SpringSecurity安全框架常见参数

最新推荐文章于 2024-06-15 16:48:03 发布
最新推荐文章于 2024-06-15 16:48:03 发布
阅读量1.3k 收藏 8
点赞数 2
分类专栏: java框架 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48948094/article/details/119634579
版权

访问控制url匹配

anyRequest()

在之前认证过程中我们就已经使用过 anyRequest(),表示匹配所有的请求。一般情况下此方法都会使用,设置全部内容都需要进行认证。

.anyRequest().authenticated();

antMatcher()

方法定义如下

public C antMatchers(String... antPatterns)

参数是不定向参数,每个参数是一个 ant 表达式,用于匹配 URL规则。
规则如下:

  • ? : 匹配一个字符
  • :匹配 0 个或多个字符
  • ** :匹配 0 个或多个目录
    在实际项目中经常需要放行所有静态资源,下面演示放行 js 文件夹下所有脚本文件。
 .antMatchers("/js/**","/css/**").permitAll()

还有一种配置方式是只要是.js 文件都放行

.antMatchers("/**/*.js").permitAll()

regexMatchers()

介绍
使用正则表达式进行匹配。和 antMatchers() 主要的区别就是参数, antMatchers() 参数是 ant表达式, regexMatchers() 参数是正则表达式。
演示所有以.js 结尾的文件都被放行。

.regexMatchers( ".+[.]js").permitAll()

内置访问控制方法

permitAll()

permitAll()表示所匹配的 URL 任何人都允许访问。

authenticated()表示所匹配的 URL 都需要被认证才能访问。

anonymous()

anonymous()表示可以匿名访问匹配的URL。和permitAll()效果类似,只是设置为 anonymous()的 url会执行 filter 链中

denyAll()

denyAll()表示所匹配的 URL 都不允许被访问。

rememberMe()

被“remember me”的用户允许访问

fullyAuthenticated()

如果用户不是被 remember me 的,才可以访问。

角色权限判断

hasAuthority(String)

判断用户是否具有特定的权限,用户的权限是在自定义登录逻辑中创建 User 对象时指定的。下图中admin和normal 就是用户的权限。admin和normal 严格区分大小写。
在这里插入图片描述
在配置类中通过 hasAuthority(“admin”)设置具有 admin 权限时才能访问

.antMatchers("/main1.html").hasAuthority("admin")

hasAnyAuthority(String …)

如果用户具备给定权限中某一个,就允许访问。
下面代码中由于大小写和用户的权限不相同,所以用户无权访问

.antMatchers("/main1.html").hasAnyAuthority("adMin","admiN")

hasRole(String)

如果用户具备给定角色就允许访问。否则出现 403。

参数取值来源于自定义登录逻辑 UserDetailsService 实现类中创建 User 对象时给 User 赋予的授权。

在给用户赋予角色时角色需要以: ROLE_开头 ,后面添加角色名称。例如:ROLE_abc 其中 abc
是角色名,ROLE_是固定的字符开头。

使用 hasRole()时参数也只写 abc 即可。否则启动报错。给用户赋予角色:

在这里插入图片描述
在配置类中直接写 abc 即可。

.antMatchers("/main1.html").hasRole("abc")

hasAnyRole(String …)

如果用户具备给定角色的任意一个,就允许被访问

hasIpAddress(String)

