Spring Security通过URL模式匹配的声明式权限控制

最新推荐文章于 2025-06-17 04:16:51 发布
原创 最新推荐文章于 2025-06-17 04:16:51 发布 · 1w 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Spring Security #Spring Security url #Spring Security权限 #WebSecurityConfigure #EnableWebSecurity

本文主要介绍Spring Security的声明式安全授权,特别是通过URL模式匹配进行权限控制。通过继承WebSecurityConfigurerAdapter并启用@EnableWebSecurity,可以在URL层面方便地设置访问权限,实现精细的权限管理。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Spring Security的声明式安全授权有两种方式,一种是以url模式匹配的方式,另一种是方法上使用注解声明权限,这里重点说第一种。

一、创建一个类继承WebSecurityConfigurerAdapter,并使用注解@EnableWebSecurity标注。这个类我之前写到过很多次,是配置CAS客户端和Spring Security的核心类。同时也是启动注解声明权限的入口。

@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

	@Autowired
	AuthenticationManager authenticationManager;

	// 这个方法名是随便起的
	@Autowired
	protected void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
		//暂时使用基于内存的AuthenticationProvider,在弹出的默认登陆页输入下边的用户名和密码
        //auth.inMemoryAuthentication().withUser("user").password("1").roles("USER");
	}
	
	/**
	 * 这里是默认的配置相当于以下命名空间的配置
	 * <http>
	 * 	<intercept-url pattern="/**" access="authenticated"/>
	 * 	<form-login />
	 * 	<http-basic />
	 * </http>
	 */
	protected void configure(HttpSecurity http) throws Exception {
		http
			//Spring Security的filter默认再整个filter chain的最前边,因此需要把我们自己写的跨域的filter放在最前边
			.addFilterBefore(myFilter, ChannelProcessingFilter.class)
			.authorizeRequests()
				// specified multiple URL patterns that any user can access. 
				// any user can access a request if the URL starts with "/resources/", equals "/login.html", or equals "/about".
				.antMatchers("/resources/**", "/login.html", "/about").permitAll()
				// Any URL that starts with "/admin/" will be resticted to users who have the role "ROLE_ADMIN". You will notice that since we are invoking the hasRole method we do not need to specify the "ROLE_" prefix.
				.antMatchers("/admin/**").hasRole("ADMIN")
				// Any URL that starts with "/db/" requires the user to have both "ROLE_ADMIN" and "ROLE_DBA".
				.antMatchers("/db/**").access("hasRole('ADMIN') and hasRole('DBA')")
				// Any URL that has not already been matched on only requires that the user be authenticated
				.anyRequest().authenticated()
			.and()
			<span style="white-space:pre">	</span>// 登录认证例外处理入口为cas入口
			<span style="white-space:pre">	</span>.exceptionHandling().authenticationEntryPoint(casEntryPoint())
			.and()
			<span style="white-space:pre">	</span>// 登录CAS认证过滤器
			<span style="white-space:pre">	</span>.addFilter(casFilter());
			<span style="white-space:pre">	</span>// Allows users to authenticate with form based login, otherwise no default log in page
			<span style="white-space:pre">	</span>//.formLogin()
				// specifies the location of the log in page
				//.loginPage("http://127.0.0.1/web/login.html")
				// grant all users access to our log in page
				//.permitAll()
				//.and()
			// Allows users to authenticate with HTTP Basic authentication
			.httpBasic();
	}
<pre name="code" class="java"><pre name="code" class="java">	
<span>	</span>// WebSecurity是用来创建过滤器链的

@Override

public void configure(WebSecurity web) throws Exception {

// 针对resource和image资源忽略认证

web.ignoring()

.antMatchers(HttpMethod.GET,"/rest/resource/**/*")

.antMatchers(HttpMethod.GET, "/rest/image/**/*");

}}





详细的讲解都写在注释里了,通过这种方式就可以非常方便的在url模式上控制访问权限。










	


                

        

    

    
  



    

      

        

            

              
                
                  攀峰者
                
              
            

            

                关注
              
            

        

        

          
      

      










                



	

		

			

				
					
spring security原理和机制 | Spring Boot 35

				
			

			

				

					学Java,找哪吒
				

				

					06-25
					
					5万+
					
				

			

		

		

			
				
一、SpringSecurity 框架简介

Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的
成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方
案。
正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控
制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权
(Authorization)两个部分,这两点也是 Spring

			
		

	



                

            
              



	

		

			

				
					
spring security4  security="none"小讲

				
			

			

				

					Chenctrl的博客
				

				

					10-29
					
					7427
					
				

			

		

		

			
				
在学习spring security4时,参考文档,spring-security.xml有如下片段:

    http pattern="/resources/**" security="none" />
    http pattern="/login" security="none"/>
    http auto-config="true" use-expressions="true

			
		

	



              


  
              

                


	

		

			

				
					
