那些遇到过的问题

使用Spring Security,我如何使用HTTP方法(例如GET,PUT,POST)来确定特定URL模式的安全性?

kam*_*aci 15 java spring spring-security http-method

Spring Security参考说明:

您可以使用多个元素为不同的URL集定义不同的访问要求,但它们将按列出的顺序进行评估,并将使用第一个匹配项.所以你必须把最具体的比赛放在最上面.您还可以添加方法属性以限制与特定HTTP方法(GET,POST,PUT等)的匹配.如果请求与多个模式匹配,则无论排序如何,特定于方法的匹配都将优先.

如何配置Spring Security,以便根据用于访问URL模式的HTTP方法,以不同方式保护对特定URL模式的访问?

blu*_*oot 27

这只是关于配置.它表示<intercept-url>元素将在<http />配置文件的标记中从上到下进行评估:

<http auto-config="true">
    <intercept-url pattern="/**" access="isAuthenticated" />
    <intercept-url pattern="/login.jsp" access="permitAll" />
</http>
Run Code Online (Sandbox Code Playgroud)

在上面的示例中,我们尝试仅允许经过身份验证的用户访问所有内容,当然,除了登录页面(用户必须首先登录,对吗?!).但是根据文档的说法,这将不起作用,因为不太具体的匹配是最重要的.因此,(一个)完成此示例的目标的正确配置是:

<http auto-config="true">
    <intercept-url pattern="/login.jsp" access="permitAll" />
    <intercept-url pattern="/**" access="isAuthenticated" />
</http>
Run Code Online (Sandbox Code Playgroud)

将更具体的匹配放在顶部.

引用的最后一件事是关于HTTP方法.您可以使用它来指定匹配,因此:

<http auto-config="true">
    <intercept-url pattern="/client/edit" access="isAuthenticated" method="GET" />
    <intercept-url pattern="/client/edit" access="hasRole('EDITOR')" method="POST" />
</http>
Run Code Online (Sandbox Code Playgroud)

在第二个示例中,要/client/edit通过GET 访问,用户只需要进行身份验证,但要/client/edit通过POST(例如,提交编辑表单)进行访问,用户需要具有该EDITOR角色.在某些地方可能不鼓励这种网址模式,但这只是一个例子.

man*_*ni0 16

对于那些更喜欢基于Java注释的配置的人,请将此类放入您的应用程序中.

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests().antMatchers(HttpMethod.GET).permitAll();
        http.authorizeRequests().antMatchers(HttpMethod.POST).denyAll();
        http.authorizeRequests().antMatchers(HttpMethod.DELETE,"/you/can/alsoSpecifyAPath").denyAll();
        http.authorizeRequests().antMatchers(HttpMethod.PATCH,"/path/is/Case/Insensitive").denyAll();
        http.authorizeRequests().antMatchers(HttpMethod.PUT,"/and/can/haveWildcards/*").denyAll();

    }

}
Run Code Online (Sandbox Code Playgroud)

使用以下Maven依赖项(Spring-Security的早期版本也可以使用):

    <dependency>
        <groupId>org.springframework.security</groupId>
        <artifactId>spring-security-web</artifactId>
        <version>5.0.0.M3</version>
    </dependency>
    <dependency>
        <groupId>org.springframework.security</groupId>
        <artifactId>spring-security-config</artifactId>
        <version>5.0.0.M3</version>
    </dependency>
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

19926 次

最近记录:

8 年,3 月 前
相关归档
如何将字节数组转换为其数值(Java)? 86
找不到gradlew命令? 78
其他包中的@RestController不起作用 27
Spring AOP排除了一些类 14
Spring Boot JPA - 未设置“hibernate.dialect”时,对 DialectResolutionInfo 的访问不能为空 11
Spring 4.0 + Security 3.2 + j_spring_security_check的JavaConfiguration 10
如何在 spring mvc 中处理已弃用的 HandlerInterceptorAdapter 9
Spring Boot,使用@Configurable和加载时间编织将@Autowire转换为非托管类 7
如何在 Spring Security 中检查用户是否已登录或匿名 5
Spring Boot Starter安全发布​​方法不起作用 1
难疑归档
Java是"通过引用传递"还是"传递价值"? 6270
如何解决Git中的合并冲突 4600
如何在Bash中的分隔符上拆分字符串? 1885
为什么将0.1f改为0会使性能降低10倍? 1491
检查Ruby中的数组中是否存在值 1258
哪些字符在CSS类名/选择器中有效? 1171
迭代集合,在循环中删除对象时避免使用ConcurrentModificationException 1158
如何在Vim中移动到行尾? 1140
HTML中"role"属性的目的是什么? 1122
在拉动期间解决Git合并冲突以支持其更改 1104