springsecurity的URL过滤和全局过滤

最新推荐文章于 2024-04-27 09:42:10 发布
原创 最新推荐文章于 2024-04-27 09:42:10 发布 · 1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#正则表达式 #Spring #Security #Access #CSS

本文介绍如何使用Spring Security进行URL过滤配置,通过AntUrlPathMatcher实现对项目资源的保护,仅允许已登录用户访问特定路径。同时,探讨了不同路径匹配规则的应用场景,并分享了调试技巧。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

springsecurity的URL过滤和全局过滤

最近有个需求,需要配置一个登陆用户才能访问项目的资源,也就是说要配置一个/*形式的链接,保护项目中所有的资源,要登录了的用户才能访问,
当然是要除开登陆页面之外。

springsecurity对URL过滤是采用的正则表达式,其实一直就在使用springsecurity,只是最近才引起重视。
参考文章:
http://www.family168.com/oa/springsecurity/html/ch215-url-matcher.html

我采用了AntUrlPathMatcher简单路径匹配,也不去弄RegexUrlPathMatcher这个正则这个东东,有个简单路径匹配应该也够了。三个原则:
通配符:?   匹配任意一个字符
通配符:*   匹配任意多个字符,但不能跨越目录
通配符:** 可以匹配任意多个字符,可以跨越目录

我这里只需要这样使用就行了。
匹配上我不拦截的:
<intercept-url pattern="/common/**" filters="none"/>
<intercept-url pattern="/images/**" filters="none"/>
<intercept-url pattern="/css/**" filters="none"/>
<intercept-url pattern="/js/**" filters="none"/>
<intercept-url pattern="/index.jsp" filters="none"/>
<intercept-url pattern="/login.action*" filters="none"/>
<intercept-url pattern="/" filters="none"/>

数据库里面增加一条我要拦截的:
String localAntPath8 = "/**";
List<ConfigAttribute> configList8 = new LinkedList<ConfigAttribute>();
configList8.add(new SecurityConfig("ROLE_ALL_LOGON"));
ConfigAttributeDefinition cad8 = new ConfigAttributeDefinition(configList8);
RequestKey requestKey8 = new RequestKey(localAntPath8);

OK了,可以保护/**下所有的资源,不登陆就没有的玩了,当然,还要保证的就是所有登陆用户都有ROLE_ALL_LOGON这个权限。

另外这次配置还了解到不少东东。
1./j_spring_security_logout和/j_spring_security_check是不在这拦截之列的。
2.mini-web项目的日志的级别,请在文件logback.xml中修改,我也是增加了如下一行,才能看到springsecurity的详细日志:
<logger name="org.springframework.security">
<level value="DEBUG" />
</logger>
3.配置匿名访问用户可以这样配置(虽然这次没有用上)
<intercept-url pattern="/common/**" access="ROLE_ANONYMOUS" />
<intercept-url pattern="/images/**" access="ROLE_ANONYMOUS" />
<intercept-url pattern="/css/**" access="ROLE_ANONYMOUS" />
<intercept-url pattern="/js/**" access="ROLE_ANONYMOUS" />
4.在这里类里面org.springside.examples.miniweb.service.security.RequestMapFactoryBean的LinkedHashMap是要顺序输出的
所以,在权限里面添加的顺序是按照先入先拦截的几率去拦截的。
我的测试类:
public static void main(String[] args) {
Map<String, String> map1 = new LinkedHashMap<String, String>();
Map<String, String> map2 = new HashMap<String, String>();
for (int i = 0; i < 10; i++) {
   map1.put(i + "", i + "");
}
for (int i = 0; i < 10; i++) {
   map2.put(i + "", i + "");
}
 