8. Spring Security intercept-url配置

				
			

			

				

					一个人的人生
				

				

					11-29
					
					8199
					
				

			

		

		

			
				
intercept-url配置
目录
1.1     指定拦截的url
1.2     指定访问权限
1.3     指定访问协议
1.4     指定请求方法
 
1.1    指定拦截的url
       通过pattern指定当前intercept-url定义应当作用于哪些url。
"/**" access="ROLE_USER"/>
 
1.2     指定访问权限

			
		

	





	

		

			

				
					
Spring Security 2.0.5 学习笔记(一) - URL级别权限控制

				
			

			

				

					yehuang_0801的博客
				

				

					06-04
					
					835
					
				

			

		

		

			
				
一. Spring Security 大概的工作流程以及个人修改
1.web.xml配置需要被Spring Security处理的URL
 
 
  springSecurityFilterChain
  org.springframework.web.filter.DelegatingFilterProxy
 
 
  springSecurityFilterChain

			
		

	



		

			
		



	

		

			

				
					
Spring Boot + Spring Security + 自定义注解实现数据权限控制(含前后端代码)

					
最新发布

				
			

			

				

					ldwtxwh的专栏
				

				

					06-17
					
					895
					
				

			

		

		

			
				
*** 租户字段名(默认tenant_id)*//*** 部门字段名(默认dept_id)*//*** 用户字段名(默认user_id)*//*** 数据范围类型*//*** 额外过滤条件*/// 数据范围枚举ALL, // 所有数据TENANT, // 当前租户DEPT, // 当前部门DEPT_AND_SUB, // 当前部门及子部门SELF, // 仅自己数据CUSTOM // 自定义条件2.2.2 字段权限注解/*** 角色类型。

			
		

	





	

		

			

				
					
Spring Security调研记录【一】--实现基本认证与Url权限控制

				
			

			

				

					lld2002的专栏
				

				

					05-25
					
					1536
					
				

			

		

		

			
				
Spring Security只通过配置即可实现基于页面的认证与Url权限控制,但默认的实现是从内存或数据库表中获取用户名与密码,如果希望与本公司用户管理系统对接,则需要重新实现UserDetailsService接口。
        具体实现如下所示:


 一、Maven依赖配置(pom.xml)
	
                ...
		4.0.1.RELEASE

			
		

	





	

		

			

				
					
SpringSecurity加密和匹配过程分析

				
			

			

				

					熊吉呜哈哈
				

				

					05-10
					
					480
					
				

			

		

		

			
				
SpringSecurity加密和解密过程
demo
impo
rt org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;  

public class BCryptPasswordEncoderUtils {  
  private static BCryptPasswordEncoder bCryptPasswor...

			
		

	





	

		

			

				
					
关于spring securityURL路径验证问题

				
			

			

				

					qiuqiuit的专栏
				

				

					02-15
					
					1520
					
				

			

		

		

			
				
在前一篇文章中,还是有些地方没讲清楚,但那篇文章已经有点长了,所以还是另外单独讲一下吧。见SecureResourceFilterInvocationDefinitionSource代码:

[code="java"]
/**
 * RegexUrlPathMatcher默认不进行小写转换,而AntUrlPathMatcher默认要进行小写转换
 */
    public void ...

			
		

	





	

		

			

				
					
java中自定义Spring Security权限控制管理示例(实战篇)

				
			

			

				

					08-31
				

			

		

		

			
				
通过以上步骤,我们就完成了Java中自定义Spring Security权限控制管理的实战示例,实现了对URL和HTTP方法的细粒度控制,满足了RESTful API的需求。这不仅提高了系统的安全性,也使得权限管理更加灵活和可扩展。

			
		

	





	

		

			

				
					
Java Spring Security 安全框架:(八)访问控制 url 匹配

				
			

			

				

					地球村
				

				

					10-12
					
					1665
					
				

			

		

		

			
				
访问控制 url 匹配1.anyRequest()2.antMatcher()3.regexMatchers()4.mvcMatchers()

在前面讲解了认证中所有常用配置,主要是对 http.formLogin() 进行操作。而在配置类中 http.authorizeRequests()主要是对 url 进行控制,也就是我们所说的授权(访问控制)。http.authorizeRequests() 也支持连缀写法,总体公式为:
url 匹配规则.权限控制方法
通过上面的公式可以有很多 url 匹配规则和

			
		

	





	

		

			

				
					
循序渐进学spring security 第十一篇 如何动态权限控制URL?如何动态给用户添加权限

				
			

			

				

					huangxuanheng的专栏
				

				

					08-01
					
					5294
					
				

			

		

		

			
				
文章目录回顾为什么要动态权限?如何更好的管理权限?数据库设计用户表定义角色表定义菜单表角色人员表角色菜单表如何实现动态权限管理?动态获取url权限配置权限判断搭建项目创建项目:security-mybatis-jwt-perm添加maven依赖:修改pom项目名和artifactId 都统一为:security-mybatis-jwt-perm新建数据库操作相关类和mapper创建实体类添加mybatis 的mapper.xml添加mapper接口动态权限配置动态获取url权限配置动态权限判断配置Secur

