百度360必应搜狗淘宝本站头条
当前位置:网站首页 > 技术教程 > 正文

Spring Security权限控制系列(二)

suiw9 2025-03-14 20:31 14 浏览 0 评论

环境:Springboot2.4.12 + Spring Security 5.4.9


本篇主要内容:请求拦截及自定义登录页面

上一篇:《Spring Security权限控制系列(一)

自定义拦截请求

默认项目中引入Spring Security后会拦截所有的请求,这其中包括了静态资源,这肯定不是我们希望的,接下来我们看如何进行资源自定义的拦截。

  • 新建如下静态资源
  • 配置静态资源访问路径

由于静态资源默认访问路径是/**,这里为了区分静态资源与Controller给静态资源加一个前缀。

spring:
  mvc:
    static-path-pattern: /resources/**
  • 访问静态资源

先将Spring Security从项目中移除,然后进行访问。分别访问index.js和index.html

都能正常访问,接下来将Spring Security加到项目中后,再进行访问会发现之前还能访问的现在直接跳转到了登录页面

  • 静态资源放行

自定义配置设置路径方向规则

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
  @Override
  protected void configure(HttpSecurity http) throws Exception {
    http
      .authorizeRequests() // 获取基于SpEL表达式的基于URL的授权对象
      .antMatchers("/resources/**") // 设定URI路径规则以/resoures开头的任意请求
      .permitAll() ; // 只要是基于上面/resources开头的请求都进行放行
    http.formLogin() ; // 如果请求不是上面配置的访问uri前缀则进行登录
  }
}

再次访问静态资源,这时候就能正常访问了,没有跳转到登录页面,在访问Controller接口 GET /demos/home运行结果

发现静态资源能访问,同时我们的Controller也能访问

  • 修改配置只放行指定的资源
protected void configure(HttpSecurity http) throws Exception {
  http
    .authorizeRequests()
    .antMatchers("/resources/**")
    .permitAll() ; // 方向/resource请求的资源   ①
  http
    .authorizeRequests()
    .anyRequest() // 任意请求
    .authenticated() ; // 必须进行登录认证授权 ② 
  http.formLogin() ;
}

以上配置后以/resources前缀的请求都会方向,其它任意的请求都会进行拦截跳转到登录页面。

注意:上面的 ① ② 如果顺序进行颠倒后服务启动会报错。报错信息如下

Caused by: java.lang.IllegalStateException: Can't configure antMatchers after anyRequest
	at org.springframework.util.Assert.state(Assert.java:76) ~[spring-core-5.3.12.jar:5.3.12]

不能在anyRequest之后配置antMatchers。

  • 为请求配置角色

定义2个Controller

@RestController
@RequestMapping("/demos")
public class DemoController {
  @GetMapping("home")
  public Object home() {
    return "demos home" ;
  }
}
@RestController
@RequestMapping("/api")
public class ApiController {
  @GetMapping("/{id}")
  public Object get(@PathVariable("id") Integer id) {
    return "获取 - " + id + " - 数据" ;
  }
}

我们期望/demos/**接口访问必须拥有USERS权限,/api/**接口访问必须拥有ADMIN权限, 配置如下:

@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
  // 配置guest用户,该用户拥有ADMIN角色
  auth.inMemoryAuthentication().passwordEncoder(NoOpPasswordEncoder.getInstance()).withUser("guest").password("123456").roles("ADMIN") ;
}
@Override
protected void configure(HttpSecurity http) throws Exception {
  http.csrf().disable() ;
  http.authorizeRequests().antMatchers("/resources/**").permitAll() ;
  // 这里无需使用ROLE_前缀,系统会自动插入该前缀
  http.authorizeRequests().antMatchers("/demos/**").hasRole("USERS") ; // /demos/**必须具备USERS角色
  http.authorizeRequests().antMatchers("/api/**").hasRole("ADMIN") ; // /api/**必须具备ADMIN角色
  http.authorizeRequests().anyRequest().authenticated() ;
  http.formLogin() ;
}

分别访问/demos/home 和 /api/1接口

通过guest/123456登录后,该接口之间返回了403的状态错误(读取403.html)

/api/**接口访问正常,接下来我们在配置一个用于USERS权限的用户

protected void configure(AuthenticationManagerBuilder auth) throws Exception {
  auth.inMemoryAuthentication()
    .passwordEncoder(NoOpPasswordEncoder.getInstance())
    .withUser("guest").password("123456").roles("ADMIN")
    .and()
    .withUser("test").password("666666").roles("USERS") ;
}

通过test用户访问/demos/home接口登录后能正常访问。

  • 配置多权限

在很多情况下我们期望只要用户用于任意其中一个权限就认定可以访问该资源,如何配置?

http.authorizeRequests().antMatchers("/demos/**").hasAnyRole("USERS", "AKKF", "BLLE") ;
http.authorizeRequests().antMatchers("/api/**").hasAnyRole("ADMIN", "MGR", "SYSTEM") ;

通过上面的配置即可满足只要拥有任意一个权限就可以放行。

  • 其它配置

多个URI具有相同的权限

http.authorizeRequests().antMatchers("/demos/**", "/api/**").hasAnyAuthority("ROLE_USERS", "ROLE_ADMIN") ;

对请求的Method控制

http.authorizeRequests().antMatchers(HttpMethod.GET).permitAll() ;

