permitAl和anonymous都允许未经身份验证的访问,但它们在处理经过身份验证的用户时有所不同。

最新推荐文章于 2026-03-08 11:01:33 发布
原创 最新推荐文章于 2026-03-08 11:01:33 发布 · 1.9k 阅读 · 6
标签
#java #spring security #jwt
本文探讨了在SpringSecurity中使用JWT时,如何针对特定路径如/api/user/register、/api/user/login1和/api/upload/write设置权限。当使用匿名用户登录且token过期后,可能会导致权限问题。解决方法是将匿名权限从.anonymous()改为.permitAll()。

我们在使用spring security和 Jwt结合使用的时候,对特殊路径设置权限时肯能会有不同的效果

anonymous:这个表达式用于指定某个资源或服务只能被匿名用户访问,,一旦用户通过了登录认证流程(例如,用户携带有效的token信息请求资源),该用户将不能再访问被标记为.anonymous()的资源。

permitAll:此表达式指示资源对所有用户开放,无论他们是否经过了身份验证。换句话说,它允许匿名用户和已登录用户都能够访问相关的资源。

我们先看一个security配置这个配置对 以下路径有特殊处理

"/api/user/register","/api/user/login1","/api/upload/write"

@Configuration
@EnableWebSecurity //开启spring security,可以省略
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable(); //禁用跨域功能
        http.logout().disable(); //禁用注销功能
        http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);//禁用session功能
        http    .autho
最低0.47元/天 解锁文章
JS方法使用匿名函数作为参数
lensko的博客
09-18 1154
mysql使用group by 报错: SQLSTATE[42000]: Syntax error or access violation: 1055 Expression #1 of SELECT list is not in GROUP BY clause and contains nonaggregated column ‘xxxxx’ which is not functionally ...
若依框架权限配置陷阱:为何permitAll()能解决anonymous()导致的403错误?
e1f2g的博客
02-06 762
本文深入解析若依框架中anonymous()与permitAll()的权限配置差异,揭示为何登录后出现403错误的根本原因。通过对比两种方法的机制,指出permitAll()才是实现接口权限放行的正确选择,并提供典型配置示例最佳实践,帮助开发者避免常见陷阱。
若依框架权限控制避坑指南:从anonymouspermitAll的正确使用姿势
最新发布
echo99的专栏
03-08 459
本文深入解析若依框架中Spring Security权限配置的常见陷阱,重点对比anonymouspermitAll方法的本质区别。针对API白名单配置后仍出现401错误的问题,提供从SecurityConfig配置、Controller注解排查到数据权限处理的完整解决方案,帮助开发者正确实现公开接口的访问控制。
理解Spring SecuritypermitAll()anonymous()的区别
小汤圆
08-16 5269
Spring文档: 采用“默认拒绝”通常被认为是良好的安全实践,您可以明确指定允许的内容并禁止其他所有内容。定义未经身份验证用户可以访问的内容是类似的情况,尤其是对于 Web 应用程序。许多站点要求用户必须通过除少数 URL 之外的任何其他内容(例如主页登录页面)的身份验证。在这种情况下,最容易为这些特定 URL 定义访问配置属性,而不是为每个受保护的资源定义访问配置属性。换句话说,有可以说默认情况下需要 ROLE_SOMETHING 并且只允许此规则的某些例外情况,例如登录、注销应用程序的主页
Spring Security中,anonymous()permitAll()的区别
Kally_tao的专栏
10-12 1573
Spring Security会检查请求是否来自匿名用户(即没有经过认证的用户)。如果是,那么这些用户可以访问匹配的URL模式,而不需要进行认证。Spring Security不会对匹配的URL模式进行任何认证检查,所有用户都可以访问这些资源。: 这个方法用于允许所有用户(包括匿名用户认证用户访问特定的URL模式。都是用于定义安全配置的,但它们的作用使用场景有所不同。: 这个方法用于允许匿名用户访问特定的URL模式。路径的用户,无论是否认证,都可以访问这些资源。路径下的资源,则需要用户拥有。
Spring Security中的小坑
博客
08-18 730
spring security中的小问题
SpringSecurity中.antMatchers的anoymous()方法permitAll()的区别
LionHearthz的博客
04-18 6042
antMatchers的anoymous()方法permitAll()方法的区别
Spring Security中@PermitAll与@PreAuthorize的详解
一勺菠萝丶的博客
04-26 3600
