要一个RequestMatcher以及作用在它上面的filter,如果你不传filter的话,那就是这个RequestMatcher对应的url就是免登陆的。spring security会根据FilterChainProxy中的filter chain的顺序去挨个匹配当前请求的url,然后执行对应的filter逻辑,在前面的优先匹配。

思路

要在运行时增加免登陆url的话,就需要运行时去修改FilterChainProxy中的filterChains,不过源码里头返回了不可变的集合
4.1.4.RELEASE/spring-security-web-4.1.4.RELEASE-sources.jar!/org/springframework/security/web/FilterChainProxy.java

    /**
     * @return the list of {@code SecurityFilterChain}s which will be matched against and
     * applied to incoming requests.
     */
    public List<SecurityFilterChain> getFilterChains() {
        return Collections.unmodifiableList(filterChains);
    }

因此这里需要hack一下,用反射去获取

方案

    List<SecurityFilterChain> addIgnoreUrl(String url){
        FilterChainProxy obj = (FilterChainProxy) ApplicationContextHolder.getContext().getBean("springSecurityFilterChain");
        List<SecurityFilterChain> filterChains = (List<SecurityFilterChain>) ReflectUtil.getProperty(obj,"filterChains");
        filterChains.add(0,new DefaultSecurityFilterChain(new AntPathRequestMatcher(url, null)));
        return filterChains;
    }

这里有几个要点

  • 反射获取可修改的filterChains
public static Object getProperty(Object obj, String fieldName) {
        try {
            Field field = obj.getClass().getDeclaredField(fieldName);
            field.setAccessible(true);
            return field.get(obj);
        } catch (Exception e) {
            e.printStackTrace();
            return null;
        }
    }
  • 添加到filterChains的最前面使其优先匹配到
  • filter要设置为null,表示免登陆