自定义登录页面

  • 引入依赖

  org.thymeleaf
  thymeleaf-spring5


  org.springframework.boot
  spring-boot-starter-thymeleaf
  • thymeleaf配置
spring:
  thymeleaf:
    prefix: classpath:/templates/ 
  • 登录页面

在/resources/templates/下新建login.html页面

这里省去无关紧要的东西

认证登录

安全登录
  • Controller定义login页面
@Controller
public class LoginController {
  @GetMapping("/custom/login")
  public String login() {
    return "login" ;
  }
}
  • 自定义配置登录页
protected void configure(HttpSecurity http) throws Exception {
  http.csrf().disable() ;
  http.authorizeRequests().antMatchers("/resources/**").permitAll() ;
  http.authorizeRequests().antMatchers("/demos/**").hasRole("USERS") ;
  http.authorizeRequests().antMatchers("/api/**").hasRole("ADMIN") ;
  // 登录页面指向上面配置的Controller即可
  http.formLogin().loginPage("/custom/login") ;
}

测试

总结

  1. Spring Security如何配置拦截请求
  2. 资源访问必须具备权限的配置
  3. 自定义登录页面

到此本篇内容结束。下一篇将介绍:

  1. 自定义异常处理

一文带你彻底理解Spring WebFlux的工作原理
Spring MVC高级知识点自定义请求匹配路径
Spring WebFlux请求处理流程
Spring AOP实现原理源码详细分析
Spring Cloud Gateway应用详解1之谓词
Spring AOP切入点类型及系统提供的非常常用的切入点
Spring中自定义数据类型转换详解
Spring 引介增强IntroductionAdvisor使用

相关推荐

Apicloud功能模块使用customToast

[toast](#a1)概述customToast弹出一个定时自动关闭的提示框,自定义Toast,自定义提示框颜色、透明度、字体大小、字体颜色、圆角幅度,显示时间;让Toast更完美的融入应用,不...

wxPython - 在程序中使用拖放(wxpython设置滚动条)

实战wxPython系列-052在GUI程序中,拖放是单击虚拟对象并将其拖到不同位置或另一个虚拟对象上的操作(或对该操作的支持)。一般来说,它可用于调用多种类型的操作,或在两个抽象对象之间创建各种类型...

美化Python GUI界面!让你的窗口拥有Win11般的质感 | pywinstyles

1.PythonGUI外观个性化的福音在使用Python开发GUI时,我们经常会使用如Tkinter、PyQt等常见的库,然而这些库的默认界面总显得有些...普通。而如果你想让你的PythonG...

5月BestBuy(5月英文)

Intel处理器排行榜No.1Intel酷睿i511600KF1799元No.2Intel酷睿i511400F1249元No.3Intel酷睿i711700K2899元酷睿i511...

手把手教您使用Python+Flutter开发在线教育系统(上),纯干货!

一、系统架构设计...

Python开发GUI运维工具具体案列(python运维开发做什么)

在Python开发GUI运维工具的具体实践中,不同GUI库的案例各有特色,以下是结合运维场景的典型实现案例及技术方案:一、基础运维工具案例...

开发图形界面Tkinter、wxPython、PyQt、PySide选哪一个?

  学习Python,就不得不提一下Python的图形界面开发,如果只用命令行写程序,用户体验不太好,难以胜任复杂的人机交互场景。Python的图形界面开发库常用的有:Tkinter、wxPython...

wxPython和PyQt谁才是最赞的Python GUI库

Python是一种解释型、面向对象、动态数据类型的高级程序设计语言,PythonGUI图形库允许Python程序员很方便的创建完整的、功能键全的GUI用户界面。作为Python开发者,你迟早都会用到...

wxpython入门第五步(组件)(wxpython怎么用)

Widgets在本节中,我们将介绍wxPython中的基本widgets。每个组件都会有一个小的代码示例。wxPython中有很多不同的组件,包括按钮、复选框、滑块和列表框。wx.Buttonwx....

wxpython简介(python的wxpython)

PythonPython是一种成功的脚本语言,它最初是由GuidovanRossum开发的。它于1991年首次发布。Python的灵感来自于ABC和Haskell编程语言。Python是一种高级...

所见即所得,跨平台快速GUI界面RAD设计

Linux一路走来,界面组件很多,TK、gtk、Qt、wxWidget等。Tk古老而又厚重,不失motif风格,gtk+glade别具特色,Qt轻快时尚,许多语言本身没有gui可用,于是做接口加wra...

Spring Security权限控制系列(二)

环境:Springboot2.4.12+SpringSecurity5.4.9本篇主要内容:请求拦截及自定义登录页面上一篇:《...

Spring整合CXF 发布webservice接口服务器和客户端,WSDL简单解析

在垮平台通讯中有很多的接口方式,这里做个简单的webservice接口。发布webservice接口的方式也多种多样,这里做个基于CXF的webservice接口。首先做点知识储备,javax.jws...

聊聊如何对eureka管理界面进行定制化改造

前言在nacos还未面世之前,eureka基本上就是springcloud全家桶体系注册中心的首选,随着nacos的横空出世,越来越多基于springcloud的微服务项目采用nacos作为注册中心,...

Spring Boot 四大核心组件,你知道几个?

前言...

取消回复欢迎 发表评论: