Spring Security 6 系列之十一 - 白名单和跨域处理

最新推荐文章于 2026-04-11 10:20:50 发布
原创 最新推荐文章于 2026-04-11 10:20:50 发布 · 2.1k 阅读 · 26
标签
#spring security #springsecurity6 #白名单 #跨域

之所以想写这一系列,是因为之前工作过程中使用Spring Security,但当时基于spring-boot 2.3.x,其默认的Spring Security是5.3.x。之后新项目升级到了spring-boot 3.3.0,结果一看Spring Security也升级为6.3.0,关键是其风格和内部一些关键Filter大改,导致在配置同样功能时,多费了些手脚,因此花费了些时间研究新版本的底层原理,这里将一些学习经验分享给大家。

注意由于框架不同版本改造会有些使用的不同,因此本次系列中使用基本框架是 spring-boo-3.3.0(默认引入的Spring Security是6.3.0),JDK版本使用的是19,所有代码都在spring-security-study项目上:https://github.com/forever1986/spring-security-study.git

目录

这一章我们将讲述两个Spring Security常见的功能,一个是白名单,一个是跨越处理。

1 免鉴权白名单

我们在系列五中看到过配置访问权限的,如下图

在这里插入图片描述

在实际业务中,我们经常需要某些服务是免鉴权的,比如登录接口、静态资源等等,这时候我们往往需要在代码处增加。最好做到配置与代码分离,因此,这里使用配置化免鉴权白名单。

原理:配置类有一个方法是可以传入RequestMatcher,因此我们可以通过配置组装RequestMatcher,传入进去
 
在这里插入图片描述

1.1 代码实现

代码参考lesson11子模块

1)新建lesson11子模块,其pom引入以下依赖:

<dependencies>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-web</artifactId>
    </dependency>
    <dependency>
        <groupId>org.projectlombok</groupId>
        <artifactId>lombok</artifactId>
        <optional>true</optional>
    </dependency>
    <!--Spring Boot 提供的 Security 启动器 -->
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-security</artifactId>
    </dependency>
</dependencies>

2)配置yaml文件

security:
  # 白名单
  ignoreUrls:
    - httpMethod: 'GET'
      url: '/demo/get*'
    - httpMethod: 'POST'
      url: '/demo/post2'

3)配置读取yaml的配置类IgnoreUrlsProperties以及存储对象WhiteDTO

@Data
@NoArgsConstructor
@AllArgsConstructor
public class WhiteDTO {
   
   

    private String httpMethod;
    private String url;
}

@Data
@ConfigurationProperties("security")
public class IgnoreUrlsProperties {
   
   

    private List<WhiteDTO> ignoreUrls = new ArrayList<>();

