SpringSecurity6从入门到实战之SpringSecurity6自定义认证规则

于 2024-06-13 10:36:52 发布
阅读量641 收藏 5
点赞数 3
分类专栏: SpringSecurity6从入门到实战 文章标签: java spring boot spring 容器 docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45442617/article/details/139647780
版权

SpringSecurity6从入门到实战之SpringSecurity6自定义认证规则

Spring Security 中默认所有的 http 请求都需要先认证通过后,才能访问。那么, 如何指定不需要认证就可以直接访问的资源呢?比如 用户的登录页面和注册页面,都是不需要认证就必须能被直接访问的。这就需要设置自定义的URL认证规则

SpringSecurity5.x自定义认证与6.x

# 在 SpringSecurity5.x中( 了解,已被废弃 )
    // 自定义配置类 继承 WebSecurityConfigurerAdapter 类覆盖 configure() 方法
    @Configuration
    public class WebSecurityConfigurer extends WebSecurityConfigurerAdapter {
       @Override
       protected void configure(HttpSecurity http) throws Exception {
           http.authorizeHttpRequests()
                .mvcMatchers("/hello").permitAll()
                .anyRequest().authenticated()
                .and().formLogin();
       }
    }
# 在 SpringSecurity6.x 中
    // 自定义配置类 使用注解 @EnableWebSecurity 配置 SpringSecurity

开发示例

创建一个新的controller

/test

package com.example.controller;

import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
public class HelloController {
    @RequestMapping("/hello")
    public String hello() {
        System.out.println("/hello");
        return "hello...";
    }

    @RequestMapping("/test")
    public String test() {
        System.out.println("/test");
        return "test...";
    }
}

方便与/hello对比进行测试

根据SpringSecurity6.x自定义认证规则配置

新建MyWeSecurityConfig自定义配置类

package com.example.config;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.web.SecurityFilterChain;

@Configuration
@EnableWebSecurity
public class MyWeSecurityConfig {
    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        //放行hello和test
        http.authorizeHttpRequests().requestMatchers("/hello", "test").permitAll()
            //所有请求都需要进行认证
                .anyRequest().authenticated()
            //进行表单登录验证
            .and().formLogin();
        return http.build();

