拦截器之HttpSecurity

最新推荐文章于 2025-09-13 03:49:41 发布
原创 最新推荐文章于 2025-09-13 03:49:41 发布 · 1.7k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#拦截器 #HttpSecurity #CSRF #跨站域请求伪造 #java jwt

本文深入探讨Spring Security的HttpSecurity配置方法,包括基于OpenId验证、会话管理、跨域资源共享(CORS)等,以及SessionCreationPolicy策略和CSRF防护机制,为读者提供全面的安全配置指南。

一、 HttpSecurity 常用方法及说明

方法说明
openidLogin()用于基于 OpenId 的验证
headers()将安全标头添加到响应
cors()配置跨域资源共享( CORS )
sessionManagement()允许配置会话管理
portMapper()允许配置一个PortMapper(HttpSecurity#(getSharedObject(class))),其他提供SecurityConfigurer的对象使用 PortMapper 从 HTTP 重定向到 HTTPS 或者从 HTTPS 重定向到 HTTP。默认情况下,Spring Security使用一个PortMapperImpl映射 HTTP 端口8080到 HTTPS 端口8443,HTTP 端口80到 HTTPS 端口443
jee()配置基于容器的预认证。 在这种情况下,认证由Servlet容器管理
x509()配置基于x509的认证
rememberMe允许配置“记住我”的验证
authorizeRequests()允许基于使用HttpServletRequest限制访问
requestCache()允许配置请求缓存
exceptionHandling()允许配置错误处理
securityContext()HttpServletRequests之间的SecurityContextHolder上设置SecurityContext的管理。 当使用WebSecurityConfigurerAdapter时,这将自动应用
servletApi()HttpServletRequest方法与在其上找到的值集成到SecurityContext中。 当使用WebSecurityConfigurerAdapter时,这将自动应用
csrf()添加 CSRF 支持,使用WebSecurityConfigurerAdapter时,默认启用
logout()添加退出登录支持。当使用WebSecurityConfigurerAdapter时,这将自动应用。默认情况是,访问URL"/ logout",使HTTP Session无效来清除用户,清除已配置的任何#rememberMe()身份验证,清除SecurityContextHolder,然后重定向到"/login?success"
anonymous()允许配置匿名用户的表示方法。 当与WebSecurityConfigurerAdapter结合使用时,这将自动应用。 默认情况下,匿名用户将使用org.springframework.security.authentication.AnonymousAuthenticationToken表示,并包含角色 “ROLE_ANONYMOUS”
formLogin()指定支持基于表单的身份验证。如果未指定FormLoginConfigurer#loginPage(String),则将生成默认登录页面
oauth2Login()根据外部OAuth 2.0或OpenID Connect 1.0提供程序配置身份验证
requiresChannel()配置通道安全。为了使该配置有用,必须提供至少一个到所需信道的映射
httpBasic()配置 Http Basic 验证
addFilterAt()在指定的Filter类的位置添加过滤器

二、Spring Security下的枚举SessionCreationPolicy,管理session的创建策略

  • ALWAYS:总是创建HttpSession
  • IF_REQUIRED:Spring Security只会在需要时创建一个HttpSession
  • NEVER:Spring Security不会创建HttpSession,但如果它已经存在,将可以使用HttpSession
  • STATELESS:Spring Security永远不会创建HttpSession,它不会使用HttpSession来获取SecurityContext

三、CSRF介绍

CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式。
跨站域请求伪造

从上图可以看出,A网站通过cookie来识别用户(C),当用户成功进行身份验证之后浏览器就会得到一个标识其身份的cookie,只要不关闭浏览器或者退出登录,以后访问A网站会一直带上这个cookie。如果这期间浏览器被人控制着向A网站发起请求去执行一些用户不想做的功能(比如添加账号),这就是会话劫持了。因为这个不是用户真正想发出的请求,这就是所谓的“请求伪造”。此外,由于请求可以从第三方网站提交,所以前缀跨站二字,即从B网站发起。

