开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

如何在spring安全中禁用/oauth/token的GET option端点并仅保留POST选项？

在Spring Security中禁用/oauth/token的GET和OPTIONS端点并仅保留POST选项，可以通过配置HttpSecurity来实现。以下是一种可能的解决方案：

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers(HttpMethod.GET, "/oauth/token").denyAll() // 禁用GET请求
                .antMatchers(HttpMethod.OPTIONS, "/oauth/token").denyAll() // 禁用OPTIONS请求
                .antMatchers(HttpMethod.POST, "/oauth/token").permitAll() // 允许POST请求
                .anyRequest().authenticated() // 其他请求需要认证
                .and()
            .csrf().disable(); // 禁用CSRF保护，方便测试
    }
}

上述配置中，使用authorizeRequests()方法来配置请求的访问权限。通过antMatchers()方法指定匹配的URL和请求方法，然后使用denyAll()方法禁用GET和OPTIONS请求，使用permitAll()方法允许POST请求。最后，使用authenticated()方法指定其他请求需要进行认证。

需要注意的是，上述配置中禁用了CSRF保护，这在实际生产环境中是不推荐的。在实际应用中，应该启用CSRF保护来防止跨站请求伪造攻击。

关于Spring Security的更多信息和配置选项，可以参考腾讯云的产品文档：Spring Security。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

仅需四步，整合SpringSecurity+JWT实现登录认证！

学习过我的mall项目的应该知道，mall-admin模块是使用SpringSecurity+JWT来实现登录认证的，而mall-portal模块是使用的SpringSecurity基于Session的默认机制来实现登陆认证的。很多小伙伴都找不到mall-portal的登录接口，最近我把这两个模块的登录认证给统一了，都使用SpringSecurity+JWT的形式实现。主要是通过把登录认证的通用逻辑抽取到了mall-security模块来实现的，下面我们讲讲如何使用mall-security模块来实现登录认

01

Spring security 拦截请求

比如说在未登录淘宝时，我们可以访问淘宝的首页，可是在访问购物车时就会跳出登录权限。

01

spring security免登录动态配置方案2

之前有篇文章讲了怎么进行免登录动态配置的方案，动用了反射去实现，有点黑魔法的味道，这里再介绍另外一种方案

01

《Spring实战》摘录 - 17

问题: #9.1.3-2 | Spring Security必须配置在一个什么样的bean中

03

【spring cloud】自定义jwt实现spring cloud nosession

JWT实现在网关模块，网关的路由是默认配置。 jwt 生成、验证依赖 <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.7.0</version> </dependency> 最核心的配置是在spring security中加入我们token校验机制的fiter：JwtAuthenticationTokenFilter protected void do

06

Spring Boot使用Spring Security POST无法访问解决方案

在《Spring Boot基于SpringSecurity设置swagger2访问权限》一文中我们集成了SpringSecurity，但是在使用的过程中发现一个问题，就是get请求可以正常访问，而post的请求却无法访问。

01

spring security oauth2 password授权模式

前面的一篇文章讲了spring security oauth2的client credentials授权模式，一般用于跟用户无关的，开放平台api认证相关的授权场景。本文主要讲一下跟用户相关的授权模式之一password模式。

01

Springboot 2-OAuth 2修改登录加密方式

Springboot2的Security框架用的是5.0的,较之4.0的密码加密方式有了很大的改变.spring security 5中主推的加密方式为BCrypt,由于这种加密方式效率很低,属于慢加密,但是加密强度很高,现有的机器性能难以暴力破解,但是随着科技的进步,机器性能增强,破解这种加密方式也会成为可能,但是加密方式也会不断更新.

02

Springboot 403

如果同时进行了filter和CorsConfiguration的配置，OPTIONS请求会返回403，并且控制台提示 Itdoesnothave HTTP ok status.非常恶心。网上没有找到相应的解释。

01

《Spring实战》摘录 - 18

问题：#9.3.1 | Spring Security通过一些安全性相关的表达式扩展了Spring表达式语言

02

让Spring Security 来保护你的Spring Boot项目吧

Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean，充分利用了Spring IoC，DI（控制反转Inversion of Control ,DI:Dependency Injection 依赖注入）和AOP（面向切面编程）功能，为应用系统提供声明式的安全访问控制功能，减少了为企业系统安全控制编写大量重复代码的工作。

02

SpringBoot整合SpringSecurity实现JWT认证

该类继承OncePerRequestFilter，顾名思义，它能够确保在一次请求中只通过一次filter 该类使用JwtTokenUtils工具类进行token校验

02

SpringSecurity

Spring Security是一个功能强大且高度可定制的身份认证和访问控制框架，它是用于保护基于Spring的应用程序的实际标准。Spring Security是一个框架，致力于为Java应用程序提供身份认证和授权。与所有Spring项目一样，Spring Security的真正强大之处在于可以轻松扩展以满足自定义要求

03

基于Spring Cloud Oauth2 JWT搭建微服务的安全认证中心

Oauth协议为用户资源的授权提供了一个安全的、开放而又建议的标准。oauth的授权不会是第三方初级到用户的账号信息（如用户名与密码），及第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权，因此oauth是安全的。oauth是Open Authorization的简写

07

Spring全家桶之SpringSecurity

SpringSecurity 是一个高度自定义的安全框架。利用 SpringIoC/DI和 AOP 功能，为系统提供了声明式安全访问控制功能，减少了为系统安全而编写大量重复代码的工作。使用 SpringSecruity 的原因有很多，但大部分都是发现了 javaEE的 Servlet 规范或 EJB 规范中的安全功能缺乏典型企业应用场景。同时认识到他们在 WAR 或 EAR 级别无法移植。因此如果你更换服务器环境，还需要大量工作去重新配置你的应用程序。使用 SpringSecurity解决了这些问题，也为你提供许多其他有用的、可定制的安全功能。

01

SpringBoot+SpringSecurity+JWT实RESTfulAPI权限控制

根据文章内容总结的摘要

05

Spring Security 新特性 Lambda DSL 使用

Spring Security 5.2 对 Lambda DSL 语法的增强，允许使用lambda配置HttpSecurity、ServerHttpSecurity

02

Spring Security (三) 核心配置解读

上一篇文章《Spring Security(二)--Guides》，通过Spring Security的配置项了解了Spring Security是如何保护我们的应用的，本篇文章对上一次的配置做一个分析。 3 核心配置解读 3.1 功能介绍这是Spring Security入门指南中的配置项： @Configuration @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

08

基于REST的数据处理流程_开发环境踩坑

昨天捋了捋思路，今天着手开始准备构建基础工程，spring boot是我一直比较偏爱的，现在在国内开发领域也越发的火了起来。另外准备试试kotlin，之前看了一个教程，感觉kotlin的语法特性挺有意思，可以让代码量下降很多。

02

spring security oauth2 authorization code模式

前面两篇文章讲了client credentials以及password授权模式，本文就来讲一下authorization code授权码模式。

01

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