Spring Security 入门(1-3-2)Spring Security - http元素 - intercept-url配置

最新推荐文章于 2023-05-27 23:44:33 发布
最新推荐文章于 2023-05-27 23:44:33 发布
阅读量111 收藏
点赞数
文章标签: java

http元素下可以配置登录页面,也可以配置 url 拦截。

1、直接配置拦截url和对应的访问权限

 <security:http use-expressions="false">

    <security:form-login />
    <security:logout />
    <security:intercept-url pattern="/secure/**" access="ROLE_USER,ROLE_ADMIN"/>
</security:http>

其中,intercept-url配置通过 pattern属性 指定拦截的 url, 通过access属性指定url的访问权限

        access 的值是一个字符串,其可以直接是一个权限的定义,也可以是一个表达式。多个角色名称之间用逗号分隔

2、使用表示式配置拦截url的访问权限

 

<security:http use-expressions="true">
    <security:form-login />
    <security:logout />
    <security:intercept-url pattern="/secure/**" access="hasAnyRole('ROLE_USER','ROLE_ADMIN')"/>
</security:http>

<security:intercept-url pattern="/secure/**" access="hasRole('ROLE_USER') or hasRole('ROLE_ADMIN')"/>

当 access 的值是以 “ROLE_” 开头的则将会交由 RoleVoter 进行处理。

需要注意的是使用表达式时需要指定 http 元素的 use-expressions=”true”。

当 intercept-url 的 access 属性使用表达式时默认将使用 WebExpressionVoter 进行处理。

此外,还可以指定三个比较特殊的属性值,默认情况下将使用 AuthenticatedVoter 来处理它们。

  • IS_AUTHENTICATED_ANONYMOUSLY 表示用户不需要登录就可以访问;如通常会将登录地址设置为 IS_AUTHENTICATED_ANONYMOUSLY。
  • IS_AUTHENTICATED_REMEMBERED 表示用户需要是通过 Remember-Me 功能进行自动登录的才能访问;
  • IS_AUTHENTICATED_FULLY 表示用户的认证类型应该是除前两者以外的,也就是用户需要是通过登录入口进行登录认证的才能访问。
如:
   <security:http>
      <security:form-login login-page="/login.jsp"/>
      <!-- 登录页面可以匿名访问 -->
      <security:intercept-url pattern="/login.jsp*" access="IS_AUTHENTICATED_ANONYMOUSLY"/>
      <security:intercept-url pattern="/**" access="ROLE_USER"/>
   </security:http>

3、指定访问协议http/https/any和端口

3.1、指定访问协议http/https/any

需求可以通过指定 intercept-url 的 requires-channel 属性来指定。

requires-channel 支持三个值:http、https 和 any。any 表示 http 和 https 都可以访问。

   <security:http auto-config="true">
      <security:form-login/>
      <!-- 只能通过 https 访问 -->
      <security:intercept-url pattern="/admin/**" access="ROLE_ADMIN" requires-channel="https"/>
      <!-- 只能通过 http 访问 -->
      <security:intercept-url pattern="/**" access="ROLE_USER" requires-channel="http"/>
   </security:http>

需要注意的是当试图使用 http 请求限制了只能通过 https 访问的资源时会自动跳转到对应的 https 通道重新请求。

3.2、指定协议的访问端口

如果所使用的 http 或者 https 协议不是监听在标准的端口上(http 默认是 80,https 默认是 443),则需要我们通过 port-mapping 元素定义好它们的对应关系。

   <security:http auto-config="true">
      <security:form-login/>
      <!-- 只能通过 https 访问 -->
      <security:intercept-url pattern="/admin/**" access="ROLE_ADMIN" requires-channel="https"/>
      <!-- 只能通过 http 访问 -->
      <security:intercept-url pattern="/**" access="ROLE_USER" requires-channel="http"/>
      <security:port-mappings>
         <security:port-mapping http="8899" https="9988"/>
      </security:port-mappings>
   </security:http>

3.3、指定请求方法

通常我们都会要求某些 URL 只能通过 POST 请求,某些 URL 只能通过 GET 请求。

这些限制 Spring Security 也已经为我们实现了,通过指定 intercept-url 的 method 属性可以限制当前 intercept-url 适用的请求方式,默认为所有的方式都可以。

