spring security 用户授权/访问控制

原创 已于 2022-09-12 09:17:17 修改 · 2.1k 阅读 · 4
标签
#spring security #security 授权
于 2022-09-12 09:12:04 首次发布
本文深入探讨了Spring Security的授权机制,包括基于URL的访问控制、基于权限、角色以及表达式的授权。讲解了如何通过antMatchers、regexMatchers、mvcMatchers等进行URL匹配,并使用hasRole、hasAuthority等进行权限判断。此外,还介绍了方法授权中的JSR-250注解、@Secured注解和表达式注解的使用,以及如何自定义403错误处理。内容详实,适合Spring Security的学习者参考。

目录

1、web 授权

(1)访问控制的url匹配

(2)基于权限的访问控制

(3)基于角色的访问控制

(3)基于表达式的访问控制

2、方法授权

(1)JSR-250注解

(2)@Secured注解

(3)支持表达式的注解

授权的方式包括 web 授权和方法授权,web授权是通过 url 拦截进行授权,方法授权是通过方法拦截进行授权。他们都会调用 accessDecisionManager 进行授权决策,若为web授权则拦截器为FilterSecurityInterceptor;若为方法授权则拦截器为MethodSecurityInterceptor。如果同时通过web 授权和方法授权则先执行web授权,再执行方法授权,最后决策通过,则允许访问资源,否则将禁止访问。

1、web 授权

Spring Security 可以通过 http.authorizeRequests() 对web请求进行授权保护 ,Spring Security使用标准Filter建立了对web请求的拦截,最终实现对资源的授权访问。

protected void configure(HttpSecurity http) throws Exception {
        http.formLogin();//表单提交

        // 授权 -> 认证拦截
        http.authorizeRequests()
                .antMatchers(
                        "/login.html",
                        "/error.html",
                        "/main.html",
                        "/admin/**")
                .permitAll() // 不需要认证
                .anyRequest() // 所有请求都必须认证
                .authenticated();

        http.csrf().disable(); //关闭csrf防护
    }

(1)访问控制的url匹配

在配置类中http.authorizeRequests() 主要是对url进行控制。配置顺序会影响之后授权的效果,越是具体的应该放在前面,越是笼统的应该放到后面。

anyRequest(),表示匹配所有的请求。一般情况下此方法都会使用,设置全部内容都需要进行认证,会放在最后。

http.authorizeRequests()
                .anyRequest() // 所有请求都必须认证
                .authenticated();

antMatchers() ,方法定义如下:

    public C antMatchers(String... antPatterns) {
		return chainRequestMatchers(RequestMatchers.antMatchers(antPatterns));
	}

参数是不定项参数,每个参数是一个 ant 表达式,用于匹配 URL规则。ANT通配符有三种:

通配符 说明
? 匹配任何单字符
* 匹配0或者任意数量的字符
** 匹配0或者更多的目录

在实际项目中经常需要放行所有静态资源:

// 放行js和css 目录下所有的文件 
.antMatchers("/js/**","/css/**").permitAll() 
// 只要是.js 文件都放行 
.antMatchers("/**/*.js").permitAll()

regexMatchers(),使用正则表达式进行匹配。

//所有以.js 结尾的文件都被放行 
.regexMatchers( ".+[.]js").permitAll()

无论是 antMatchers() 还是 regexMatchers() 都具有两个参数的方法,其中第一个参数都是HttpMethod ,表示请求方式,当设置了 HttpMethod 后表示只有设定的特定的请求方式才执行对应的权限设置。

.antMatchers(HttpMethod.POST,"/admin/demo").permitAll() 
.regexMatchers(HttpMethod.GET,".+[.]jpg").permitAll()

mvcMatchers(),适用于配置了 servletPath 的情况。 servletPath 就是所有的 URL 的统一前缀。在 SpringBoot 整合SpringMVC 的项目中可以在application.properties 中添加下面内容设置ServletPath。

spring.mvc.servlet.path=/web

在 Spring Security 的配置类中配置 .servletPath() 是 mvcMatchers()返回值特有的方法,antMatchers()和 regexMatchers() 没有这个方法。在 servletPath() 中配置了 servletPath 后,mvcMatchers()直接写 SpringMVC 中

