HttpSecurity初步理解

最新推荐文章于 2024-08-18 20:36:52 发布
最新推荐文章于 2024-08-18 20:36:52 发布
阅读量2.2w 收藏 93
点赞数 40
分类专栏: Spring Boot学习笔记 文章标签: HttpSecurity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yy_diego/article/details/92800756
版权

为什么会有 web security 这么个东西存在?

  • 为了阻止假用户冒充真实用户访问网站,所以需要 认证(authentication)
  • 为了阻止真实用户访问本不是他应该访问的页面,所以需要授权(authorization)
  • 为了阻止真实用户与网站之间传输的信息被第三方窃听到,所以需要加密(encryption)

关于用户身份验证的相关知识请参看这个链接,本文只对HttpSecurity做以简单介绍。

Spring Security是一个强大的、可根据需求高度自定义的用户认证访问控制框架。Spring Security 怎么保证所有向 Spring application 发送请求的用户必须先通过认证?怎么保证用户可以通过表单或者 http 的方式进行认证。解决的办法是Spring Security中有个WebSecurityConfigurerAdapter类,程序员通过继承这个类并重写 configure(HttpSecurity http) 方法就可以按照场景需求自定义认证和授权。

// 这是源码中默认的 认证 和 授权 的配置。
protected void configure(HttpSecurity http) throws Exception {
	http
		.authorizeRequests()
			.anyRequest().authenticated()
			.and()
		.formLogin()
			.and()
		.httpBasic();
}

这个配置规定了以下三点:

  1. 若要给应用程序发送请求,则发送请求的用户必须先通过认证。
  2. 允许用户采用表单登录的方式进行认证。
  3. 允许用户采用 HTTP 基本的认证方式进行认证。
Java配置和表单登录

当配置表单登录后,就需要一个登录页面供用户填写 用户名 和 密码。Spring Secrity 默认了一个页面,如果你觉得它很丑,也可以自己写一个,使用 loginPage("/login") 声明自定义的登录页面所在位置。当用户第一次访问 web 应用时会自动跳转到默认登录界面或者用户自定义的登录界面。

protected void configure(HttpSecurity http) throws Exception {
	http
		.authorizeRequests()
			.anyRequest().authenticated()
			.and()
		.formLogin()
			.loginPage("/login") 
			.permitAll();        
}

在这个demo中,loginPage("/login")指定了登录页的URL,并允许所有的用户(包括没认证的)访问登录页,formLogin().permitAll()方法允许所有用户访问这个URL。

认证请求

应用程序的每个URL都要求用户通过认证,我们可以通过给http.authorizeRequests()方法添加子方法的方式为每个URL指定自定义要求。例如:

protected void configure(HttpSecurity http) throws Exception {
	http
		.authorizeRequests()                                                                1
			.antMatchers("/resources/**", "/signup", "/about").permitAll()                  2
			.antMatchers("/admin/**").hasRole("ADMIN")                                      3
			.antMatchers("/db/**").access("hasRole('ADMIN') and hasRole('DBA')")            4
			.anyRequest().authenticated()                                                   5
			.and()
		// ...
		.formLogin();
}
  1. http.authorizeRequests()下添加了多个匹配器,每个匹配器用来控制不同的URL接受不同的用户访问。简单讲,http.authorizeRequests()就是在进行请求的权限配置。
  2. 所有用户都可以访问以/resources/**开头的URL,和/signup/about两个URL。
  3. 拥有ADMIN角色的用户可以访问以/admin/开头的URL。hasRole(String):如果当前用户有String表示的角色,则返回True
  4. 同时拥有ADMINDBA角色的用户可以访问以/db/**开头的URL。access(String):当Stringtrue时才可进行访问。
  5. 所有没被匹配器匹配到的URL都需用户通过认证。
  6. and()返回一个SecurityBuilderSpring Security支持两种认证方式:formLogin()httpBasic()

