spring实战-Spring-security权限认证白名单

最新推荐文章于 2025-04-08 20:11:46 发布
最新推荐文章于 2025-04-08 20:11:46 发布
阅读量2.5w 收藏 22
点赞数 2
分类专栏: spring 文章标签: Java java web spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/tidu2chengfo/article/details/77450149
版权

第九篇:spring实战-Spring-security权限认证白名单

当我们为程序设置权限认证时,主要是希望能够保护需要保护的功能,并不是说所有的功能都需要被保护起来,比如说系统主页,帮助中心等等

此时我们可以通过白名单的方式,让某些功能对未登录用户公开,Spring-security提供了对固定路径,或者模糊匹配路径的保护

1,在SecurityConfig中重载configure函数

package com.halfworlders.idat.config;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.core.io.ClassPathResource;
import org.springframework.core.io.Resource;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.web.authentication.rememberme.InMemoryTokenRepositoryImpl;

import com.halfworlders.idat.security.IdatUserDetailsService;
import com.halfworlders.idat.security.SecurityWhitelistHandler;
import com.halfworlders.idat.service.Userservice;

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

	@Autowired
	private Userservice userservice;

	@Autowired
	private SecurityWhitelistHandler whitelistHandler;

	@Bean
	public static Resource securityWhitelistResource() {
		return new ClassPathResource("/security_whitelist.properties");
	}

	@Override
	protected void configure(HttpSecurity http) throws Exception {
		// 通过requiresChannel()来设置请求是否需要安全通道
		// 如果request后面使用requiresSecure(),spring
		// security回视为请求需要安全通道,并自动把请求重定向到https上
		// 如果request后面使用requiresInsecure(),spring security回视为请求不需要安全http通道
		// http.requiresChannel().anyRequest().requiresSecure();

		whitelistHandler.handle(http)
		.authorizeRequests().anyRequest().authenticated()
	  .and()
		.formLogin();
	}

	@Override
	protected void configure(AuthenticationManagerBuilder auth) throws Exception {

		/*
		 * 最好的是基于UserDetailService的接口方式,这样spring-security并不知道系统通过什么样的方式来实现用户数据验证
		 * 开发人员可以在接口内以任意方式实现,增加了系统的灵活性
		 */
		auth.userDetailsService(new IdatUserDetailsService(userservice));
	}
}

用来定义如何保护路径的配置方法有:


2,构建白名单操作类

package com.halfworlders.idat.security;

import java.util.Collection;
import java.util.Properties;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.core.io.Resource;
import org.springframework.core.io.support.PropertiesLoaderUtils;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.stereotype.Component;

@Component
public class SecurityWhitelistHandler {

	@Autowired
	private Resource securityWhitelistResource;

	public HttpSecurity handle(HttpSecurity http) throws Exception {
		Properties props = PropertiesLoaderUtils.loadProperties(securityWhitelistResource);
		Collection<Object> values = props.values();
		String[] liString = new String[values.size()];
		values.toArray(liString);
		return http
				.authorizeRequests()
				.regexMatchers(liString)
				.permitAll()
				.and();
	}
}
3,白名单配置文件security_whitelist.properties 