    public RequestMatcher[] getRequestMatcher(){
   
   
        List<RequestMatcher> requestMatchers = new ArrayList<>();
        ignoreUrls.stream
最低0.47元/天 解锁文章
SpringSecurity设置白名单
pan_junbiao的博客
02-22 1120
白名单(Whitelist)是一个安全术语,它指的是一个明确的列表或集合,其中包含了被系统、程序或网络明确授权允许访问或执行的对象。这些对象可以是用户、IP地址、电子邮件地址、名、文件、进程或其他任何实体。在 Spring Security 中设置白名单(即允许某些特定的URL路径无需认证即可访问)是一项常见的需求。你可以通过配置 WebSecurityConfigurerAdapter 来实现这一点。以下是一个示例,展示了如何配置 Spring Security 以允许特定的 URL 路径无需认证即
SpingSecurity 重定向uri白名单使用名校验
weixin_42555971的博客
02-07 1325
重定向uri
终极指南:Spring Security与Gateway微服务安全架构深度实战
最新发布
gitblog_00984的博客
04-11 300
Spring SecuritySpring生态系统中提供身份验证、授权防护功能的核心安全框架,而Gateway作为微服务架构的入口,两者结合能构建强大的安全防护体系。本文将带你深入了解如何实战配置Spring Security与Gateway的微服务安全架构,保护你的分布式系统免受各类安全威胁。 ## 微服务安全架构基础:FilterChainProxy工作原理 在Spring Secur
SpringSecurity(前后端分离版)[6]-
listeningdu的博客
12-18 757
浏览器出于安全的考虑,使用 XMLHttpRequest对象发起 HTTP请求时必须遵守同源策略,否则就是的HTTP请求,默认情况下是被禁止的。由于我们的资源都会收到SpringSecurity的保护,所以想要访问还要让SpringSecurity运行访问。// 除上面外的所有请求全部需要鉴权认证。// 设置允许的header属性。// 对于登录接口 允许匿名访问。// 设置允许请求的名。// 是否允许cookie。// 设置允许的请求方式。// 设置允许的路径。
SpringSecurity白名单路径不走自定义过滤器
qq_52614517的博客
07-01 1337
第二步:自定义过滤器不要注入到Spring容器中(也就是不要使用@Component注解)在securityConfig中使用new的方式将filter注册到security filter链中,交由security去管理。第一步:在SpringSecurity的配置类中重写public void configure(WebSecurity web)方法。这样springsecurity白名单的路径就不会走自定义过滤器。参考:http://t.csdn.cn/AogH8。具体原因可以看上面博主的博文。
SpringSecurity Oauth2 - 10 自定义SpEL权限表达式配置白名单url不需要token认证鉴权
你今天真好看呀
11-10 4979
*** MethodSecurityExpressionOperations 接口方法的属性/*** SecurityExpressionRoot 类中的属性/*** 判断是否是白名单WhiteUrl,不校验权限,不需要token// 白名单url,直接返回true return true;} /*** 修改 SecurityExpressionRoot 类中的该方法** 登录请求url是否是白名单WhiteUrl,如果是则不需要校验权限,直接返回true。
Spring Security6.2.2配置白名单
qq_31706527的博客
03-14 2115
Spring Security6.2.2中AuthenticationFailureHandler、AuthorizeRequests已弃用,这个问题研究了很久。经过百度搜索chatGPT查询,重要找到了解决方法,直接放代码。代码中的“/captcha”就是要变为不需要验证登录的路径。小白一个,如果有不对的地方还请大神指正!
Spring Security5 学习6 - IP白名单
qq_41302594的博客
04-13 1975
Spring Security5(6)IP白名单 有些时候,为了方便放行,比如我们将应用程序部署在阿里云上,我们需要允许外网的所有人都可访问该ip地址,我们就可以通过 spring security 的 IP 白名单来进行操作。spring security 的 IP 白名单非常强大,细到限制一个软件的端口都可以做到。 首先,依然是创建一个springboot应用程序。应用以下依赖: sprin...
Spring Security 6 系列之十二 - 最后终章
代码让AI扣
12-30 1256
我们通过12章的系列,从底层原理讲到实际应用。基本上揽括了Spring Security 6的功能,当然还有许多功能没有谈到,比如CRSF 、Remember me、密码升级等等,我相信学习完这一系列后,你如果有兴趣了解Spring Security的其它功能,对你来说应该易如反掌。另外现在内部微服务做统一登录认证,都会使用网关+OAuth2方式,这部分我们将会单独开一个系列来讲解。
后端两种处理请求的方式
NingMaoKing的博客
04-16 1434
浏览器出于安全性考虑,禁止不同源之间的请求访问资源。当前端尝试请求非同源接口时,就会触发请求(CORS),如果后端未正确设置 CORS 响应头,就会被浏览器拦截。同源协议(http:https)名端口号特性SpringCorsFilter配置类手写HttpFilter实现是否依赖 Spring✅ 是❌ 否灵活性✅ 高(可配置)❌ 低(写死)是否支持动态配置✅ 支持❌ 不支持是否支持复杂规则✅ 支持路径、方法、头等组合规则❌ 基础 header 设置。
