本文主要是介绍SpringSecurity-1-WebSecurityConfigurerAdapter抽象类与环境配置,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
本系列文章在spring boot下集成spring security,首先,在pom文件中引入依赖,如下
<dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-security</artifactId>
</dependency>
接下来写一个Controller,里面包含两个方法,如下
@RestController
public class AController {@RequestMapping("/test1")public String test1() {return "OK1";}@RequestMapping("/test2")public String test2() {return "OK2";}
}
启动项目,可以发现此时test1
和test2
都会报403错误,没有权限,接下来我们实现在没授权的情况下,任何人都允许访问test1,不允许访问test2,代码如下
@Service
public class TestWebSecurityConfigurerAdapter extends WebSecurityConfigurerAdapter {@Overrideprotected void configure(HttpSecurity http) throws Exception{http.authorizeRequests().antMatchers("/test1").permitAll().anyRequest().authenticated().and().csrf().disable();}
}
重新运行服务,这个时候就会发现允许访问test1,而test2依然是403,下面对configure
中的链式调用进行解释
.authorizeRequests()
表示我要对一些路径配置权限,所以该方法会返回所有URL,方便我们下一步操作
.antMatchers("/test1")
入参是一个动态数组,支持/test/**
这种表达式,表示获取我们要自定义的URL
.permitAll()
表示上一步匹配的URL都不需要授权,就可以访问
.anyRequest()
获取剩余的URL
.authenticated()
告诉spring剩余的URL需要验证,在没有授权的情况下不允许访问
.and()
结束当前操作,在本例中,结束authorizeRequests操作,准备下一步操作(如果有下一步的话)
.csrf()
开启下一步操作,csrf表示获取跨站请求伪造(CSRF)保护的相关配置,因为我们是通过postman测试,所以需要关闭CSRF
.disable();
关闭CSRF功能,不然程序依然403无权限
注意,如果删除上述代码中的.anyRequest().authenticated()
,程序会如何运行??
如果你觉得只有test1可以访问,test2不可以访问,那么在我测试的2.3.2.RELEASE
版本下则是错误的,这就很有意思,首先我表达了是在我2.3.2版本下是错误的,也就是说在其他版本下有可能是正确的,这到底是为什么呢?这就是要注意spring security的核心编程思想:明确允许明确拒绝的原则,当我们antMatchers("/test1").permitAll()
的之后,说明test1允许访问,但是除了test1之外的其他URL,我们没有明确的设置访问策略,那么对于spring来说,会根据他当时的版本进行处理,但是当时的版本不关心默认策略,所以这就是我不同版本的默认策略有可能不同的原因,那么是spring的问题吗?如果你不知道spring security遵循明确允许明确拒绝的原则,那么我们必定会认为spring security没有“向下兼容”,但实际上是不对的,这点我们一定要明白,所以,当我们依赖spring security的时候,一定要注意对所有的URL的安全策略都覆盖到,否则会出现默认行为,这可能不符合我们的预期
下一篇:使用浏览器登录HTML页面(loginPage/loginProcessingUrl)并访问接口
文章到此结束,下面是一些相关的附录,我从其他地方复制过来的,没有逐一没有验证
permitAll():总是返回true,表⽰允许所有访问(认证不认证都可访问 URL或⽅法)
denyAll():总是返回false,表⽰拒绝所有访问(永远访问不到指定的 URL或⽅法)
isAnonymous():当前⽤户是⼀个匿名⽤户(未登录⽤户)允许访问,返回true
isRememberMe():当前⽤户是通过Remember-Me⾃动登录的允许访问,返回true
isAuthenticated():当前⽤户是已经登录认证成功的允许访问(包含了rememberMe⾃动登录的),返回true
如果当前⽤户既不是⼀个匿名⽤户,同时也不是通过Remember-Me⾃动登录的,则允许访问(可以理解为通过
isFullyAuthenticated()页⾯输⼊帐户信息认证的)。
当前⽤户拥有指定⾓⾊权限的允许访问,返回true。注意: 指定的⾓⾊名(如: ADMIN ) SpringSecurity 底层会在
hasRole(String role):前⾯拼接 ROLE_ 字符串,所以在UserDetailsService实现类,数据库返回的⾓⾊名要有 ROLE_ADMIN
hasAnyRole([role1, role2]):多个⾓⾊以逗号分隔的字符串。如果当前⽤户拥有指定⾓⾊中的任意⼀个则允许访问,返回true。当前⽤户拥有指定权限标识的允许访问,返回true。注意:和 hasRole 区别是, hasAuthority 不会在前⾯拼接
hasAuthority(String authority)
ROLE_ 字符串, 。
hasAnyAuthority([auth1,auth2])多个权限标识是以逗号分隔的字符串。如果当前⽤户拥有指定权限标识中的任意⼀个则允许访问,返回true
hasIpAddress(“192.168.1.1/29”)指定IP或者指定范围内的IP
这篇关于SpringSecurity-1-WebSecurityConfigurerAdapter抽象类与环境配置的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!