			
		

	





	

		

			

				
					
SpringSecurity基于配置方法控制访问权限:MVC匹配器、Ant匹配器

				
			

			

				

					pan_junbiao的博客
				

				

					02-19
					
					1296
					
				

			

		

		

			
				
Spring Security 是一个功能强大且高度可定制的身份验证和访问控制框架。在 Spring Security 中,可以通过配置方法来控制访问权限。认证是实现授权的前提和基础,在执行授权操作前需要明确目标用户,只有明确目标用户才能明确它所具备的角色和权限Spring Security 中所采用的授权模型也是由用户、角色和权限组成的。Spring Security 实现配置方法控制访问权限很简单,只需要使用基于 HttpSecurity 对象提供的一组工具方法就能实现复杂场景下的访问控制。

			
		

	





	

		

			

				
					
使用Spring Security 限制URL访问

					
热门推荐

				
			

			

				

					neweastsun的专栏
				

				

					02-13
					
					2万+
					
				

			

		

		

			
				
使用Spring Security 限制URL访问

通常保护url方式有以下几种:


允许每个人访问的url
基于角色保护url
基于多个角色保护url
基于IP地址保护url


本文介绍如何通过spring security 实现这些功能。



指定URL

指定url最常用的方法是通过antMatcher,如果我们想保护下列urlurl
  访问限制



  http...

			
		

	





	

		

			

				
					
springsecurityURL过滤和全局过滤

				
			

			

				

					guoyiqi
				

				

					03-31
					
					1023
					
				

			

		

		

			
				
springsecurityURL过滤和全局过滤 最近有个需求,需要配置一个登陆用户才能访问项目的资源,也就是说要配置一个/*形式的链接,保护项目中所有的资源,要登录了的用户才能访问, 当然是要除开登陆页面之外。 springsecurityURL过滤是采用的正则表达式,其实一直就在使用springsecurity,只是最近才引起重视。 参考文章: http://www.family168.c...

			
		

	





	

		

			

				
					
Spring Security内置过滤器详解

				
			

			

				

					分享技术干货和灵感、推荐新书和好玩的项目、分享Java面试题
				

				

					08-14
					
					4189
					
				

			

		

		

			
				
根据前面的示例,我们已经知道启动时会加载18个过滤器,并且已经知道了请求会匹配到DefaultSecurityFilterChain并依次通过这18个过滤器。CsrfFilter我们从OAuth2AuthorizationRequestRedirectFilter开始看,OAuth2开头这非常明显。......

			
		

	





	

		

			

				
					
day11-项目集成SpringSecurity-今日指数

				
			

			

				

					lisus2007的专栏
				

				

					02-25
					
					2020
					
				

			

		

		

			
				
day11-项目集成SpringSecurity-今日指数

			
		

	





	

		

			

				
					
SpringSecurity动态实现拦截url请求(不需要理解太多SpringSecurity源码)

				
			

			

				

					baidu_40492134的博客
				

				

					02-04
					
					6730
					
				

			

		

		

			
				
项目背景:最近自己再封装搭建一个简单的框架,里面用到了SpringSecurity,所以也就有了前面两篇文章,这期文章是要说在搭建的过程中,每次写Controller的时候,假如这个接口不需要登录就可以访问,是不是还要在配置文件中配置一下,这种方式如果在url比较多的时候是比较麻烦的。这里给大家一个实现的思路。也不需要懂源码,是比较好理解的一种方式。
这里主要是解决这种下图这种繁重的配置方式。如果太多需要放行的url,下面就会有一长串。



思路:刚开始也看了一阵源码。网上看到的一篇文章,他说Filt..

			
		

	





	

		

			

				
					
Spring Boot 配置Spring Security实现简单的访问拦截

				
			

			

				

					旭东怪的博客
				

				

					03-29
					
					1551
					
				

			

		

		

			
				
1 添加Maven依赖


		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-security</artifactId>
		</dependency>




			
		

	





	

		

			

				
					
spring security (三) 数据库认证,获取用户权限url地址

				
			

			

				

					mylove10086
				

				

					05-14
					
					1万+
					
				

			

		

		

			
				
通过一和二已经完成了用户的认证和授权,但是用户权限url都是写在配置类SecurityConfig.java中的。这次我们把这些内容到放在数据库中,在系统启动时从数据库中获取。配置自定义的用户服务    spring security大体上是由一堆Filter(所以才能在spring mvc前拦截请求)实现的,Filter有几个,登出Filter(LogoutFilter),用户名密码验证Fil...

			
		

	





	

		

			

				
					

				
			

			

				

					
				

			

		

		

			
				

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

  
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值