Spring Security放行特定端口的请求

已于 2024-07-04 17:11:53 修改
阅读量492 收藏
点赞数 3
CC 4.0 BY-SA版权
文章标签: spring java 后端
于 2024-07-03 11:18:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Jaccccck/article/details/140147105

需求:微服务系统中,某个模块同时被内网和外网访问  外网访问需要拦截进行身份验证 内网服务间的访问不需拦截

实现:springboot多开一个端口专门用于服务间调用 Spring Security不拦截这个端口的请求

1 tomcat多开一个端口 

@Component
public class TomcatPortConfig {
    #8081为新增端口
    @Value("${spring.adminPort:8081}")
    private int port;

    @Bean
    public ServletWebServerFactory servletContainer() {
        TomcatServletWebServerFactory tomcat = new TomcatServletWebServerFactory();
        tomcat.addAdditionalTomcatConnectors(createStandardConnector());
        return tomcat;
    }

    private Connector createStandardConnector() {
        Connector connector = new Connector("org.apache.coyote.http11.Http11NioProtocol");
        connector.setPort(port);
        return connector;
    }
}

启动服务插看日志能看到下面的即为正确

o.s.b.w.embedded.tomcat.TomcatWebServer : Tomcat initialized with ports 8080 (http), 8081 (http)

 2 spring security配置文件对端口进行设置

@Configuration
@EnableWebSecurity
public class SecurityConfig {

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
            .requestMatchers(request -> {
                int port = request.getLocalPort();
                return port == 8081 // 指定跳过安全检查的端口
            }).permitAll() // 允许所有请求
            .anyRequest().authenticated() // 其他请求需要认证
            .and()
            .csrf().disable(); // 视需要禁用 CSRF 保护
        return http.build();
    }
}

