spring security中security="none"与ROLE_ANONYMOUS区别

最新推荐文章于 2024-05-04 00:56:42 发布
转载 最新推荐文章于 2024-05-04 00:56:42 发布 · 2.1k 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://my.oschina.net/lxbzj/blog/277625
文章标签:

#java

本文探讨了Spring Security中处理未经过安全过滤器的地址时如何优雅地管理匿名用户。当security设置为none时,无法通过SecurityContextHolder获取到任何信息;而对于允许ROLE_ANONYMOUS访问的地址,则可以获取到一个非空的匿名用户。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

为什么80%的码农都做不了架构师?>>>   hot3.png

一句话说明就是 security="none"了的那些地址,使用SecurityContextHolder取不出任何东西,因为没有经过任何一个安全过滤器的处理。

而允许 ROLE_ANONYMOUS 访问的地址,使用SecurityContextHolder可以取出来一个不为空的匿名用户,相当于优雅的处理。

转载于:https://my.oschina.net/lxbzj/blog/277625

Spring Security 6.x 系列(11)—— Form表单认证和注销流程
gmHappy
12-18 8306
① 首先,用户向未授权的资源 /private 发出未经身份认证的请求。 ② Spring Security 的 AuthorizationFilter 抛出 AccessDeniedException 异常。 ③ 由于用户未经过身份验证,因此 ExceptionTranslationFilter 将启动“启动身份验证”,并使用配置的 AuthenticationEntryPoint 将重定向发送到登录页。 ④ 浏览器请求重定向到的登录页面。 ⑤ 呈现默认登录页面。
Spring Security+JWT简述
m0_67266585的博客
09-08 2550
Spring SecuritySpring家族的一个安全管理框架, 相比于另一个安全框架Shiro, 它具有更丰富的功能。一般中大型项目都是使用SpringSecurity做安全框架, 而Shiro上手比较简单spring security 的核心功能:认证(你是谁): 只有你的用户名或密码正确才能访问某些资源授权(你能干嘛): 当前用户具有哪些功能, 将资源进行划分, 如在公司中分为普通资料和高级资料, 只有经理用户以上才能访文高级资料, 其他人只能拥有访问普通资料的权限。
[译文] Spring Securitysecurity none, filters none, access permitAll
JodenHe的博客
03-29 1682
博主个人博客 https://blog.joden123.top 版权说明,文章翻译至 Spring Securitysecurity none, filters none, access permitAll 概述 Spring Security 提供了几种将请求模式配置为不安全或者允许所有访问的机制。根据这些机制的不同,这可能意味着根本不在这个路径上运行安全过滤器链,或者运行了安全过滤...
spring security4 security="none"小讲
Chenctrl的博客
10-29 7430
在学习spring security4时,参考文档,spring-security.xml有如下片段: http pattern="/resources/**" security="none" /> http pattern="/login" security="none"/> http auto-config="true" use-expressions="true
Spring Securitysecurity none, filters none, access permitAll
weixin_30699741的博客
05-20 506
1.概述 Spring Security提供了几种将请求模式配置为不安全或允许所有访问的机制。取决于这些机制中的哪一种 - 这可能意味着根本不在该路径上运行安全过滤器链,或者运行过滤器链并允许访问 2. access=”permitAll” 使用access =“permitAll”设置元素将配置授权,以便在该特定路径上允许所有请求: <intercept-url pattern="/log...
springSecurity -------AnonymousAuthenticationFilter
wangtao753的博客
06-13 2185
描述:AnonymousAuthenticationFilter:springsecurity在配置一些url可在未登录未授权的时候默认给他授权通过,可在配置文件中指定一些url赋予permitAll()方法即可使用该过滤器,接下来我们从源码的角度来看看这个过滤器具体是怎么工作的 AnonymousAuthenticationFilter public class AnonymousAuthenticationFilter extends GenericFilterBean implements Initi
spring security如何设定匿名访问
小汤圆
08-18 3069
anonymous() 允许配置匿名用户的表示方法。 当WebSecurityConfigurerAdapter结合使用时,这将自动应用。 默认情况下,匿名用户将使用org.springframework.security.authentication.AnonymousAuthenticationToken表示,并包含角色 “ROLE_ANONYMOUS” 可以创建一个匿名用户的身份 当过滤器发现没有真实用户的时候,就给当前用户一个匿名身份 同时数据里设定一个匿名用户角色 让匿名的用户有权限访问“匿名访
