一文解决Security中访问静态资源和web.ignoring()和perimitAll()不起作用

最新推荐文章于 2024-02-28 22:23:49 发布
最新推荐文章于 2024-02-28 22:23:49 发布
阅读量7.9k 收藏 3
点赞数
分类专栏: SpringBoot 文章标签: java spring 后端 spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41492426/article/details/105162636
版权
本文参考

【1】江南一点雨的SpringSecurity配置
【2】WebMvcConfiguer配置

问题需求

学习微人事项目中,我想在后端加入静态资源,我的静态资源就在static目录下,可怎么配置都返回需要权限认证,调试后发现,如下代码访问的所有路径,都会进到FilterInvocationSecurityMetadataSource中进行处理,松哥原话

getAttributes(Object o)方法返回null的话,意味着当前这个请求不需要任何角色就能访问,甚至不需要登录

在这里插入图片描述
代码可修改如下(初始版本),后有通用解决方案

@Component
public class CusomFilterIncovationSecurityMetadataSource implements FilterInvocationSecurityMetadataSource {

    @Autowired
    MenuService menuService;
    // ant路径匹配的类
    AntPathMatcher antPathMatcher = new AntPathMatcher();

    @Override
    public Collection<ConfigAttribute> getAttributes(Object o) throws IllegalArgumentException {
        String requestUrl = ((FilterInvocation) o).getRequestUrl();
        List<Menu> menus = menuService.getAllMenusRole();
        System.out.println("开始匹配路径");
        for(Menu menu: menus){
            if(antPathMatcher.match(menu.getUrl(), requestUrl)){
                List<Role> roles = menu.getRoles();
                String[] str = new String[roles.size()];
                for(int i=0; i<roles.size();i++){
                    str[i] = roles.get(i).getName();
                }
                return SecurityConfig.createList(str);
            }
        }
        //静态资源配置,返回null表示不要任何角色即可访问
        for(String url: StaticSource.source){
            //System.out.println(url);
            //System.out.println(requestUrl);
            if(antPathMatcher.match(url,requestUrl)){
                return null;
            }
        }
        // 标记而已
        return SecurityConfig.createList("ROLE_LOGIN");
    }

    @Override
    // 不用管
    public Collection<ConfigAttribute> getAllConfigAttributes() {
        return null;
    }

    @Override
    public boolean supports(Class<?> aClass) {
        return true;
    }
}

@Component
public class CustomUrlDecisionManager implements AccessDecisionManager {
    @Override
    /**
     * @param:
     * authentication 用户登陆信息
     * collection Filter的返回值
     */
    public void decide(Authentication authentication, Object o, Collection<ConfigAttribute> collection) throws AccessDeniedException, InsufficientAuthenticationException {
        //System.out.println(collection.size());
        //System.out.println(collection);
        // 修改内容
        if(collection == null || collection.isEmpty()){
            return;
        }
        for(ConfigAttribute configAttribute: collection){
            String needRole = configAttribute.getAttribute();
            if("ROLE_LOGIN".equals(needRole)){
                // 判断用户是否登陆
                if(authentication instanceof AnonymousAuthenticationToken){
                    throw  new AccessDeniedException("尚未登陆,请登陆");
                }else{
                    return;
                }
            }
            Collection<? extends GrantedAuthority>authorities = authentication.getAuthorities();
            // A,B两个角色有一个即可访问
            for (GrantedAuthority authority:authorities) {
                // 匹配到角色,立刻返回
                if(authority.getAuthority().equals(needRole)){
                    return;
                }
            }
        }
        throw new AccessDeniedException("权限不足,请联系管理员");
    }

    @Override
    public boolean supports(ConfigAttribute configAttribute) {
        return true;
    }

    @Override
    public boolean supports(Class<?> aClass) {
        return true;
    }
}

public class StaticSource {
     public static final String[] source = new String[]{"/img/**","/js/**","/css/**","/favicon.ico"};
}
通用解决
 // 不起作用的配置
 @Override
 public void configure(WebSecurity web) throws Exception {
     web.ignoring().antMatchers("/img/**");
 }
 protected void configure(HttpSecurity http) throws Exception {
 	http.authorizeRequests().antMatchers("/img/**").permitAll()
 }

根据参考资料【2】的描述,在SpringBoot2.0中WebMvcConfigurerAdapter已被废弃,访问静态资源就会被HandlerInterceptor拦截,为了防止静态资源被拦截,我们需要实现自己的inteceptor的规则

通用解决方案:

// 创建自己的拦截器类,实现HandlerInterceptor 接口
public class MyInterceptor implements HandlerInterceptor {
}

