(避坑)SpringSecurity关于使用.antMatchers放行接口不生效问题

于 2024-05-26 14:42:28 发布
阅读量610 收藏 2
点赞数 11
文章标签: java security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42009068/article/details/139214545
版权

问题

在使用SpringSecurity的时候发现放行指定接口一直没有生效,使用"/**"就可以生效的问题

关于securityConfig的配置代码

@Bean
    protected SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http
                .csrf().disable() // 关闭csrf防护,不过使用session保存在cookie中的话还是得开启csrf防护的
                .formLogin().disable() // 禁用默认登录页
                .logout().disable() // 禁用默认登出页
                .sessionManagement(session -> session.sessionCreationPolicy(SessionCreationPolicy.IF_REQUIRED)) // STATELESS禁用session(使用token作为会话的情况)
                .exceptionHandling(exceptions -> exceptions.accessDeniedHandler(accessDeniedHandler)) // 自定义授权异常处理
                .exceptionHandling(exceptions -> exceptions.authenticationEntryPoint(authenticationEntryPoint)) // 自定义认证异常处理
                .authorizeRequests()
                .antMatchers("/auth/login").permitAll() // 放行接口
                .antMatchers("/api/admin/**", "/api/setting/**").hasAuthority("admin") // 指定“admin”权限放行
                .anyRequest().authenticated(); // 所有接口都需要验证

        // 将自定义的过滤器指定执行顺序,在UsernamePasswordAuthenticationFilter之前
        http.addFilterBefore(sessionAuthenticationFilter, UsernamePasswordAuthenticationFilter.class);

        // 允许跨域
        http.cors();

        return http.build();
    }

而YML文件配置中也配置了context-path路径

解决问题及原因

通过输出security的dubug信息可以发现,添加到matchers中的是“/sinderBoot/auth/login”,但是当我们请求后发现,实际上security识别的是"/auth/login"。

通过查看FilterChainProxy的源码可以看到,当servletPath为空的时候会截取contextPath再校验。

总结

当你在yml文件中配置了ContextPath的时候,security中的放行接口就不用加上contextPath路径;

