html 限制匿名访问,Spring Security permitAll()不允许匿名访问的操作

最新推荐文章于 2023-06-04 21:59:06 发布
最新推荐文章于 2023-06-04 21:59:06 发布
阅读量656 收藏
点赞数
文章标签: html 限制匿名访问

Spring Security permitAll()不允许匿名访问

修改前

http

.addFilterBefore(muiltpartFilter, ChannelProcessingFilter.class)

.addFilterBefore(cf, ChannelProcessingFilter.class)

.authorizeRequests()

.anyRequest()

.authenticated()

.and()

.authorizeRequests()

.antMatchers("/ping**")

.permitAll()

.and()

.formLogin()

.loginPage("/login")

.permitAll()

.and()

.logout()

.logoutUrl("/logout")

.logoutSuccessUrl("/login");

修改后

http

.addFilterBefore(muiltpartFilter, ChannelProcessingFilter.class)

.addFilterBefore(cf, ChannelProcessingFilter.class)

.authorizeRequests()

.antMatchers("/ping**")

.permitAll()

.and()

.formLogin()

.loginPage("/login")

.permitAll()

.and()

.authorizeRequests()

.anyRequest()

.authenticated()

.and()

.logout()

.logoutUrl("/logout")

.logoutSuccessUrl("/login");

permitAll() 顺序很重要,如同在 XML 配置中,即把 authorizeRequests().anyRequest().authenticate 放到最后

Spring Security @PreAuthorize 拦截无效

1. 在使用spring security的时候使用注解

@PreAuthorize("hasAnyRole('ROLE_Admin')")

放在对方法的访问权限进行控制失效,其中配置如:

@Configuration

@EnableWebSecurity

public class SecurityConfig extends WebSecurityConfigurerAdapter {

@Autowired

UserDetailsService userDetailsService;

@Bean

@Override

public AuthenticationManager authenticationManagerBean() throws Exception {

return super.authenticationManagerBean();

}

@Override

protected void configure(AuthenticationManagerBuilder auth) throws Exception {

auth.userDetailsService(userDetailsService);

}

@Override

protected void configure(HttpSecurity http) throws Exception {

http.csrf().disable()

.authorizeRequests()

.antMatchers("/res/**", "/login/login*").permitAll()

.anyRequest().authenticated()

.and().formLogin().loginPage("/login/login").defaultSuccessUrl("/")

.passwordParameter("password")

.usernameParameter("username")

.and().logout().logoutSuccessUrl("/login/login");

}

}

Controller中的方法如下:

@Controller

@RequestMapping("/demo")

public class DemoController extends CommonController{

@Autowired

private UserService userService;

@PreAuthorize("hasAnyRole('ROLE_Admin')")

@RequestMapping(value = "user-list")

public void userList() {

}

}

使用一个没有ROLE_Admin权限的用户去访问此方法发现无效。

修改一下 SecurityConfig:

@Override

protected void configure(HttpSecurity http) throws Exception {

http.csrf().disable()

.authorizeRequests()

.antMatchers("/res/**", "/login/login*").permitAll()

.antMatchers("/demo/user-list").access("hasRole('ROLE_Admin')")

.anyRequest().authenticated()

.and().formLogin().loginPage("/login/login").defaultSuccessUrl("/")

.passwordParameter("password")

.usernameParameter("username")

.and().logout().logoutSuccessUrl("/login/login");

}

添加上:

.antMatchers("/demo/user-list").access("hasRole('ROLE_Admin')")

可以被正常拦截,说明是方法拦截没有生效。

如果是基于xml,则需要在配置文件中加上:

换成Annotation方式以后,则需要使用 @EnableGlobalMethodSecurity(prePostEnabled=true) 注解来开启。

并且需要提供以下方法:

@Bean

@Override

public AuthenticationManager authenticationManagerBean() throws Exception {

return super.authenticationManagerBean();