System.out.println(map1.toString());
System.out.println(map2.toString());
}
打印出来是:
{0=0, 1=1, 2=2, 3=3, 4=4, 5=5, 6=6, 7=7, 8=8, 9=9}
{3=3, 5=5, 7=7, 2=2, 0=0, 9=9, 4=4, 8=8, 6=6, 1=1}

spring security原理机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)用户授权 (Authorization)两个部分,这两点也是 Spring
SpringSecurity之添加过滤器
xkshihaoren的博客
11-28 4835
案例:实现验证码校验 1.使用过滤器实现验证码校验 1.1 创建过滤器 /** *spring security过滤器没有特别要求,一般继承filter即可。 *但是在spring中一般推荐使用OncePerRequestFilter(确保一次请求只会通过一次该过滤器) */ public class VerificationCodeFilter extends OncePerRequestFi...
springsecurity权限过滤略解
秃头的博客
10-20 2370
//配置过滤器 //配置过滤url路径 //?:匹配单个字符 ?.jsp //*:匹配任意字符 *.jsp //**:匹配任意目录 //授权请求,前面是路径,后面是规则,指定得url执行得规则 //.antMatchers()正常请求 //.regexMatchers() 可以使用正则表达式进行匹配 //.anyRequest()所有的请求,与.antMatchers("/**
8. Spring Security intercept-url配置
一个人的人生
11-29 8191
intercept-url配置 目录 1.1     指定拦截的url 1.2     指定访问权限 1.3     指定访问协议 1.4     指定请求方法   1.1    指定拦截的url        通过pattern指定当前intercept-url定义应当作用于哪些url。 "/**" access="ROLE_USER"/>   1.2     指定访问权限
java 过滤器 映射_java – Spring Security过滤器有多个URL拦截映射
weixin_39837607的博客
02-28 372
spring-security-xml中在web.xml中,我们必须定义实际的过滤器springSecurityFilterChainorg.springframework.web.filter.DelegatingFilterProxyspringSecurityFilterChain/*所以我没有得到这个,我们将截取映射到2个地方的2个网址.致/欢迎*/ *.为什么我们需要这两个?我在这里...
Spring Security intercept url
开心的专栏
04-13 1409
其典型用法是在配置文件的Bean中定义:                                                                 但由于我们新使用了RESTful的url,所以上面的配置无法验证“/books”这样的url。   [尝试一] 把pattern修改成了"/books*”,希望它
Spring Security介绍(三)过滤器(2)自定义过滤器拦截器
w_t_y_y的博客
04-27 2412
Component@Slf4j@Overridelog.info("进入UrlFilter");@Component@Slf4j@Overridelog.info("进入UrlFilter-one");修改自定义的UrlFilter,修改为继承OncePerRequestFilter@Component@Slf4j@Overridelog.info("进入UrlFilter");
java学习之SpringSecurity配置了登录链接无权限
06-16
由于SpringSecurity的异常处理mvc的异常处理是不一样的,认证类异常权限异常了,并不会被全局异常捕获,而是SpringSecurity内部自己做了处理逻辑。 思路分析 我已经将本次请求的url添加到忽略名单里面了,起始...
springsecurity的相关介绍以及简单的原理分析简单使用
m0_51491702的博客
04-25 902
security的认证流程登录流程的介绍。以及整个security的执行原理讲解
SpringSecurity学习之自定义过滤器的实现代码
08-26
主要介绍了SpringSecurity学习之自定义过滤器的实现代码,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
springmvc拦截器通过正则过滤静态资源
阳光
06-14 1752
首先springmvc需要配置静态资源过滤, 其次在自定义过滤器配置拦截的url, url用正则设置即可 .*[^((js)|(png))]$代表的是不以js,png结尾的url,如果还有其他的只需要继续往中括号中添加(xx)即可 <mvc:resources location="/js/" mapping="/js/**"></mvc:resources> ...
spring security的自定义过滤器实现URL过滤
快马扬鞭须努力!
01-06 3198
spring security的自定义过滤器实现URL过滤 最近要实现一个功能,在使用spring security判断完成权限后,还要验证一下URL是否能访问。 因为spring security是用的正则表达式,比如: http://localhost/order/edit.do?id=13343434 拦截的URL就写成 order/edit.do?*,然后定义成为一个“订单”权...
Spring url正则匹配实现
zhaoyang10的专栏
07-16 1992