最低0.47元/天 解锁文章
Spring Security + JWT 前后端分离 调用外部登录接口 登录进阶
我们一起去踩雪吧
12-18 5820
本文章适合对Spring Security有一定了解的同学阅读。 1. 登陆流程 项目中需要后端进行登陆–>生成token–>鉴权等一系列操作,使用Spring Security完成。和网上大部分资料不同的是,这里的用户名和密码并不是存在数据库中,而是调用其他服务以及封装好的RPC接口来实现的。 ...
Spring Security的AccessDeniedHandler不生效?别急,先看看你的全局异常处理是不是‘截胡’了
最新发布
weixin_42542669的博客
04-17 397
本文深入探讨了Spring Security中AccessDeniedHandler与全局异常处理器的冲突问题,分析了AccessDeniedException被截胡的原因,并提供了三种解决方案:调整全局异常处理范围、强化AccessDeniedHandler实现和统一异常处理策略,帮助开发者有效解决权限异常处理问题。
SpringSecurity安全框架常见参数
weixin_48948094的博客
08-12 1465
anyRequest() 在之前认证过程中我们就已经使用过 anyRequest(),表示匹配所有的请求。一般情况下此方法都会使用,设置全部内容都需要进行认证。 .anyRequest().authenticated(); antMatcher() 方法定义如下 public C antMatchers(String... antPatterns) 参数是不定向参数,每个参数是一个 ant 表达式,用于匹配 URL规则。 规则如下: ? : 匹配一个字符 :匹配 0 个或多个字符 ** :匹配 0 个
Spring Security安全登录的调用过程以及获取权限的调用过程
小姑仔的博客
09-04 1886
将permissions中的两个参数"test"、"admin"分别构造SimpleGrantedAuthority类,并且放入Collectors之中,最终返回构造的Collectors权限信息,取出来的UsernamePasswordAuthenticationToken和Authentication类分别为。进入到doFilterInternal函数之中运行,首先获取token的内容,然后根据token解析出userId的内容。这里由于没有获取到token,因此调用!继续运行其他拦截器,然后返回。
Spring Security 表单认证
快乐的小三菊的博客
12-14 4040
spring security 的表单认证
SpringSecurity - 授权、权限
记录点滴
08-21 6397
授权(权限) 常用方法 - 以下方法都需要组合起来才能使用。 (1)anyRequest() 任何请求,注意需要把它放到最后边 @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { // 自定义登录页面 .
Spring Security OAuth2.0认证授权(一)
weixin_56697114的博客
04-04 2288
1、基本概念 1、认证 用户认证就是判断一个用户的身份是否合法的过程,用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问,不合法则拒绝访问。常见的用户身份认证方式有:用户名密码登录,二维码登录,手机短信登录,指纹认证等方式。 认证是为了保护系统的隐私数据与资源,用户的身份合法方可访问该系统的资源。 2、会话 用户认证通过后,为了避免用户的每次操作都进行认证可将用户的信息保证在会话中。会话就是系统为了保持当前用户的登录状态所提供的机制,常见的有基于session方式、基于token
Spring Security
junxinsiwo的专栏
10-09 1525
Spring Security 是一个功能强大且高度可定制的身份验证和授权框架,它是 Spring Framework 的一部分,专门用于为 Java 应用程序提供安全服务。Spring Security 可以帮助开发者实现安全控制,包括认证(Authentication)、授权(Authorization)以及会话管理等功能。
服务器维护授权模板,授权服务器
weixin_42570484的博客
08-06 384
WebSecurityConfiguration忽略拦截web.ignoring/*** @MethodName: configure* @Description: 忽略拦截/user/login* @Param: [web]* @Return: void* @Author: pl* @Date: 23:16**/@Overridepublic void configure(WebSecurity...
Spring Security 实现权限控制(认证 + 授权全流程)
小旭9527的博客
04-11 831
本文介绍了基于SpringSecurity的权限控制系统实现方案。主要内容包括:1)认证与授权核心概念,通过5-7张表构建权限数据模型;2)SpringSecurity框架优势与入门案例搭建;3)生产环境优化方案:自定义登录页、数据库查询用户、BCrypt密码加密;4)细粒度权限控制,包括URL配置和方法级注解两种方式;5)完整的登录退出流程实现。该方案提供了从基础概念到生产实践的完整权限控制解决方案,可快速应用于各类系统开发。
SpringSecurity授权方式学习(二)