在使用Spring Security构建安全的应用程序,经常会涉及到对特定API或方法的访问控制。这,@PermitAll这两个注解就发挥了重要作用。本文将详细解释这两个注解的使用方法它们之间的区别,使即便是初学者也能理解并正确应用它们。
聊聊spring securitypermitAll以及webIgnore
weixin_34023863的博客
11-25 1478
序 本文主要聊一下spring securitypermitAll以及webIgnore的区别 permitAll配置实例 @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override pub...
说一下Spring Security中@PermitAll@PreAuthorize的使用
qq_55754838的博客
11-25 4929
本文主要来自于看Java开源项目,方便理解开源项目的代码是怎么实现的,加深自己的基本功。
一文搞懂SpringSecurity---[Day06]内置访问控制方法解析角色权限判断
风归去.
07-07 574
匹配了 URL 后调用了 表示不需要认证,随意访问。在中提供了多 种内置控制。表示所匹配的 URL 任何人都允许访问。表示所匹配的 URL 都需要被认证才能访问。表示可以匿名访问匹配的URL。效果类似,只是设置为的 url 会执行 filter 链中表示所匹配的 URL 都不允许访问。被的用户允许访问刚好上面的相反, 如果用户不是被 的,才可以访问。除了之前讲解的内置权限控制。中还支持很多其他权限控制。这些方法一般都用于用户已经被认 证后,判断用户是否具有特定的要求。判断用户是否具有特定的权限,用户
SpringSecurity中.antMatchers anoymous()方法permitAll()的区别
m0_50836836的博客
02-27 1046
1.anonymous() :匿名访问,仅允许匿名用户访问,如果登录认证后,带有token信息再去请求,这个anonymous()关联的资源就不能被访问(就相当于登陆之后不允许访问,只允许匿名的用户)2.permitAll():登录能访问,不登录也能访问(一般用于静态资源js)
Spring Security入门宝典(二)中篇
长夜漫漫,无心睡眠
10-10 3340
使用正则表达式进行匹配。主要的区别就是参数,antMatchers()参数是ant表达式,参数是正则表达式。演示所有以.js结尾的文件都被放行。
为什么permitAll()不起作用,并要求在请求中提供认证对象?
小汤圆
08-17 2839
@Configuration @EnableWebSecurity public class SecurityConfiguration extends WebSecurityConfigurerAdapter { @Autowired private CustomUserDetailService userDetailsService; @Bean public PasswordEncoder passwordEncoder() { return new StandardPasswordEnc
Oauth2配置permitAll()无效 小坑
一颗小陨石的博客
12-24 5101
@Override public void configure(HttpSecurity http) throws Exception { //所有请求必须认证通过 http.authorizeRequests() //下边的路径放行 .antMatchers(..... "/web/member/member-register" .
关于springboot security自定义拦截器 使用 permitAll() 之后仍然会走过滤器的解决方法
热门推荐
爱吃猪蹄的博客
04-09 1万+
前言 依然是我负责的认证模块,出现了业务上的问题,想要使某些接口不走过滤链,但是再security上配置 .antMatchers("/**").permitAll() 之后,前端访问进来,依然会走我的 token 过滤器 public class JWTAuthorizationFilter extends BasicAuthenticationFilter { ... } 解决方法一 尝...
Spring Security Oauth2 permitAll()方法小记
qq_25248407的博客
11-08 2171
前言 上周五有网友问道,在使用spring-security-oauth2,虽然配置了.antMatchers("/permitAll").permitAll(),但如果在header 中 携带 Authorization Bearer xxxx,OAuth2AuthenticationProcessingFilter还是会去校验Token的正确性,如果Token合法,可以正常访问,否则,请求失...
记录 springboot + spring security 配置跨域访问权限配置
CMEguagua的博客
06-18 826
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true) public class SecurityConfig extends WebSecurityConfigurerAdapter{ @Override protected void configure(HttpSecurity httpSecurity) throws Exception{ httpSecurity..
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

涵冰...

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值