SpringSecurity匿名用户访问权限

最新推荐文章于 2024-07-01 16:25:31 发布
转载 最新推荐文章于 2024-07-01 16:25:31 发布 · 4k 阅读 · 1 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/kitor/p/11287502.html
文章标签:

#java #数据库

本文详细介绍了如何在SpringSecurity中配置匿名访问权限,使未登录用户能够访问特定页面。通过XML配置示例,展示了如何设置/cart/**目录下页面的匿名访问,并介绍了如何获取当前用户的访问用户名,包括已登录用户的登录ID和未登录用户的UUID。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在SpringSecurity中定义一个匿名访问权限,实现未登录用户可以访问默写页面

1     <http use-expressions="false" entry-point-ref="casProcessingFilterEntryPoint">
2        <intercept-url pattern="/cart/**" access="IS_AUTHENTICATED_ANONYMOUSLY"/>
3         <intercept-url pattern="/**" access="ROLE_USER"/>  
4         <custom-filter position="CAS_FILTER" ref="casAuthenticationFilter" />  
5         <custom-filter ref="requestSingleLogoutFilter" before="LOGOUT_FILTER"/>  
6         <custom-filter ref="singleLogoutFilter" before="CAS_FILTER"/>  
7     </http>

就是在第2行添加的内容。此处的意思是所有的/cart/**目录下的都可以访问,并且用户名统一为annonymousUser

结合SpringSecurity的匿名用户未登录访问和登录访问的判断

下方代码目的是用来获取当前用户的访问用户名

1、如果已登录返回用户的登录id

2、未登录为当前用户创建一个UUID存入Cookie中并返回该Cookie的UUID

    /**
     * 准备方法获取cookie中的uuid,如果cookie中没有uuid生成uuid并保存到cookie中
     */
    public String getUuid(){
        String uuid = CookieUtil.getCookieValue(request, "uuid","utf-8");

        //从cookie中获取的uuid为null或者有具体的值
        if(uuid == null || uuid.equals("")){
            uuid = UUID.randomUUID().toString(); //XXXX-XXXX-XXXXXXXXX
            //将生成的uuid存入cookie中
            CookieUtil.setCookie(request, response, "uuid", uuid,48*60*60, "utf-8");
        }
        return uuid;
    }
    
    public String getUserID{
        String userId = SecurityContextHolder.getContext().getAuthentication().getName(); //从springSecurity获取当前用户
        //判断是否登录,如果未登录,返回UUID,如果已登录返回用户登录名
        if("anonymousUser".equals(userId)){
            userId = getUuid(); //cookie中获取uuid作为唯一key值
        }
        return userId;
    }

 

