在spring web security中使用通配符在url之前进行授权请求
在Spring Web Security中,可以使用通配符在URL之前进行授权请求。通配符可以用于匹配一组URL模式,以便对它们进行相同的授权规则设置。
通配符可以通过Ant风格的路径模式进行定义,常见的通配符有两种:
?:匹配任意单个字符。*:匹配0个或多个字符。
使用通配符进行授权请求的步骤如下:
- 在Spring Security的配置类中,通过
antMatchers()方法指定需要进行授权的URL模式。 - 使用
hasAuthority()、hasRole()、hasAnyAuthority()、hasAnyRole()等方法设置相应的授权规则。
以下是一个示例配置:
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.antMatchers("/admin/**").hasRole("ADMIN")
.antMatchers("/user/**").hasAnyRole("USER", "ADMIN")
.anyRequest().authenticated()
.and()
.formLogin()
.and()
.logout()
.and()
.csrf().disable();
}
@Autowired
public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
auth.inMemoryAuthentication()
.withUser("admin").password("{noop}admin").roles("ADMIN")
.and()
.withUser("user").password("{noop}user").roles("USER");
}
}在上述示例中,antMatchers()方法用于指定需要进行授权的URL模式,hasRole()方法用于设置角色授权规则。例如,/admin/**路径需要具有"ADMIN"角色的用户才能访问,/user/**路径需要具有"USER"或"ADMIN"角色的用户才能访问。
注意:示例中使用了内存身份验证,仅用于演示目的。在实际应用中,应使用数据库或其他适当的方式进行身份验证。
推荐的腾讯云相关产品和产品介绍链接地址:
- 腾讯云云服务器(CVM):提供可扩展的云服务器实例,用于部署应用程序和托管服务。
- 腾讯云访问管理(CAM):用于管理和控制用户对腾讯云资源的访问权限。
- 腾讯云安全组:用于配置网络访问控制规则,保护云服务器实例的安全。
- 腾讯云负载均衡(CLB):提供流量分发和负载均衡服务,提高应用程序的可用性和性能。
- 腾讯云数据库(TencentDB):提供可扩展的关系型数据库服务,用于存储和管理应用程序的数据。
以上是关于在Spring Web Security中使用通配符在URL之前进行授权请求的完善且全面的答案。
相关·内容
0回答
在spring web security中使用通配符在url之前进行授权请求
spring、authentication、spring-security、restful-authentication
我有一个表单的rest端点并且我想允许访问这个url: .authorizeRequests()
// Allow
浏览 0提问于2017-06-08得票数 0
回答已采纳
2回答
如何在Spring MVC中模拟安全上下文进行测试
spring、spring-mvc、junit、spring-security、spring-test-mvc
我需要测试一些受保护的urls,因此我需要在我的测试中设置一个模拟安全上下文(junit)。
特别是,我需要使用经过身份验证的用户对我的web应用程序执行一些gets和post操作。下面是我的代码,我能够创建这样的安全上下文,但我需要将其注入到'MockMvc‘对象中。我在安全上下文中设置了身份验证对象,它可以工作,'SecurityContextHolder.getContext().getAuthentication().getPrincipal()‘的输出结果是chanelle.
浏览 0提问于2013-08-16得票数 18
回答已采纳
2回答
我应该在pom.xml中写什么?org.springframework.test.web.server.samples.context.SecurityRequestPostProcessors
会出现在我的项目中吗?
浏览 3提问于2013-10-03得票数 0
1回答
我应该使用隐式授权类型还是授权码授权类型?
spring、angular、authentication、oauth-2.0
我有一个试图用OAuth 2保护的单页面web应用程序。理想情况下,在用户通过授权服务器的身份验证之前,我不想提供任何静态资源。隐式授权类型可以做到这一点吗?如果没有,在单页web应用程序中使用授权码授权类型是否会产生安全后果?
浏览 12提问于2018-01-26得票数 1
回答已采纳
1回答
CORS spring安全过滤器vs WebMvcConfigurer.addCorsMappings
spring、spring-security、cors
cors()类的configure方法中的WebSecurityConfigurerAdapter过滤器和WebMvcConfigurer的创建bean和重写addCorsMappings方法有什么区别当我们使用哪一种?有人能解释一下吗?
