SpringBoot配置属性之Security

最新推荐文章于 2022-12-22 22:45:00 发布
最新推荐文章于 2022-12-22 22:45:00 发布
阅读量1.1k 收藏 6
点赞数 3
分类专栏: spring security

SpringBoot配置属性之Security

 

spring security是springboot支持的权限控制系统。

  • security.basic.authorize-mode要使用权限控制模式.

  • security.basic.enabled是否开启基本的鉴权,默认为true

  • security.basic.path需要鉴权的path,多个的话以逗号分隔,默认为[/**]

  • security.basic.realmHTTP basic realm 的名字,默认为Spring

  • security.enable-csrf是否开启cross-site request forgery校验,默认为false.

  • security.filter-orderSecurity filter chain的order,默认为0

  • security.headers.cache是否开启http头部的cache控制,默认为false.

  • security.headers.content-type是否开启X-Content-Type-Options头部,默认为false.

  • security.headers.frame是否开启X-Frame-Options头部,默认为false.

  • security.headers.hsts指定HTTP Strict Transport Security (HSTS)模式(none, domain, all).

  • security.headers.xss是否开启cross-site scripting (XSS) 保护,默认为false.

  • security.ignored指定不鉴权的路径,多个的话以逗号分隔.

  • security.oauth2.client.access-token-uri指定获取access token的URI.

  • security.oauth2.client.access-token-validity-seconds指定access token失效时长.

  • security.oauth2.client.additional-information.[key]设定要添加的额外信息.

  • security.oauth2.client.authentication-scheme指定传输不记名令牌(bearer token)的方式(form, header, none,query),默认为header

  • security.oauth2.client.authorities指定授予客户端的权限.

  • security.oauth2.client.authorized-grant-types指定客户端允许的grant types.

  • security.oauth2.client.auto-approve-scopes对客户端自动授权的scope.

  • security.oauth2.client.client-authentication-scheme传输authentication credentials的方式(form, header, none, query),默认为header方式

  • security.oauth2.client.client-id指定OAuth2 client ID.

  • security.oauth2.client.client-secret指定OAuth2 client secret. 默认是一个随机的secret.

  • security.oauth2.client.grant-type指定获取资源的access token的授权类型.

  • security.oauth2.client.id指定应用的client ID.

  • security.oauth2.client.pre-established-redirect-uri服务端pre-established的跳转URI.

  • security.oauth2.client.refresh-token-validity-seconds指定refresh token的有效期.

  • security.oauth2.client.registered-redirect-uri指定客户端跳转URI,多个以逗号分隔.

  • security.oauth2.client.resource-ids指定客户端相关的资源id,多个以逗号分隔.

  • security.oauth2.client.scopeclient的scope

  • security.oauth2.client.token-name指定token的名称

  • security.oauth2.client.use-current-uri是否优先使用请求中URI,再使用pre-established的跳转URI. 默认为true

  • security.oauth2.client.user-authorization-uri用户跳转去获取access token的URI.

  • security.oauth2.resource.id指定resource的唯一标识.

  • security.oauth2.resource.jwt.key-uriJWT token的URI. 当key为公钥时,或者value不指定时指定.

  • security.oauth2.resource.jwt.key-valueJWT token验证的value. 可以是对称加密或者PEMencoded RSA公钥. 可以使用URI作为value.

  • security.oauth2.resource.prefer-token-info是否使用token info,默认为true

  • security.oauth2.resource.service-id指定service ID,默认为resource.

  • security.oauth2.resource.token-info-uritoken解码的URI.

  • security.oauth2.resource.token-type指定当使用userInfoUri时,发送的token类型.

  • security.oauth2.resource.user-info-uri指定user info的URI

  • security.oauth2.sso.filter-order如果没有显示提供WebSecurityConfigurerAdapter时指定的Filter order.

  • security.oauth2.sso.login-path跳转到SSO的登录路径默认为/login.

  • security.require-ssl是否对所有请求开启SSL,默认为false.

  • security.sessions指定Session的创建策略(always, never, if_required, stateless).

  • security.user.name指定默认的用户名,默认为user.