臆想的一只猫
04-15 1659
@Configuration public class MySpringSecurityConfiguration extends WebSecurityConfigurerAdapter { //配置权限校验,如:什么地址 必须认证后才能访问,什么地址可以不用认证就可以访问 //权限校验的配置,是线性的。从开始的配置位置开始校验,成功立刻返回。 //校验匹配失败,继续后续的逻辑校验 /** * Security的权限管理,是基于匹配路径.
SpringSecurity(四)【自定义认证流程详解】
Vinjcent
10-25 1540
– 在项目中,如果要覆盖默认权限、授权自动配置,需要让 DefaultWebSecurityCondition 这个类失效– 添加如下配置可以实现自定义对资源权限规则设置 4.2 自定义登录界面 根据前面分析可知,校验用户名密码是根据 UsernamePasswordAuthenticationFilter 这个过滤器执行的,要求 定义一个跳转到login.html页面的controller 在 templates 中定义登陆界面 【注意】当前login.html页面的文本输入框name参数以
Spring Security入门宝典(二)中篇
长夜漫漫,无心睡眠
10-10 3332
使用正则表达式进行匹配。和主要的区别就是参数,antMatchers()参数是ant表达式,参数是正则表达式。演示所有以.js结尾的文件都被放行。
SpringBoot 整合 Spring Security 登录成功 访问其他接口报 403
qq_37892558的博客
02-24 1363
【代码】SpringBoot 整合 Spring Security 登录成功 访问其他接口报 403。
spring security Ⅲ—— authenticationManager.authenticate()验证流程
qq_45947664的博客
10-14 1万+
进入provider.authenticate(authentication)方法后发现我们到了AbstractUserDetailsAuthenticationProvider类,而这个方法的返回值需要需要依赖user,要获取这个user,咱又不得不进入retrieveUser(username, (UsernamePasswordAuthenticationToken) authentication) 这个方法。在得到这个user之后才能进行下一步。
SpringSecurity登录成功 访问别的接口说未登录问题解决
qq_44605317的博客
01-09 2335
SpringSecurity登录成功 访问别的接口说未登录问题解决
Spring Security:身份验证令牌Authentication介绍与Debug分析
热门推荐
kaven
01-21 1万+
Spring Security中,通过Authentication来封装用户的验证信息以及用户验证实现,Authentication可以是需要验证和已验证的用户信息封装。接下来,博主介绍Authentication接口及其实现类。 Authentication Authentication接口源码(Authentication接口继承Principal接口,Principal接口表示主体的抽象概念,可用于表示任何实体): package org.springframework.security.core;
spring security设置用户jwt令牌和设置接口访问权限案例
qq_41358574的博客
10-19 1743
文章目录1.配置Swagger2.spring security配置3.用户校验逻辑注册和登录接口dao层 service层 pojo层4.加密验证逻辑5.生成令牌逻辑身份验证提供者:自定义令牌对象:6.登录认证过滤器:7.JwtToken工具类:security工具类8.权限封装:9.用户模型:10.测试生成令牌11.测试用户权限 1.配置Swagger 为了方便测试首先在swagger config中配置加入令牌项,配置token作为请求头部参数: @Configuration @EnableSwag
SpringSecurity授权访问控制
wyy的博客
10-30 6637
一、 访问控制url匹配 在前面讲解了认证中所有常用配置,主要是对httpSecurity.formLogin()进行操作。而在配置类中httphttpSecurity.authorizeRequests()主要是对url进行控制,也就是我们所说的授权访问控制)。httpSecurity.authorizeRequests()也支持连缀写法,可以有很多url匹配规则和很多权限控制方法。这些内容进行各种组合就形成了Spring Security中的授权。 在所有匹配规则中取所有规则的交集。配置顺序影响了之
SpringSecurity6从入门到上天系列第六篇:解决这个问题为什么在引入SpringSecurity之后所有的请求都需要先做登录认证才可以进行访问呢
七叔的博客
11-15 750
本文是SpringSecurity6从入门到上天系列文章第六篇,解决这个问题为什么在引入SpringSecurity之后所有的请求都需要先做登录认证才可以进行访问呢
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

swadian2008

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值