 <security:http auto-config="true">
      <security:form-login/>
      <!-- 只能通过 POST 访问 -->
      <security:intercept-url pattern="/post/**" method="POST"/>
      <!-- 只能通过 GET 访问 -->
      <security:intercept-url pattern="/**" access="ROLE_USER" method="GET"/>
   </security:http>

method 的可选值有 GET、POST、DELETE、PUT、HEAD、OPTIONS 和 TRACE。

weixin_34259559
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
spring security 配置 intercept-url 时需要注意的几个问题
ren_xu123的专栏
12-03 1万+
Spring Security 正则表达 Posted on March 8, 2012 by kevin By default, after you’ve added Spring Security to your Roo app with ‘security setup’, you get an example config in a applicationContext-
spring-security-core-2.0.6.RELEASE
07-14
在2.0.6.RELEASE版本中,开发者可以使用`<http>`、`<authentication>`和`<intercept-url>`等元素来定义安全策略。例如,设置登录页面、指定哪些URL需要保护、定义认证机制等。 四、认证流程 1. **匿名访问**:对于...
如何在 Spring 安全性中动态决定<拦截 url> 访问属性值?
allway2的博客
10-27 822
请注意后者,因为它是在启动时调用的,并且此时可能没有很好地配置(我的意思是,数据源或持久性上下文自动连接,具体取决于您使用的内容)。集合 getAttributes(Object 对象),您可以在其中访问数据库,搜索受保护的“对象”(通常是要访问的 URL)以获取允许的 ConfigAttribute(通常是 ROLE 的)我有同样的问题,基本上我想将拦截网址列表与其他 springsecurity 配置部分分开,第一个属于应用程序配置,后者属于产品(核心、插件)配置。遗憾的是,没有简单的方法来拆分定义。
SpringBoot - HttpSecurity是什么?
记录并分享
08-11 1096
HttpSecurity用于在实际的业务场景中针对不同的URL采用不同的权限处理策略。一般会在重载WebSecurityConfigurerAdapter基类的configure(HttpSecurity httpSecurity)方法中完成权限策略的处理。HttpSecuritySecurityBuilder接口的一个实现类,这是一个HTTP安全相关的构建器。当然我们在构建时可能需要一些配置,当我们调用HttpSecurity对象的方法时,实际上就是在进行配置。...
01_SpringSecurity学习之配置HttpSecurity
ShiJunzhiCome的博客
08-06 8318
Spring Security 学习之配置 HttpSecurity
【第五篇】深入理解HttpSecurity的设计
波波烤鸭的博客
04-28 3858
深入理解HttpSecurity的设计 一、HttpSecurity的应用   在前章节的介绍中我们讲解了基于配置文件的使用方式,也就是如下的使用。   也就是在配置文件中通过 security:http 等标签来定义了认证需要的相关信息,但是在SpringBoot项目中,我们慢慢脱离了xml配置文件的方式,在SpringSecurity中提供了HttpSecurity等工具类,这里HttpSecurity就等同于我们在配置文件中定义的http标签。要使用的话方式如下。   通过代码结果来看和配置文件.
spring-security3入门教程.doc
09-04
以下是一份针对 Spring Security 3.x 入门的详细教程: 首先,你需要创建一个 Web 项目并导入必要的库。这通常包括 Spring Security 相关的 JAR 文件,以及其他 Spring 框架的依赖。这些库可以通过 Maven 或 Gradle...
Spring-Security-3应用的11个步骤.docx
最新发布
09-04
1. **Web.xml配置** - 配置Spring Security的过滤器,比如`<http>`元素,通过`auto-config`属性启用自动配置,并定义拦截URL以指定哪些页面需要特定角色的访问权限。 2. **Spring配置** - 在Spring配置文件中添加...
spring-security-login-form-database-xml.zip_java security
09-21
Spring Security的`@Secured`或`@PreAuthorize`注解可以用于方法级别的权限控制,而`<security:intercept-url>`元素则用于URL级别的访问控制。 7. **密码加密**: 为了安全,用户密码通常需要在存储前进行加密。...
SpringSecurity笔记2-SpringSecurity命名空间
03-29
这个命名空间包含了各种安全相关的元素,如`intercept-url`用于定义URL访问权限,`form-login`用于配置表单认证,`logout`用于配置退出登录,以及`access-denied-page`定义权限拒绝后的页面等。例如,`<http auto-...
HttpSecurity初步理解
热门推荐
骑着蜗牛向前跑的博客
06-19 2万+