为什么有时候要禁用CSRF:CSRF本质是盗用cookie, 无cookie方案就可以禁用。只是创建一个非浏览器客户端使用的服务,就可以禁用CSRF保护。

【springboot+security】2、HttpSecurity 的配置不同的拦截规则
江南雨敲窗的博客
07-14 2606
1、配置不同的拦截规则 前一节我们没有对sping security做任何配置,现在我们要对不通的访问路径进行配置不同的拦截规则,那就需要我们配置HttpSecurity。 @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Bean PasswordEncoder passwordEncoder() { return new BCryptPasswordEn
Spring框架中的过滤器、拦截器与Spring Security:深入比较与应用实践
m0_75236543的博客
04-16 1677
Spring框架是一个轻量级的开源Java平台,它为现代Java应用程序开发提供了全面的基础设施支持。Spring的核心特性包括依赖注入(DI)、面向切面编程(AOP)、事务管理、数据访问等,这些特性使得开发者能够构建松耦合、易于测试和维护的企业级应用。:提供IoC容器和依赖注入功能Spring AOP:提供面向切面编程实现Spring MVC:基于模型-视图-控制器模式的Web框架:认证和授权框架:简化数据访问操作:快速应用开发的约定优于配置解决方案。
HttpSecurity详解
lpfasd123的博客
07-22 634
通过,你可以灵活地配置 Spring Security 以满足不同的安全需求。csrf:禁用 CSRF 保护,适用于无状态认证(如 JWT)。:定义 URL 的访问权限,哪些 URL 需要认证,哪些不需要。:设置会话管理策略,例如无状态会话。:设置自定义的认证提供者。:在指定的过滤器之前添加自定义过滤器。:设置认证入口点和访问被拒绝的处理器。logout:配置注销相关的设置,包括注销 URL 和注销成功处理器。
Spring Security API参考:HttpSecurity配置详解
最新发布
gitblog_00301的博客
09-13 1101
在现代Web应用开发中,安全防护是不可或缺的一环。Spring Security作为Spring生态系统中处理认证和授权的核心框架,其`HttpSecurity`配置类是构建安全Web应用的基础。然而,面对众多的配置选项和复杂的方法链,开发者常常陷入"配置迷宫"——不知道如何正确设置CSRF防护、如何细粒度控制URL权限、如何配置OAuth2登录流程。本文将系统解析`HttpSecurity`的核...
HttpSecurity
weixin_45822542的博客
06-12 1509
防御CSRF攻击的方法包括使用CSRF token , Referer验证 ,双重提交Cookie和设置SameSite Cookie;Spring Security 提供了内置的CSRF保护机制 ,通过简单配置启用和定制这个功能,以确保应用程序的安全性;这是Spring Security提供的配置类, 用户保护基于HTTP的请求 ,通过。,通过诱导用户在不知情的情况下执行恶意操作;
HttpSecurity初步理解
骑着蜗牛向前跑的博客
06-19 2万+
关于用户身份验证的相关知识请参看这个链接,本文只对HttpSecurity做以简单介绍。 Spring Security是一个强大的、可根据需求高度自定义的用户认证和访问控制框架。Spring Security怎么保证所有向Spring application发送请求的用户必须先通过认证;怎么保证它自己支持用户通过表单的方式进行认证。解决的办法是Spring Security中有个WebSec...
spring security之httpSecurity使用示例
06-03 1257
httpSecurity 类似于spring security的xml配置文件命名空间配置中的<http>元素。它允许对特定的http请求基于安全考虑进行配置。默认情况下,适用于所有的请求,但可以使用requestMatcher(RequestMatcher)或者其它相似的方法进行限制。 使用示例: 最基本的基于表单的配置如下。该配置将所有的url访问权限设定为角...
`HttpSecurity`类
ranbo_Q的博客
05-27 375
类是Spring Security中用于配置Web安全性的主要类之一。它提供了一系列方法,用于配置不同方面的Web安全性。下面是:配置请求的授权规则,定义哪些请求需要经过身份验证或授权。:指定需要授权的URL路径模式。可以设置多个URL路径,并通过其他方法来设置访问权限要求,如hasRole()等。:允许所有用户访问指定的URL路径,即无需进行身份验证。:要求用户进行身份验证,即需要登录后才能访问指定的URL路径。hasRole():要求用户具有特定的角色才能访问指定的URL路径。:配置基于表单的身份验证。
SpringMvc 拦截器
04-16
在实际应用中,拦截器可以结合Spring Security进行权限控制,例如检查用户是否已登录,或者在处理完请求后记录操作日志。还可以利用`ModelAndView`对象在`postHandle`方法中修改视图数据,以实现动态页面布局或添加...
Spring Security介绍(三)过滤器(2)自定义过滤器拦截器
w_t_y_y的博客
04-27 2652
Component@Slf4j@Overridelog.info("进入UrlFilter");@Component@Slf4j@Overridelog.info("进入UrlFilter-one");修改自定义的UrlFilter,修改为继承OncePerRequestFilter@Component@Slf4j@Overridelog.info("进入UrlFilter");
详解spring security之httpSecurity使用示例
08-27
主要介绍了详解spring security之httpSecurity使用示例,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
springboot实现拦截器之验证登录示例
08-31
在Spring Boot应用中,拦截器(Interceptor)是一种非常重要的组件,它可以用来处理HTTP请求之前或之后的逻辑,例如权限验证、日志记录等。本文将详细介绍如何在Spring Boot中实现一个登录验证拦截器。 首先,我们...
【https】 1 HTTP Security (bb102-1)
qfzhangwei的专栏
06-01 5108
A secure system shall provide the following assurances: 安全系统应提供以下保证: Authentication:"The person is who he says he is."This is usually carried out via "username and password".Other techniques in...
