springsecurity中anonymous_Spring Security一个简单demo

最新推荐文章于 2023-04-22 00:56:05 发布
最新推荐文章于 2023-04-22 00:56:05 发布
阅读量3.5k 收藏 1
点赞数 1
文章标签: springsecurity中anonymous
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39930557/article/details/111391878
版权

c250ade5089fb9a813423f5261434118.png

​ Spring Security 是一个功能强大且高度可定制的身份验证和访问控制框架。它是用于保护基于 Spring 的应用程序。

​ Spring Security 是一个框架,侧重于为 Java 应用程序提供身份验证和授权。与所有 Spring 项目一样,Spring 安全性的真正强大之处,在于它很容易扩展以满足定制需求。

一个简单的spring security例子

spring:
  # Spring Security 配置项,对应 SecurityProperties 配置类
  security:
    # 配置默认的 InMemoryUserDetailsManager 的用户账号与密码。
    user:
      name: user # 账号
      password: user # 密码
      roles: ADMIN # 拥有角色


# 在 spring.security 配置项,设置 Spring Security 的配置,对应 SecurityProperties 配置类。
  #默认情况下,Spring Boot UserDetailsServiceAutoConfiguration 自动化配置类,
  #会创建一个内存级别的 InMemoryUserDetailsManager Bean 对象,提供认证的用户信息。
  #这里,我们添加了 spring.security.user 配置项,UserDetailsServiceAutoConfiguration 会基于配置的信息创建一个用户 User 在内存中。
  #如果,我们未添加 spring.security.user 配置项,UserDetailsServiceAutoConfiguration 会自动创建一个用户名为 "user" ,
  #密码为 UUID 随机的用户 User 在内存中。

config类

/**
 * @Author peppers
 * 继承 WebSecurityConfigurerAdapter 抽象类,实现 Spring Security 在 Web 场景下的自定义配置
 *
 *
 * 我们可以重写WebSecurityConfigurerAdapter的方法,实现自定义的spring security的配置
 **/
@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)  //开启对 Spring Security 注解的方法,进行权限验证
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    /**重写 #configure(AuthenticationManagerBuilder auth) 方法,实现 AuthenticationManager 认证管理器。*/
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception{
        auth
                //使用内存中的InmemortUserDetailsManager
                //Spring 内置了两种 UserDetailsManager 实现:
                //1.InMemoryUserDetailsManager
                //2.JdbcUserDetailsManager ,基于 JDBC的 JdbcUserDetailsManager 。
                //实际项目中,我们更多采用调用 AuthenticationManagerBuilder#userDetailsService(userDetailsService) 方法,
                // 使用自定义实现的 UserDetailsService 实现类,更加灵活且自由的实现认证的用户信息的读取。
        .inMemoryAuthentication()
                //不使用PasswordEncoder密码编码器
        .passwordEncoder(NoOpPasswordEncoder.getInstance())
                //配置admin用户
        .withUser("admin").password("admin").roles("NORMAL")
                //篇日志normal用户
        .and().withUser("normal").password("normal").roles("NORMAL");
    }


    /**重写 #configure(HttpSecurity http) 方法,主要配置 URL 的权限控制*/
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                //配置请求地址的全限,开始配置 URL 的权限控制
                /**#(String... antPatterns) 方法,配置匹配的 URL 地址,基于 Ant 风格路径表达式 ,可传入多个。
                 【常用】#permitAll() 方法,所有用户可访问。
                 【常用】#denyAll() 方法,所有用户不可访问。
                 【常用】#authenticated() 方法,登录用户可访问。
                 #anonymous() 方法,无需登录,即匿名用户可访问。
                 #rememberMe() 方法,通过 remember me 登录的用户可访问。
                 #fullyAuthenticated() 方法,非 remember me 登录的用户可访问。
                 #hasIpAddress(String ipaddressExpression) 方法,来自指定 IP 表达式的用户可访问。
                 【常用】#hasRole(String role) 方法, 拥有指定角色的用户可访问。
                 【常用】#hasAnyRole(String... roles) 方法,拥有指定任一角色的用户可访问。
                 【常用】#hasAuthority(String authority) 方法,拥有指定权限(authority)的用户可访问。
                 【常用】#hasAuthority(String... authorities) 方法,拥有指定任一权限(authority)的用户可访问。
                 【最牛】#access(String attribute) 方法,当 Spring EL 表达式的执行结果为 true 时,可以访问。*/
        .authorizeRequests()
                //所有用户可访问
                .antMatchers("/test/echo").permitAll()
                //需要admin角色
                .antMatchers("/test/admin").hasRole("ADMIN")
                //需要normal角色
                .antMatchers("test/normal").access("hasRole('ROLE_NORMAL')")
               /**配置了 .anyRequest().authenticated() ,任何请求,访问的用户都需要经过认证。*/
                // .anyRequest().authenticated()
                .and()
                //设置Form表单登录
                .formLogin()
                //登录URL地址
                        .loginPage("/login")
                    .permitAll() //所有用户可访问
                .and()
                //配置退出相关
                .logout()
                //退出URL地址
                .logoutUrl("/logout")
        .permitAll(); //所有用户可访问
    }
}

