spring-boot配置文件-security(中文翻译)

最新推荐文章于 2024-03-05 23:48:18 发布
最新推荐文章于 2024-03-05 23:48:18 发布
阅读量2.9k 收藏 3
点赞数 1
分类专栏: spring-boot 文章标签: spring-boot security

spring security是springboot支持的权限控制系统。

  • security.basic.authorize-mode要使用权限控制模式.

  • security.basic.enabled是否开启基本的鉴权,默认为true

  • security.basic.path需要鉴权的path,多个的话以逗号分隔,默认为[/**]

  • security.basic.realmHTTP basic realm 的名字,默认为Spring

  • security.enable-csrf是否开启cross-site request forgery校验,默认为false.

  • security.filter-orderSecurity filter chain的order,默认为0

  • security.headers.cache是否开启http头部的cache控制,默认为false.

  • security.headers.content-type是否开启X-Content-Type-Options头部,默认为false.

  • security.headers.frame是否开启X-Frame-Options头部,默认为false.

  • security.headers.hsts指定HTTP Strict Transport Security (HSTS)模式(none, domain, all).

  • security.headers.xss是否开启cross-site scripting (XSS) 保护,默认为false.

  • security.ignored指定不鉴权的路径,多个的话以逗号分隔.

  • security.oauth2.client.access-token-uri指定获取access token的URI.

  • security.oauth2.client.access-token-validity-seconds指定access token失效时长.

  • security.oauth2.client.additional-information.[key]设定要添加的额外信息.

  • security.oauth2.client.authentication-scheme指定传输不记名令牌(bearer token)的方式(form, header, none,query),默认为header

  • security.oauth2.client.authorities指定授予客户端的权限.

  • security.oauth2.client.authorized-grant-types指定客户端允许的grant types.

  • security.oauth2.client.auto-approve-scopes对客户端自动授权的scope.

  • security.oauth2.client.client-authentication-scheme传输authentication credentials的方式(form, header, none, query),默认为header方式

  • security.oauth2.client.client-id指定OAuth2 client ID.

  • security.oauth2.client.client-secret指定OAuth2 client secret. 默认是一个随机的secret.

  • security.oauth2.client.grant-type指定获取资源的access token的授权类型.

  • security.oauth2.client.id指定应用的client ID.

  • security.oauth2.client.pre-established-redirect-uri服务端pre-established的跳转URI.

  • security.oauth2.client.refresh-token-validity-seconds指定refresh token的有效期.

  • security.oauth2.client.registered-redirect-uri指定客户端跳转URI,多个以逗号分隔.

  • security.oauth2.client.resource-ids指定客户端相关的资源id,多个以逗号分隔.

  • security.oauth2.client.scopeclient的scope

  • security.oauth2.client.token-name指定token的名称

  • security.oauth2.client.use-current-uri是否优先使用请求中URI,再使用pre-established的跳转URI. 默认为true

  • security.oauth2.client.user-authorization-uri用户跳转去获取access token的URI.

  • security.oauth2.resource.id指定resource的唯一标识.

  • security.oauth2.resource.jwt.key-uriJWT token的URI. 当key为公钥时,或者value不指定时指定.

  • security.oauth2.resource.jwt.key-valueJWT token验证的value. 可以是对称加密或者PEMencoded RSA公钥. 可以使用URI作为value.

  • security.oauth2.resource.prefer-token-info是否使用token info,默认为true

  • security.oauth2.resource.service-id指定service ID,默认为resource.

  • security.oauth2.resource.token-info-uritoken解码的URI.

  • security.oauth2.resource.token-type指定当使用userInfoUri时,发送的token类型.

  • security.oauth2.resource.user-info-uri指定user info的URI

  • security.oauth2.sso.filter-order如果没有显示提供WebSecurityConfigurerAdapter时指定的Filter order.

  • security.oauth2.sso.login-path跳转到SSO的登录路径默认为/login.

  • security.require-ssl是否对所有请求开启SSL,默认为false.

  • security.sessions指定Session的创建策略(always, never, if_required, stateless).

  • security.user.name指定默认的用户名,默认为user.

  • security.user.password默认的用户密码.

  • security.user.role默认用户的授权角色.