}

才可正常拦截。

以上为个人经验,希望能给大家一个参考,也希望大家多多支持脚本之家。

weixin_39622628
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
1.本项目为SpringCloud Gateway的微服务框架,整合了SpringSecurity,微服务间使用Redis来获取登陆的用户信息。 2.由于Gat
SpringSecurity.zip
06-08
使用安全框架,我们可以通过配置的方式实现对资源的访问限制。 ​ Spring Securityspring家族一员。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring...
springsecurity配置登录接口匿名访问无效,出现403Forbidden
weixin_42260782的博客
01-13 6548
在复习springsecurity的时候,出现一个奇怪的现象,登录接口已经设置匿名访问了,但是通过postman测试的时候,出现了403禁止访问的情况 security配置类已经关闭了csrf,并且/user/login已经设置匿名访问: 后来发现,原来是我入参写错了,传进来的User对象,实体类里面的用户名称是userName,而不是username, 改为userName,正常登录 但是数据库里面的用户名字段是user_name,这个不匹配,难道不会出现Unknown column 的错误吗
SpringSecurity允许匿名(anonymous)访问Post接口(403)
secretdaixin的博客
02-09 1899
问题1:系统对外暴露接口,接口路径配置了匿名访问(anonymous),Get请求可正常访问,Post请求报错403或直接跳转到登陆页。 问题2:前端传递token调用匿名接口,报错403,不传递token可正常访问
请求授权(Authorize Requests)
热门推荐
苏美尔人的天空
08-23 3万+
我们的案例目前使用的是WebSecurityConfigurerAdapter中默认的HttpSecurity对象的配置,该配置是要求应用中所有url的访问都需要进行验证。我们也可以自定义哪些URL需要权限验证,哪些不需要。只需要在我们的SecurityConfig类中覆写configure(HttpSecurity http)方法即可。 protected void configure(H
Spring Security(五) 访问控制 url 匹配及 内置访问控制方法介绍
奥迪的博客
09-28 6683
一、 访问控制 url 匹配制 在前面讲解了认证中所有常用配置,主要是对 http.formLogin()进行操作。而在配置类中 http.authorizeRequests()主要是对 url 进行控制,也就是我们所说的授权(访问控制)。http.authorizeRequests()也支持连缀写法,总体公式为: url 匹配规则. 权限控制方法 通过上面的公式可以有很多 url 匹配规则和很多权限控制方法。这些内容进行各种组合就形成了 Spring Security 中的授权。 在所有匹...
Spring Security入门宝典(二)中篇
长夜漫漫,无心睡眠
10-10 2753
使用正则表达式进行匹配。和主要的区别就是参数,antMatchers()参数是ant表达式,参数是正则表达式。演示所有以.js结尾的文件都被放行。
JS方法使用匿名函数作为参数
lensko的博客
09-18 1017
mysql使用group by 报错: SQLSTATE[42000]: Syntax error or access violation: 1055 Expression #1 of SELECT list is not in GROUP BY clause and contains nonaggregated column ‘xxxxx’ which is not functionally ...
理解Spring SecuritypermitAll()和anonymous()的区别
小汤圆
08-16 4873
Spring文档: 采用“默认拒绝”通常被认为是良好的安全实践,您可以明确指定允许的内容并禁止其他所有内容。定义未经身份验证的用户可以访问的内容是类似的情况,尤其是对于 Web 应用程序。许多站点要求用户必须通过除少数 URL 之外的任何其他内容(例如主页和登录页面)的身份验证。在这种情况下,最容易为这些特定 URL 定义访问配置属性,而不是为每个受保护的资源定义访问配置属性。换句话说,有时可以说默认情况下需要 ROLE_SOMETHING 并且只允许此规则的某些例外情况,例如登录、注销和应用程序的主页
SpringSecurity6解决requestMatchers().permitAll()后依然执行自定义过滤器的问题
m0_54250110的博客
06-04 6696
Spring容器会自动识别被注册成为Bean对象的Filter过滤器(即继承自Filter对象的类),将这个Bean对象自动注册到SpringBoot的过滤器链中。如果你的过滤器类使用注解注册成为了一个Bean对象,那么他就已经加到了SpringBoot的过滤器链中,所以就算你的SpringSecurity配置中设置permitAll,可能还会去走SpringBoot的过滤器链。
为什么permitAll()不起作用,并要求在请求中提供认证对象?
小汤圆
08-17 2087
@Configuration @EnableWebSecurity public class SecurityConfiguration extends WebSecurityConfigurerAdapter { @Autowired private CustomUserDetailService userDetailsService; @Bean public PasswordEncoder passwordEncoder() { return new StandardPasswordEnc
Spring Boot实现跨域访问实现代码
08-29
本文通过实例代码给大家介绍了Spring Boot实现跨域访问的知识,然后在文中给大家介绍了spring boot 服务器端设置允许跨域访问的方法,感兴趣的朋友一起看看吧
SpringBoot中自定义注解实现控制器访问次数限制实例
08-30
本篇文章主要介绍了SpringBoot中自定义注解实现控制器访问次数限制实例,具有一定的参考价值,感兴趣的小伙伴们可以参考一下。
SpringSecurity课程文档下载 pdf 教学
05-05
SpringSecurity课程文档下载 pdf 教学
infrared-remote-candroid studiodemo
05-05
android studio下载
【新质生产力】新质生产力赋能智能制造数字化解决方案.pptx
05-05
【新质生产力】新质生产力赋能智能制造数字化解决方案.pptx
基于matlab实现的用于应用布格重力异常数据反演地下异常密度体.rar
05-05
基于matlab实现的用于应用布格重力异常数据反演地下异常密度体.rar
node-v8.10.0-linux-x64.tar.xz
最新发布
05-05
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
springboot security 匿名访问登录
05-13
Spring Security中,可以使用`WebSecurityConfigurerAdapter`配置类来配置匿名访问和登录认证。 首先,需要在`configure(HttpSecurity http)`方法中配置匿名访问,例如: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/public/**").permitAll() // 允许匿名访问的路径 .anyRequest().authenticated() // 其他路径需要认证后访问 .and() .formLogin() // 配置表单登录 .and() .logout(); // 配置退出登录 } } ``` 在上面的例子中,我们允许匿名访问`/public/**`路径,其他路径需要认证后访问。 接着,需要配置登录认证。可以使用`UserDetailsService`来定义系统中的用户和角色,例如: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private UserDetailsService userDetailsService; @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userDetailsService); } @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/public/**").permitAll() .anyRequest().authenticated() .and() .formLogin() .and() .logout(); } } ``` 注意,`UserDetailsService`需要在配置类中注入,并在`configure(AuthenticationManagerBuilder auth)`方法中使用。 最后,需要在系统中定义用户和角色,可以使用`InMemoryUserDetailsManager`来实现: ```java @Configuration public class SecurityConfig { @Bean public UserDetailsService userDetailsService() { InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager(); manager.createUser(User.withUsername("user").password("password").roles("USER").build()); manager.createUser(User.withUsername("admin").password("password").roles("USER", "ADMIN").build()); return manager; } } ``` 在上面的例子中,我们定义了两个用户,一个是`USER`角色,另一个是`USER`和`ADMIN`角色。 通过以上配置,我们就可以实现匿名访问和登录认证。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值