Spring Security 实战:彻底解决 CORS 凭据问题与 WebSocket 连接失败
weixin_41544125的博客
10-02 1866
后端返回响应头允许的来源用而非WebSocket 路径单独放行并配置CORS 过滤器在 Security 链中优先执行按照本文脱敏配置,可彻底解决 CORS 凭据不匹配、WebSocket 连接失败等问题,同时兼顾安全性与灵活性,适配大多数前后端分离项目场景。
Spring Security,servlet filter,白名单之间的关系
qq_43518966的博客
02-14 1275
Spring Security的核心是过滤器链(Filter Chain),它通过多个过滤器来处理不同的安全任务,例如BasicAuthenticationFilter处理基本认证,UsernamePasswordAuthenticationFilter处理表单登录等。而白名单是一种具体的安全策略,可以通过Servlet Filter直接实现,或者通过Spring Security的过滤器链以更集成化的方式实现。但无论哪种方式,白名单的核心逻辑(如IP检查、API密钥验证)是相似的,只是集成的方式不同。
Spring Boot+Spring Security:页面白名单获取登录信息
weixin_45863786的博客
03-16 5563
说明 (1)JDK版本:1.8 (2)Spring Boot 2.0.6 (3)Spring Security 5.0.9 (4)Spring Data JPA 2.0.11.RELEASE (5)hibernate5.2.17.Final (6)MySQLDriver 5.1.47 (7)MySQL 8.0.12 需求缘起 在有些场景下我们要对一些url要设...
【避坑指南】Spring Boot处理的10种姿势:从@CrossOrigin到Gateway全局配置
小筱在线博客
11-12 1126
Spring Boot解决方案全解析 本文系统介绍Spring Boot中处理问题的4种核心方案。@CrossOrigin注解适合快速原型开发,提供方法级类级配置;WebMvcConfigurer实现全局统一配置,支持多规则策略动态源管理;自定义CorsFilter提供最大灵活性,可精细控制逻辑;Spring Security集成方案则专为安全场景设计。每种方案都详细分析其实现方法、适用场景、性能优化安全考量,涵盖从简单应用到复杂微服务架构的不同需求。文章特别强调生产环境中的安全实践,如避
Spring Boot+Spring Security:页面白名单获取登录信息 - 第12篇
热门推荐
悟纤学院
03-05 2万+
说明 (1)JDK版本:1.8 (2)Spring Boot 2.0.6 (3)Spring Security 5.0.9 (4)Spring Data JPA 2.0.11.RELEASE (5)hibernate 5.2.17.Final (6)MySQL Driver 5.1.47 (7)MySQL 8.0.12 需求缘起 在有些场景下我们要对一些u...
:后端的应对策略
love___me的博客
11-20 1467
摘要:问题是Web开发中常见的安全限制,源于浏览器的同源策略,当前端访问不同源的服务器时会被阻止。后端可通过CORS(源资源共享)解决问题,主要通过在响应头添加Access-Control-Allow-Origin等字段。在Spring Boot中,可通过全局配置或注解方式实现CORS。集成Spring Security时需确保CORS配置在过滤器链之前。合理配置CORS能兼顾安全性与功能需求,让前后端安全交互。
Spring Security 实现IP白名单机制
neweastsun的专栏
03-08 1万+
Spring Security 实现IP白名单机制 本文讨论如何在Spring Security 中实现IP白名单机制。先看看默认实现机制,同时也讨论自定义AuthenticationProvider实现更加灵活的应用。 1. 默认实现 首先我们看下Java配置。使用hasIpAddress() 定义允许特定ip地址的用户访问特定资源。请看下面使用hasIpAddress()的配置: @Confi...
springboot 中利用security组件控制登录:通过 ip白名单进行 认证 鉴权
青青河边草
11-08 8500
&lt;!-- 实现白名单的依赖&gt; &lt;dependency&gt; &lt;groupId&gt;org.springframework.boot&lt;/groupId&gt; &lt;artifactId&gt;spring-boot-starter-security&lt;/artifactId&gt; &lt;/dependency&gt; 第一个类: 验证入口 /
Spring Boot实战:6种方法全解析,哪种最适合你的项目?
ss78901的博客
02-24 698
本文深度解析Spring Boot项目中解决问题的六种主流方法,包括@CrossOrigin注解、WebMvcConfigurer全局配置、CorsFilter等。通过对比其实现原理、优缺点及适用场景,并结合单体应用与微服务架构的实战分析,为开发者提供清晰的决策框架,帮助选择最适合项目需求的解决方案。
006-SpringSecurity-Demo (CORS)配置
CharlesYuangc的博客
04-03 368
浏览器的同源策略(Same-Origin Policy)规定:协议 + 名 + 端口 必须完全一致,否则就是请求URL是否同源✅❌(协议不同)❌(名不同)❌(端口不同)是否使用了 Spring Security是否调用了是否被网关(如 Nginx)拦截。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

linmoo2006

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值