成功的法则极为简单,但简单并不代表容易
【Spring Security:安全管理框架】
主要内容
- 访问控制url匹配
- 内置访问控制方法介绍
- 角色权限判断
- 自定义403处理方案
- 基于表达式的访问控制
- 基于注解的访问控制
- RememberMe功能实现
- Thymeleaf中Spring Security使用
- 退出登录
- Spring Security 中CSRF
一、 访问控制url匹配
在前面讲解了认证中所有常用配置,主要是对http.formLogin()进行操作。而在配置类中http.authorizeRequests()主要是对url进行控制,也就是我们所说的授权(访问控制)。http.authorizeRequests()也支持连缀写法,总体公式为:
url匹配规则.权限控制方法
通过上面的公式可以有很多url匹配规则和很多权限控制方法。这些内容进行各种组合就形成了Spring Security中的授权。
在所有匹配规则中取所有规则的交集。配置顺序影响了之后授权效果,越是具体的应该放在前面,越是笼统的应该放到后面。
1. antMatcher()
方法定义如下:
参数是不定向参数,每个参数是一个ant表达式,用于匹配URL规则。
规则如下:
- ? 匹配一个字符
- * 匹配0个或多个字符
- ** 匹配0个或多个目录
在实际项目中经常需要放行所有静态资源,下面演示放行js文件夹下所有脚本文件。
还有一种配置方式是只要是.js文件都放行
2. anyRequest()
在之前认证过程中我们就已经使用过anyRequest(),表示匹配所有的请求。一般情况下此方法都会使用,设置全部内容都需要进行认证。
代码示例:
3. regexMatchers()
3.1 介绍
使用正则表达式进行匹配。和antMatchers()主要的区别就是参数,antMatchers()参数是ant表达式,regexMatchers()参数是正则表达式。
演示所有以.js结尾的文件都被放行。