spring security放行所有请求,通过配置多个WebSecurityConfigurerAdapter实现

已于 2023-04-21 15:45:45 修改
阅读量2.6k 收藏 3
点赞数 4
分类专栏: spring security 文章标签: spring java 后端
于 2023-04-21 15:16:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44918668/article/details/130281265
版权
文章介绍了在一个依赖于auth-project的main-project中,如何在开发新接口时临时跳过SpringSecurity的登录认证。提供了两种解决方案:一是自定义WebSecurity配置,通过@Order(1)确保配置优先级并禁用csrf防御;二是直接在pom.xml中注释掉auth-project的依赖。
摘要由CSDN通过智能技术生成

项目场景:

笔者最近有一个项目,依赖关系如下图:
项目依赖图

  • main-project 是主项目
  • auth-project 是公司封装好的认证中心项目,打包成了jar包供引用,基于spring security开发

需求描述

现在笔者需要在main-project上做开发,即在Controller中添加一个新接口,但是由于引用了auth-project,所以所有接口必须要先登录获取token之后才能访问。
为了便于开发,笔者想暂时跳过spring security的认证过程。

解决方案:

方法一:

在main-project的config包下编写一个类,继承WebSecurityConfigurerAdapter,并重写configure(HttpSecurity http)方法,放行所有请求,代码如下:

@EnableWebSecurity
@Order(1)
public class MyWebSecurityConfiguration extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeHttpRequests()
                .anyRequest().permitAll()
                .and()
                .csrf().disable();
    }

这里有2点需要注意:

  • @Order(1)是为了配置执行顺序的优先级,因为auth-project里已经有了一个WebSecurity的配置类,所以这里配置@Order(1)是为了让我们写的配置类先加载,数字越小优先级越高;
  • 需要禁用csrf防御,否则除get请求方法以外,其它类型的请求会返回403响应。

方法二:

在main-project的pom.xml文件中,注释掉auth-project的dependency。

参考文章:

浅谈Spring @Order注解的使用
Spring Boot请求403 Forbidden错误

本文如有侵权,请联系我删除,谢谢!