转载于:https://www.cnblogs.com/kitor/p/11287502.html

认证、授权攻略三(9)、spring security匿名登录
java爱分享
07-29 1408
上一篇:【认证、授权攻略三(8)、spring security退出登录】 匿名认证 对于匿名访问用户,Spring Security 支持为其建立一个匿名的 AnonymousAuthenticationToken 存放在 SecurityContextHolder 中,这就是所谓的匿名认证。这样在以后进行权限认证或者做其它操作时我们就不需要再判断 SecurityContextHolder ...
Spring Security 自定义匿名访问注解:让你的权限控制更灵活!
最新发布
Leaton的博客
02-18 1187
通过本文的学习,你不仅能掌握自定义注解的技巧,还能提升对 Spring Security 权限控制机制的理解。通过本文的学习,我们成功地自定义了一个“匿名访问”注解,并将其集成到 Spring Security 的权限控制体系中。这种方式不仅提升了代码的可维护性和可扩展性,还为我们的项目提供了更灵活的权限控制方案。然而,在实际开发中,我们可能会遇到一些特殊的场景,比如需要为“匿名用户”单独设置访问规则,或者希望以更灵活的方式控制权限。但有时候,默认的注解无法满足我们的需求。中添加对其他注解的支持。
11. pring Security 匿名认证
一个人的人生
11-29 1064
匿名认证 目录 1.1     配置 1.2     AuthenticationTrustResolver          对于匿名访问用户,Spring Security支持为其建立一个匿名的AnonymousAuthenticationToken存放在SecurityContextHolder中,这就是所谓的匿名认证。这样在以后进行权限认证或者做其它操作时我们就不需要再判断Se
Spring Security之匿名用户
热门推荐
来啊 快活啊
06-13 1万+
Spring Security为我们提供了一个匿名用户的功能,我们可以基于此很容易的实现匿名用户的单独控制,使我们的站点轻松拥有游客用户的功能;如果开启了匿名用户的功能,按照Spring Security Filter的执行顺序,AnonymousAuthenticationFilter在ExceptionTranslationFilter的前面,在各种认证机制和RememberMeAuthenti
springSecurity注销登录SecurityContextHolder.getContext().getAuthentication.getPrincipal() 为anonymousUse
2301_77484585的博客
03-24 1266
springSecurity注销登录SecurityContextHolder.getContext().getAuthentication.getPrincipal() 为anonymousUser。返回 "anonymousUser",这表示用户已经成功注销并且没有有效的认证信息,因此匿名用户取代了之前的认证主体。时返回 "anonymousUser",这意味着当前用户已注销登录,不再具有有效的身份认证信息。在 Spring Security 中,当用户注销登录后,如果你的。
springboot2.0.4+spring security+vue前后分离开发一直提示anonymousUser
baidu_37302589的博客
09-11 9153
后台角色权限认证提示匿名用户,使用postman却没有发现该问题 vue2.0 index.js配置的跨域 各种查找资料都没发现有相关解决文档,无奈只能重新搭建项目,从而发现问题所在,故此记录一下解决办法 后台去掉 servlet: context-path:/interest 更改后的配置,前端vue做相对应的处理   就此解决前后分离提示匿名用户问题!...
Spring Boot集成Spring Security,HTTP请求授权配置:包含匿名访问、允许访问、禁止访问配置
11-22
在Spring Security中,我们可以为不同的用户角色定义不同的访问权限。例如,管理员可以访问管理界面,而普通用户则没有这样的权限。通过定义访问规则,我们可以在方法或者URL级别上控制访问权限,确保只有合适的用户...
Spring Security 如何允许对同一地址进行匿名和身份验证访问
m13012606980的专栏
09-28 2973
场景描述 可能在开发过程中设置了一个匿名访问地址,但这个地址我们同时也想让它能够进行身份验证访问。就比如一个地址你把它分享出去就可以匿名访问,但如果这个地址如果没有被分享出去在系统内部或者在app中就可以进行身份验证访问。 遇到的问题 Spring Security 版本:4.1.0.RELEASE。现在版本到 5.5.2 为啥不用最新的,我只能说我也想。 Spring Security中默认对匿名访问的设置是如果你当前请求的地址为匿名访问设置,并且没有携带token的话,Spring Security会在
三、SpringSecurity 动态权限访问控制
时间海绵
05-25 6493
在先前文章中我们搭建了SpringSecurity项目,并且讲解了自定义登录方式需要做哪些工作,如果你感兴趣可以前往博客阅读文章以及代码,在本文将继续讲解如何实现动态权限控制。
SpringBoot+SpringSecurity+JWT权限管理练习项目
01-16
- **配置SpringSecurity**: 创建一个配置类,继承`WebSecurityConfigurerAdapter`,重写`configure(HttpSecurity http)`方法,设置安全规则,例如允许匿名访问某些URL,对其他URL进行身份验证等。 - **实现JWT ...
SpringSecurity中文文档(Servlet Anonymous Authentication)