ZhangJQKb
关注
专栏目录
SpringBoot配置属性之Security
CODE男孩的博客
11-25 1万+
spring securityspringboot支持的权限控制系统。 security.basic.authorize-mode要使用权限控制模式. security.basic.enabled是否开启基本的鉴权,默认为true security.basic.path需要鉴权的path,多个的话以逗号分隔,默认为[/**] security.basic.r
spring security中文文档_Spring Boot中文参考指南(2.1.6)53、端点
weixin_39777497的博客
11-21 242
上一篇[52、启用生产就绪功能]下一篇[53.4、配置端点]英文原文:https://docs.spring.io/spring-boot/docs/2.1.6.RELEASE/reference/html/production-ready-endpoints.htmlGitHub:https://github.com/jijicai/Spring/tree/master/spring-boot5...
SpringBoot使用SpringSecurity, web.ignore失效
AC即性感
10-20 2639
@Configuration @EnableGlobalMethodSecurity(prePostEnabled=true) public class CustomSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.sessionManagement().se
SpringBoot2.6 + SpringSecurity 分离版
普通人一枚
03-10 3578
SpringBoot2.6+SpringSecurity(前后端分离版)
HTTP Strict Transport Security 引发的思考(Spring Security 的安全 HTTP 响应头)
Gjw_java的博客
08-31 1068
文章目录摘要问题导致问题的原因解决思路 摘要 在前后端分离项目中,当我使用 http 代理前端,用 Spring Boot 的 https 提供的接口时,出现了问题。 问题 在浏览器中输入访问地址时,http 会被自动转为 https, 导致项目无法正常访问。 导致问题的原因 当后端使用 Spring Security 并开启 https 时,响应头会增加一个字段 Strict-Transport-Security: max-age=31536000 ; includeSubDomains 正是因为多了这
jasypt-spring-boot-starter 3.0.5依赖的pom及jar
05-19
在实际使用中,开发者需要在自己的POM文件中添加jasypt-spring-boot-starter的依赖,然后在配置文件(如application.properties或application.yml)中声明加密的属性,并指定相应的密钥。这样,Spring Boot在启动时...
dbApi-spring-boot-starter-demo:dbApi-spring-boot-starter案例代码
03-15
1. 主配置:分析项目的主配置文件,了解如何配置数据库连接以及启动器的相关设置。 2. 实体类:查看实体类的定义,理解如何映射数据库表。 3. Repository接口:研究Repository接口的实现,观察dbApi-spring-boot-...
spring-boot-webflux-jjwt:示例Spring Boot和带有Spring Security和JWT的WebFlux(响应式Web),用于令牌认证和授权
01-30
- `spring-boot-webflux-jjwt-master`可能包含源代码、配置文件、测试等,展示了如何将上述技术整合到实际项目中。 综上所述,这个项目是一个很好的学习资源,它演示了如何在Spring Boot和WebFlux环境中构建安全的...
quickfixj-spring-boot-starter:用于QuickFIXJ的Spring Boot Starter
01-30
在实际应用中,开发人员通常会根据项目需求在`application.properties`或`application.yml`中配置QuickFIXJ的参数,如指定配置文件路径、会话设置等。同时,通过实现`ApplicationRunner`或`CommandLineRunner`接口,...
spring-boot-security
07-16
1. **添加依赖**:在`pom.xml`或`build.gradle`文件中引入`spring-boot-starter-security`。 2. **自定义配置**:如果需要自定义安全行为,可以创建一个`WebSecurityConfigurerAdapter`的子类,并重写相应的配置...
一个注解搞定Spring Security 忽略拦截
小魏的奇妙世界
12-20 4917
一个注解搞定spring-security忽略拦截, 减少开发硬编码配置
spring boot 属性配置[安全篇]
weixin_44603464的博客
02-23 4553
【代码】spring boot 属性配置[安全篇]
15.Spring Boot 使用Spring security
m0_54852350的博客
03-20 3647
Spring Boot 使用Spring security Spring Boot与Spring Security在一起开发非常简单,充分体现了自动装配的强大,Spring SecuritySpring Boot官方推荐使用的安全框架。配置简单,功能强大。接下来将说说Spring Boot使用Spring security进行安全控制。 1.Spring Boot 内置属性参数 Spring Boot 提供的内置配置参数以security为前缀,具体属性如下: # SECURITY (SecurityPr
厉害,我带的实习生仅用四步就整合好SpringSecurity+JWT实现登录认证
热门推荐
沉默王二
04-07 2万+
