Spring WebSecurityCustomizer 的作用

最新推荐文章于 2025-03-28 09:41:10 发布
原创 最新推荐文章于 2025-03-28 09:41:10 发布 · 984 阅读 · 18 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring #java #后端

Spring WebSecurityCustomizer 是 Spring Security 框架中用来 自定义 Web 安全配置 的一个接口。 它的主要作用是在开发中我们能够 精细的控制哪些请求会被 Spring Security 完全忽略,不进行任何安全检查和过滤

我们可以把它想象成是 Spring Security 大门上的一个 “后门” 或者 “快速通道”。

  • Spring Security 的大门: 默认情况下,应用启用了 Spring Security,所有的 HTTP 请求都会经过 Spring Security 的重重安全检查 (例如:身份认证、权限校验、CSRF 防护等等)。 这就像你家的大门,任何访客都要经过你的检查才能进入。

  • WebSecurityCustomizer 的 “后门” / “快速通道”: WebSecurityCustomizer 允许你配置一些特定的 URL 路径,这些路径就像是 “后门” 或 “快速通道”,请求可以直接绕过 Spring Security 的所有安全检查,直接进入你的应用内部。 这就好比你设置了某些人可以直接从后门进入你家,无需经过大门的检查。

WebSecurityCustomizer 主要用于配置以下场景:

  1. 静态资源放行 (Static Resources): 例如 CSS 文件、JavaScript 文件、图片、字体文件等等。 这些静态资源通常是公开访问的,不需要进行身份验证或权限控制。 通过 WebSecurityCustomizer 可以配置忽略对这些静态资源的拦截,提升性能,避免不必要的安全处理。

    • 例如: /css/**, /js/**, /images/** 这些路径下的所有请求都直接放行,不经过 Spring Security 的检查。

  2. 公开 API 或端点 (Public APIs/Endpoints): 有些 API 接口或端点是设计为公开访问的,例如网站的首页、登录页面、注册页面、或者一些无需授权即可访问的公共数据接口。 WebSecurityCustomizer 可以用来配置忽略对这些公开 API 的安全检查。