小结

这样就大功告成了,以后就无需重新启动来配置免登陆url了。其实这个还可以扩展一下,支持动态的权限配置,这个下次有机会再讲一下。

doc

weixin_33895695
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
spring security 实现免登陆功能
json20080301
03-19 8341
spring security 实现免登陆功能大体也是基于COOKIE来实现的。 主要配置信息: 1.首先登陆表单要Post URL: /j_spring_security_check 同时_spring_security_remember_me要等于yes,这时登陆后会记录cookie到数据库中; /j_spring_security_check?_spri...
SpringSecurity
qq_27295923的博客
09-05 762
SpringBoot下使用SpringSecurity (一)基本 1.SpringSecurityJWT学习博客 https://blog.csdn.net/larger5/article/details/81047869 https://blog.csdn.net/larger5/article/details/81063438 2.设置不需要登录就能访问接口 在SpringSecurityC...
springboot使springsecurity不用登录
m0_67403076的博客
03-23 2724
springboot中加入springsecurity的依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 当引入这个依赖后,启动项目,springSecurity也会跟着启动,默认使用HttpBasic的方式启
@Inner 注解原理和使用
最新发布
19.2.04.157N的博客
05-30 1067
首先,在我们项目加载阶段,我们获取有 Inner 注解的类和方法,然后获取我们配置的 uri,经过正则替换后面的可变参数为*,然后将此 uri 加入到 ignore-url 中。此时我们就能达到所有 Inner 配置的方法/类上的接口地址,都统一在项目加载阶段自动帮我们加到 ignore-url 中,不需要我们手动配置,免去了很多开发工作,同时也能避免我们忘记配置,而浪费开发时间。即在接口方法中,对头部进行判断,只有请求带上相应的 Header 参数时,才允许通过访问,否则抛出异常。
SpringSecurity忽略某些url,如何配置
m0_67392273的博客
04-08 1866
针对Spring Security框架,对需要忽略某些url,跳过登录逻辑的场景 如,发送验证码之类的,如何配置呢? 代码如下: import org.springframework.security.config.annotation.web.builders.WebSecurity; import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter; public
Spring Boot 配置大全(小结)
08-28
spring.mvc.ignore-default-model-on-redirect 是 Spring Boot 中的一种配置项,通过使用 `spring.mvc.ignore-default-model-on-redirect` 可以指定在重定向时是否忽略默认model的内容。 十四、spring.mvc.locale ...
详解Spring加载Properties配置文件的四种方式
08-27
Spring加载Properties配置文件的四种方式 Spring框架提供了多种方式来加载Properties配置文件,以便于应用程序读取和使用配置信息。下面将详细介绍四种常见的加载Properties配置文件的方式。 方式一: 通过context:...
idea过滤文件配置ignore,不用安装插件
06-19
直接复制到idea项目目录下即可,不需要安装插件。满足几乎全部git提交过滤需求
spring boot配置读写分离的完整实现步骤
08-26
以下将详细介绍在Spring Boot中配置读写分离的完整步骤。 首先,读写分离的基本思想是将读操作分散到多个从库,而写操作仍然集中在主库上。这样可以有效减轻主库的压力,提高读取速度。在实际应用中,通常会设置一...
ignore-styles:在Node中运行时忽略导入的样式文件
04-29
一个babel/register样式钩子,用于在Node中运行时忽略样式导入。 这适用于使用Webpack之类的项目来启用JavaScript中CSS导入。 当您尝试在Node中运行项目(例如,在Mocha中进行测试)时,您会看到如下错误: Syntax...
spring security 3.0x remember-me 免登陆
08-03
基于用户,角色,权限的spring_security完整项目 博文链接:https://abc08010051.iteye.com/blog/1995648
SpringSecurity 免密登录方法
weixin_38982591的博客
01-29 2117
需求:做微信公众号扫码登录的时候发现,我们通过微信用户的openID获取后台用户的账号,但是密码是加密放到数据库且不能逆向解密,这时就应该跳过密码认证。添加自定义校验 # MyAuthenticationProvider。
spring-Security(三):记住我,实现下次免登录
liyu121的博客
05-12 7566
记住我基本原理用户认证成功之后调用RemeberMeService根据用户名名生成Token由TokenRepository写入到数据库,同时也将Token写入到浏览器的Cookie中重启服务之后,用户再次登入系统会由RememberMeAuthenticationFilter拦截,从Cookie中读取Token信息,与persistent_logins表匹配判断是否使用记住我功能。最中由User...
Spring Security配合自定义注解实现接口免登录
Jywudiok的博客
03-08 886
核心:实现获取需要免登录接口地址的方法,使用RequestMappingHandlerMapping对象获取接口方法和url信息
springboot2.0 security 免登录
liu_xue_xue的专栏
06-22 3996
由于业务需要支持关闭了security验证,无需登录成功访问请求 主要实现方式如下: 第一种:在启动类上或者任意@Configure配置类上,移除默认自动启动的安全策略 @EnableAutoConfiguration(exclude = {SecurityAutoConfiguration.class}) @SpringBootApplication public class XxlJobAdminApplication { public static void main(String[] a
spring security免登录动态配置方案2
weixin_34037173的博客
11-26 915
序 之前有篇文章讲了怎么进行免登录动态配置的方案,动用了反射去实现,有点黑魔法的味道,这里再介绍另外一种方案 permitAll spring-security-config-4.2.3.RELEASE-sources.jar!/org/springframework/security/config/annotation/web/conf...
Springboot集成security,自定义@Anonymous标签实现免登录,免鉴权
evil_lrn的博客
02-16 5197
首先,项目springboot使用了2.6.8版本,集成security的过程中,使用了比较严格的自定义策略,任何请求都需要认证和授权,判断用户是否有查询改接口的权限。并且提供了配置或者注解两种方式提供匿名访问的接口。引起需要收集@Anonymous注解标注的controller。于是就像参照spring启动扫描注解的方式实现,然后自定义了。参照spring scan。第二种使用自定义注解。
Spring Security 跳过登录检查/非页面登录/骗过spring security的 filter 登录检查拦截
Cgh_Baby的博客
08-26 7357
背景 最近在使用Spring security 做一个系统的SSO认证代理(另一个项目组开发的,基于 filter 拦截器检查session中是否已有用户登录信息),如果已在SSO登录的话,则直接跳过SSO的认证。由于Spring security也是基于拦截器的,SSO的需要在拦截器在spring security的登录检查拦截器之前,在检查到SSO已登录之后需要骗过spring security的 filter 登录检查拦截器,在研究了一下spring security的源代码之后,发现spri...
springsecurity不拦截url
09-18
可以通过在Spring Security配置文件中添加一些配置,来实现对特定URL的忽略。具体而言,你可以使用`ignoreUrlAuthenication`方法来动态地向`securityFilterChains`中添加要忽略的URL。该方法首先获取`FilterChainProxy`的实例,然后通过反射获取`filterChains`属性,并将要忽略的URL添加到其中。 另外,根据引用的内容,你还可以直接在Spring Security配置文件中配置对系统资源文件(如CSS、JS、图片等)的认证忽略,这样就不会拦截这些资源文件的访问了。 总结起来,要实现Spring Security不拦截某些URL,你可以通过动态添加ignore请求URLs或在配置文件中配置对系统资源文件的认证忽略来实现。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值