spring Security 的requestMatchers方法

最新推荐文章于 2025-05-08 13:37:45 发布
最新推荐文章于 2025-05-08 13:37:45 发布
阅读量9k 收藏 12
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_51945027/article/details/119654548
版权

requestMatchers() 取得RequestMatcherConfigurer对象并配置允许过滤的路由;如requestMatchers().anyRequest()等同于http.authorizeRequests().anyRequest().access(“permitAll”);如下面两个例子:

	@Override
	public void configure(HttpSecurity http) throws Exception {
		
//只允许路由由test开头的需要进行权限认证,其他的接口不需要权限认证;requestMatchers().anyRequest()即所有接口可以不进行认证;	
	http.requestMatchers().anyRequest().and().authorizeRequests().antMatchers("/test/*").authenticated();
 
	}
	@Override
	public void configure(HttpSecurity http) throws Exception {
		//只有以/test 开头的路由需要进行权限认证;其他路由不需要权限认证
		http.requestMatchers().antMatchers("/test/**").and().authorizeRequests().antMatchers("/**").authenticated();
 
	}

上面两个例子中可以看出:http.requestMatchers().anyRequest().and().authorizeRequests().antMatchers("/test/").authenticated();配置和http.requestMatchers().antMatchers("/test/").and().authorizeRequests().antMatchers("/**").authenticated();配置后的效果是完全一样的。

authorizeRequests()
授权管理控制的方法,这个方法返回一个ExpressionUrlAuthorizationConfigurer.ExpressionInterceptUrlRegistry对象。Security所有的权限控制都基于这个类进行控制。如:http.authorizeRequests().anyRequest().authenticated();要求所有接口都需要进行权限认证,这个类中的anyRequest()即所有接口,等同于http.authorizeRequests().antMatchers("/").authenticated(); 而其中的authenticated()则要求必须进行权限认证。而http.authorizeRequests().antMatchers("/").permitAll();这个配置中permitAll方法则要求所有接口都不需要进行权限认证。另外这两个代码中antMatchers方法则是配置匹配规则。即哪些接口需要进行权限认证或不需要进行权限认证。

		//所有接口都不需要权限认证
		http.authorizeRequests().antMatchers("/**").permitAll();
		//所有接口都要进行权限认证
		http.authorizeRequests().antMatchers("/**").authenticated();
		//只有以test开头的接口需要进行权限认证
		http.authorizeRequests().antMatchers("/test/**").authenticated();
		http.authorizeRequests().antMatchers("/test/**").hasRole("user").antMatchers("/**").authenticated();

在这个代码中要求以/test开头的路由需要进行角色认证(这里要求user角色),而其他接口只要登录即可访问。当我们需要配置多个角色时可以通过hasAnyRole方法配置多个角色的访问权限,如