  • security.user.password默认的用户密码.

  • security.user.role默认用户的授权角色.

GavinYCF
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
FLY攻略第一回之浅尝 security+JWT
qq_29979317的博客
02-09 261
整合 security+JWT 第一步:添加相关依赖 <!-- spring security --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <!--JWT工具依赖--> <de
SpringBoot配置属性的运用
AC_sunK的博客
09-19 205
Spring配置属性 文章目录Spring配置属性一、细粒度自动配置二、一些有用的基础配置三、创建自己的配置属性四、Profile和@Profile注解五、Properties文件的读入 一、细粒度自动配置 回顾基本Spring应用的配置方式: 一、通过配置类,声明@bean方法,设置属性值。 二、通过Xml配置文件进行配置,设置属性。 二、一些有用的基础配置 一、配置数据源 spring: datasource: ##数据源类型,默认hikari hikari:
基于注解方式实现Spring Security忽略拦截
皓亮君的博客
12-22 4721
一般像一些静态资源文件需要过滤掉安全认证,例如图片,.css,.js等静态资源文件,像这种在配置文件中指定比较方便。: String url=baseUrl+接口访问路径(/login) =/test/login。像这种需要忽略某个接口需要在Spring Security配置类中在代码中写死,非常的不灵活。测试用注解修饰的接口路径,可以正常访问,由此可看配置是正常。如果从配置文件中删除了过滤的接口名称则访问接口会返回403。忽略的接口访问路径规则以下文3.3的测试接口为例,添加配置类注入配置的参数。
2021-03-12 Springboot配置大全
okludawei的博客
03-12 716
SpringBoot配置文件常用配置示例 SpringBoot配置文件 flyway.baseline-description执行基线时标记已有Schema的描述。 flyway.baseline-on-migrate在没有元数据表的情况下,针对非空Schema执行迁移时是否自动调用基线。(默认值:false 。) flyway.baseline-version执行基线时用来标记已有Schema的版本。(默认值: 1 。) flyway.check-location检查迁移脚本所在的位置是否存在。
关于Spring Security ignoring失效
bool的博客
12-27 1102
// filter不能使用spring来管理,不然会让ignoring失效... 只能new
SpringBoot 的 SpringSecurity 配置
norang的博客
09-21 606
SecurityConfig 配置类 @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { //定制请求的授权规则 @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests().antMatchers("/").permi
SpringBoot-Security
05-26
2. **启用自动配置**:在`@Configuration`注解之上添加`@EnableWebSecurity`,开启Spring Security的自动配置。 3. **自定义安全规则**:重写`configure(HttpSecurity http)`方法,通过调用`http.authorizeRequests...
springboot springsecurity动态权限控制
09-18
在这个“springboot springsecurity动态权限控制”的主题中,我们将深入探讨如何在Spring Boot项目中集成Spring Security,实现动态权限控制,让菜单权限的管理更加灵活和高效。 首先,我们需要理解Spring Security...
idea-springboot配置教程
12-20
- 使用`@Value`注解注入配置属性到Java类中。 5. **运行和测试Spring Boot应用** - 在IDEA中,右键点击`YourApplication`类,选择"Run 'YourApplication.main()'"启动应用。IDEA内置的Tomcat服务器将自动启动,...
SpringBoot-SpringSecurity集成
11-04
默认的登录页面是Spring Security提供的,但可以通过配置`loginPage`属性来自定义登录页面。 6. **角色和权限**: Spring Security支持基于角色的访问控制(Role-Based Access Control, RBAC)。可以定义不同的...
springboot security 静态资源
04-18
另外,Spring Boot也提供了预定义的过滤器链`spring.security.filter.order`来处理静态资源,如果不需要自定义配置,可以通过配置属性来开启: ```properties spring.security.filter.order=-1 ``` 这会将Spring ...
spring boot+spring security+jwt实现安全
你一个人,就不想到别处看看? ---- 我怕一转身连你也不见了......
01-03 461
本项目使用 spring boot,spring security,jwt,mybatis-plus 关于mybatis-plus代码生成的,请看我的另外一篇博客 https://blog.csdn.net/qq_42151769/article/details/103801366 自定义权限不足返回,自定义未登录返回 表结构: 项目截图 ...
一个注解搞定 Spring Security 忽略拦截
Java知音
12-20 1718
点击关注公众号,实用技术文章及时了解Spring Security 拦截问题一个注解搞定Spring Security 忽略拦截基于注解形式基于配置形式总结源码地址https://github.com/galaxy-sea/galaxy-blogs/tree/master/code/security-annotationSpring Security 拦截问题Spring Security是干啥的...
学习杂记
weixin_44677487的博客
12-09 378
记录一些简短的内容。 文章目录@EuqalsAndHashCode@Valid@ResponseEntityResponseStatus参考 @EuqalsAndHashCode lombok插件的注解 此注解会生成equals(Object other) 和 hashCode()方法。 1.它默认使用非静态,非瞬态的属性。且不使用父类的属性,即默认为false 2.指定为true则在1的基础上调用父类的方法 @Valid Controller层通过对标注有@Valid的JavaBean进行校验,并将
Springboot+SpringSecurity 权限管理笔记
王林的博客
03-02 3157
Springboot+SpringSecurity 权限管理笔记 一、导入Springsecurity 依赖 <!--security 权限框架--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId&gt
Druid 数据源连接池配置
roydon
11-20 7709