初学SpringBoot,上述内容都是翻译过来的。

骑着蜗牛向前跑
关注
专栏目录
详解spring securityhttpSecurity使用示例
08-27
主要介绍了详解spring securityhttpSecurity使用示例,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Spring Security源码(三):HttpSecurity 详解
技术分享,读书笔记,面试宝典,算法积累,应有尽有~
04-10 2144
大致可以将其内方法分为两大类型,一类是框架自身默认给开发者提供的认证配置方法,可供开发者选择性调用。还有一类可供开发者配置自己的过滤器。
什么是HTTPS加密协议?HTTPS安全传输原理,SSL和TLS介绍,NGINX如何配置SSL证书
最新发布
Innocence_0的博客
08-18 993
HTTPS是超文本传输协议(HTTP)的安全版本。它使用SSL(安全套接层)或TLS(传输层安全)加密协议来保护数据传输的安全性和机密性,以防止未经授权的访问和窃听。HTTPS协议通常用于处理敏感信息,如在线支付或登录凭证等。可以通过URL的前缀来识别一个网站是否使用了HTTPS协议,即使用了“https://”前缀而不是“http://”。
HttpSecurity
u011422966的博客
12-08 426
WebSecurityConfigurerAdapter 在 configure(HttpSecurity http) 提供一个默认的配置: protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .a
深入理解 HttpSecurity【源码篇】
江南一点雨的专栏
07-22 3714
HttpSecurity 也是 Spring Security 中的重要一环。我们平时所做的大部分 Spring Security 配置也都是基于 HttpSecurity 来配置的。因此我们有必要从源码的角度来理解HttpSecurity 到底干了啥? 1.抽丝剥茧 首先我们来看下 HttpSecurity 的继承关系图: 可以看到,HttpSecurity 继承自 AbstractConfiguredSecurityBuilder,同时实现了 SecurityBuilder 和 HttpSecur
拦截器之HttpSecurity
hongdunyang的博客
09-15 1644
一、 HttpSecurity 常用方法及说明 方法 说明 openidLogin() 用于基于 OpenId 的验证 headers() 将安全标头添加到响应 cors() 配置跨域资源共享( CORS ) sessionManagement() 允许配置会话管理 portMapper() 允许配置一个PortMapper(HttpSecurity#(getSharedObject(class))),其他提供SecurityConfigurer的对象使用 PortMappe
【第四篇】SpringSecurityHttpSecurity详解
筱白爱学习!的博客
06-12 1412
HttpSecurity配置以及结构详解
spring security初步搭建
09-26
2. **配置安全豆**:创建`WebSecurityConfigurerAdapter`的子类,并重写`configure(HttpSecurity http)`方法,设置安全规则。 3. **用户认证**:配置用户存储,例如使用内存中的用户列表,或者与数据库集成。这通常...
Spring Security 3.x 入门教程 中文WORD版
11-06
9. **OAuth2支持**: Spring Security 3.x对OAuth2有初步支持,可以学习如何构建OAuth2服务器端和客户端。 10. **自定义扩展**: 了解如何根据项目需求定制Spring Security,如自定义认证提供者、权限表达式等。 ...
spring 6初步使用
11-13
Spring 6 是一款备受瞩目的Java开发框架的最新版本,其在原有的基础上进行了大量改进和增强,旨在提供更高效、更灵活的开发体验。...理解并掌握这些初步使用的关键知识点,对于使用Spring 6进行开发至关重要。
HTTP及SSL简单理解
qq_43371350的博客
09-01 1423
浏览器访问URL的一般过程: 1、格式验证与协议选择(默认为HTTP) 首先我们应该知道,浏览器也是有自己独立的人格的,主人的命令如果是对的,那自然照做。那如果是错误的,那就必然不会听取命令,当然也不能听取命令? 故当我们在浏览器中输入希望查询的URL,如果输入的是非法无效的网址,浏览器就会提示出错了。 所以,第一步是浏览器对用户输入的网址做初步的格式化检查,只有通过以上检查才会进入下一步。 那么...
深入理解MySQL安全(四)-DVWA High security SQL注入方法
zhujiu_fu的博客
02-15 178
前面完成了low,miedia level sql的注入的思路和方法,本章继续讲解high level sql注入的思路及方法。
【第五篇】深入理解HttpSecurity的设计
波波烤鸭的博客
04-28 3950
深入理解HttpSecurity的设计 一、HttpSecurity的应用   在前章节的介绍中我们讲解了基于配置文件的使用方式,也就是如下的使用。   也就是在配置文件中通过 security:http 等标签来定义了认证需要的相关信息,但是在SpringBoot项目中,我们慢慢脱离了xml配置文件的方式,在SpringSecurity中提供了HttpSecurity等工具类,这里HttpSecurity就等同于我们在配置文件中定义的http标签。要使用的话方式如下。   通过代码结果来看和配置文件.
`HttpSecurity`类
ranbo_Q的博客
05-27 249
类是Spring Security中用于配置Web安全性的主要类之一。它提供了一系列方法,用于配置不同方面的Web安全性。下面是:配置请求的授权规则,定义哪些请求需要经过身份验证或授权。:指定需要授权的URL路径模式。可以设置多个URL路径,并通过其他方法来设置访问权限要求,如hasRole()等。:允许所有用户访问指定的URL路径,即无需进行身份验证。:要求用户进行身份验证,即需要登录后才能访问指定的URL路径。hasRole():要求用户具有特定的角色才能访问指定的URL路径。:配置基于表单的身份验证。
SpringSecurity动态配置权限
小夢書亭的博客
09-14 829
SpringSecurity动态配置权限 自定义 UserDetailsService UserDetailsService 的主要作用是,获取数据库里面的信息,然后封装成对象,我们既然需要从数据库中读取用户,那么我们就需要实现自己的 UserDetailsService ,按照我们的逻辑完成从数据库中获取信息; /** * 主要是封装从数据库获取的用户信息 * * @author yiaz * @date 2019年3月19日10:50:58 */ @Component public c
HttpSecurity常用方法详解
热门推荐
qq_30641461的博客
10-11 1万+
requestMatchers() 取得RequestMatcherConfigurer对象并配置允许过滤的路由; 如requestMatchers().anyRequest()等同于http.authorizeRequests().anyRequest().access(“permitAll”); 如下面两个例子: @Override public void configure(HttpSecurity http) throws Exception { //只允许路由由test开头的需要
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值