@Configuration
public class MyWebMvcConfigurer implements WebMvcConfigurer {
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(new MyInterceptor()).addPathPatterns("/**").excludePathPatterns("/swagger-ui.html","/js/**","/css/**","/img/**");
    }
}
优雅一只猫
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 9
    评论
专栏目录
spring security踩坑记录(web.ignoring不生效、无法@Autowired注入其他组件)
allen
08-12 5548
spring Security版本:1.5.10 1、spring Securityweb.ignoring不生效: 原因分析: 自定义过滤器交给了spring IOC管理,所以你在spring Security的config无论怎么配都会走到自己的过滤器。 解决办法: 自定义过滤器不能以bean的形式注入spring IOC,交给容器管理,检查自定义过滤器是否有以@bean、@component、@configuration的形式注入到spring IOC容器,如果有去掉即可。 2、自定义过滤器无法@A
狂神spring-security静态资源.zip
10-07
这个"狂神spring-security静态资源.zip"文件很可能包含了Spring Security的相关教程、代码示例或配置文件,帮助用户理解和学习如何在Spring应用实现安全控制。下面我们将深入探讨Spring Security的核心概念、功能...
聊聊spring security的permitAll以及webIgnore
weixin_33850805的博客
02-17 1241
序 本文主要聊一下spring security的permitAll以及webIgnore的区别 permitAll配置实例 @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override public void configure(HttpSe...
SpringSecurity入门学习(1)
Symon的博客
07-21 1452
目录 SpringSecurity简介 SpringSecurity初体验 1.新建项目 2.添加测试内容 3.启动测试 4.配置登录用户 SpringSecurity配置自定义登录页面 1.配置多个登录用户 2.配置自己的登录页面 SpringSecurity后端分离 1.登陆处理 2.注销处理 3.未登录处理 4.编程测试 SpringSecurity授权 1.给用户添加角色 2.准备测试资源 3.给资源配置访问权限 4.测试 5.权限继承(角色继承) 6.无
SpringSecurity web.ignoring()不起作用分析
c630843901的博客
07-25 1253
虽然在WebSecurity.ignoring().antMatchers()配置了自己要放行的地址,但是我定义了自定义的过滤器。然而自定义过滤器交给了spring IOC管理,所以你在spring Security的config无论怎么配都会走到自己的过滤器。请注意如若只在自己的过滤器设置白名单还不行,因为请求还会走SpringSecurity的过滤器链,必须两边都配置。如果只想配置一边,可以在自己过滤器放行请求时,直接给本次请求设置一个默认的认证身份。
WebSecurityConfig 设置忽略拦截
nayi_224的博客
08-17 3783
这是官方文档给出的基本配置,默认会拦截所有路径 import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.co
浅谈Spring Security 对于静态资源的拦截与放行
08-25
在本文,我们将深入探讨如何处理Spring Security对于静态资源(如CSS、JavaScript和图片)的拦截与放行。 在初始创建的Spring Boot项目,通常会使用模板引擎(如Thymeleaf)来构建动态网页。Spring Security...
狂神Spring Security静态资源
12-30
在这个名为"狂神Spring Security静态资源"的资料,我们可以期待学习到关于如何保护Web应用静态资源不被未经授权的用户访问。 首先,了解Spring Security的基本概念是必要的。它主要由四个组件构成:...
Android开发导入项目报错Ignoring InnerClasses attribute for an anonymous inner class的解决办法
08-26
在Android开发过程,有时会遇到导入项目时出现错误提示"Ignoring InnerClasses attribute for an anonymous inner class"。这个问题可能会导致项目在某些环境下无法正常运行,尤其是跨操作系统时。本文将详细解析...
SpringSecurity自定义Filter的ignoring()失效问题源码分析
大张
07-22 2095
忽略SpringBoot启动流程服务器是如何将Spring的Filter加载进来和过滤的流程。下图简要概括了Secutiry的Filter和SpringFilter的Bean的关系源码太多,流程太复杂繁琐,过了一些主要的代码和主干。遇到了问题发现没有人在源码上分析原因,花了一天时间简要的概括了一下。httpshttpshttpshttpshttpshttpshttpshttpshttpshttps。.............................................
securityspring security放行不生效,security放行后还是被拦截,路径变成了/error,security匿名用户无法访问
热门推荐
孟秋与你的博客
05-13 1万+
文章目录security最初的配置初步改进后的配置排查真实原因更加合理的配置 之前写了篇关于security认证的文章 感觉对security了解多了一点,直到遇到过滤器层面的问题,才明白security终究还是那个复杂的securitysecurity最初的配置 @Configuration public class SecuritySecureConfig extends WebSecurityConfigurerAdapter { @Override protected voi
spring-boot整合spring-security实现简单登录(ajax登录实现)
会飞的老王博客
10-24 1万+
个人技术网站 欢迎关注 平常再做一些项目时,有些项目并不需要复杂的登录权限验证 只需要简单登录权限验证(保证安全可靠的前提下),找来找去只有spring-security最适合不过了,在spring-boot下配置简单 便捷 快速 能满足基本的登录权限控制需求。 第一步:引入spring-security maven依赖 &lt;!-- 整合spring security --&gt; &...
spring security 注解不生效的一些隐含问题
weixin_34326429的博客
05-05 1221
2019独角兽企业重金招聘Python工程师标准>>> ...
SpringBoot使用SpringSecurity, web.ignore失效
AC即性感
10-20 2595
@Configuration @EnableGlobalMethodSecurity(prePostEnabled=true) public class CustomSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.sessionManagement().se
Spring Security配置放行请求,将参数放置于请求体时放行失效
mikeguo's blog
06-25 2821
配置如下: @Override public void configure(WebSecurity webSecurity){ //配置免登陆接口 webSecurity.ignoring().antMatchers( "/login/bypassword" // 登陆相关 //这里还有许多,为说明问题,把其他的都删掉了 ); } 可是就是这个请求,将参数使用问号拼接时这个配置正常,但是当将参数放
SpringBoot使用Swagger2出现404
最新发布
NNightMMare的博客
02-28 345
那么依赖就会出现问题,导致404。
SpringBoot+Security+swagger2,swagger2静态资源被拦截
Leo的博客
12-28 4514
在此之前,我发现,无论是怎么配置,都没办法过这个拦截器,于是,我查看了一下URL,并不是/swagger-ui.html,而是"/webjars/springfox-swagger-ui","/webjars/springfox-swagger-ui/**",于是在SercuityConfig里面配置一下,就好了 ...
Swagger整合SpringBoot报错404以及@EnableWebMvc无法访问静态资源文件
二祥的工作历程
07-03 2135
最近在写后台接口,是用springboot搭建的。 现在准备配置上Swagger作为接口文档。 当加好Swagger的配置项后,访问http://localhost:8080/swagger-ui.htm发现404~尴尬了。 后来才发现是@EnableWebMvc注解的问题,加了这个注解以后会导致静态资源路径无法访问。 同样404的朋友可以试一试把这个注解给注释了,看能否进入Swagger界面。 我这里是重新对静态资源文件做了一个新的路径映射。 步骤: 1、创建一个配置项实现WebMvcConfigurer
web.ignoring() .antMatchers是什么意思
09-10
### 回答1: web.ignoring().antMatchers()是Spring Security的一种配置方式,用于忽略某些URL的安全性检查。其ignoring()方法表示忽略某些URL,而antMatchers()方法则指定了需要忽略的URL的匹配规则。具体来说,antMatchers()方法可以接受一个或多个URL模式,用于匹配需要忽略的URL。例如,antMatchers("/public/**")表示忽略所有以/public/开头的URL。 ### 回答2: 在使用Spring Security框架进行Web应用程序的安全配置时,`.ignoring().antMatchers()`是一种用于忽略特定URL或路径的方法。 `.antMatchers()`是一个用于匹配URL或路径的方法。我们可以使用`.antMatchers()`来指定一组URL或路径的模式,并将其与当前请求的URL进行匹配。如果请求的URL与任何一个`.antMatchers()`指定的模式匹配成功,该URL将被认为是匹配的,并相应地进行安全处理。 `.ignoring()`则用于告诉Spring Security框架在处理匹配上述`.antMatchers()`的URL时忽略相关的安全配置。这意味着,即使请求的URL匹配成功,Spring Security也不会对该URL进行安全验证或拦截。 通常,我们使用`.ignoring().antMatchers()`来配置一些不需要进行安全验证或拦截的URL或路径。这些URL可能是一些静态资源文件,例如CSS、JavaScript或图像文件等,或者是一些公开访问的页面或API。 例如,我们可以使用以下代码来忽略所有静态资源文件的安全验证: ``` @Override public void configure(WebSecurity web) throws Exception { web.ignoring().antMatchers("/css/**", "/js/**", "/images/**"); } ``` 这样,所有以`/css/`、`/js/`或`/images/`开头的URL路径将被忽略安全验证。对于这些URL,Spring Security将允许访问而不进行任何额外的安全处理。 总而言之,`.ignoring().antMatchers()`是一种在Spring Security用于忽略URL或路径,从而避免进行安全验证和拦截的方法。 ### 回答3: web.ignoring() .antMatchers实际上是Spring Security框架用于配置忽略某些特定请求路径的方法。在WebSecurityConfigurerAdapter配置类的configure方法,可以使用这个方法来指定一些URL路径忽略安全控制。 web.ignoring()方法的.antMatchers()用于指定要忽略的路径,可以使用Ant风格的路径匹配方式来匹配多个URL路径模式。路径模式可以使用通配符*来表示任意字符或者?来表示一个字符。 例如,如果我们想要忽略对所有以/static/开头的URL进行安全控制,可以使用web.ignoring().antMatchers("/static/**")来实现。这样配置后,访问以/static/开头的URL时,将不会触发Spring Security的认证和授权流程。 这个方法常用于配置一些静态资源路径,比如CSS、JS、图片等,或者是一些公开的API接口路径,不需要进行身份验证和权限校验的路径。 需要注意的是,忽略路径的配置应该放在其他需要进行安全控制的配置之前,这样才能确保这些路径被正确地忽略掉。 总之,web.ignoring().antMatchers()的作用是配置Spring Security框架忽略某些特定请求路径,不对其进行安全控制。通过这个方法可以细粒度地控制哪些路径需要安全控制,哪些路径可以被忽略。
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值