Spring Security之基于HttpRequest配置权限

最新推荐文章于 2025-02-27 17:47:57 发布
最新推荐文章于 2025-02-27 17:47:57 发布
阅读量2.6k 收藏 24
点赞数 16
分类专栏: 探索Spring Security 文章标签: spring springboot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Evan_L/article/details/136605794
版权

前言

今天我们重点聊聊授权方式的另外一种:基于HttpServletRequest配置权限

基于HttpServletRequest配置权限

一个典型的配置demo

http.authorizeHttpRequests(requestMatcherRegstry -> 
// /admin/** 需要有AMIND角色
	requestMatcherRegstry.requestMatchers("/admin/**").hasRole("ADMIN")
			// /log/** 只要有AMIND、USER角色之一
          .requestMatchers("/log/**").hasAnyRole("ADMIN", "USER")
			// 任意请求 只要登录了即可访问
          .anyRequest().authenticated()
);

从这里也可以看出,要实现基于RBAC,还是比较容易的。也比较容易使用。但是如果想要动态的增加角色,就需要我们定制AuthorizationManager。

配置原理

HttpSecurity是负责构建DefaultSecurityFilterChain的。而这个安全过滤器链,则是允许我们进行配置的。而authorizeHttpRequests方法,正是配置AuthorizationFilter的。而我们传入的入参-lambada表达式-则是指引如何配置AuthorizationFilter的。

/**
 * 这个方法是HttpSecurity的方法。
 * 作用是配置AuthorizationFilter。
 * 其入参authorizeHttpRequestsCustomizer正是让我们配置AuthorizationFilter的关键。
 * Customizer:就是定制。原理比较容易理解,就是我把你需要配置的东西丢给你,你往里面赋值。
 * AuthorizeHttpRequestsConfigurer<HttpSecurity>:这个是Configurer的实现,负责引入过滤器的。这里明显就是引入AuthorizationFilter
 * AuthorizationManagerRequestMatcherRegistry:这个就是我们最终配置的东西。而这个配置的正是我们上面的RequestMatcherDelegatingAuthorizationManager。说白了就是往里面添加哪些路径对应哪些AuthorizationManager。只不过,为了方便使用,也帮我们都封装好了。不妨继续往后看看。
 */
public HttpSecurity authorizeHttpRequests(
			Customizer<AuthorizeHttpRequestsConfigurer<HttpSecurity>.AuthorizationManagerRequestMatcherRegistry> authorizeHttpRequestsCustomizer)
			throws Exception {
   
		ApplicationContext context = getContext();
		// 这里干了三个事情:
		// 1. 如果当前HttpSecurity不存在AuthorizeHttpRequestsConfigurer,则创建一个,并注册到当前的HttpSecurity对象中。
		// 2. 从AuthorizeHttpRequestsConfigurer拿到他的注册器也就是AuthorizationManagerRequestMatcherRegistry
		// 3. 调用传入的参数的customize。如此,我们传入的lambda表达式就被调用了。
		authorizeHttpRequestsCustomizer
			.customize(getOrApply(new AuthorizeHttpRequestsConfigurer<>(context)).getRegistry());
		return HttpSecurity.this;
	}

public final class AuthorizationManagerRequestMatcherRegistry
		extends AbstractRequestMatcherRegistry<AuthorizedUrl> {
   