这时重新启动项目 通过不同端口访问同一个接口 查看效果

spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
记录一次报错:spring security 403报错
Blue的博客
02-09 1068
你好,我是Blue. 为帮助别人少走弯路而写博客!!!想看更多 那就点个关注吧 我会尽力带来有趣的内容 😎。如果你遇到了问题,自己没法解决,可以私信问我。!
Spring Security 源码
12-07
Spring Security 安全权限管理源码
如何利用自定义注解放行springsecurity项目的接口
weixin_45089791的博客
07-19 2602
如何利用自定义注解放行springsecurity 在实际项目中使用到了springsecurity作为安全框架,我们会遇到需要放行一些接口,使其能匿名访问的业务需求。但是每当需要当需要放行时,都需要在security的配置类中进行修改,感觉非常的不优雅。 例如这样: 所以想通过自定义一个注解,来进行接口匿名访问。在实现需求前,我们先了解一下security的两种方行思路。 第一种就是在 configure(WebSecurity web) 方法中配置放行,像下面这样: @Override pub
SpringSecurity如何放行资源
程序员一博
08-13 2729
SpringSecurity如何放行资源不需要认证的资源
security放行 spirng_你可别用错了,这两种Spring Security资源放行策略
weixin_39862871的博客
12-20 762
原标题:你可别用错了,这两种Spring Security资源放行策略Spring Security 中,到底该怎么样给资源额外放行?1.两种思路在 Spring Security 中,有一个资源,如果你希望用户不用登录就能访问,那么一般来说,你有两种配置策略:第一种就是在 configure(WebSecurity web) 方法中配置放行,像下面这样:@Overridepublic void ...
# spring-security(一)
m0_74795259的博客
12-09 3552
是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在 Spring 应用上下文中配置的 Bean,充分利用了 Spring IoC(Inversion of Control 控制反转),DI(Dependency Injection 依赖注入)和 AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。对身份验证和授权的全面且可扩展的支持防御会话固定、点击劫持,跨站请求伪造等攻击。
如何利用自定义注解放行 Spring Security 项目的接口
Trouvailless的博客
04-23 558
在实际项目中使用到了springsecurity作为安全框架,我们会遇到需要放行一些接口,使其能匿名访问的业务需求。但是每当需要当需要放行时,都需要在security的配置类中进行修改,感觉非常的不优雅。 例如这样: 图片 所以想通过自定义一个注解,来进行接口匿名访问。在实现需求前,我们先了解一下security的两种方行思路。 第一种就是在configure(WebSecurity web)方法中配置放行,像下面这样: @Override public void configure(We...
SpringSecurity简单入门
YIYIYI
05-21 485
SpringSecurity简单入门
Spring Security 集成指南:避免 CORS 跨域问题
最新发布
weixin_52236586的博客
05-17 903
CORS(Cross-Origin Resource Sharing,跨域资源共享)是一种安全机制,用于限制浏览器中运行的 Web 应用访问不同源的资源。当前端应用(如)尝试请求不同源的 API(如)时,浏览器会实施同源策略限制。"同源"意味着协议、域名和端口都必须相同。和是同源的和不是同源的(协议不同)和不是同源的(域名不同)和不是同源的(端口不同)在 Security 配置中显式启用 CORS确保对 OPTIONS 预检请求的正确处理避免多处 CORS 配置冲突。
spring security http接口鉴权使用示范项目
03-01
spring security http接口鉴权使用示范项目
Spring Security 两种资源放行策略,千万别用错了!(1)
2401_84010744的博客
04-18 760
接下来我以登录接口为例,来和小伙伴们分析一下走 Spring Security 过滤器链有什么不同。2.登录请求分析在 Controller 的方法中,加入 Authentication 参数这两种办法,都可以获取到当前登录用户信息。。这两种方式获取到的数据都是来自 SecurityContextHolder,SecurityContextHolder 中的数据,本质上是保存在中,的特点是存在它里边的数据,哪个线程存的,哪个线程才能访问到。
spring boot+security (二) - 对外接口(匿名接触)放行处理
sinat_15872851的博客
12-12 1910
spring security - 对外接口(匿名接触)放行处理
SpringSecurity自定义注解放行,以及在微服务架构中使用
qq_57587177的博客
10-15 1230
SpringSecurity自定义注解放行,以及在微服务架构中使用
SpringSecurity
m0_65747563的博客
04-01 2330
Spring SecuritySpring家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。 认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户 授权:经过授权认证后判断当前用户是否有权限进行某个操作。 目录 1.快速入门 ​ 2.认证 2.1获取用户信息 ​ 2.2 思路分析 2.2.1重写UserDetailServiceImpl 2.2.2替换掉加密方式 2.3登录接口 2.4认证通过过滤器 2
如何让 Spring Security 放行所有接口
jakelihua
09-02 2300
首先,我们需要创建一个自定义的安全配置类,用于配置 Spring Security 的行为。在该类中,我们可以覆盖默认的安全配置,并进行自定义的配置。@Override在上面的代码中,我们使用方法来配置所有的接口都可以被放行,即不需要进行任何安全验证。
security放行 spirng_Spring Security配置
weixin_39549110的博客
12-20 1865
第一步,空Spring Boot环境。暂时不添加了Spring Security依赖。第二步,确保项目能够正常运行。启动启动项Application.javaimport org.springframework.boot.SpringApplication;import org.springframework.boot.autoconfigure.EnableAutoConfiguration;...
SpringBoot security 安全认证(三)——自定义注解实现接口放行配置
朗朗的博客
02-02 1582
通过Security实现了安全管理,可以配置哪些接口可以无token直接访问。但一个麻烦就是每增加一个匿名访问接口时都要去修改SecurityConfig配置,从程序设计上讲是不太让人接受的。:即是解决以上问题,增加一个匿名访问接口,但不要去修改SecurityConfig配置。在需要匿名的接口上添加注解,系统启动时扫描带注解的接口,SecurityConfig配置时,读取这些接口,即可完成自动配置匿名访问了。
Spring Security配置放行请求,将参数放置于请求体时放行失效
mikeguo's blog
06-25 2924
配置如下: @Override public void configure(WebSecurity webSecurity){ //配置免登陆接口 webSecurity.ignoring().antMatchers( "/login/bypassword" // 登陆相关 //这里还有许多,为说明问题,把其他的都删掉了 ); } 可是就是这个请求,将参数使用问号拼接时这个配置正常,但是当将参数放
springsecurity如何放行
02-07
### Spring Security 中配置某些请求不需要认证 在Spring Security框架内,可以通过多种方式来配置哪些HTTP请求可以无需经过身份验证即可访问。以下是几种常见的做法: #### 方法一:基于端口放行策略 对于特定端口上的所有请求实施豁免措施,在`SecurityConfig`类中的`securityFilterChain`方法里定义规则,利用`.requestMatchers()`结合自定义逻辑判断请求所到达的服务端口号是否满足预设条件;如果匹配成功,则调用`.permitAll()`允许这些流量通行而不用经历完整的鉴权流程[^2]。 ```java @Configuration @EnableWebSecurity public class SecurityConfig { @Bean public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception { http.authorizeRequests() .requestMatchers(request -> { int port = request.getLocalPort(); return port == 8081; }) .permitAll() .anyRequest().authenticated() .and() .csrf().disable(); return http.build(); } } ``` #### 方法二:全局路径模式匹配放行政策 另一种更为常用的方式是在同一个或不同的`WebSecurityConfigurerAdapter`子类中指定一系列URL模式作为例外处理对象,即无论何时只要发起的目标地址符合给定模板就自动视为已授权状态。这通常发生在覆盖默认的安全拦截器之前执行,因此能有效避开后续更严格的控制机制[^4]。 ```java @Override protected void configure(WebSecurity web) { web.ignoring() .antMatchers("/login/bypassword", "/other/unsecured/path/**"); } ``` 需要注意的是,当涉及到POST或其他非GET类型的请求,并且希望它们携带的数据也能被忽略掉安全性检查时,仅仅依靠上述简单的路径匹配可能不够充分——因为一旦数据位于消息体内而非URI部分的话,默认情况下还是会被纳入到安全上下文中去评估。针对这种情况,应该进一步调整配置以确保整个请求都能得到适当对待。 #### 方法三:全面开放API接口 为了简化开发过程或是出于测试目的考虑,有时会想要让应用程序对外暴露的所有资源都不受任何限制地可被外界获取。此时可以在专门创建的一个实现了`WebSecurityConfigurerAdapter`抽象基类的新组件上做文章,通过简单几行代码就能达成此目标[^3]。 ```java @EnableWebSecurity @Order(1) public static class UnrestrictedApiConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.antMatcher("/**") // 应用于所有的请求 .authorizeHttpRequests(authorize -> authorize.anyRequest().permitAll()) .csrf().disable(); // 关闭CSRF防护以便更容易调试 } } ``` 以上三种方案分别适用于不同场景下的需求分析与设计思路,开发者可以根据实际业务情况灵活选用最合适的解决方案。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值