滑稽帮前线帮主
关注
专栏目录
Spring Security-antMatchers 访问控制-url-匹配、白名单
西京刀客
09-23 1万+
文章目录一、问题背景二、spring security访问控制 url 匹配1. 匹配规则1.1 antMatcher()1.2 regexMatchers()三、实战配置demo举例 一、问题背景 每个不同的业务服务有的接口需要认证后才能访问,有的接口是不需要认证就可以访问的,有的接口可能是需要某些权限、角色才可以访问。 二、spring security访问控制 url 匹配 Spring Security——访问控制 url 匹配 参考URL: http://www.wjxin.cn/wjx/2020
spring security原理和机制 | Spring Boot 35
热门推荐
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
隔壁程序妹子推荐的纯 Spring Security 架构干货分享,我先收藏了!
程序员小乐
09-25 1029
点击上方 "程序员小乐"关注,星标或置顶一起成长每天凌晨00点00分,第一时间与你相约每日英文Three things in life when gone n...
Spring Security默认参数配置
RichardGeek的博客
08-01 3311
Spring Security内置属性参数 Spring Boot 提供的内置配置参数security为前缀,具体属性如下: # SECURITY (SecurityProperties 类中) security.basic.authorize-mode=role # 应用授权模式,ROLE=成员必须是安全的角色,AUTHENTICATED=经过身份 ...
Spring Security学习(一)
qq_25447799的博客
04-10 980
1、Spring Security的定义 2、使用Spring Security配置实现权限控制 3、使用注解实现权限控制。 4、在Spring security的使用中,为了对方法进行权限控制,通常采用的三个注。
spring security 用户授权/访问控制
swadian2008的博客
09-12 1859
授权的方式包括 web 授权和方法授权,web授权是通过 url 拦截进行授权,方法授权是通过方法拦截进行授权。他们都会调用 accessDecisionManager 进行授权决策,若为web授权则拦截器为FilterSecurityInterceptor;若为方法授权则拦截器为MethodSecurityInterceptor。如果同时通过web 授权和方法授权则先执行web授权,再执行方法授权,最后决策通过,则允许访问资源,否则将禁止访问。
Spring Security 安全认证框架
javasimawanyi的博客
09-07 104
Spring Security是一种基于Spring框架安全框架,它提供了一系列的安全工具和功能,用于保护Web应用程序和服务。Spring Security可以用于管理用户身份验证、授权、会话管理等安全方面的功能,同时还支持许多常见安全协议和标准,如OAuth、OpenID等。通过使用Spring Security,开发人员可以更轻松地实现安全性,以保护其应用程序和服务。
SpringSecurity框架【详解】
m0_67266585的博客
07-28 1197
SpringSecuritySpring家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富;是一个功能强大且高度可定制的身份验证和访问控制框架。它是用于保护基于Spring的应用程序的实际标准;SpringSecurity是一个框架,致力于为Java应用程序提供身份验证和授权。与所有Spring项目一样,SpringSecurity的真正强大之处在于可以轻松扩展以满足自定义要求。在Java生态中,目前有和认证和授权。...
Spring Security安全框架的基本原理与常见应用场景
# 第一章:Spring Security安全框架概述 ## 1.1 什么是Spring Security Spring Security是一个功能强大且高度可定制的安全框架,用于保护Java应用程序中的身份验证和授权。它为开发人员提供了一组现成的功能,用于...
Spring Security 表单认证
快乐的小三菊的博客
12-14 3609
spring security 的表单认证
Spring Security:身份验证令牌Authentication介绍与Debug分析
kaven
01-21 1万+
Spring Security中,通过Authentication来封装用户的验证信息以及用户验证实现,Authentication可以是需要验证和已验证的用户信息封装。接下来,博主介绍Authentication接口及其实现类。 Authentication Authentication接口源码(Authentication接口继承Principal接口,Principal接口表示主体的抽象概念,可用于表示任何实体): package org.springframework.security.core;
Spring Security(五) 访问控制 url 匹配及 内置访问控制方法介绍
奥迪的博客
09-28 7056
一、 访问控制 url 匹配制 在前面讲解了认证中所有常用配置,主要是对 http.formLogin()进行操作。而在配置类中 http.authorizeRequests()主要是对 url 进行控制,也就是我们所说的授权(访问控制)。http.authorizeRequests()也支持连缀写法,总体公式为: url 匹配规则. 权限控制方法 通过上面的公式可以有很多 url 匹配规则和很多权限控制方法。这些内容进行各种组合就形成了 Spring Security 中的授权。 在所有匹...
一文搞懂SpringSecurity---[Day05]anyRequest,antMatcher,regexMatchers,mvcMatchers详解
风归去.
07-06 5384
访问控制url匹配在前面讲解了认证中所有常用配置,主要是对 进行操作。而在配置类中 主要是对url进行控制,也就是我们所说的授权(访问控制)。 也支持连缀写法,总体公式为:通过上面的公式可以有很多 url 匹配规则和很多权限控制方法。这些内容进行各种组合就形成了中 的授权。 antMatcher() 方法定义如下 参数是不定向参数,每一个参数是一个ant表达式,用于匹配URL规则。规则如下:在实际项目中经常需要放行所有静态资源,下面演示放行 js 文件夹下所有脚本文件。 还有一种配置方式是只要是.js
Spring Security 实现 antMatchers 配置路径的动态获取
MrLee的博客
12-26 2433
2,实现 SecurityConfigAttributeLoader (这里也可以从数据库获取)
(新)Spring Security如何实现登录认证(实战篇)
最新发布
weixin_55772633的博客
06-15 3175
①编写实现类去实现UserDetailsService接口,然后重写里面的loadUserByUsername()方法,用来用来在数据库中查询用户信息并且封装到UserDetail对象中。其中UserDetail是个接口,我们需要编写相应的实体类去实现这个接口。详细内容如4.2.1、4.2.2②更改密码加密存储模式,这时我们就可以使用Spring Security默认提供的登录接口localhost:8080/login来尝试登陆。详细内容如:4.2.3③如何登陆接口?
Spring Security认证和授权(二)
致力于不留技术债务cuizb.top
03-27 4780
文章目录1. 默认数据库认证和授权1.1 资源准备1.2 资源授权的配置1.3 基于内存的多用户支持1.4 认证和授权1.4.1 数据库准备1.4.2 编码2. 自定义数据库模型的认证与授权2.1 实现UserDetails2.2 数据库以及表准备2.3 实现UserDetailsService2.4 启动程序测试 1. 默认数据库认证和授权 1.1 资源准备 首先准备三个不同权限的接口 @GetMapping("/admin/test") @ResponseBody public String admi.
Spring Security 工作原理概览,springboot面试知识点总结
2401_84181221的博客
04-11 757
看完上述知识点如果你深感Java基础不够扎实,或者刷题刷的不够、知识不全面小编专门为你量身定制了一套针对知识面不够,也莫慌!还有一整套的,可以瞬间查漏补缺全都是一丢一丢的收集整理纯手打出来的。
Spring-Security学习笔记【二】Authentication认证
天乔巴夏丶
07-21 1612
文章目录SpringSecurity中的认证:Authentication简单案例典型web应用验证授权过程ExceptionTranslationFilterAuthenticationEntryPointAuthentication MechanismStoring the SecurityContext between requests SpringSecurity中的认证:Authentication 我们先来考虑一个最正常不过的用户信息验证场景: 提示用户使用用户名和密码登录。 系统(成功)验证
Spring Security深度解析:安全权限管理实践
Spring SecurityJava应用中广泛使用的安全框架,它提供了一整套完善的访问控制和身份验证机制,帮助开发者轻松地管理应用程序的安全需求。该手册主要分为两个部分:基础篇和保护Web篇。 在基础篇中,首先通过一个...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值