http.authorizeRequests().antMatchers("/test/**").hasAnyRole("user","admin").antMatchers("/**").authenticated();
SpringSecurity6 | 基于数据库实现登录认证
分享思想,留下痕迹。
07-02 6613
大家好,我是Leo哥🫣🫣🫣,通过前面几节的学习,我们知道了如果通过内存进行登录认证以及如何获取登录用户的认证信息。但是在实际开发中,我们的用户都是存储在数据库中,并非直接存放在本地内存中。接下来,我们这篇博客将基于数据库的用户来实现我们的登录认证。其实用户进行认证,最常见的认证方式就是用户名+密码,认证服务需要根据用户名从存储中查询用户信息,然后判断输入的密码和存储中的密码是否匹配。对用户名、密码存储,内存JDBC关系型数据库使用的自定义数据存储使用LDAP认证的LDAP存储。
SpringSecurity6配置requestMatchers().permitAll() 无效问题
hardworking_boy的博客
04-29 1968
SpringSecurity6 自定义认证过滤器无效
SpringSecurity6解决requestMatchers().permitAll()后依然执行自定义过滤器的问题
m0_54250110的博客
06-04 1万+
Spring容器会自动识别被注册成为Bean对象的Filter过滤器(即继承自Filter对象的类),将这个Bean对象自动注册到SpringBoot的过滤器链中。如果你的过滤器类使用注解注册成为了一个Bean对象,那么他就已经加到了SpringBoot的过滤器链中,所以就算你的SpringSecurity配置中设置了permitAll,可能还会去走SpringBoot的过滤器链。
使用Spring Security 6.5.0的AntPathRequestMatcher被替换成PathPatternRequestMatcher
最新发布
曼陀罗的博客
05-08 264
【代码】使用Spring Security 6.5.0的AntPathRequestMatcher被替换成PathPatternRequestMatcher。
SpringSecurity - 基础概念之 RequestMatcher
业精于勤荒于嬉
07-21 3858
SpringSecurity 中的请求路径匹配接口 RequestMatcher
Spring Security6 配置中 .requestMatchers permitAll()不生效,可能原因之一是/error路径没放行
2201_75767488的博客
10-22 942
2,如果配置了登录接口,理论上访问/login就不会重定向到 /error了,死循环得以避免。这时候,仿佛即便不permitAll放行 /error,也是可以的。而,如果 /error没有放行,这里就会再次重定向到 /login,所以就会出现明明放行了 /register接口,但访问它时仍然跳转至 /login,搞得好像配置失效了一样。1,可以看到没有放行 /error,而当访问 /login接口时,报错信息是重定向次数过多:(原因很简单:用户被困在。3,总之,这把是 /error的锅。
requestMatchers()方法与authorizeRequests()区别,ResourceServerConfigurerAdapter与WebSecurityConfigurerAdapt
join_null的博客
08-09 7001
一、requestMatchers()方法与authorizeRequests()区别 1.理解这两个方法的区别首先要知道springsecurity中,每声明一个adapter实例,就会产生一条过滤器链,一个请求过来要走哪个过滤器链就是由requestMatchers()方法配置的url决定的。请求匹配上requestMatchers()配置的过滤器链后,在进一步的详细控制则是authorizeRequests()决定的。例如: 下面这个adapter只对/api1...
深入解析 Spring Security 配置中的 CSRF 启用与 `requestMatchers` 报错问题
summermermercha的博客
01-10 1047
Spring Security 的升级过程中,API 的调整往往会带来一些配置上的困惑。尤其是在 Spring Security 6.x 中,方法的变更使得原有配置可能会报错。Spring Security 默认启用了 CSRF,无需显式调用enable()方法方法Spring Security 6.x 中签名发生变化,需根据新版的 API 规范进行调整。在升级到 Spring Security 6.x 前,建议先了解主要 API 的变化,并对现有代码进行兼容性调整。
SpringSecurity + JWT 2025最新版 SpringSecurity角色权限控制 SpringSecurity6
commandblock的博客
09-01 1607
本文尽量使用官方提供的方法尽量简略的实现SpringSecurity+JWT角色权限控制,身份验证
SpringSecurity使用教程
weixin_65019617的博客
12-15 1373
RBAC权限模型(Role-Based Access Control)即:基于角色的权限控制。这是目前最常被开发者使用 也是相对易用、通用权限模型。我们可以在自己定义expression包下,创建自己的权限校验方法,然后在@PreAuthorize注解中使用自己的方法。//获取当前用户的权限//判断用户权限集合中是否存在authority在SPEL表达式中使用 @ex相当于获取容器中bean的名字未ex的对象。然后再调用这个对象的 hasAuthority方法
requestMatchers()适用的业务场景
硕硕的博客
01-08 989
authorizeRequests适用的业务场景
spring secuity拦截匹配URL权限(RequestMatcher接口详解)
热门推荐
HD243608836的博客
08-06 1万+
原文格式清晰,转载自:https://www.jianshu.com/p/4f9ee6007213 我们知道spring secuity是控制URL的访问权限的,那么spring secuity是怎样拦截匹配URL,我们先看一个接口RequestMatcher 匹配HttpServletRequest的简单策略接口RequestMatcher,其下定义了matches方法,如果返回是tru...
Spring Security过滤器链如何匹配到特定的请求
HongYu012的博客
02-16 1312
