springsecurity的URL过滤和全局过滤

最新推荐文章于 2024-04-27 09:42:10 发布
最新推荐文章于 2024-04-27 09:42:10 发布
阅读量1k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: spring 文章标签: 正则表达式 Spring Security Access CSS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/iteye_18039/article/details/82039895
本文介绍如何使用Spring Security进行URL过滤配置,通过AntUrlPathMatcher实现对项目资源的保护,仅允许已登录用户访问特定路径。同时,探讨了不同路径匹配规则的应用场景,并分享了调试技巧。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

springsecurity的URL过滤和全局过滤

最近有个需求,需要配置一个登陆用户才能访问项目的资源,也就是说要配置一个/*形式的链接,保护项目中所有的资源,要登录了的用户才能访问,
当然是要除开登陆页面之外。

springsecurity对URL过滤是采用的正则表达式,其实一直就在使用springsecurity,只是最近才引起重视。
参考文章:
http://www.family168.com/oa/springsecurity/html/ch215-url-matcher.html

我采用了AntUrlPathMatcher简单路径匹配,也不去弄RegexUrlPathMatcher这个正则这个东东,有个简单路径匹配应该也够了。三个原则:
通配符:?   匹配任意一个字符
通配符:*   匹配任意多个字符,但不能跨越目录
通配符:** 可以匹配任意多个字符,可以跨越目录

我这里只需要这样使用就行了。
匹配上我不拦截的:
<intercept-url pattern="/common/**" filters="none"/>
<intercept-url pattern="/images/**" filters="none"/>
<intercept-url pattern="/css/**" filters="none"/>
<intercept-url pattern="/js/**" filters="none"/>
<intercept-url pattern="/index.jsp" filters="none"/>
<intercept-url pattern="/login.action*" filters="none"/>
<intercept-url pattern="/" filters="none"/>

数据库里面增加一条我要拦截的:
String localAntPath8 = "/**";
List<ConfigAttribute> configList8 = new LinkedList<ConfigAttribute>();
configList8.add(new SecurityConfig("ROLE_ALL_LOGON"));
ConfigAttributeDefinition cad8 = new ConfigAttributeDefinition(configList8);
RequestKey requestKey8 = new RequestKey(localAntPath8);

OK了,可以保护/**下所有的资源,不登陆就没有的玩了,当然,还要保证的就是所有登陆用户都有ROLE_ALL_LOGON这个权限。

另外这次配置还了解到不少东东。
1./j_spring_security_logout和/j_spring_security_check是不在这拦截之列的。
2.mini-web项目的日志的级别,请在文件logback.xml中修改,我也是增加了如下一行,才能看到springsecurity的详细日志:
<logger name="org.springframework.security">
<level value="DEBUG" />
</logger>
3.配置匿名访问用户可以这样配置(虽然这次没有用上)
<intercept-url pattern="/common/**" access="ROLE_ANONYMOUS" />
<intercept-url pattern="/images/**" access="ROLE_ANONYMOUS" />
<intercept-url pattern="/css/**" access="ROLE_ANONYMOUS" />
<intercept-url pattern="/js/**" access="ROLE_ANONYMOUS" />
4.在这里类里面org.springside.examples.miniweb.service.security.RequestMapFactoryBean的LinkedHashMap是要顺序输出的
所以,在权限里面添加的顺序是按照先入先拦截的几率去拦截的。
我的测试类:
public static void main(String[] args) {
Map<String, String> map1 = new LinkedHashMap<String, String>();
Map<String, String> map2 = new HashMap<String, String>();
for (int i = 0; i < 10; i++) {
   map1.put(i + "", i + "");
}
for (int i = 0; i < 10; i++) {
   map2.put(i + "", i + "");
}
 
System.out.println(map1.toString());
System.out.println(map2.toString());
}
打印出来是:
{0=0, 1=1, 2=2, 3=3, 4=4, 5=5, 6=6, 7=7, 8=8, 9=9}
{3=3, 5=5, 7=7, 2=2, 0=0, 9=9, 4=4, 8=8, 6=6, 1=1}

