2. 程式人生 > 實用技巧 >Spring Security 第一節 簡單的使用

Spring Security 第一節 簡單的使用

阿新 發佈:2020-08-09

security 配置類

@EnableWebSecurity// 啟用Sucerity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

	
	@Override
	protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests() //方法有很多子方法,每個子匹配器將會按照宣告的順序起作用。
		.antMatchers("/user/h1/**").permitAll() // antMatchers 指定資源路徑,permitAll 放行,不進行攔截。
//		.antMatchers( "/role/**").hasRole("role") //role 資源必須使用role角色才能訪問
//		 .antMatchers( "/db/**").access("hasRole('ADMIN') and hasRole('DBA')")  //同時滿足兩個角色才可以訪問
		.anyRequest().authenticated();//其餘所有情況需要認證才可以訪問
	}
	
}

測試控制器

@RestController
@RequestMapping("/user")
public class AuthUserController extends BaseController {

	@RequestMapping("/h1")
	public String h1(){
		return "user h1";
	}
	
	@RequestMapping("/h2")
	public String h2(){
		return "user h2";
	}
}

測試

啟動後,只有user/h1控制器可以訪問,其他都不能進行訪問。

登陸表單

http.formLogin(); 啟用表單,則訪問需要沒有許可權的資源則跳轉到登陸頁面。

解決跨域問題

//第1步:解決跨域問題。cors 預檢請求放行,讓Spring security 放行所有preflight request(cors 預檢請求) http.authorizeRequests().requestMatchers(CorsUtils::isPreFlightRequest).permitAll();

不建立session

    //第2步:讓Security永遠不會建立HttpSession,它不會使用HttpSession來獲取SecurityContext
    http.csrf().disable().sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
            .and().headers().cacheControl();
來源:站長資訊中心

相關推薦

Spring Security 第一 簡單的使用

security 配置類 @EnableWebSecurity// 啟用Sucerity public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

Spring Security的使用第一章 搭建環境及簡單配置

Maven專案的Pom檔案中新增maven依賴 <dependency> <groupId>org.springframework.boot</groupId>

Spring Security 簡單瞭解與配置

首先匯入依賴 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId>

Api架構奧義:ApiBoot實現零程式碼整合Spring Security & OAuth2

介面服務的安全性一直是程式設計師比較注重的一個問題,成熟的安全框架也比較多,其中一個組合就是Spring Security與OAuth2的整合,在ApiBoot內通過程式碼的封裝、自動化配置實現了自動化整合這兩大安全框架。

詳解Spring Security的HttpBasic登入驗證模式

【北京】 IT技術人員面對面試、跳槽、升職等問題,如何快速成長,獲得大廠入門資格和升職加薪的籌碼?與大廠技術大牛面對面交流,解答你的疑惑。《從職場小白到技術總監成長之路:我的職場焦慮與救贖》活動連結:碼

ApiBoot零程式碼整合Spring Security的JDBC方式獲取AccessToken

ApiBoot Security內部提供了兩種方式進行讀取需要認證的使用者資訊,在之前的文章中講到過ApiBoot Security使用記憶體方式(memory)不寫一行程式碼就可以實現使用者的認證並獲取AccessToken,那我們使用JDBC方式是不

第一:實現Activiti6.0的第一個demo

一、搭建專案架構 使用idea需要安裝actiBPM外掛用來畫流程圖 建立一個空的java專案,並新增資料夾如下:

Spring Security 新特性 Lambda DSL 使用

Lambda DSL概述 Spring Security 5.2 對 LambdaDSL 語法的增強,允許使用lambda配置HttpSecurity、ServerHttpSecurity

Spring Security 解析(五) —— Spring Security Oauth2 開發

Spring Security 解析(五) —— Spring Security Oauth2 開發   在學習Spring Cloud 時,遇到了授權服務oauth 相關內容時,總是一知半解,因此決定先把Spring SecuritySpring Security Oauth2 等許可權、認證

Spring Security 解析(六) —— 基於JWT的單點登陸(SSO)開發及原理解析

Spring Security 解析(六) —— 基於JWT的單點登陸(SSO)開發及原理解析   在學習Spring Cloud 時,遇到了授權服務oauth 相關內容時,總是一知半解,因此決定先把Spring SecuritySpring Security Oauth2 等許可

Spring Security 技術棧開發企業級認證授權(3)

歡迎關注個人部落格,此文為《Spring Security 技術棧開發企業級認證授權(2)》的後續

Spring Security原理介紹、原始碼解析——授權過程

流程簡述 當我們成功登入,獲取access_token,即可使用該token來訪問有許可權的介面。如上文所講,JwtAuthenticationFilter將access_token轉化為系統可識別的Authentication放入安全上下文,

Spring Security原理介紹、原始碼解析——認證過程

核心原理 在前後端分離的架構中,許可權認證主要包含兩個主要的過程: 通過使用者名稱密碼換取一個令牌(Token),令牌具有不可修改性,以保證許可權的安全。

【小技巧】spring security oauth2 令牌實現多終端登入狀態同步

目的說明 解決不同客戶端使用token,各個客戶端的登入狀態必須保持一致,退出狀態實現一致。同上述問題類似如何解決不同租戶相同使用者名稱的人員的登入狀態問題。

Spring Security 在前後端分離專案中的實踐(1)

1 概述 如今,前後端分離(開發)已經非常常見了。由於任務需要,要在基於 Spring Boot 的 Web 專案中整合 Spring Security 完成使用者模組的登入和認證等功能,但是在網上查閱的(中文)資料中,對前後端完全分離如

SpringBoot整合Spring Security入門體驗

一、前言 Spring Security 和 Apache Shiro 都是安全框架,為Java應用程式提供身份認證和授權。

Spring Security 自定義登入認證(二)

一、前言 本篇文章將講述Spring Security自定義登入認證校驗使用者名稱、密碼,自定義密碼加密方式,以及在前後端分離的情況下認證失敗或成功處理返回json格式資料

Spring Security 認證流程梳理

前言 簡單的認證流程 Spring Security 結語 參考連結 前言 Spring Security 應該是 Spring 全家桶中學習曲線最為陡峭的幾個模組之一了,最開始看書學習的時候,在看了幾次還有一些迷糊後就放棄了。

Spring Security 整合JWT(四)

一、前言 本篇文章將講述Spring Security 簡單整合JWT 處理認證授權 基本環境 spring-boot 2.1.8

Spring Security Web 和 OAuth2

前言 Spring Security Core Spring Security Web 過濾器鏈的構建 過濾器鏈的呼叫 過濾器鏈的使用