	/**
	 * 这是父类的方法
	 * C代表的是AuthorizedUrl
	 */
	public C requestMatchers(String... patterns)
最低0.47元/天 解锁文章
从 authorizeRequests 迁移到 authorizeHttpRequests:升级Spring Security授权配置
专注于深入研究多种编程语言,以实战为导向,逐步拓展开发技能,提升工程化编码和思维能力,展现无敌技术实力。
10-17 1034
Spring Security中,授权配置是确保应用程序安全性的关键部分。随着Spring Security的演进,新的 authorizeHttpRequests 提供更灵活的授权规则。本文指导迁移从传统的 authorizeRequests 到 authorizeHttpRequests,以满足较新版本Spring Security和复杂的授权需求。探讨迁移、表达式语言、最佳实践,确保应用程序安全可维护。
Spring Security之基于方法配置权限
Evan_L的博客
03-10 2260
基于方法的权限配置的介绍,包括使用场景和设计以及其实现原理
Spring Security HttpSecurity.authorizeRequests
Claroja
03-19 6468
http.authorizeRequests() .antMatchers("/login.html").permitAll()//放行/login.html,不需要认证 // .antMatchers("/css/**","/js/**","/images/**").permitAll()//放行静态资源 // .antMatchers("/**/*.png").permitAll()//放行...
Spring Boot集成Spring Security之HTTP请求授权
最新发布
kfashfasf的博客
02-27 763
因AuthorizationFilter授权失败时会抛出异常,该异常由ExceptionTranslationFilter处理,所以要配置自定义的异常处理器。自定义AccessDeniedHandler和AuthenticationEntryPoint异常处理器(可以用一个类实现认证授权相关的所有接口,也可以使用多个类分别实现)。@Component/*** 登录成功*/@Override//token返回到前端/*** 登录失败*/
Spring Security --- authorizeRequests配置
汤键的博客
04-13 3542
Spring Security --- authorizeRequests配置
SpringSecurity权限管理框架系列(六)-Spring Security框架自定义配置类详解(二)之authorizeRequests配置详解
最爱嫣夜来
03-24 9983
1、预置演示环境 这个演示环境继续沿用 SpringSecurit权限管理框架系列(五)-Spring Security框架自定义配置类详解(一)之formLogin配置详解的环境。 2、自定义配置类之请求授权详解
SpringSecurity中文文档(Servlet Authorize HttpServletRequests)
znjy111的博客
07-08 1274
SpringSecurity 允许您在请求级别对授权进行建模。例如,对于 Spring Security,可以说/admin 下的所有页面都需要一个权限,而其他所有页面只需要身份验证。默认情况下,SpringSecurity 要求对每个请求进行身份验证。也就是说,任何时候使用 HttpSecurity 实例,都需要声明授权规则。无论何时有 HttpSecurity 实例,您至少应该这样做:这告诉 Spring Security,应用程序中的任何端点都需要至少对安全上下文进行身份验证才能允许它。
authorizeHttpRequests
yyzz7579的博客
10-15 1355
Spring Security 中用于配置 HTTP 请求授权的一个关键方法,它允许你根据特定的 URL 模式或请求属性来定义授权规则。还可以结合 Spring Security 的其他功能,如自定义 403 异常返回处理等,来提供更友好的用户体验和安全保障。支持链式写法,使得配置更加简洁和易读。连接多个匹配规则和授权策略,形成一条完整的授权链。:要求用户具有列表中的任何一个角色或权限。:要求用户具有指定的角色或权限。:要求用户已认证(即已登录)其他所有请求都需要用户已认证。
Spring Security之安全异常处理
Evan_L的博客
07-17 2134
Spring Security中,特指对于安全异常的处理。我们知道Spring Security主要是基于过滤器来实现的,因此每个安全过滤器都可能发生安全异常,所以处理逻辑会被散落在各个过滤器中。Spring自然是不能忍受这种设计,于是就有了专门的安全异常处理。注:下文我们都用异常处理来代指安全异常处理。异常处理体系包括异常定义分两类 —— 认证异常、访问拒绝异常(鉴权异常)
SpringSecurity中的过滤器链与自定义过滤器
pan_junbiao的博客
12-30 1140
Spring Security 中的过滤器链(Filter Chain)是一个核心的概念,它定义了一系列过滤器,这些过滤器按照特定的顺序处理HTTP请求,并负责执行各种安全任务,如身份验证、授权、CSRF 保护等。过滤器链是由多个过滤器组成的链式结构,请求依次经过每个过滤器,每个过滤器可以决定是否继续传递请求。此外,Spring Security 还允许开发人员自定义过滤器,并将其添加到安全过滤器链中。这使得可以根据特定的业务需求,扩展安全过滤器链的功能。
Spring Security 实战内容:动态权限控制实现2
m0_68064743的博客
04-15 374
1. 前言 访问的路径需要什么样的角色和权限? 它就是 FilterSecurityInterceptor ,正是我们需要的那个轮子。 2.FilterSecurityInterceptor 过滤器排行榜第 32 位!肩负对 http 接口权限认证的重要职责。我们来看它的过滤逻辑: public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOExceptio.
spring security oauth2
qq_22555107的博客
06-22 362
spring security oauth
SpringSecurity授权(访问控制)
wyy的博客
10-30 6325
一、 访问控制url匹配 在前面讲解了认证中所有常用配置,主要是对httpSecurity.formLogin()进行操作。而在配置类中httphttpSecurity.authorizeRequests()主要是对url进行控制,也就是我们所说的授权(访问控制)。httpSecurity.authorizeRequests()也支持连缀写法,可以有很多url匹配规则和很多权限控制方法。这些内容进行各种组合就形成了Spring Security中的授权。 在所有匹配规则中取所有规则的交集。配置顺序影响了之
SpringSecurity6解决requestMatchers().permitAll()后依然执行自定义过滤器的问题
热门推荐
m0_54250110的博客
06-04 1万+
Spring容器会自动识别被注册成为Bean对象的Filter过滤器(即继承自Filter对象的类),将这个Bean对象自动注册到SpringBoot的过滤器链中。如果你的过滤器类使用注解注册成为了一个Bean对象,那么他就已经加到了SpringBoot的过滤器链中,所以就算你的SpringSecurity配置中设置了permitAll,可能还会去走SpringBoot的过滤器链。
Spring Security简单配置与使用
qq_45957210的博客
04-25 276
配置 要使用Security就要继承WebSecurityConfigurerAdapter并重写授权规则和认证规则 import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import o
SpringSecurity系列——授权Http请求day4-2(源于官网5.7.2版本)
qq_51553982的博客
07-22 1564
源于官方最新5.7.2文档,若你觉得官方文档阅读起来很枯燥,内容复杂,我提供了解析概括在每个部分的结尾,我对官方文档的内容做了一些改变,实例代码我会在后续进行更新,请查看如SpringSecurity系列——认证架构实例代码的文章但是如果你有能力,还是推荐直接阅读官方文档。...
Spring Security的基本授权配置方式
lifetime_gear的博客
10-31 1005
仅介绍HttpServletRequest层次授权的调度授权、Endpoint授权方式和方法层次授权的注解方式。
SpringSecurity - 基础概念之 RequestMatcher
业精于勤荒于嬉
07-21 3806
SpringSecurity 中的请求路径匹配接口 RequestMatcher
spring Security 的requestMatchers方法
小汤圆
08-12 8998
requestMatchers() 取得RequestMatcherConfigurer对象并配置允许过滤的路由;如requestMatchers().anyRequest()等同于http.authorizeRequests().anyRequest().access(“permitAll”);如下面两个例子: @Override public void configure(HttpSecurity http) throws Exception { //只允许路由由test开头的需要进行权限认证
实现用户权限过滤的文件夹访问控制示例代码
通常,过滤器会与Web应用的安全框架(如Spring Security)结合使用,通过安全框架提供的API来检查用户的权限。例如,在Spring Security中,可以使用`SecurityContextHolder`来获取当前认证用户的身份信息,并检查其...
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值