spring security原理机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)用户授权 (Authorization)两个部分,这两点也是 Spring
SpringSecurity之添加过滤器
xkshihaoren的博客
11-28 4835
案例:实现验证码校验 1.使用过滤器实现验证码校验 1.1 创建过滤器 /** *spring security过滤器没有特别要求,一般继承filter即可。 *但是在spring中一般推荐使用OncePerRequestFilter(确保一次请求只会通过一次该过滤器) */ public class VerificationCodeFilter extends OncePerRequestFi...
springsecurity权限过滤略解
秃头的博客
10-20 2370
//配置过滤器 //配置过滤url路径 //?:匹配单个字符 ?.jsp //*:匹配任意字符 *.jsp //**:匹配任意目录 //授权请求,前面是路径,后面是规则,指定得url执行得规则 //.antMatchers()正常请求 //.regexMatchers() 可以使用正则表达式进行匹配 //.anyRequest()所有的请求,与.antMatchers("/**
8. Spring Security intercept-url配置
一个人的人生
11-29 8191
intercept-url配置 目录 1.1     指定拦截的url 1.2     指定访问权限 1.3     指定访问协议 1.4     指定请求方法   1.1    指定拦截的url        通过pattern指定当前intercept-url定义应当作用于哪些url。 "/**" access="ROLE_USER"/>   1.2     指定访问权限
java 过滤器 映射_java – Spring Security过滤器有多个URL拦截映射
weixin_39837607的博客
02-28 372
spring-security-xml中在web.xml中,我们必须定义实际的过滤器springSecurityFilterChainorg.springframework.web.filter.DelegatingFilterProxyspringSecurityFilterChain/*所以我没有得到这个,我们将截取映射到2个地方的2个网址.致/欢迎*/ *.为什么我们需要这两个?我在这里...
Spring Security intercept url
开心的专栏
04-13 1408
其典型用法是在配置文件的Bean中定义:                                                                 但由于我们新使用了RESTful的url,所以上面的配置无法验证“/books”这样的url。   [尝试一] 把pattern修改成了"/books*”,希望它
Spring Security介绍(三)过滤器(2)自定义过滤器拦截器
w_t_y_y的博客
04-27 2411
Component@Slf4j@Overridelog.info("进入UrlFilter");@Component@Slf4j@Overridelog.info("进入UrlFilter-one");修改自定义的UrlFilter,修改为继承OncePerRequestFilter@Component@Slf4j@Overridelog.info("进入UrlFilter");
java学习之SpringSecurity配置了登录链接无权限
06-16
由于SpringSecurity的异常处理mvc的异常处理是不一样的,认证类异常权限异常了,并不会被全局异常捕获,而是SpringSecurity内部自己做了处理逻辑。 思路分析 我已经将本次请求的url添加到忽略名单里面了,起始...
springsecurity的相关介绍以及简单的原理分析简单使用
m0_51491702的博客
04-25 902
security的认证流程登录流程的介绍。以及整个security的执行原理讲解
SpringSecurity学习之自定义过滤器的实现代码
08-26
主要介绍了SpringSecurity学习之自定义过滤器的实现代码,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
springmvc拦截器通过正则过滤静态资源
阳光
06-14 1752
首先springmvc需要配置静态资源过滤, 其次在自定义过滤器配置拦截的url, url用正则设置即可 .*[^((js)|(png))]$代表的是不以js,png结尾的url,如果还有其他的只需要继续往中括号中添加(xx)即可 <mvc:resources location="/js/" mapping="/js/**"></mvc:resources> ...
spring security的自定义过滤器实现URL过滤
快马扬鞭须努力!
01-06 3198
spring security的自定义过滤器实现URL过滤 最近要实现一个功能,在使用spring security判断完成权限后,还要验证一下URL是否能访问。 因为spring security是用的正则表达式,比如: http://localhost/order/edit.do?id=13343434 拦截的URL就写成 order/edit.do?*,然后定义成为一个“订单”权...
Spring url正则匹配实现
zhaoyang10的专栏
07-16 1992
public static void main(String[] args) { String matchUrl = "/api/**"; String url = "/api/ams/list"; boolean flag = match(matchUrl, url); System.out.println(flag); } private static PathMatcher matcher = new AntPathMatc
随记二、拦截器(Intercepter)过滤器(Filter)
m0_64882384的博客
01-31 1081
Filter过滤器Interceptor拦截器的个人简单理解使用,对Filter过滤器Interceptor拦截器的异同使用场景、方法等做简洁的介绍
springsecurity过滤指定url【.antMatchers(***).permitAll()】失效分析
热门推荐
yangfeng20的博客
07-24 1万+
springsercurity过滤指定url【antMatchers().permitAll】失效分析
spring security 3.0配制
ystar9的博客
08-12 569
前言     南朝《述异记》中记载,晋王质上山砍柴,见二童子下棋,未看完,斧柄已烂,下山回村,闻同代人都去世了,自已还未变老。    因此发出“山中方一日,世上几千年” 的慨叹。原文寥寥几笔,读来却发人深省。     另有宋朝周敦颐在《暮春即事》中也有诗云:双双瓦雀行书案,点点杨花入砚池。闲坐小窗读周易,不知春去几多时。     上述古文或古诗中对于时间的论述最符合我现在的感受。已经整整十五...
Spring security深入杂谈
pushme_pli的专栏
05-09 1万+
spring security 是一个用于身份验证访问控制的成熟框架,主要用于web的url访问,当然她也可以用于更加细粒度的访问控制(方法控制)但前者更具普遍意义,本文论述前者。 一 Quick start,一个简单的例子 step1: 在web.xml中添加spring security的代理filter。 springSecurityFilterChain
Spring Security】五、自定义过滤器
weixin_34049032的博客
07-04 362
在之前的几篇security教程中,资源所对应的权限都是在xml中进行配置的,也就在http标签中配置intercept-url,试想要是配置的对象不多,那还好,但是平常实际开发中都往往是非常多的资源权限对应,而且写在配置文件里面写改起来还得该源码配置文件,这显然是不好的。因此接下来,将用数据库管理资源权限的对应关系。数据库还是接着之前的,用mysql数据库,因此也不用另外引入额外的jar包...
springsecurity6特殊路由设置过滤器
最新发布
12-28
### 配置Spring Security 6中的特殊路由自定义过滤器Spring Security 6中,为了给特定路径配置自定义过滤器而不影响其他请求处理逻辑,可以采用多种方式来实现这一目标。一种常见的方式是在`HttpSecurity`对象内...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值