文章詳情頁

Spring Security permitAll()不允許匿名訪問的操作

瀏覽：2日期：2023-07-08 09:48:08

Spring Security permitAll()不允許匿名訪問修改前

http.addFilterBefore(muiltpartFilter, ChannelProcessingFilter.class).addFilterBefore(cf, ChannelProcessingFilter.class).authorizeRequests() .anyRequest() .authenticated() .and().authorizeRequests() .antMatchers('/ping**') .permitAll() .and().formLogin() .loginPage('/login') .permitAll() .and().logout() .logoutUrl('/logout').logoutSuccessUrl('/login');修改后

http.addFilterBefore(muiltpartFilter, ChannelProcessingFilter.class).addFilterBefore(cf, ChannelProcessingFilter.class).authorizeRequests() .antMatchers('/ping**') .permitAll() .and().formLogin() .loginPage('/login') .permitAll() .and().authorizeRequests() .anyRequest() .authenticated() .and().logout() .logoutUrl('/logout').logoutSuccessUrl('/login');

permitAll() 順序很重要，如同在 XML 配置中，即把 authorizeRequests().anyRequest().authenticate 放到最后

Spring Security @PreAuthorize 攔截無效1. 在使用spring security的時候使用注解

@PreAuthorize('hasAnyRole(’ROLE_Admin’)')

放在對方法的訪問權限進行控制失效，其中配置如：

@Configuration@EnableWebSecuritypublic class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired UserDetailsService userDetailsService; @Bean @Override public AuthenticationManager authenticationManagerBean() throws Exception {return super.authenticationManagerBean(); } @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception {auth.userDetailsService(userDetailsService); } @Override protected void configure(HttpSecurity http) throws Exception {http.csrf().disable() .authorizeRequests() .antMatchers('/res/**', '/login/login*').permitAll() .anyRequest().authenticated() .and().formLogin().loginPage('/login/login').defaultSuccessUrl('/').passwordParameter('password').usernameParameter('username') .and().logout().logoutSuccessUrl('/login/login'); }}

Controller中的方法如下：

@Controller@RequestMapping('/demo')public class DemoController extends CommonController{ @Autowired private UserService userService; @PreAuthorize('hasAnyRole(’ROLE_Admin’)') @RequestMapping(value = 'user-list') public void userList() { }}

使用一個沒有ROLE_Admin權限的用戶去訪問此方法發現無效。

修改一下 SecurityConfig：

　 @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() .authorizeRequests() .antMatchers('/res/**', '/login/login*').permitAll() .antMatchers('/demo/user-list').access('hasRole(’ROLE_Admin’)') .anyRequest().authenticated() .and().formLogin().loginPage('/login/login').defaultSuccessUrl('/') .passwordParameter('password') .usernameParameter('username') .and().logout().logoutSuccessUrl('/login/login'); }

添加上：

.antMatchers('/demo/user-list').access('hasRole(’ROLE_Admin’)')

可以被正常攔截，說明是方法攔截沒有生效。

如果是基于xml，則需要在配置文件中加上：

<security:global-method-security pre-post-annotations='enabled' proxy-target- />

換成Annotation方式以后，則需要使用 @EnableGlobalMethodSecurity(prePostEnabled=true) 注解來開啟。

并且需要提供以下方法：

@Bean@Overridepublic AuthenticationManager authenticationManagerBean() throws Exception {return super.authenticationManagerBean();}

才可正常攔截。

以上為個人經驗，希望能給大家一個參考，也希望大家多多支持好吧啦網。

Spring

上一條：Spring中如何使用Comparator接口下一條：Spring Boot集成redis,key自定義生成方式

相關文章：

1. python爬蟲實戰之制作屬于自己的一個IP代理模塊2. 基于javaweb+jsp實現企業財務記賬管理系統3. .NET6打包部署到Windows Service的全過程4. Vue element ui用戶展示頁面的實例5. 如何在jsp界面中插入圖片6. HTML 絕對路徑與相對路徑概念詳細7. Ajax返回值類型與用法實例分析8. 使用FormData進行Ajax請求上傳文件的實例代碼9. asp批量添加修改刪除操作示例代碼10. css代碼優化的12個技巧

排行榜

					
					python爬蟲實戰之制作屬于自己的一個IP代理模塊
IntelliJ IDEA安裝插件的方法步驟
Python lxml庫的簡單介紹及基本使用講解
python實現在內存中讀寫str和二進制數據代碼
Android安全問題-網絡傳輸
10個提供免費PHP腳本下載的網站
Android實現花瓣飄落效果的步驟
基于javaweb+jsp實現企業財務記賬管理系統
Django admin 實現search_fields精確查詢實例
HTML 絕對路徑與相對路徑概念詳細
如何在jsp界面中插入圖片
				