Sinder_小德
关注
  • 11
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Spring Security-antMatchers 访问控制-url-匹配、白名单
西京刀客
09-23 1万+
文章目录一、问题背景二、spring security访问控制 url 匹配1. 匹配规则1.1 antMatcher()1.2 regexMatchers()三、实战配置demo举例 一、问题背景 每个不同的业务服务有的接口需要认证后才能访问,有的接口是不需要认证就可以访问的,有的接口可能是需要某些权限、角色才可以访问。 二、spring security访问控制 url 匹配 Spring Security——访问控制 url 匹配 参考URL: http://www.wjxin.cn/wjx/2020
Spring Security 实现 antMatchers 配置路径的动态获取
weixin_33824363的博客
12-14 1万+
为什么80%的码农都做不了架构师?>>> ...
Spring Security自定义Filter后设置permitAll()不生效
mynameiswhite的博客
08-10 1938
1.之所以设置http.authorizeRequests().antMatchers().permitAll后,请求仍会走自定义过滤器,是因为这设置的是请求不走框架的权限校验,如token啥的,而不是不走过滤器链。
securityspring security放行不生效,security放行后还是被拦截,路径变成了/error,security匿名用户无法访问
孟秋与你的博客
05-13 1万+
文章目录security最初的配置初步改进后的配置排查真实原因更加合理的配置 之前写了篇关于security认证的文章 感觉对security了解多了一点,直到遇到过滤器层面的问题,才明白security终究还是那个复杂的securitysecurity最初的配置 @Configuration public class SecuritySecureConfig extends WebSecurityConfigurerAdapter { @Override protected voi
Spring Security快速入门(四) 访问控制
weixin_44283682的博客
03-17 554
@[toc](Spring Security快速入门(四)访问控制) 一、访问控制url匹配 在前面讲解了认证中所有常用配置,主要是对`http.formLogin()`进行操作。而在配置类中`http.authorizeRequests()`主要是对url进行控制,也就是我们所说的授权(访问控制)。 http.authorizeRequests()也支持连缀写法,总体公式为: url 匹配规则.权限控制方法 通过上面的公式可以有很多 url 匹配规则和很多权限控制方法。 这些内容进行各种组合就形成了
security antMatchers(HttpMethod method, String... antPatterns)实现特定注解无需登录认证功能
最新发布
cominglately的博客
12-22 915
antMatchers(HttpMethod method, String…antPatterns) 是 Spring Security 中用于配置 特定 HTTP 方法和 URL 模式的安全规则。antPatterns 表示要匹配的 URL 模式,可以指定多个模式。HttpMethod method 表示要匹配的 HTTP 方法(例如 GET、POST、PUT 等)。项目中某些接口不需要认证, 通过注解实现相对于其他的security配置会更灵活。
SpringSecurityantMatchers匹配顺序踩坑
qq_39376487的博客
10-31 1万+
SpringSecurityantMatchers匹配踩坑
spring security antMatchers相关内容
weixin_34038293的博客
06-26 7809
一.antMatcherantMatchers的区别以及使用场景 来源:https://stackoverflow.com/questions/35890540/when-to-use-spring-securitys-antmatcher antMatcher用在多个HttpSecurity的场景下,用来为每个HttpSecurity过滤 @EnableWebSecurity pu...
SpringSecurity学习笔记之四:拦截请求
热门推荐
zhoucheng05_13的博客
03-05 5万+
在任何应用中,并不是所有请求都需要同等程度地保护起来。有些请求需要认证,有些则不需要。 对每个请求进行细粒度安全性控制的关键在于重载configure(HttpSecurity)方法。如下代码片段展现了重载的configure(HttpSecurity)方法,它为不同的URL路径有选择地应用安全性:@Override protected void configure(HttpSecurity ht
浅谈Spring Security 对于静态资源的拦截与放行
08-25
在本文中,我们将深入探讨如何处理Spring Security对于静态资源(如CSS、JavaScript和图片)的拦截与放行。 在初始创建的Spring Boot项目中,通常会使用模板引擎(如Thymeleaf)来构建动态网页。Spring Security...
SpringSecurity静态资源.rar
03-20
通过`spring.security.filter.static-resources-locations`属性,可以指定静态资源的位置,并自动处理权限。 7. **自定义过滤器**:如果默认配置无法满足需求,可以创建自定义过滤器,实现更复杂的静态资源访问控制...
狂神说SpringSecurity静态资源.rar
05-04
通过配置`HttpSecurity`,我们可以使用`.antMatchers()`或`.regexMatchers()`来匹配资源路径,并设置相应的访问策略。例如,我们可以设置所有`/static/**`的请求无需认证即可访问。 2. **CORS(跨源资源共享)**:...
SpringSecurity.md
07-21
SpringSecurity.md
springsecurity-thymeleaf.zip
07-15
Spring Security 是一个强大的安全框架,用于Java web应用的安全管理,而Thymeleaf则是一个流行的模板引擎,常用于构建现代的、动态的Web界面。"springsecurity-thymeleaf.zip"这个压缩包很可能是包含了一个整合了...
Spring Security入门
07-30 1313
Spring Security入门
SpringSecurity 学习(二)
weixin_32196893的博客
02-14 5084
SpringSecurity 1. antMatchers() 方法定义: public C antMatchers(String... antPatterns) 方法参数不定,每个参数都是一个ant表达式,用于匹配URL规则。 规则如下: ?: 匹配一个字符 *: 匹配0个活多个字符 **: 匹配0个活多个目录 在实际项目中我们经常要放行所有静态资源,如放行js文件夹下的所有脚本。 .antMatchers("/js/**").perimitAll() 还有一种配置方式是只要是.js文件都放行
springsecurity过滤指定url【.antMatchers(***).permitAll()】失效分析
yangfeng20的博客
07-24 1万+
springsercurity过滤指定url【antMatchers().permitAll】失效分析
import org.springframework.beans.factory.annotation.Autowired; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.http.HttpMethod; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.builders.WebSecurity; import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity; import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter; import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder; import org.springframework.security.crypto.password.PasswordEncoder; @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private JwtTokenProvider jwtTokenProvider; @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable().authorizeRequests() .antMatchers("/api/**").authenticated() .and() .apply(new JwtConfigurer(jwtTokenProvider)); } @Override public void configure(WebSecurity web) throws Exception { web.ignoring().antMatchers(HttpMethod.OPTIONS, "/**"); } @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(12); } } 这段代码中JwtConfigurer报错,帮我修改下
05-25
你需要在代码中定义 JwtConfigurer 类,或者使用 Spring Security 提供的 JwtConfigurer 类,具体代码如下: ```java import org.springframework.beans.factory.annotation.Autowired; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.http.HttpMethod; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.builders.WebSecurity; import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity; import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter; import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder; import org.springframework.security.crypto.password.PasswordEncoder; import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter; @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private JwtTokenProvider jwtTokenProvider; @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() .addFilterBefore(new JwtTokenFilter(jwtTokenProvider), UsernamePasswordAuthenticationFilter.class) .authorizeRequests() .antMatchers("/api/**").authenticated() .anyRequest().permitAll(); } @Override public void configure(WebSecurity web) throws Exception { web.ignoring().antMatchers(HttpMethod.OPTIONS, "/**"); } @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(12); } } ``` 其中,JwtTokenFilter 是实现了 JWT 鉴权的过滤器。通过在 `configure` 方法中添加 `.addFilterBefore(new JwtTokenFilter(jwtTokenProvider), UsernamePasswordAuthenticationFilter.class)`,让该过滤器先于 Spring Security 的默认过滤器执行,以实现 JWT 鉴权。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Sinder_小德

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值