linlm1368
关注
  • 4
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
深入理解 WebSecurityConfigurerAdapter【源码篇】
2401_84446580的博客
05-03 839
资料过多,篇幅有限开源分享:【大厂前端面试题解析+核心总结学习笔记+真实项目实战+最新讲解视频】自古成功在尝试。不尝试永远都不会成功。勇敢的尝试是成功的一半。http.and()[外链图片转存中…(img-FhMlKjMO-1714729010990)][外链图片转存中…(img-yXxArca0-1714729010992)]资料过多,篇幅有限开源分享:【大厂前端面试题解析+核心总结学习笔记+真实项目实战+最新讲解视频】自古成功在尝试。不尝试永远都不会成功。勇敢的尝试是成功的一半。
如何利用自定义注解放行springsecurity项目的接口
weixin_45089791的博客
07-19 2251
如何利用自定义注解放行springsecurity 在实际项目中使用到了springsecurity作为安全框架,我们会遇到需要放行一些接口,使其能匿名访问的业务需求。但是每当需要当需要放行时,都需要在security配置类中进行修改,感觉非常的不优雅。 例如这样: 所以想通过自定义一个注解,来进行接口匿名访问。在实现需求前,我们先了解一下security的两种方行思路。 第一种就是在 configure(WebSecurity web) 方法中配置放行,像下面这样: @Override pub
# spring-security(一)
m0_74795259的博客
12-09 3206
是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在 Spring 应用上下文中配置的 Bean,充分利用了 Spring IoC(Inversion of Control 控制反转),DI(Dependency Injection 依赖注入)和 AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。对身份验证和授权的全面且可扩展的支持防御会话固定、点击劫持,跨站请求伪造等攻击。
SpringSecurity 源码理解及使用(三)
m0_52889702的博客
10-23 2561
springSecurity授权 权限管理策略 基于url的权限管理 基于方法的权限管理 将url权限管理设为动态 会话管理 会话并发管理 会话失效处理 禁止再次登录 会话共享 源码分析 CSRF 跨站请求伪造 开启CSRF防御 传统web开发 前后端分离开启CSRF防护 csrf防御过程 CORS 跨域问题 springBoot解决跨域的三种方式 springSecurity解决跨域
Spring SecurityWebSecurityConfigurerAdapter
weixin_43172297的博客
07-30 5988
文章目录一、WebSecurityConfigurerAdapter是什么?1.WebSecurityConfigurer是什么?2.WebSecurity2.1 WebSecurity定义2.2 AbstractConfiguredSecurityBuilder2.3二、使用步骤1.引入库2.读入数据总结 一、WebSecurityConfigurerAdapter是什么? WebSecurityConfigurerAdapter是为创建WebSecurityConfigurer实例提供方便的基类,该类允
Spring Security(二)拦截请求
热门推荐
逝去的往事的博客
06-20 2万+
拦截请求 在第一篇中,我们看到一个特别简单的Spring Security配置,在这个默认的配置中,会 要求所有请求都要经过认证。
springSecurity+vue前后分离放行所有请求
x_u_xiang的博客
02-02 2262
问题:vue前端请求SpringSecuriry权限框架资源返回403没有权限 解决:springSecurity配置配置所有的资源都可以放行。 import org.springframework.context.annotation.Configuration; import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder; import o
详解spring security 配置多个AuthenticationProvider
08-30
Spring Security 配置多个 AuthenticationProvider 详解 Spring Security 是一个功能强大且灵活的安全框架,提供了多种身份验证机制和访问控制机制。在实际开发中,我们经常需要配置多个身份验证提供程序...
浅谈Spring Security 对于静态资源的拦截与放行
08-25
Spring Security 是一个强大的安全框架,广泛用于Java Web应用的安全管理,包括身份验证、授权和访问控制等。在本文中,我们将深入探讨如何处理Spring Security对于静态资源(如CSS、JavaScript和图片)的拦截与放行...
SpringBoot+SpringSecurity处理Ajax登录请求问题(推荐)
08-28
SpringBoot+SpringSecurity处理Ajax登录请求问题 ...使用SpringBoot+SpringSecurity处理Ajax登录请求问题需要我们了解SpringBoot、SpringSecurity、MyBatis等技术框架,并掌握相关的配置实现细节。
SpringSecurity如何实现配置单个HttpSecurity
08-18
今天,我们将详细介绍如何使用 Spring Security 实现配置单个 HttpSecurity。 一、创建项目并导入依赖 在使用 Spring Security 之前,我们需要创建一个 Spring Boot 项目,并导入相关依赖。我们可以使用 Maven 或 ...
Spring Security实现禁止用户重复登陆的配置原理
08-25
Spring Security 是一个功能强大且灵活的安全框架,提供了许多强大的安全功能,其中之一就是禁止用户重复登陆的配置原理。本文将详细介绍 Spring Security 实现禁止用户重复登陆的配置原理,并提供了详细的示例代码...
浅谈 SpringSecurity使用方式——WebSecurityConfigurerAdapter的三大方法(二)
小爽帅到拖网速的博客
09-10 1万+
上一章节我们简单介绍了SpringSecurity使用方式及自动配置原理,这一节我们会着重阐述SpringSecurity配置,并且会基于配置WebSecurityConfigurerAdapter的三个方法的使用方式及原理向大家介绍 2.4、基于配置WebSecurityConfigurerAdapter 创建 WebSecurityConfig配置类,继承 WebSecurityConfigurerAdapter抽象类,实现 Spring SecurityWeb 场景下的自定义配置。 @Con
SpringBoot中的Security简单入门实现
jingjiaohuan的博客
11-01 1595
以上是10月31日对29日的Security学习进行日常总结。
Spring Security入门宝典(二)中篇
长夜漫漫,无心睡眠
10-10 2856
使用正则表达式进行匹配。和主要的区别就是参数,antMatchers()参数是ant表达式,参数是正则表达式。演示所有以.js结尾的文件都被放行
springboot访问请求放行_SpringBoot2系列教程88-SpringBoot整合SpringSecurity实现认证拦截...
weixin_39716264的博客
01-25 1666
SpringBoot2.x系列教程88--SpringBoot整合SpringSecurity实现认证拦截作者:一一哥一. SpringSecurity简介1. SpringSecurity概述Spring SecuritySpring 社区的一个顶级项目,也是 Spring Boot 官方推荐使用的安全框架。除了常规的认证(Authentication)和授权(Authorization)...
SpringSecurity 多页面登录-附源码
技术摸索和实践者
05-30 1081
#功能说明 通过多次扩展WebSecurityConfigurerAdapter实现了一个系统多个登录界面隔离的功能。 1、admin开头地址自动跳转到admin登录界面,否则跳转到默认登录界面 2、根据不同的角色控制系统访问路径,做到权限隔离 ## 关键注意点 1、用户验证实现UserDetailsService接口,注意角色需要ROLE_kaitou 2、扩展WebSecurityConfigurerAdapter,覆盖configure(HttpSecurity http) 第一句必须是http.a
WebSecurity配置
小汤圆
08-10 323
WebSecurity配置
第二章:springboot-springsecurity配置登录流程设置
qq_26278133的博客
03-27 449
**创建配置WebSecurityConfigurerAdapter**进行自定义登录流程配置
springsecurity如何实现多个配置
最新发布
05-30
Spring Security 可以通过多个配置类来实现不同的安全策略,每个配置类都可以有自己的安全过滤器链。具体的实现方式如下: 1. 创建多个配置类,每个配置类都需要继承自 `WebSecurityConfigurerAdapter` 类。 2. 在每个配置类中覆盖 `configure(HttpSecurity http)` 方法,来实现不同的安全策略。 3. 在 `WebSecurityConfigurerAdapter` 子类中添加 `@Order(value = n)` 注解,来指定配置类的优先级,其中 n 的值越小,优先级越高。 4. 在主配置类中,使用 `@Import` 注解来导入所有的子配置类。 例如,下面是两个配置类,一个用于基于表单的身份验证,另一个用于基于 HTTP Basic 的身份验证: ```java @Configuration @Order(1) public class FormLoginWebSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/login").permitAll() .anyRequest().authenticated() .and() .formLogin() .loginPage("/login") .defaultSuccessUrl("/home") .permitAll() .and() .logout() .permitAll(); } } @Configuration @Order(2) public class HttpBasicAuthWebSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/api/**").hasRole("USER") .anyRequest().authenticated() .and() .httpBasic(); } } ``` 在主配置类中,使用 `@Import` 注解来导入所有的子配置类: ```java @Configuration @EnableWebSecurity @Import({FormLoginWebSecurityConfig.class, HttpBasicAuthWebSecurityConfig.class}) public class MainWebSecurityConfig extends WebSecurityConfigurerAdapter { // ... } ``` 这样,就可以通过多个配置类来实现不同的安全策略了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值