public static void main(String[] args) { String matchUrl = "/api/**"; String url = "/api/ams/list"; boolean flag = match(matchUrl, url); System.out.println(flag); } private static PathMatcher matcher = new AntPathMatc
随记二、拦截器(Intercepter)过滤器(Filter)
m0_64882384的博客
01-31 1081
Filter过滤器Interceptor拦截器的个人简单理解使用,对Filter过滤器Interceptor拦截器的异同使用场景、方法等做简洁的介绍
springsecurity过滤指定url【.antMatchers(***).permitAll()】失效分析
热门推荐
yangfeng20的博客
07-24 1万+
springsercurity过滤指定url【antMatchers().permitAll】失效分析
Spring security深入杂谈
pushme_pli的专栏
05-09 1万+
spring security 是一个用于身份验证访问控制的成熟框架,主要用于web的url访问,当然她也可以用于更加细粒度的访问控制(方法控制)但前者更具普遍意义,本文论述前者。 一 Quick start,一个简单的例子 step1: 在web.xml中添加spring security的代理filter。 springSecurityFilterChain
springboot项目拦截前端请求中的特殊字符串
墨落成白的博客
05-10 6188
项目场景: springboot项目中,需要对前端请求数据进行过滤,拦截特殊字符。 问题描述 GET请求可以很方便的通过处理URL判断是否包含特殊字符,POST类型请求需要对form-data/json特殊处理,使用@RequestBody注解的controller获取不到数据 原因分析: request中的getInputStream()方法getReader()方法只能获取一次数据,通过@RequestBody注解再次获取getInputStream()拿到结果为空,此处通过重写getInputStr
Spring Security内置过滤器详解
分享技术干货和灵感、推荐新书和好玩的项目、分享Java面试题
08-14 4178
根据前面的示例,我们已经知道启动时会加载18个过滤器,并且已经知道了请求会匹配到DefaultSecurityFilterChain并依次通过这18个过滤器。CsrfFilter我们从OAuth2AuthorizationRequestRedirectFilter开始看,OAuth2开头这非常明显。......
springsecurity6特殊路由设置过滤器
最新发布
12-28
### 配置Spring Security 6中的特殊路由自定义过滤器Spring Security 6中,为了给特定路径配置自定义过滤器而不影响其他请求处理逻辑,可以采用多种方式来实现这一目标。一种常见的方式是在`HttpSecurity`对象内通过`.addFilterAt()`方法指定过滤器及其应用的具体URL模式。 当向应用程序的安全机制引入新的过滤器时,重要的是要确保这些过滤器仅应用于预期的HTTP请求上[^1]。对于希望针对某些特定端点实施额外安全措施的情况而言,在构建安全链的过程中精确指派过滤器就显得尤为重要了。 下面是一个简单的例子展示如何创建并注册一个只作用于特定路径(例如`/api/special/**`)上的自定义过滤器: #### 创建自定义过滤器类 ```java import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter; public class SpecialRouteFilter extends OncePerRequestFilter { @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { // 自定义逻辑... System.out.println("Special route filter is working!"); filterChain.doFilter(request, response); } } ``` #### 修改Spring Security配置类 ```java @Configuration @EnableWebSecurity public class WebSecurityConfig { private final SpecialRouteFilter specialRouteFilter; public WebSecurityConfig(SpecialRouteFilter specialRouteFilter){ this.specialRouteFilter = specialRouteFilter; } @Bean public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception { http.csrf().disable() .authorizeHttpRequests((requests) -> requests .requestMatchers("/api/special/**").permitAll()// 或者根据需求调整权限策略 .anyRequest().authenticated()) .formLogin(withDefaults()); // 将自定义过滤器绑定到/api/special/**路径下 http.addFilterBefore(specialRouteFilter, UsernamePasswordAuthenticationFilter.class); return http.build(); } } ``` 上述代码片段展示了如何在一个基于Spring Boot的应用程序里为特殊的API接口添加专门设计的安全过滤器。这里的关键在于使用了`http.addFilterBefore(...)`函数,并且明确了该过滤器应该位于认证过程之前执行。这样做不仅能够满足对特定资源施加独特保护的需求,同时也避免了不必要的全局范围内的性能开销[^2]。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值