浏览 6提问于2020-08-15得票数 2
1回答
检查spring安全过滤器中的请求正文
spring、spring-security、spring-security-rest
Basic Spring Security非常棒,因为它附带了WebSecurity (防止格式错误的URL)以及设置身份验证和授权。作为对web请求进行身份验证的一部分,请求正文的摘要需要根据http头中传递的摘要值进行验证。设置Spring Security过滤器,强制我的auth过滤器处理有防火墙的请求。防火墙请求似乎不会将请求正文暴露给筛
浏览 26提问于2020-01-28得票数 0
1回答
控制器(web request/antMatcher)安全性与方法(服务)级安全性
java、spring-mvc、spring-security
在Security中,我看到URL的安全使用: .authorizeRequests()我还看到了方法级别的安全性:antMatchers用于保护URL,而@PreAuthorize用于保护接口吗?如果antMat
浏览 0提问于2018-11-18得票数 11
回答已采纳
1回答
在spring应用程序中使用onAuthenticationSuccess将用户重定向到原始url
java、spring、spring-boot、tomcat
我有一个AuthenticationSuccessHandler的实现,它在用户成功登录后捕获请求。因此,当处理在处理程序内完成时,我希望将用户重定向到他最初想要的页面,然后重定向到登录页面,而不是硬编码的页面。这个是可能的吗?处理程序方法被调用,然后执行一些逻辑,然后我想将他重定向回app/test/page.html,但是我不知道如何访问他在重定向登录页面之前想要登陆的URL。
浏览 1提问于2020-07-19得票数 1
回答已采纳
1回答
使用HandlerInterceptor或AbstractAuthenticationProcessingFilter的Spring身份验证
java、spring、spring-security
spring org.springframework.web.servlet.HandlerInterceptor和org.springframework.security.web.authentication.AbstractAuthenticationProcessingFilter但在“HandlerInterceptor医生”一书中,
在异步处理场景中,处理程序可以在单独的线程中执行,而主线程退出时不呈现或调用postHandle和after
浏览 0提问于2015-11-03得票数 5
回答已采纳
1回答
SpringBoot中的多身份验证提供程序
spring-boot、authentication
在我的SpringBoot应用程序中,我尝试为两个不同的领域实现两种不同的授权。每个以/api开头的请求都需要一个包含JWT令牌的Authorization。
区域2管理员:是管理员区域。我希望从浏览器使用URL登录的位置,例如(/admin/login)。我希望我的用户名和密码保存在application.properties中,并且对于任何以/admin开头的网址,我希望对用户进行身份验证(基于会话)。在这种
浏览 1提问于2019-08-06得票数 0
1回答
使用Spring保护REST urls
java、spring、security、spring-security
我有一个可以工作的Spring REST web服务,并想给它添加基本的身份验证。控制器方法附加了普通的url和HTTP方法注释。为了增加安全性,我做了两件事<?xml version="1.0" encoding="UTF-8"?/>
<security:intercept-url</
浏览 0提问于2012-12-12得票数 0
回答已采纳
2回答
创建URI模式匹配器以允许/禁止解码JWT
java、spring-boot、spring-security
我是Spring Boot和Spring Security的新手,我正在构建一个RESTful API服务,允许用户在应用程序上进行注册、登录和其他操作。我正在使用JWT进行声明验证,每次我的用户使用除登录和注册之外的API时,我都会传递令牌。因此,我将允许在不传入JWT的情况下访问这些API,但对于其余部分,如果JWT未通过,我希望直接拒绝请求。我希望它允许在不需要传递JWT的情况下访问它。 &#
浏览 13提问于2019-06-01得票数 0
回答已采纳
2回答
Spring MVC与Spring Security的集成测试
spring-mvc、spring-security、spring-test-mvc
我正在尝试使用mvc-test测试我的登录页面。在添加spring security之前,我工作得很好。我的代码是: post("j_spring_security_check")
.param(LOGIN_FORM_USERNAME_FIELD", "classpath:applicationContext.xml", "c
浏览 4提问于2013-01-28得票数 26
1回答
在请求中包含授权时,如何对开放资源不使用授权进行下拨?
authentication、basic-authentication、wildfly、undertow
>Api access</web-resource-name> </web-resource-collection>第三方访问/myapp并在请求中包括授权头
浏览 2提问于2014-06-18得票数 1
回答已采纳
2回答
web容器管理安全性的常见替代方案?
tomcat、websphere、security
使用Tomcat (或Websphere)容器管理的安全性的常见替代方案是什么?我有一个令人不快的安全库,它从多个地方提取授权和身份验证,最初将在Tomcat上进行早期开发,然后在Websphere上进行后期开发和生产。除了通过JAAS for Tomcat设置自定义领域所需的hack-a-doo,然后在WAS上进行另一轮hack -a-doo之外,还有什么常见的替代方案吗?
我只在Tomcat上做过基于领域的安全。我见过一些有趣的家庭brew方法,比
浏览 1提问于2012-05-23得票数 1
回答已采纳
1回答
如何在Struts2上使用Spring Security3?
java、struts2、spring-security
我读了很多关于在Struts2上使用Spring Security3的教程,但是我不能让它工作:/。 </filter-mapping>
<listener-class>
org.springframework.web.c
浏览 2提问于2012-09-27得票数 2
回答已采纳
2回答
WebSecurity在WebSecurityConfigurerAdapter中的正确使用
java、spring、security、spring-boot
在基于1.3.0.BUILD快照的Spring 应用程序中,在resources下的static文件夹中有静态资源(图像、css、js)。WebSecurityConfig extends WebSecurityConfigurerAdapter {
public void configure(final WebSecurity web) throws Exception { .an
浏览 2提问于2015-08-13得票数 17
回答已采纳
2回答
Spring Security with OpenAM
spring-security、saml-2.0、openam
目前我们有web应用程序,它使用spring Security进行基于角色的身份验证和授权。tracer ( Firefox的插件来跟踪SAML请求/响应)时,我在我的web应用程序和IDP代理之间看不到任何SAML有效负载。是不是Spring正在使用SOAP请求通过从AMConfig.properties中挑选urls来与IDP代理进行</em
浏览 6提问于2013-01-25得票数 0
回答已采纳
1回答
使用Spring的授权-安全性(或)Spring
spring-security、authorization、user-permissions、aspect
我有关于授权和春季安全的问题。为了在我的服务中实现授权检查(在面向服务的体系结构环境下),我试图看看是否可以使用Security。在阅读Security文档时,我看到在内部使用Spring的AOP。
Ref:您可以选择使用AspectJ或Spring执行方法授权,也可以选择使用过滤器执行web请求</
浏览 2提问于2014-02-11得票数 2
回答已采纳
1回答
Security除非通过HttpServletRequest指定,否则不能在mappableAuthorities中访问角色
java、spring、spring-security
我有一个Spring应用程序,它运行在Tomcat应用服务器上,并通过第三方IdP进行身份验证。目前,我们在许多应用程序中使用<security-role>和<security-constraint>在web.xml中进行基于角色的身份验证,并且工作正常。现在,在尝试使用Security时,我添加了以下配置类:@EnableW
浏览 4提问于2016-10-13得票数 3
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频活动推荐
腾讯云开发者