关于用户身份验证的相关知识请参看这个链接,本文只对HttpSecurity做以简单介绍。 Spring Security是一个强大的、可根据需求高度自定义的用户认证和访问控制框架。Spring Security怎么保证所有向Spring application发送请求的用户必须先通过认证;怎么保证它自己支持用户通过表单的方式进行认证。解决的办法是Spring Security中有个WebSec...
Spring Security : HTTP请求安全构建器 HttpSecurity
Details Inside Spring
05-13 5259
HttpSecuritySpring Security Config用于配置http请求安全控制的安全构建器(类似于Spring Security XML配置中的http命名空间配置部分),它的构建目标是一个SecurityFilterChain,实现类使用DefaultSecurityFilterChain。该目标SecurityFilterChain最终会被Spring Security的安...
深入理解 HttpSecurity【源码篇】
江南一点雨的专栏
07-22 3675
HttpSecurity 也是 Spring Security 中的重要一环。我们平时所做的大部分 Spring Security 配置也都是基于 HttpSecurity配置的。因此我们有必要从源码的角度来理解下 HttpSecurity 到底干了啥? 1.抽丝剥茧 首先我们来看下 HttpSecurity 的继承关系图: 可以看到,HttpSecurity 继承自 AbstractConfiguredSecurityBuilder,同时实现了 SecurityBuilder 和 HttpSecur
SpringSecurity——HttpSecurity常用方法
允诺@晴天的博客
01-28 1万+
文章目录HttpSecurity 常用方法及说明HttpSecurity常用方法详解antMatcher与antMatchers的区别以及使用场景requestMatchers()authorizeRequests()匹配规则URL匹配保护URL登录login登出logout多个antMatchers在Spring HttpSecurity 常用方法及说明 通常我们在使用Spring Securty的时候会继 WebSecurityConfigurerAdapter,通过以下方法可配置拦截什么URL、设置
`HttpSecurity`类
ranbo_Q的博客
05-27 205
类是Spring Security中用于配置Web安全性的主要类之一。它提供了一系列方法,用于配置不同方面的Web安全性。下面是:配置请求的授权规则,定义哪些请求需要经过身份验证或授权。:指定需要授权的URL路径模式。可以设置多个URL路径,并通过其他方法来设置访问权限要求,如hasRole()等。:允许所有用户访问指定的URL路径,即无需进行身份验证。:要求用户进行身份验证,即需要登录后才能访问指定的URL路径。hasRole():要求用户具有特定的角色才能访问指定的URL路径。:配置基于表单的身份验证。
SpringSecurityHttpSecurity
weixin_43172297的博客
08-02 928
文章目录前言一、HttpSecurity是什么?1.1 定义:1.2 类图:1.3 DefaultSecurityFilterChain1.4 HttpSecurity的performBuild方法1.5 HttpSecurity常用的方法 前言 之前的文章分析了WebSecurityConfigurerAdapter,这次分析下HttpSecurity。 一、HttpSecurity是什么? 1.1 定义: HttpSecurity类似于命名空间配置Spring Security 的 XML 元素
5.深入理解HttpSecurity的设计
飘然渡沧海的博客
03-06 352
深入理解HttpSecurity的设计
8. Spring Security intercept-url配置
一个人的人生
11-29 8060
intercept-url配置 目录 1.1     指定拦截的url 1.2     指定访问权限 1.3     指定访问协议 1.4     指定请求方法   1.1    指定拦截的url        通过pattern指定当前intercept-url定义应当作用于哪些url。 "/**" access="ROLE_USER"/>   1.2     指定访问权限
springsecurity中anonymous_Spring Security---安全管理框架(三)
06-11
Spring Security是一个功能强大的安全管理框架,提供了多种身份验证和授权机制,可以在Web应用程序中轻松地实现安全保护。 其中,anonymous身份验证是一种简单的身份验证方式,即允许未经身份验证的用户访问某些受保护的资源。使用anonymous身份验证时,Spring Security会自动为未经身份验证的用户分配一个匿名身份,并将其与相应的权限进行绑定。这样,即使用户未经身份验证,也可以根据其所分配的权限来访问受保护的资源。 在Spring Security中,可以通过配置anonymous元素来启用anonymous身份验证。例如: ``` <security:http> <security:intercept-url pattern="/public/**" access="permitAll"/> <security:intercept-url pattern="/admin/**" access="hasRole('ADMIN')"/> <security:anonymous enabled="true"/> <security:http-basic /> </security:http> ``` 在上述配置中,通过设置<security:anonymous enabled="true"/>来启用anonymous身份验证。这样,访问/public/**下的资源时,不需要身份验证;而访问/admin/**下的资源时,则需要具有ADMIN角色的身份验证。 需要注意的是,使用anonymous身份验证时,应该尽可能限制未经身份验证用户可以访问的资源,以保证系统的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值