小二是新来的实习生,作为技术 leader,我还是很负责任的,有什么锅都想甩给他,啊,不,一不小心怎么把心里话全说出来了呢?重来! 小二是新来的实习生,作为技术 leader,我还是很负责任的,有什么好事都想着他,这不,我就安排了一个整合SpringSecurity+JWT实现登录认证的小任务交,没想到,他仅用四步就搞定了,这让我感觉倍有面。 一、关于 SpringSecuritySpring Boot 出现之前,SpringSecurity 的使用场景是被另外一个安全管理框架 Shiro 牢牢霸占
Spring Security OAuth2使用步骤(一)
FAIRYTAIL的博客
08-26 3993
Springclound Security Oauth2配置授权服务器和资源服务器、token存储
spring boot-使用Filter实现Header认证
牛奋lch
05-23 2万+
前言 假设客户端在http请求中,已经加入了Header的认证信息,例如: HttpPost post = new HttpPost("http://localhost:8990/sendMail"); StringEntity entity = new StringEntity(json, "utf-8"); entity.setContentType("applicatio
Spring Security OAuth Client配置加载源码分析
分享技术干货和灵感、推荐新书和好玩的项目、分享Java面试题
08-12 1604
这一节我们以前面默认的OAuth2 客户端集成为例,来了解下配置文件的加载,示例见第二、第三节。要学习一个新框架,我一般会按照如下步骤来实施:(1)根据官方文档搭建Demo,先跑起来,有一个整体观(2)分析源码,从Demo的功能配置入手,找到突破口(3)每次分析源码,要带着问题看(4)根据源码分析出来的思路,画架构图、流程图(5)学习框架的实现思路,取其精华去其糟粕码农小胖哥的2022版PDF。............
分布式认证中心实现方案:OAuth2.0 + Redis,refresh_token无感知刷新
最新发布
qq_52030824的博客
03-05 1337
分布式认证中心实现方案:OAuth2.0 + Redis,refresh_token无感知刷新
大聪明教你学Java | Spring Boot 项目设置 X-Content-Type-Options 响应头
不肯过江东丶
03-04 2万+
大聪明开发的应用系统已经上线三年了,然而就在昨天依然被扫描出了一个漏洞 —— 远程 Web 系统应用程序不采取措施来减轻一类 Web 应用程序漏洞,说白了就是远程网络应用程序不设置 X-Content-Type 响应头。刚看到扫描报告的时候还真有点麻爪,不知道如何下手,最后经过一番努力还是成功的修复了这个漏洞,那么借此机会,大聪明就和大家分享一下如何修复此类漏洞。
spring-boot-starter-security 配置
03-29
Spring Boot 项目中使用 Spring Security,需要添加 spring-boot-starter-security 依赖。以下是一个简单的配置示例: 1. 添加依赖 在 pom.xml 文件中添加以下依赖: ``` <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> ``` 2. 配置权限 在 Spring Security 中,权限(Authority)是指用户可以执行的操作。可以通过配置权限来限制用户的访问。 ``` @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/admin/**").hasRole("ADMIN") .antMatchers("/user/**").hasAnyRole("ADMIN", "USER") .antMatchers("/**").permitAll() .and().formLogin() .and().logout().logoutSuccessUrl("/login?logout"); } @Autowired public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { auth.inMemoryAuthentication() .withUser("admin").password("{noop}admin123").roles("ADMIN") .and() .withUser("user").password("{noop}user123").roles("USER"); } } ``` 在上面的配置中,我们定义了三个权限: - /admin/**:只有 ADMIN 角色的用户可以访问 - /user/**:只有 ADMIN 或 USER 角色的用户可以访问 - /**:所有用户都可以访问 最后,我们使用 inMemoryAuthentication() 方法来定义两个用户和它们的角色。 3. 配置登录和退出 在上面的配置中,我们使用 formLogin() 方法来配置登录页面和处理登录请求的 URL。同时,我们也使用 logout() 方法来配置退出登录的 URL 和成功退出后的跳转页面。 ``` .and().formLogin() .and().logout().logoutSuccessUrl("/login?logout"); ``` 这里我们配置了退出登录后跳转到登录页面,并添加了一个参数表示已经退出登录。 4. 配置 CSRF 在 Spring Security 中,默认开启了 CSRF(Cross-site Request Forgery)保护,可以有效防止跨站点攻击。如果你的应用程序不需要 CSRF 保护,可以通过以下配置关闭: ``` @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable(); } } ``` 5. 配置 HTTPS 在 Spring Security 中,可以通过以下配置开启 HTTPS 支持: ``` @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.requiresChannel() .anyRequest().requiresSecure(); } } ``` 以上就是使用 spring-boot-starter-security 进行 Spring Security 配置的示例。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值