spring security antMatchers相关内容

最新推荐文章于 2024-05-26 14:42:28 发布
最新推荐文章于 2024-05-26 14:42:28 发布
阅读量7.8k 收藏 7
点赞数 1
文章标签: java 数据库
原文链接:http://www.cnblogs.com/ptqueen/p/8450028.html
版权

一.antMatcher与antMatchers的区别以及使用场景

来源:https://stackoverflow.com/questions/35890540/when-to-use-spring-securitys-antmatcher

antMatcher用在多个HttpSecurity的场景下,用来为每个HttpSecurity过滤

@EnableWebSecurity
public class MultiHttpSecurityConfig {
  @Autowired
  public void configureGlobal(AuthenticationManagerBuilder auth) { 1
      auth
          .inMemoryAuthentication()
              .withUser("user").password("password").roles("USER").and()
              .withUser("admin").password("password").roles("USER", "ADMIN");
  }

  @Configuration
  @Order(1)                                                        2
  public static class ApiWebSecurityConfigurationAdapter extends WebSecurityConfigurerAdapter {
      protected void configure(HttpSecurity http) throws Exception {
          http
              .antMatcher("/api/**")                               3
              .authorizeRequests()
                  .anyRequest().hasRole("ADMIN")
                  .and()
              .httpBasic();
      }
  }    

  @Configuration                                                   4
  public static class FormLoginWebSecurityConfigurerAdapter extends WebSecurityConfigurerAdapter {

      @Override
      protected void configure(HttpSecurity http) throws Exception {
          http
              .authorizeRequests()
                  .anyRequest().authenticated()
                  .and()
              .formLogin();
      }
  }
}

这种情况下有两个HttpSecurity,未定义@Order就默认最后,多个未定义或者相同Order就按照定义顺序。

需要/api/开头的url匹配Role为Admin的User。

.antMatcher("/api/**") 过滤掉非/api/开头的请求,如果不用antMatcher,所有请求都会进入,进入的请求只有两条路,允许通过(permitall)或者导向login(authenticated),当我们并不想处理

二.antMathchers匹配规则

https://www.cnblogs.com/cyjch/archive/2012/03/28/2421353.html

ANT通配符有三种:
? 匹配任何单字符
* 匹配0或者任意数量的字符
** 匹配0或者更多的目录

三.antMatchers的顺序

https://stackoverflow.com/questions/30819337/multiple-antmatchers-in-spring-security

.antMatchers("/admin/**").hasRole("ADMIN")

.antMatchers("/admin/login").permitAll()

范围小的放在前面,范围大的放在后面,想法的话范围小的就不会匹配,按照范围大的处理。

比如上面,/admin/login按照hasRole("ADMIN")处理。

 

.antMatchers("/admin/**").hasRole("ADMIN").antMatchers("/admin/login").permitAll()