    }
}

测试

image.png

image.png

结论

最终可以发现我们可以自定义认证规则,让例如注册等不需要认证的请求直接放行,让其他请求进行认证操作后再进行放行
全干程序员demo
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Spring Security 6.x 系列【7】认证篇之表单登录的自定义配置
记录知识、锤炼自我
03-29 2202
提供了默认的认证规则,也支持各种自定义配置,本篇文档主要学习中表单登录的相关自定义配置。未认证的请求会重定向到默认登录页面,也支持自定义登录页面,首先创建一个简单的登录页login.html。
Spring Security 6.x 系列【20】授权篇之自定义权限注解表达式
记录知识、锤炼自我
08-10 3242
在之前的案例中,使用提供了很多计算表达式,能满足大部分应用场景,但是某些特殊条件下,如何进行表达式的自定义扩展呢?
SpringSecurity6
02-01
使用SpringSecurity6实现用户登录认证 自定义用户名和密码登录认证 自定义Jwt认证(AccessToken认证、RefleshToken认证
SpringSecurity6.0自定义数据库登录认证详细注释与两个关键点
lfl_jeetoon的博客
01-29 3806
直接把安全认证的两个关键点找了出来,让大家明白自定登录我要从哪里入手。第一是重写SecurityFilterChain,第二是重写UserDetailsService。
Spring Security (一):自定义认证
weixin_55136824的博客
07-28 682
Spring Security 是一个提供身份验证授权和针对常见攻击的保护的框架,spring security 在程序启动时,向spring中注入一个默认的filterChian,按照顺序,依次执行filter,对用户信息进行认证,授权。官网链接: Spring Security :: Spring SecurityCorsFilterCsrfFilterOpenIDSiteMinder其中,默认的认证过滤器为 UsernamePasswordAuthenticationFilter。
SpringBoot+SpringSecurity整合(四)自定义Access
鹏举的博客
05-27 1037
SpringSecurity角色和权限授权 在登录成功之后,会有少部分资源不会给没有权限的人进行开放,比如说爱奇艺会员,只有会员才能看会员专享的电影,SpringBoot+SpringSecurity整合(二)中将当前用户的角色和权限加入到了UserUserDetails中,这样就可以进行角色和权限的判断了 @Override protected void configure(HttpSecurity http) throws Exception { // 表单登录
史上最简单的Spring Security教程(二十二):自定义AccessDecisionManager实现简单的访问决策
银河架构师的博客
08-19 1972
​在前面讲过的资源权限动态控制业务场景中,我们使用了 Spring Security 框架默认的 AccessDecisionManager,即 AffirmativeBased。能实现的访问决策即为任一AccessDecisionVoter授予权限,即代表授予访问权限。但是我们只添加了一个AccessDecisionVoter,即RoleVoter。 既然如此,我们就可以简化一下这些逻辑,直接自定义一个新的 AccessDecisionManager,其决策逻辑为:当前请求所需的所有 ...
Spring Security访问控制
zongzhibin117的博客
09-15 709
访问控制构成: url匹配规则 + 权限控制方法 url匹配规则: 1、anyRequest:匹配所有请求 2、antMatchers: ? :匹配一个字符 * : 匹配0或者多个字符 **:匹配0个或者多个目录 如释放静态资源: .antMatchers( HttpMethod.GET, "/*.html", ...
SpringSecurity学习笔记之 入门 八 (Access表达式权限控制&注解权限控制)
m0_49194578的博客
08-10 972
uri通过传参导入请求数据以及权限信息,导出数据进行逻辑判断。
Spring Security 6 配置方法,废弃 WebSecurityConfigurerAdapter
热门推荐
markvivv随笔
03-26 1万+
Spring Security 5.7.0-M2中,Spring就废弃了WebSecurityConfigurerAdapter,因为Spring官方鼓励用户转向基于组件的安全配置。本文整理了一下新的配置方法。在下面的例子中,我们使用Spring Security lambda DSL和HttpSecurity#authorizeHttpRequests方法来定义我们的授权规则,从而遵循最佳实践。
新鲜速递:Spring Boot 3 项目快速集成 Spring Security 6的方法
杨若瑜的技术博客
12-11 1万+
本文讲述Spring Boot 3 快速集成Spring Security 6的方法,以往的旧文章大多无法无错完成集成,所以笔者经过研究,在这里发布快速集成方法,避免读者重蹈覆辙掉入各种坑里。
Spring Boot+Spring Security6的配置方法
最新发布
qq_68534248的博客
04-01 1217
Autowired@Bean// 调用 JwtUserDetailService实例执行实际校验@Component@Autowired@Overridetry {// 查询数据库用户表,获得用户信息// 使用获得的信息创建SecurityUserDetailspassword,// 以及其他org.springframework.security.core.userdetails.UserDetails接口要求的信息。
一文教会你SpringSecurity 自定义认证登录
qq_36551991的博客
11-17 2620
现在登录方式越来越多,传统的账号密码登录已经不能满足我们的需求。可能我们还需要手机验证码登录,邮箱验证码登录,一键登录等。这时候就需要我们自定义我们系统的认证登录流程,下面,我就一步一步在SpringSecurity 自定义认证登录,以手机验证码登录为例
Springboot 3 + Spring Security 6 + OAuth2 入门级最佳实践
m0_64469199的博客
05-03 1万+
当我的项目基于 SpringBoot 3 而我想使用Spring Security,最终不幸得到WebSecurityConfigurerAdapter被废弃的消息。本文档就是在这样的情况下产生的。
Springboot 实践(6)spring security配置与运用
qq_37647812的博客
08-16 347
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。 1、项目pom.xml文件引入spring security jar包 2、application.yml配置权限参数 3、替换spring security默认授权页面
Spring Security6版本变化内容
程序三两行
08-05 3521
Spring Security已经更新到了6.x,通过本专栏记录以下Spring Security6学习过程,当然大家可参考Spring Security5专栏对比学习Spring Securityspring家族产品中的一个安全框架,核心功能包括用户认证(Authentication)和用户授权(Authorization)两部分。用户认证:验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。
Spring Security 6 密码验证流程
weixin_52019286的博客
01-25 659
数据库中保存的不是明文,而是加密编码之后的hash 值,用户输入的密码,进行相同的处理,最终比较的是hash 值是否一致。
Spring Security 6 的权限授权验证失败
qq_46506007的博客
04-06 755
Spring Security 6 的权限授权验证 您想创建一个已认证的token,您需要提供credentials和authorities信息,或者使用另一个构造方法,传入一个Authentication类型的参数。我第一次完成了认证 ,然后在授权验证那里出来了问题,我也不知道,教程是sangen 那个教程。跟着敲,我知道我的版本不对,但是我最后还是new bing 解决我的bug .这样会导致创建一个未认证的token,只包含principal信息,不包含credentials和authorities
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

全干程序员demo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值