HttpSecurity和WebSecurity
mingzq123的博客
03-22 1207
它提供了一些方法,用于配置 Spring Security 的一些基本行为,如忽略某些请求、设置用户信息来源、启用 HTTPS 等。它提供了一些方法,用于配置请求的身份认证、授权、跨站请求伪造防护等。在该方法之后,可以通过一系列的配置方法来配置哪些请求需要进行授权,以及授权的方式和条件。方法用于开启请求授权配置,可以通过一系列的配置方法来配置哪些请求需要进行授权,以及授权的方式和条件。配置请求的授权策略,如哪些请求需要进行身份认证、哪些请求需要授权等。
深入理解 HttpSecurity【源码篇】
江南一点雨的专栏
07-22 3954
HttpSecurity 也是 Spring Security 中的重要一环。我们平时所做的大部分 Spring Security 配置也都是基于 HttpSecurity 来配置的。因此我们有必要从源码的角度来理解下 HttpSecurity 到底干了啥? 1.抽丝剥茧 首先我们来看下 HttpSecurity 的继承关系图: 可以看到,HttpSecurity 继承自 AbstractConfiguredSecurityBuilder,同时实现了 SecurityBuilder 和 HttpSecur
SpringSecurity学习笔记之四:拦截请求
热门推荐
zhoucheng05_13的博客
03-05 5万+
在任何应用中,并不是所有请求都需要同等程度地保护起来。有些请求需要认证,有些则不需要。 对每个请求进行细粒度安全性控制的关键在于重载configure(HttpSecurity)方法。如下代码片段展现了重载的configure(HttpSecurity)方法,它为不同的URL路径有选择地应用安全性:@Override protected void configure(HttpSecurity ht
HttpSecurity常用方法详解
qq_30641461的博客
10-11 1万+
requestMatchers() 取得RequestMatcherConfigurer对象并配置允许过滤的路由; 如requestMatchers().anyRequest()等同于http.authorizeRequests().anyRequest().access(“permitAll”); 如下面两个例子: @Override public void configure(HttpSecurity http) throws Exception { //只允许路由由test开头的需要
拦截器和springsecurity的区别
08-21
拦截器(Interceptor)和 Spring Security 是两个在 Spring 框架中用于处理请求的不同层次的组件,它们在功能和使用场景上存在显著区别。 ### 功能上的区别 拦截器是 Spring MVC 提供的一种机制,用于在请求处理的不同阶段进行干预,例如在请求进入控制器之前或响应返回给客户端之后执行特定逻辑。它可以用于日志记录、参数校验、性能监控等通用任务。拦截器的执行时机是在 DispatcherServlet 处理请求之前或之后,因此它并不直接涉及安全控制。[^1] Spring Security 是一个专门用于处理安全性的框架,它构建在 Servlet 过滤器链之上,提供了认证(Authentication)和授权(Authorization)功能。Spring Security 通过多个过滤器对请求进行安全校验,例如判断用户是否登录、是否具有访问特定资源的权限等。它的核心目标是保护应用程序免受未经授权的访问。[^1] ### 使用场景上的区别 拦截器适用于需要在请求处理流程中插入通用逻辑的场景。例如,可以在请求进入控制器之前记录日志,或者在响应返回客户端之前添加特定的头部信息。此外,拦截器也可以用于简单的请求校验,如 JWT 令牌的解析。例如,通过配置拦截器可以实现对 `/user/test` 路径的访问进行 JWT 校验,同时排除 `/user/login` 路径的校验。[^2] Spring Security 更适用于需要复杂安全控制的场景。例如,需要对用户进行身份认证、基于角色或权限控制访问、防止 CSRF 攻击等。它不仅支持基于表单的登录,还支持 OAuth2、JWT 等现代认证机制。通过 Spring Security 的过滤器链,可以确保只有经过授权的用户才能访问受保护的资源。 ### 配置方式上的区别 拦截器的配置通常通过实现 `WebMvcConfigurer` 接口,并重写 `addInterceptors` 方法来注册拦截器。例如,可以定义一个 JWT 拦截器来解析请求头中的令牌,并将其添加到特定路径的拦截规则中。[^2] Spring Security 的配置通常通过继承 `WebSecurityConfigurerAdapter` 类(或在较新版本中直接使用 `SecurityFilterChain`)来完成。通过配置方法可以定义哪些路径需要认证、使用哪种认证方式以及如何处理授权逻辑。 ### 示例代码:拦截器配置 ```java @Configuration public class InterceptorConfig implements WebMvcConfigurer { @Override public void addInterceptors(InterceptorRegistry registry) { registry.addInterceptor(new JWTInterceptor()) .addPathPatterns("/user/test") .excludePathPatterns("/user/login"); } } ``` ### 示例代码:Spring Security 配置 ```java @Configuration @EnableWebSecurity public class SecurityConfig { @Bean public SecurityFilterChain filterChain(HttpSecurity http) throws Exception { http .csrf().disable() .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS) .and() .addFilterBefore(new JWTFilter(), UsernamePasswordAuthenticationFilter.class) .authorizeRequests() .antMatchers("/user/login").permitAll() .anyRequest().authenticated(); return http.build(); } } ``` ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值