    • 例如: /public-api/**, /login, /register 这些路径下的请求被忽略。

  3. 健康检查端点 (Health Check Endpoints): 在微服务架构中,健康检

最低0.47元/天 解锁文章
springsecurity5.7.x和springsecurity6.x配置文件对比
程序猿的傻白甜
11-24 1199
SecurityConfig配置文件
上古掌控安全的神-零:Spring Security5.x到Spring Security6.x的迁移
Xayla的博客
04-20 2334
之前有写过一篇关于的文章,但那已经是相对比较旧的版本了,就目前来说,这其中出现了不少的变动和更新,很多API的使用也是有不小的变化,所以我觉得有必要再写几篇文章学习一下,是的,不是一篇,是几篇,下面是初步的写作计划。《上古掌控安全的神-壹:Spring Security6.0+版本初探》《上古掌控安全的神-贰:Spring Security6.0+版本再探》《上古掌控安全的神-叁:Spring Security6.0+版本认证实践》
SpringSecurity的PermitAll、WebSecurityCustomizer和授权
qq_18841277的博客
12-09 4747
当使用PermitAll的时候,SpringSecurity会拿到你放行的请求进行判断,因此不会被SpringSecurity默认的过滤器所拦截,但是可能会被我们重写的过滤器所拦截,但是当在授权的时候如果实现了。的时候,过滤器会忽略后面请求的路径,默认就不会走springSecurity的过滤器和重写的springSecurity的过滤器。在SpringSecurity的日常开发中,可能使用SpringSecurity的PermitAll()请求还是会被拦截,这是为什么呢?决定此次请求是否被允许访问的。
Spring Security】WebSecurityConfigurerAdapter被deprecated怎么办?官方推荐新的Security配置风格总结
Sihang_Xie的博客
01-27 8143
WebSecurityConfigurerAdapter被deprecated怎么办?这篇博文总结了官方推荐新的Security配置风格。
WebSecurityConfigurerAdapter已弃用
Code Writers
12-08 2251
配置数据库自定义的UserDetalisService的身份认证时,发现WebSecurityConfigurerAdapter已废弃,在网上查阅了官方的案例文档,再加上自己项目的自定义数据库认证方案,将参考内容整理如下,有问题欢迎大家指正。在 Spring Security 5.7.0-M2 中,弃用了 WebSecurityConfigurerAdapter,Spring 鼓励用户转向基于组件的安全配置。配置 HttpSecurity 在 Spring Security 5.4 中,Spring 引入了
Spring Security 笔记
imxlw00的专栏
05-29 2003
Spring Security
WebSecurityCustomizer
2401_85480529的博客
09-18 793
WebSecurityCustomizer 通常不需要和其他类直接搭配使用,它是一个独立的配置接口,用于定义哪些请求路径或资源不需要进入 Spring Security 过滤器链。是一个用于配置 Spring Security 忽略特定路径的接口,主要用于排除某些不需要进行安全处理的资源(如静态资源或特定的公共 API)。是 Spring Security 提供的一个接口,用于配置 Spring Security 应该忽略的请求路径或静态资源。:对于无需认证的健康检查路径或公开 API,可以直接通过。
Spring SecurityFilterChain 的作用
专注于技术分享
03-28 1086
当一个请求到达时,它会依次经过 Filter Chain 中的每个 Filter 进行处理。内部是由一系列预定义的 Spring Security Filter 组成的,这些 Filter 各司其职,共同完成安全处理。是 Spring Security 的核心,它定义了一个安全过滤器链,负责对 HTTP 请求进行全面的安全处理,包括身份认证、权限校验、防止 Web 攻击等。它负责将一系列 Spring Security 提供的 Filter 组织起来,形成一个安全处理流程。注解的类) 中创建一个或多个。
Spring Boot + Spring Security 实战代码教程及踩过的坑(小白创作)
weixin_48074496的博客
06-14 1838
本文章是一个小白学习Spring Security的全部过程及踩过坑 先是准备对应DAO层代码 @Op package edu.gdit.dormitory_repair_system.Dao; import edu.gdit.dormitory_repair_system.Model.Role; import edu.gdit.dormitory_repair_system.Model.User; import org.apache.ibatis.annotations.Mapper; impo
Spring Boot 整合 Swagger3 指南
weixin_72753070的博客
07-21 1913
Swagger好早之前就更新到3了,不过一直没空和小伙伴们分享下具体玩法,主要是也是因为Swagger虽然升级了,但是我们在SpringBoot中却依然可以使用老版本的Swagger,不过好像是从SpringBoot2.6开始,你会发现用不了老版本的Swagger了,哎,反正迟早都得搞,那不如就今天吧!现在,基本工作就已经完成了,此时即使我们不做任何额外的事情,Swagger文档也已经可以自动生成了。当然,除了这些之外,还有一些响应值的注解,都比较简单,小伙伴可以自己摸索下。...
spring security中WebSecurityCustomizer的使用
weixin_34278711的博客
08-30 1099
WebSecurityCustomizer` 的主要作用是定制 Spring Security 的过滤器链。它允许你针对不同的请求路径或条件配置不同的安全设置,从而实现更细粒度的控制。
Spring Security 5.7.0弃用 WebSecurityConfigurerAdapter
热门推荐
OLinOne的博客
11-29 1万+
Spring Security 5.7.0版本开始弃用 WebSecurityConfigurerAdapter 类,本篇文章参考Spring 博客文章介绍了如何在 5.7.0 版本之后正确使用Spring Security授权和认证等方式。
SpringSecurity基础(三)通过配置类放行静态界面与过滤器链
weixin_43189971的博客
07-18 1736
1.通过WebSecurityCustomizer 放行界面 1.1放行不需要经过过滤器链Spring Security的静态界面 1.2放行经过 Spring Security 过滤器链,但是不拦截(如果是一个接口想要匿名访问,一般使用这种)。 2.安全过滤器链SecurityFilterChain 类似于shiro的xml配置的过滤器 .........
springSecurity 之 WebSecurityCustomizer定义请求不经过HttpSecurity 过滤器链
qq_45090949的博客
11-29 577
springSecurity 在构建。,比如配置一些请求不经过。构建一个单独的过滤器链。
SpringSecurity------WebSecurityConfiguration配置类
ywb201314的专栏
03-15 2079
简单的说,这个类的作用就是用来创建FilterChainProxy,FilterChainProxy是一个Servlet Filter,他是一组SecurityFilterChain的代理,用于管理这些SecurityFilterChain。这个方法是接口ImportAware的方法,当前配置类是通过@EnableWebSecurity注解上的@Import注解引入的,实现该接口的方法使得当前配置类可以获取到@EnableWebSecurity的debug属性值。
SpringSecurity - WebSecurityConfigurerAdapter 过时问题
业精于勤荒于嬉
07-02 1万+
WebSecurityConfigurerAdapter 过时问题
SpringSecurity安全框架简介
xsgnzb的专栏
03-29 1723
我们介绍了Spring Security的基本概念和常见功能,分析了Spring Security扩展机制的实现原理,最后对比了Spring Security6.0的一些改动。可见,使用Spring Security我们通过提供自己的业务过滤器,很容易实现功能的扩展。
Spring Security框架原理及解析
多看多听多总结
07-26 2218
Spring Security框架原理及解析
WebSecurityConfigurerAdapter被弃用Spring Security基于组件化的配置和使用
个人学习笔记库,一篇一篇记录成长的足迹
03-26 4954
spring security过滤器链的组件化配置
WebSecurityCustomizer 在被谁使用
最新发布
09-20
- 它的主要作用是配置Spring Security应该忽略的请求路径或静态资源,即排除不需要安全控制的资源。 那么,`WebSecurityCustomizer`被谁使用呢?也就是在Spring Security框架中,是谁来调用这些自定义配置的? 在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

冰糖心书房

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值