转载于:https://www.cnblogs.com/ptqueen/p/8450028.html

weixin_34038293
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Security-antMatchers 访问控制-url-匹配、白名单
西京刀客
09-23 1万+
文章目录一、问题背景二、spring security访问控制 url 匹配1. 匹配规则1.1 antMatcher()1.2 regexMatchers()三、实战配置demo举例 一、问题背景 每个不同的业务服务有的接口需要认证后才能访问,有的接口是不需要认证就可以访问的,有的接口可能是需要某些权限、角色才可以访问。 二、spring security访问控制 url 匹配 Spring Security——访问控制 url 匹配 参考URL: http://www.wjxin.cn/wjx/2020
springboot+ spring security实现登录认证
05-04
整合SpringBoot和Spring Security,我们首先需要在`pom.xml`中引入相关依赖: ```xml <groupId>org.springframework.boot <artifactId>spring-boot-starter-security <groupId>org.springframework.boot ...
SpringSecurityantMatchers匹配顺序踩坑
qq_39376487的博客
10-31 1万+
SpringSecurityantMatchers匹配踩坑
(避坑)SpringSecurity关于使用.antMatchers放行接口不生效问题
最新发布
Sinder小德的博客
05-26 611
当你在yml文件中配置了ContextPath的时候,security中的放行接口就不用加上contextPath路径;
spring-security
HapSlience
05-06 260
使用spring-security来设置登陆功能: 1、增加security配置文件 WebSecurityConfig 配置文件需要继承 WebSecurityConfigurerAdapter @EnableWebSecurity @EnableGlobalMethodSecurity public class WebSecurityConfig extends WebSec...
一文搞懂SpringSecurity---[Day05]anyRequest,antMatcher,regexMatchers,mvcMatchers详解
风归去.
07-06 5242
访问控制url匹配在前面讲解了认证中所有常用配置,主要是对 进行操作。而在配置类中 主要是对url进行控制,也就是我们所说的授权(访问控制)。 也支持连缀写法,总体公式为:通过上面的公式可以有很多 url 匹配规则和很多权限控制方法。这些内容进行各种组合就形成了中 的授权。 antMatcher() 方法定义如下 参数是不定向参数,每一个参数是一个ant表达式,用于匹配URL规则。规则如下:在实际项目中经常需要放行所有静态资源,下面演示放行 js 文件夹下所有脚本文件。 还有一种配置方式是只要是.js
Spring Security入门
07-30 1313
Spring Security入门
Spring Security跳转页面失败问题解决
08-25
本文详细介绍了 Spring Security 跳转页面失败问题的解决方法,并详细解释了 Spring Security 的基本概念、权限控制、antMatchers 的使用、permitAll 的使用、SecurityConfig 的使用、HttpSecurity 的使用、Spring ...
Spring security实现登陆和权限角色控制
09-09
Spring Security 是一个强大的安全框架,主要用于Java应用的安全管理,包括认证和授权。在这个场景中,我们将探讨如何使用Spring Security来实现登录和权限角色控制。首先,确保你正在使用的Spring版本为4.3.2....
Spring Security 强制退出指定用户的方法
08-27
Spring Security 强制退出指定用户的方法 Spring Security 是一个功能强大且广泛使用的身份验证和授权框架,它提供了许多实用的功能来保护我们的应用程序。但是,在某些情况下,我们需要强制退出指定的用户,例如,...
SpringSecurity应用
08-18
**Spring Security 应用详解** Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架,用于保护基于 Java 的应用程序。它提供了全面的安全解决方案,包括登录、授权、会话管理以及防止常见攻击等功能...
狂神Spring Security静态资源
12-30
Spring Security 是一个强大的安全框架,主要用于Java Web应用的安全管理,包括认证、授权和访问控制等。在Spring Boot中,Spring Security 提供了简洁的API和自动化配置,使得开发者能够快速集成安全功能。在这个名...
SpringSecurity6
02-01
SpringSecurity6是一个强大的安全框架,用于为Java应用提供安全服务,包括身份验证和授权。在本文中,我们将深入探讨如何使用SpringSecurity6实现用户登录认证,以及如何自定义用户名和密码登录认证,同时还会涉及...
springSecurity.zip
06-23
Spring Security的配置中,你需要创建一个`WebSecurityConfigurerAdapter`的子类并覆盖相关方法。以下是一个简单的配置示例: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends ...
SpringSecurity静态资源.rar
03-20
在“SpringSecurity静态资源.rar”这个压缩包中,我们可以推测包含的是与SpringSecurity项目相关的静态资源文件,如CSS样式表、JavaScript脚本、图片等,这些文件通常用于构建Web应用的前端界面。 SpringSecurity在...
SpringSecurity学习笔记之四:拦截请求
热门推荐
zhoucheng05_13的博客
03-05 5万+
在任何应用中,并不是所有请求都需要同等程度地保护起来。有些请求需要认证,有些则不需要。 对每个请求进行细粒度安全性控制的关键在于重载configure(HttpSecurity)方法。如下代码片段展现了重载的configure(HttpSecurity)方法,它为不同的URL路径有选择地应用安全性:@Override protected void configure(HttpSecurity ht
SpringSecurity学习笔记
weixin_44919936的博客
08-13 475
文章目录SpringSecurity入门基本原理认证控制实现案例认证功能加入数据库授权控制用户自定义403页面注解简化开发(不建议使用)注销或退出登录自动登录RememberMeCSRF跨站请求SpringSecurity微服务实现Oauth协议认证过程单点登录SSO总结: SpringSecurity入门 Shiro是轻量级的安全框架,而随着springboot的流行,现在是整合springsecurity,因为是spring家族的组件,整合非常的方便。 SpringSecurity本质上是一个过滤器
security antMatchers(HttpMethod method, String... antPatterns)实现特定注解无需登录认证功能
cominglately的博客
12-22 915
antMatchers(HttpMethod method, String…antPatterns) 是 Spring Security 中用于配置 特定 HTTP 方法和 URL 模式的安全规则。antPatterns 表示要匹配的 URL 模式,可以指定多个模式。HttpMethod method 表示要匹配的 HTTP 方法(例如 GET、POST、PUT 等)。项目中某些接口不需要认证, 通过注解实现相对于其他的security配置会更灵活。
spring security6 不支持antMatchers
05-27
您好,Spring Security 6.0 确实不再支持 `antMatchers`,而是采用了一种新的方式来进行 URL 的匹配和权限控制,即基于路径的访问控制(path-based access control)。 在新的访问控制模型中,您可以通过使用 `HttpSecurity#authorizeRequests()` 方法来定义 URL 的访问规则,例如: ```java @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests(authorize -> authorize .mvcMatchers("/public/**").permitAll() .mvcMatchers("/admin/**").hasRole("ADMIN") .anyRequest().authenticated() ) .formLogin(withDefaults()); } ``` 在上述代码中,`authorizeRequests()` 方法用于定义 URL 的访问规则,`.mvcMatchers("/public/**").permitAll()` 表示 `/public` 目录下的所有 URL 都是公共资源,任何人都可以访问,`.mvcMatchers("/admin/**").hasRole("ADMIN")` 表示 `/admin` 目录下的所有 URL 都需要 `ADMIN` 角色才能访问,`.anyRequest().authenticated()` 表示其他任何 URL 都需要认证才能访问。 另外,Spring Security 6.0 还引入了一些新的特性,例如: - 支持 WebFlux 框架 - 支持 OAuth 2.1 协议 - 提供了新的认证方式和密码加密方式等 希望以上内容能够对您有所帮助。如果您有任何疑问,请随时提出。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值