spring security 5 (2)-Http请求权限
JAVA博客
02-17 3524
用户访问网站时,只能请求其有权限的网址,而不能手动去请求其权限以外的网址。 基本配置 以下配置了3个url请求时各需要的角色或权限,注意,这并不代表现实业务中的角色和权限,你可以根据需要自己决定。 public void configure(HttpSecurity http) throws Exception { http .authorizeRequests() //进行...
爆破专栏丨Spring Security系列教程之Spring Security认证授权流程_if (!this
最新发布
2301_82241647的博客
05-04 662
一次偶然,从朋友那里得到一份“java高分面试指南”,里面涵盖了25个分类的面试题以及详细的解析:JavaOOP、Java集合/泛型、Java中的IONIO、Java反射、Java序列化、Java注解、多线程&并发、JVM、Mysql、Redis、Memcached、MongoDB、SpringSpring Boot、Spring Cloud、RabbitMQ、Dubbo 、MyBatis 、ZooKeeper 、数据结构、算法、Elasticsearch 、Kafka 、微服务、Linux。
SpringSecurity
qq_27295923的博客
09-09 326
SpringBoot下使用SpringSecurity (一)基本 1.SpringSecurityJWT学习博客 https://blog.youkuaiyun.com/larger5/article/details/81047869 https://blog.youkuaiyun.com/larger5/article/details/81063438 2.设置不需要登录就能访问接口 在SpringSecurityC...
认证、授权攻略三(6)、spring security缓存UserDetails的CachingUserDetailsService
java爱分享
07-27 866
上一篇:【认证、授权攻略三(5)、spring security自定义403页面】 继之前系列做如下修改 pom.xml新增依赖 <dependency> <groupId>org.springframework</groupId> <artifactId>spring-context-support&l...
麒麟操作系统单用户模式
Linux知识积累
10-16 1584
1.介绍本文档专为麒麟操作系统进入单用户所著,其适合X86及Arm架构。2.Kylin V4桌面版:1.启动系统,进入Grub界面,如下图所示;在此界面按“e”键进行编辑修改。2.在以linux开头的一行末尾添加console=tty1 init=/bin/bash, 如末尾有此字符“security=”, 则在该字符前添加;图一无“security=”图二有“security=” 字符, 图一和...
匿名认证(Anonymous Authentication)
呜呼哈
04-05 5115
通常认为采用“默认拒绝”是一种良好的安全实践,在这种情况下,您可以明确指定允许的内容,并禁止其他内容。定义未经身份验证的用户可以访问的内容也是类似的情况,特别是对于 web 应用程序。许多站点要求用户必须对除了一些 url (例如主页和登录页面)以外的任何内容进行身份验证。在这种情况下,为这些特定 url 定义访问配置属性比为每个安全资源定义访问配置属性更容易。换句话说,有时候说 role_something 是默认需要的,并且只允许该规则的某些异常,比如用于应用程序的登录、注销和主页。您还可以从过滤器链中
SpringSecurity - 简单前后端分离 - 自定义授权篇
铠の魂博客
10-08 3041
隔了那么久,终于来补坑了,(/▽\)。 我们接着介绍自定义授权是如何做的。环境准备和前面一样,接着认证篇,继续完成我们的授权处理。
11. pring Security 匿名认证
一个人的人生
11-29 1064
匿名认证 目录 1.1     配置 1.2     AuthenticationTrustResolver          对于匿名访问的用户,Spring Security支持为其建立一个匿名的AnonymousAuthenticationToken存放在SecurityContextHolder中,这就是所谓的匿名认证。这样在以后进行权限认证或者做其它操作时我们就不需要再判断Se
第 13 章 匿名登录
weixin_34326179的博客
07-13 717
第13章匿名登录 匿名登录,即用户尚未登录系统,系统会为所有未登录的用户分配一个匿名用户,这个用户也拥有自己的权限,不过他是不能访问任何被保护资源的。 设置一个匿名用户的好处是,我们在进行权限判断时,可以保证SecurityContext中永远是存在着一个权限主体的,启用了匿名登录功能之后,我们所需要做的工作就是从SecurityContext中取出权限...
Spring Security 实战干货:基于配置的接口角色访问控制
码农小胖哥
11-14 4486
1. 前言 欢迎阅读 Spring Security 实战干货 系列文章 。对于受限的访问资源,并不是对所有认证通过的用户开放的。比如 A 用户的角色是会计,那么他就可以访问财务相关的资源。B 用户是人事,那么他只能访问人事相关的资源。我们在 一文中也对基于角色的访问控制的相关概念进行了探讨。在实际开发中我们如何对资源进行角色粒度的管控呢?今天我来告诉你 Spring Security 是如何来...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值