测试类

@RestController
@RequestMapping("/demo")
public class DemoController {

    /**@PermitAll 注解,等价于 #permitAll() 方法,所有用户可访问。

    SecurityConfig」中,配置了 .anyRequest().authenticated() ,任何请求,访问的用户都需要经过认证。所以这里 @PermitAll 注解实际是不生效的。

    也就是说,Java Config 配置的权限,和注解配置的权限,两者是叠加的。*/
    @PermitAll
    @GetMapping("/echo")
    public String demo() {
        return "示例返回";
    }

    @GetMapping("/home")
    public String home() {
        return "我是首页";
    }

    @PreAuthorize("hasRole('ROLE_ADMIN')")
    @GetMapping("/admin")
    public String admin() {
        return "我是管理员";
    }

    @PreAuthorize("hasRole('ROLE_NORMAL')")
    @GetMapping("/normal")
    public String normal() {
        return "我是普通用户";
    }

}
weixin_39930557
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
spring_day02_demo.zip_made_spring
09-20
once read a great answer from an anonymous poster who revealed that he was an atheist, but that if he had made this publicly known in the country he lived in, it was punishable by death.
springsecurityanonymous_学习笔记38-Spring Security
weixin_39959298的博客
11-26 3026
*概念概括:Spring Security一个高度自定义的 安全框架。利用 Spring IoC/DI和 AOP 功能,为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。使用 Spring Secruity 的原因有很多,但大部分都是发现了 javaEE的 Servlet 规范或 EJB 规范的安全功能缺乏典型企业用场景。同时认识到他们在 WAR 或 EAR 级别...
Kali Linux NetHunter基础教程.pdf
12-02
Kali Linux NetHunter 是一款基于 Android 设备构建的渗透测试平台。包括一些特殊和独特的功能。 NetHunter 支持无线 802.11 注入、一键 MANA AP 搭建
SpringSecurity对接口进行匿名访问自定义@Anonymous注解
最新发布
小姜的博客
04-22 2358
注解仅对Spring MVC的控制器方法生效,对于其他类型的接口,例如Spring Boot的REST端点、WebSocket端点等,需要根据具体的场景进行相应的配置。提问:我需要自定义一个注解@Anonymous来添加到接口的方法上,对该方法进行匿名访问,怎么实现?过滤器会拦截该请求,并将当前用户的身份设置为匿名用户,从而实现对该接口的匿名访问控制。如果匹配,则将当前用户的身份设置为匿名用户。对象,并将其设置为当前用户的身份,来实现匿名访问控制。注解,表示该接口可以进行匿名访问。过滤器之前添加自定义的。
Kali简介
热门推荐
qq_45740212的博客
01-27 2万+
对Kali进行了简单介绍
JS方法使用匿名函数作为参数
lensko的博客
09-18 1018
mysql使用group by 报错: SQLSTATE[42000]: Syntax error or access violation: 1055 Expression #1 of SELECT list is not in GROUP BY clause and contains nonaggregated column ‘xxxxx’ which is not functionally ...
springboot security只会跳到login_SpringBoot+SpringSecurity+jwt整合及初体验
weixin_39525865的博客
11-26 308
在这里插入图片描述原来一直使用shiro做安全框架,配置起来相当方便,正好有机会接触下SpringSecurity,学习下这个。顺道结合下jwt,把安全信息管理的问题扔给客户端,准备首先用的是SpringBoot,省去写各种xml的时间。然后把依赖加入一下org.springframework.bootspring-boot-starter-securityio.jsonwebtoken...
Spring Security之匿名用户
来啊 快活啊
06-13 1万+