znjy111的博客
07-01 680
通常认为采用“默认拒绝”立场是良好的安全实践,您明确指定允许的内容并拒绝其他所有内容。定义未经身份验证的用户可以访问的内容是类似的情况,特别是对于 Web 应用程序。许多网站要求用户必须经过身份验证才能访问除少数 URL(例如主页和登录页面)之外的内容。在这种情况下,最简单的方法是为这些特定 URL 定义访问配置属性,而不是为每个受保护资源定义。换句话说,有时默认要求 ROLE_SOMETHING 并只允许对此规则的某些例外情况是很好的,例如应用程序的登录、注销和主页。
Spring Security OAuth 匿名认证的使用
m13012606980的专栏
09-14 3763
Spring Security OAuth 匿名认证的使用AnonymousAuthenticationFilter配置匿名访问的资源路径自定义匿名访问注解自定义注解AnonymousAccess动态获取匿名访问路径获取@AnonymousAccess标注的接口为空问题反射获取@AnonymousAccess标注的接口 AnonymousAuthenticationFilter spring security 默认提供了一个匿名身份验证的过滤器AnonymousAuthenticationFilter,默认
Spring Security 实战:基于配置的接口角色访问控制
程序猿DD
12-19 1268
点击上方蓝色“程序猿DD”,选择“设为星标”回复“资源”获取独家整理的学习资料!作者 | 码农小胖哥来源 |公众号「码农小胖哥」1. 前言欢迎阅读Spring Security 实战...
java 匿名访问权限_Spring Security permitAll()不允许匿名访问
weixin_36240214的博客
02-25 1427
我有一个方法,我想允许匿名和经过身份验证的访问。我正在使用基于 java 配置的 Spring Security 3.2.4.重写的配置方法(在我的自定义配置类中扩展 WebSecurityConfigurerAdapter)具有以下 http 块:http.addFilterBefore(muiltpartFilter, ChannelProcessingFilter.class).addFil...
Spring Security
JielongYang的博客
11-18 448
简介 Spring Security是一种基于Spring AOP和Servlet过滤器Filter的安全框架,它提供全面的安全性解决方案,提供在Web请求和方法调用级别的用户鉴权和权限控制。 Filter在一个HTTP请求过程中的执行流程如下图: Spring Security 提供了多种登录认证策略。 典型的基于表单登录认证的流程如下图: 实战 1.创建spring boot项目 2.加入Security 和 Web 依赖 3.启动应用,浏览器访问 localhost:8080 得到一个登录表单页面
【Django-CI系统】当Django 中 request.user 调用用户名时出现 AnonymousUser(匿名对象)的错误-20220512
Season 优快云博客
05-12 1361
bug情景:如果匿名用户出现时,request.user.employeeuser会报错。 解决方法:if not request.user.is_authenticated判断用户是否有效,如果无效则不启动下列方法,如update_should_review(request)。 def home(request): '''进入主页''' # 如果是陌生访客,就退出;否则继续 if not request.user.is_authenticated: pass
SpringSecurity--权限配置
喝醉的咕咕鸟
03-20 3548
权限相关API和流程: 关键点在: 1.FilterSecurityInterceptor 所有的SpringSecurity拦截器都会进入这个安全处理器中。只有通过才能处理业务逻辑。 2.AccessDecisionManager:认证投票处理。 3.AccessDecisionVoter:选举者。 4.AbstractAccessDecisionMan...
Spring Security参考手册
殇莫忆的博客
05-05 5597
Spring Security 参考手册Ben AlexLuke TaylorRob WinchGunnar HillertTable of Contents前言入门简介Spring Security是什么?历史发布版本号Getting Spring SecuritySpring Security 4.1新特性Java 配置提升Web应用程序安全性提升授权改进密码模块的改进测试的改进一般的改进样品...
匿名访问java,java-Spring Security匿名用户访问每个URL
weixin_42165712的博客
03-11 450
我正在开发想要使用spring-security进行保护的gwt应用程序.我在数据库中有用户数据,并且UserService负责获取特定的User.我关注了这个tutorialAuthenticationProvider:public class CustomAuthenticationProvider implements AuthenticationProvider {@Autowired U...
springsecurity 匿名访问
01-04
### 配置 Spring Security 以允许匿名访问 为了使应用程序能够处理未经过身份验证的请求,可以配置 Spring Security 来启用匿名用户支持。这通常通过 `HttpSecurity` 的 `anonymous()` 方法来实现。 在安全配置类...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值