在 Spring Boot 的配置文件中对 Druid 数据源连接池进行配置 # Druid连接池的配置 spring: datasource: druid: initial-size: 5 #初始化连接大小 min-idle: 5 #最小连接池数量 max-active: 20 #最大连接池数量 max-wait: 60000 #获取连接时最大等待时间,单位毫秒 time-between-eviction-runs-millis: 6
udp分片报文pcap文件
最新发布
07-18
udp分片报文pcap文件:64kudp大包分成每片658字节总计100片
springboot配置jwt
05-16
在Spring Boot应用程序中,配置JWT的步骤如下: 1. 添加相关的依赖:在pom.xml文件中添加以下依赖: ``` <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version> </dependency> ``` 2. 创建一个JWT工具类:该类用于处理JWT的生成和验证。以下是一个简单的示例: ``` import io.jsonwebtoken.Claims; import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import org.springframework.beans.factory.annotation.Value; import org.springframework.security.core.userdetails.UserDetails; import org.springframework.stereotype.Component; import java.util.Date; import java.util.HashMap; import java.util.Map; import java.util.function.Function; @Component public class JwtTokenUtil { private static final long JWT_TOKEN_VALIDITY = 5 * 60 * 60; @Value("${jwt.secret}") private String secret; public String getUsernameFromToken(String token) { return getClaimFromToken(token, Claims::getSubject); } public Date getExpirationDateFromToken(String token) { return getClaimFromToken(token, Claims::getExpiration); } public <T> T getClaimFromToken(String token, Function<Claims, T> claimsResolver) { final Claims claims = getAllClaimsFromToken(token); return claimsResolver.apply(claims); } private Claims getAllClaimsFromToken(String token) { return Jwts.parser().setSigningKey(secret).parseClaimsJws(token).getBody(); } private Boolean isTokenExpired(String token) { final Date expiration = getExpirationDateFromToken(token); return expiration.before(new Date()); } public String generateToken(UserDetails userDetails) { Map<String, Object> claims = new HashMap<>(); return doGenerateToken(claims, userDetails.getUsername()); } private String doGenerateToken(Map<String, Object> claims, String subject) { final Date createdDate = new Date(); final Date expirationDate = new Date(createdDate.getTime() + JWT_TOKEN_VALIDITY * 1000); return Jwts.builder().setClaims(claims).setSubject(subject) .setIssuedAt(createdDate).setExpiration(expirationDate) .signWith(SignatureAlgorithm.HS512, secret).compact(); } public Boolean validateToken(String token, UserDetails userDetails) { final String username = getUsernameFromToken(token); return (username.equals(userDetails.getUsername()) && !isTokenExpired(token)); } } ``` 3. 创建一个JWT过滤器:该过滤器用于验证请求的JWT。以下是一个简单的示例: ``` import io.jsonwebtoken.ExpiredJwtException; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.security.authentication.UsernamePasswordAuthenticationToken; import org.springframework.security.core.context.SecurityContextHolder; import org.springframework.security.core.userdetails.UserDetails; import org.springframework.security.core.userdetails.UserDetailsService; import org.springframework.stereotype.Component; import javax.servlet.FilterChain; import javax.servlet.ServletException; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import java.io.IOException; @Component public class JwtRequestFilter extends OncePerRequestFilter { @Autowired private UserDetailsService userDetailsService; @Autowired private JwtTokenUtil jwtTokenUtil; @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws ServletException, IOException { final String requestTokenHeader = request.getHeader("Authorization"); String username = null; String jwtToken = null; if (requestTokenHeader != null && requestTokenHeader.startsWith("Bearer ")) { jwtToken = requestTokenHeader.substring(7); try { username = jwtTokenUtil.getUsernameFromToken(jwtToken); } catch (IllegalArgumentException e) { logger.error("Unable to get JWT Token"); } catch (ExpiredJwtException e) { logger.error("JWT Token has expired"); } } else { logger.warn("JWT Token does not begin with Bearer String"); } if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) { UserDetails userDetails = this.userDetailsService.loadUserByUsername(username); if (jwtTokenUtil.validateToken(jwtToken, userDetails)) { UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken( userDetails, null, userDetails.getAuthorities()); usernamePasswordAuthenticationToken .setDetails(new WebAuthenticationDetailsSource().buildDetails(request)); SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken); } } chain.doFilter(request, response); } } ``` 4. 在Spring Boot应用程序中配置JWT:您需要在应用程序配置文件中添加以下属性: ``` jwt.secret=your_secret_key_here ``` 5. 在Spring Boot应用程序中启用JWT:您需要在Spring Boot应用程序中启用JWT。以下是一个简单的示例: ``` import org.springframework.beans.factory.annotation.Autowired; import org.springframework.boot.SpringApplication; import org.springframework.boot.autoconfigure.SpringBootApplication; import org.springframework.boot.autoconfigure.security.servlet.SecurityAutoConfiguration; import org.springframework.context.annotation.Bean; import org.springframework.security.authentication.AuthenticationManager; import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity; import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter; import org.springframework.security.config.http.SessionCreationPolicy; import org.springframework.security.core.userdetails.UserDetailsService; import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder; import org.springframework.security.crypto.password.PasswordEncoder; import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter; @SpringBootApplication(exclude = {SecurityAutoConfiguration.class}) @EnableWebSecurity public class Application extends WebSecurityConfigurerAdapter { @Autowired private JwtAuthenticationEntryPoint jwtAuthenticationEntryPoint; @Autowired private UserDetailsService jwtUserDetailsService; @Autowired private JwtRequestFilter jwtRequestFilter; @Autowired public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(jwtUserDetailsService).passwordEncoder(passwordEncoder()); } @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } @Bean public JwtAuthenticationEntryPoint jwtAuthenticationEntryPointBean() throws Exception { return new JwtAuthenticationEntryPoint(); } @Bean public JwtRequestFilter jwtRequestFilterBean() throws Exception { return new JwtRequestFilter(); } @Override @Bean public AuthenticationManager authenticationManagerBean() throws Exception { return super.authenticationManagerBean(); } @Override protected void configure(HttpSecurity httpSecurity) throws Exception { httpSecurity.csrf().disable() .authorizeRequests().antMatchers("/authenticate").permitAll(). anyRequest().authenticated().and(). exceptionHandling().authenticationEntryPoint(jwtAuthenticationEntryPoint).and().sessionManagement() .sessionCreationPolicy(SessionCreationPolicy.STATELESS); httpSecurity.addFilterBefore(jwtRequestFilter, UsernamePasswordAuthenticationFilter.class); } public static void main(String[] args) { SpringApplication.run(Application.class, args); } } ``` 以上就是在Spring Boot应用程序中配置JWT的基本步骤。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值