Spring Security为我们提供了一个匿名用户的功能,我们可以基于此很容易的实现匿名用户的单独控制,使我们的站点轻松拥有游客用户的功能;如果开启了匿名用户的功能,按照Spring Security Filter的执行顺序,AnonymousAuthenticationFilter在ExceptionTranslationFilter的前面,在各种认证机制和RememberMeAuthenti
若依框架解读(前后端分离版)—— 1.Spring Security相关配置(@Anonymous注解)
hwp_ing的博客
11-26 7794
可以看到这里实现了InitializingBean()接口,然后重写当的afterPropertiesSet()方法,同时该类加上了@Configuration注解。我们可以了解到在项目启动后,会把所有加上@Anonymous注解的路径放入了urls集合,并且在配置类当进行了配置。首先查看Security配置类SecurityConfig,如果我们想要放行自己写的接口是可以在此配置,也可以加上@Anonymous注解。因此我们才能在SecurityUtils工具了方便的在需要的地方获取用户信息。
Springboot集成security,自定义@Anonymous标签实现免登录,免鉴权
evil_lrn的博客
02-16 4894
首先,项目springboot使用了2.6.8版本,集成security的过程,使用了比较严格的自定义策略,任何请求都需要认证和授权,判断用户是否有查询改接口的权限。并且提供了配置或者注解两种方式提供匿名访问的接口。引起需要收集@Anonymous注解标注的controller。于是就像参照spring启动扫描注解的方式实现,然后自定义了。参照spring scan。第二种使用自定义注解。
spring security 参考手册文版
02-01
设置一个自定义的AuthenticationEntryPoint 64 6.4方法安全 64 6.4.1 <global-method-security>元素 65 使用protect-pointcut添加安全性切入点 66 6.5默认AccessDecisionManager 67 6.5.1自定义...
Spring Security 文教程.pdf
12-06
5.5. Spring Security的访问控制(验证) 5.5.1. 安全和AOP建议 5.5.2. 安全对象和AbstractSecurityInterceptor 5.5.2.1. 配置属性是什么? 5.5.2.2. RunAsManager 5.5.2.3. AfterInvocationManager ...
Spring Security-3.0.1文官方文档(翻译版)
03-08
这次发布的Spring Security-3.0.1 是一个bug fix 版,主要是对3.0 存在的一些问题进 行修 正。文档没有添加新功能的介绍,但是将之前拼写错误的一些类名进行了修正,建议开发 者以这一版本的文档为参考。 ...
SpringSecurity 3.0.1.RELEASE.CHM
03-21
5.5. Spring Security的访问控制(验证) 5.5.1. 安全和AOP建议 5.5.2. 安全对象和AbstractSecurityInterceptor 5.5.2.1. 配置属性是什么? 5.5.2.2. RunAsManager 5.5.2.3. AfterInvocationManager 5.5.2.4...
在SharePoint处理匿名访问(Anonymous access)
shrenk的专栏
02-23 2489
处理匿名访问
一文通透——Kali Linux基础入门
kjuhfkicf154的博客
02-20 9360
此文章可能会包含敏感以及危险的命令❗❗❗命令有风险,回车需谨慎。
springsecurityanonymous_Spring Security---安全管理框架(三)
weixin_39605706的博客
11-26 812
成功的法则极为简单,但简单并不代表容易【Spring Security:安全管理框架】主要内容访问控制url匹配内置访问控制方法介绍角色权限判断自定义403处理方案基于表达式的访问控制基于注解的访问控制RememberMe功能实现ThymeleafSpring Security使用退出登录Spring Security CSRF一、 访问控制url匹配在前面讲解了认证所有常用配置,主要是对h...
SpringSecurity不允许匿名(anonymous)访问Post接口(403)
secretdaixin的博客
02-09 1914
问题1:系统对外暴露接口,接口路径配置了匿名访问(anonymous),Get请求可正常访问,Post请求报错403或直接跳转到登陆页。 问题2:前端传递token调用匿名接口,报错403,不传递token可正常访问。
Spring的properties属性配置文件和Spring常用注解
wyy的博客
06-03 1734
Spring的properties属性配置文件 问题: 在学习了Spring的知识后,需要被Spring管理的资源都是通过配置文件的形式来告诉Spring容器对象管理谁以及如何管理。但是随着使用次数的增多,我们发现配置文件配置的标签越来越多,每次我们创建一个新的项目时,将配置好的配置文件在该项目只需要修改一下数据库连接参数即可正常使用,但是因为配置文件的内容越来越多,造成配置文件的阅读性越来越差,数据库连接参数的修改不太好找到,怎么办? 解决: 将数据库相关参数提取到一个新的文件专门配置,然后在

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值