home=/home
login=/home/login*
regist=/home/regist*
help=/help

此时,就可以保证/home,/home/login*,/home/regis*,/help页面不需要登录,就可以访问




Spring Security5 学习6 - IP白名单
qq_41302594的博客
04-13 1858
Spring Security5(6)IP白名单 有些时候,为了方便放行,比如我们将应用程序部署在阿里云上,我们需要允许外网的所有人都可访问该ip地址,我们就可以通过 spring security 的 IP 白名单来进行操作。spring security 的 IP 白名单非常强大,细到限制一个软件的端口都可以做到。 首先,依然是创建一个springboot应用程序。应用以下依赖: sprin...
循序渐进学习spring security 第十四篇 自定义验证码认证逻辑,自定义动态权限下URL白名单配置
huangxuanheng的专栏
08-08 1635
文章目录学习目标回顾自定义认证逻辑,增加验证码校验创建项目:security-verify创建类:UsernamePasswordProvider编写获取验证码接口配置URL白名单测试如何添加URL白名单DefaultFilterInvocationSecurityMetadataSource 源码剖析将过滤器 MenuFilterInvocationSecurityMetadataSource 改为继承DefaultFilterInvocationSecurityMetadataSource配置URL白
Spring Security 实现动态刷新 URL 白名单
hdfg159的专栏
12-31 1149
RequestMatcher SpringSecurity 动态刷新 白名单 URL
SpringSecurity设置白名单
pan_junbiao的博客
02-22 547
白名单(Whitelist)是一个安全术语,它指的是一个明确的列表或集合,其中包含了被系统、程序或网络明确授权允许访问或执行的对象。这些对象可以是用户、IP地址、电子邮件地址、域名、文件、进程或其他任何实体。在 Spring Security 中设置白名单(即允许某些特定的URL路径无需认证即可访问)是一项常见的需求。你可以通过配置 WebSecurityConfigurerAdapter 来实现这一点。以下是一个示例,展示了如何配置 Spring Security 以允许特定的 URL 路径无需认证
spring-security 权限控制教程
最新发布
weixin_65403042的博客
04-08 1115
springSecurity 中指定登陆和失败的页面;这里需要注意一点, 重写后,必须有自己的controller 来进行接受第一次的login 请求;否则会报重定向异常(和security 内部的跳转逻辑有关);但是如果不进行重写, 其内部会有自己的控制器来进行拦截。这里的路径要和下面配置的config的 访问和允许资源一致// 对应 templates/login.html (如果使用模板引擎)// 如果使用静态页面,则不需要此方法// 对应 templates/main.html。
Spring Security6.2.2配置白名单
qq_31706527的博客
03-14 1859
Spring Security6.2.2中AuthenticationFailureHandler、AuthorizeRequests已弃用,这个问题研究了很久。经过百度搜索和chatGPT查询,重要找到了解决方法,直接放代码。代码中的“/captcha”就是要变为不需要验证登录的路径。小白一个,如果有不对的地方还请大神指正!
SpringSecurity如何正确的设置白名单
waooi的博客
07-23 1861
SpringSecurity中,往往需要对部分接口白名单访问,而大部分在使用Security中就有一个误区,那就是免鉴权访问和白名单的区别。大部分的Security文章包括官方文档给出免鉴权访问都是使用去对相应路径进行免鉴权访问,但实际上这仅仅只表示该资源不需要相应的权限访问,但是用户还需要认证.也就是Securityd的认证/授权两个概念.
SpringSecurity Oauth2 - 10 自定义SpEL权限表达式配置白名单url不需要token认证和鉴权
你今天真好看呀
11-10 4555
*** MethodSecurityExpressionOperations 接口方法的属性/*** SecurityExpressionRoot 类中的属性/*** 判断是否是白名单WhiteUrl,不校验权限,不需要token// 白名单url,直接返回true return true;} /*** 修改 SecurityExpressionRoot 类中的该方法** 登录请求url是否是白名单WhiteUrl,如果是则不需要校验权限,直接返回true。
SpringSecurity白名单路径不走自定义过滤器
qq_52614517的博客
07-01 1183
第二步:自定义过滤器不要注入到Spring容器中(也就是不要使用@Component注解)在securityConfig中使用new的方式将filter注册到security filter链中,交由security去管理。第一步:在SpringSecurity的配置类中重写public void configure(WebSecurity web)方法。这样springsecurity白名单路径就不会走自定义过滤器。参考:http://t.csdn.cn/AogH8。具体原因可以看上面博主的博文。
Spring Security 6 系列之十一 - 白名单和跨域处理
代码还是得自己扣
12-30 1344
了解跨域请求之前,我们先了解什么是同源策略。同源策略(Same-Origin Policy)是一种安全机制,它限制一个文档或脚本只能读取来自同一源的信息。这里的“源”由协议、域名和端口组成。如果一个请求的目标地址与当前文档的源不相同,则该请求被视为跨域请求。简单来说就是如果同一个网页里面,请求来自2个不同的源(协议、域名或端口有一个不一致)的话,则会出现跨域问题,会报出一个cors的错误,这是其实是为了保证一种安全的机制,防止恶意网站访问用户的敏感信息或执行不安全的操作‌。