如何拦截特定的请求 只有满足了SecurityFilterChain的match方法的请求才能被该SecurityFilterChain处理,那如何配置才能让一个SecurityFilterChain处理特定的路径呢? RequestMatcher HttpSecurity内置了RequestMatcher属性来处理路径匹配问题。RequestMatcher可总结为以下几大类: 使用Ant路径: httpSecurity.antMatcher("/foo/**"); 如果你配置了全局的Se
SpringSecurity6.1.2调用requestMatchers的BUG:Servlet 3.0规范的第4.4节不允许从未在web.xml,web-fragment.xml文件中定义或未用@W
m0_53961640的博客
08-07 1195
将 pom.xml 里 spring-security-web spring-security-config 的版本从 6.1.2 改为 6.1.1。调用requestMatchers就会报错。
最新版Spring Security 中的路径匹配方案!
江南一点雨的专栏
04-22 1859
Ant 风格的路径模式(Ant Path Matching)是一种用于资源定位的模式匹配规则,它源自 Apache Ant 这个 Java 构建工具。在 Ant 中,这种模式被用来指定文件系统中的文件和目录。由于其简单性和灵活性,Ant 风格的路径模式也被其他许多框架和应用程序所采用,包括 Spring Security。?:匹配任何单个字符(除了路径分隔符)。:匹配任何字符的序列(除了路径分隔符),但不包括空字符串。**:匹配任何字符的序列,包括空字符串。至少匹配一个字符的序列,并且可以跨越路径分隔符。
Spring Security之基于HttpRequest配置权限
Evan_L的博客
03-24 2672
前面我们探索了基于方法的权限配置方式,今天我们聊聊最为常用的基于HttpRequest的权限配置方式。
serverhttpsecurity 缺少_在类resourceserverconfiguration.configure中使用httpsecurity.requestmatchersSpring ...
weixin_32308039的博客
01-30 841
如果需要配置多个HttpSecurity在您的应用程序中,HttpSecurity.requestMatchers()或其他(但类似)配置选项之一:HttpSecurity.requestMatcher(RequestMatcher)HttpSecurity.antMatcher(String)HttpSecurity.mvcMatcher(String)HttpSecurity.regexMat...
RequestMatcher(配置忽略url和认证的url)
java牛牛的博客
02-16 7565
一句话简介 匹配HttpServletRequest的简单策略接口RequestMatcher,其下定义了matches方法,如果返回是true表示提供的请求与提供的匹配规则匹配,如果返回的是false则不匹配。 RequestMatcher其实现类: AntPathRequestMatcher:重点 MvcRequestMatcher:重点 RegexRequestMatcher: 根据正则模...
Spring Security系列】Spring Security+JWT+Redis实现用户认证登录及登出
c18213590220的博客
11-28 2411
Spring Security 是基于 Spring 的身份认证(Authentication)和用户授权(Authorization)框架,提供了一 套 Web 应用安全性的完整解决方案。其中核心技术使用了 Servlet 过滤器、IOC 和 AOP 等身份认证指的是用户去访问系统资源时,系统要求验证用户的身份信息,用户身份合法才访问对应资源。常见的身份认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。
springboot 集成Spring Security禁用OPTIONS方法
01-15
### 如何在Spring Boot集成Spring Security时禁用OPTIONS HTTP方法 为了实现这一目标,在配置类中可以通过重写`configure(HttpSecurity http)`方法来调整HTTP安全设置。具体来说,可以利用`HttpMethodOptionsMatchProcessor`或者直接通过`.httpBasic().and().authorizeRequests()`链式调用来指定哪些请求应该被授权以及如何处理特定类型的HTTP请求。 下面展示了一个具体的例子: ```java @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.cors().and() .csrf().disable() // 如果不需要CSRF保护可关闭它 .authorizeRequests() .antMatchers(HttpMethod.OPTIONS, "/**").permitAll() // 允许所有OPTIONS请求访问任何路径 .anyRequest().authenticated(); // 所有其他请求都需要认证 // 或者完全移除对OPTIONS的支持如下所示: /*http.cors().and() .csrf().disable() .authorizeRequests() .requestMatchers(PathRequest.toStaticResources().atCommonLocations()).permitAll() .mvcMatchers("/api/**").hasRole("USER") // 对API端点应用角色检查 .and() .httpBasic() .and() .exceptionHandling().defaultAuthenticationEntryPointFor( new HttpStatusEntryPoint(HttpStatus.METHOD_NOT_ALLOWED), new AntPathRequestMatcher("**", HttpMethod.OPTIONS.toString()));*/ } } ``` 上述代码片段展示了两种方式:一种是允许所有的`OPTIONS`预检请求;另一种则是当接收到`OPTIONS`请求时返回`METHOD_NOT_ALLOWED (405)`状态码[^1]。 对于更复杂的场景,比如与前端框架Vue.js交互时可能遇到跨域资源共享(CORS)问题,确保适当配置CORS过滤器也很重要。由于Vue专注于视图层开发[^3],通常后端需要负责提供必要的响应头以便于前后端分离架构下的正常通信。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值