实战SpringSecurity+OAuth2
JaneRoad
12-19 1178
上篇我们讲了OAuth2.0的概念 这一篇针对实战详细说说
(一)学习spring-cloud2021之spring-authorization-server
m0_67402125的博客
07-30 2137
至此,spring-authorization-server的基础使用已完成,总体上和原SpringSecurityOAuth大差不差,个别配置项不同。由于不太会写文章,我就直接贴出代码,代码中我有加上注释,所以上述文章中,没有很具体的描述,基本就是个人开发流程,若文中有那里写不对,欢迎指教,不喜勿喷。关于升级springcloud2021.0.x部分,请查看后续相关文章先自我介绍一下,小编13年上师交大毕业,曾经在小公司待过,去过华为OPPO等大厂,18年进入阿里,直到现在。https。...
Spring Security 实战、微服务单点登录实战、微信扫码登录实战
weixin_44022231的博客
08-20 565
i++) {throw new RuntimeException("MD5加密出错!!+" + e);/*** 我们自己的用户实体对象,这个实体类对象去适配自己项目的实体类,这也是适配自己项目的一个关键点要调取用户信息时直接获取这个实体对象。*///指定登录接口及提交方式,可以指定任意路径/*** 登录认证* @return*/@Overridetry {/**
全新版本Spring Security使用
BUG指挥课堂
07-11 1954
SpringBoot实战电商项目mall(50k+star)地址:github.com/macrozheng/…首先修改项目的文件,把Spring Boot版本升级至版本。 旧用法 在Spring Boot 2.7.0 之前的版本中,我们需要写个配置类继承,然后重写Adapter中的三个方法进行配置; 如果你在SpringBoot 2.7.0版本中进行使用的话,你就会发现已经被弃用了,看样子Spring Security要坚决放弃这种用法了! 新用法非常简单,无需再继承,只需直接声明配置类,再配置
Spring Security 实现IP白名单机制
热门推荐
neweastsun的专栏
03-08 1万+
Spring Security 实现IP白名单机制 本文讨论如何在Spring Security 中实现IP白名单机制。先看看默认实现机制,同时也讨论自定义AuthenticationProvider实现更加灵活的应用。 1. 默认实现 首先我们看下Java配置。使用hasIpAddress() 定义允许特定ip地址的用户访问特定资源。请看下面使用hasIpAddress()的配置: @Confi...
spring security工作的大致流程
yu001207的博客
10-17 1926
spring security工作的大致流程,可以帮助你理解
spring security实现IP动态添加白名单
L_zsen的博客
07-06 6515
最近有个小需求:实现一个IP白名单的功能;指定ip可以无需登录认证即可访问指定的接口,非指定ip需要登录认证才能访问; 安全框架用spring security+jwt,安全配置类securityConfig继承WebSecurityConfigurerAdapter中可以配置hasIpaddress白名单; 但这个只能在初始化项目时通过字符串拼接access参数,没有达到ip动态添加删除的效果; 随后在百度了N篇文章后,参考动态url权限配置,自定义了一个决策器实现了功能,代码如下: import co
通过Security设置白名单
weixin_51722520的博客
10-11 2456
请问请问
spring Security配置拦截规则
weixin_43575792的博客
03-18 6765
问题描述 使用spring Security实现后台管理系统登录验证加拦截,访问图片时需要验证 解决方案: 配置spring Security拦截规则,将访问路径添加进入白名单中,比如博主将resources下files下的图片设置白名单,规则就是"/files/**" @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { protected void configure(HttpSecurit
springsecurity 配置接口白名单访问
01-22
### 配置 Spring Security 接口白名单 为了使某些接口能够在不经过身份验证的情况下被访问,在 Spring Security 的配置类中可以通过 `HttpSecurity` 对象来指定这些路径。具体来说,通过调用 `.authorizeRequests()` 方法并链式调用 `.antMatchers().permitAll()` 来声明不需要认证就能访问的 URL 模式[^2]。 下面是一个简单的例子展示如何在应用程序的安全配置文件里添加白名单: ```java @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() .authorizeRequests() // 开始定义哪些请求需要保护以及它们应该如何受到保护 .antMatchers("/login", "/register").permitAll() // 设置 /login 和 /register 路径下的资源可以匿名访问 .anyRequest().authenticated(); // 所有其他请求都需要用户已登录状态才能访问 // ...其余安全设置... } } ``` 对于更复杂的场景,比如基于 IP 地址限制或动态加载白名单列表,则可能涉及到自定义过滤器或其他组件的工作。例如,如果想要根据 Redis 缓存中的数据实时更新可信任的客户端 IP 列表,可以在应用启动时读取配置并将之保存到缓存中,之后创建一个专门用于检查来访者 IP 是否位于该列表内的处理器[^5]。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值