您的位置:首页技术文章
文章详情页

Spring Security permitAll()不允许匿名访问的操作

更多 QQ空间 微信 QQ好友 腾讯朋友 复制链接
【字号: 日期:2023-07-08 09:48:08浏览:5作者:猪猪
Spring Security permitAll()不允许匿名访问修改前

http.addFilterBefore(muiltpartFilter, ChannelProcessingFilter.class).addFilterBefore(cf, ChannelProcessingFilter.class).authorizeRequests() .anyRequest() .authenticated() .and().authorizeRequests() .antMatchers('/ping**') .permitAll() .and().formLogin() .loginPage('/login') .permitAll() .and().logout() .logoutUrl('/logout').logoutSuccessUrl('/login');修改后

http.addFilterBefore(muiltpartFilter, ChannelProcessingFilter.class).addFilterBefore(cf, ChannelProcessingFilter.class).authorizeRequests() .antMatchers('/ping**') .permitAll() .and().formLogin() .loginPage('/login') .permitAll() .and().authorizeRequests() .anyRequest() .authenticated() .and().logout() .logoutUrl('/logout').logoutSuccessUrl('/login');

permitAll() 顺序很重要,如同在 XML 配置中,即把 authorizeRequests().anyRequest().authenticate 放到最后

Spring Security @PreAuthorize 拦截无效1. 在使用spring security的时候使用注解

@PreAuthorize('hasAnyRole(’ROLE_Admin’)')

放在对方法的访问权限进行控制失效,其中配置如:

@Configuration@EnableWebSecuritypublic class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired UserDetailsService userDetailsService; @Bean @Override public AuthenticationManager authenticationManagerBean() throws Exception {return super.authenticationManagerBean(); } @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception {auth.userDetailsService(userDetailsService); } @Override protected void configure(HttpSecurity http) throws Exception {http.csrf().disable() .authorizeRequests() .antMatchers('/res/**', '/login/login*').permitAll() .anyRequest().authenticated() .and().formLogin().loginPage('/login/login').defaultSuccessUrl('/').passwordParameter('password').usernameParameter('username') .and().logout().logoutSuccessUrl('/login/login'); }}

Controller中的方法如下:

@Controller@RequestMapping('/demo')public class DemoController extends CommonController{ @Autowired private UserService userService; @PreAuthorize('hasAnyRole(’ROLE_Admin’)') @RequestMapping(value = 'user-list') public void userList() { }}

使用一个没有ROLE_Admin权限的用户去访问此方法发现无效。

修改一下 SecurityConfig:

  @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() .authorizeRequests() .antMatchers('/res/**', '/login/login*').permitAll() .antMatchers('/demo/user-list').access('hasRole(’ROLE_Admin’)') .anyRequest().authenticated() .and().formLogin().loginPage('/login/login').defaultSuccessUrl('/') .passwordParameter('password') .usernameParameter('username') .and().logout().logoutSuccessUrl('/login/login'); }

添加上:

.antMatchers('/demo/user-list').access('hasRole(’ROLE_Admin’)')

可以被正常拦截,说明是方法拦截没有生效。

如果是基于xml,则需要在配置文件中加上:

<security:global-method-security pre-post-annotations='enabled' proxy-target- />

换成Annotation方式以后,则需要使用 @EnableGlobalMethodSecurity(prePostEnabled=true) 注解来开启。

并且需要提供以下方法:

@Bean@Overridepublic AuthenticationManager authenticationManagerBean() throws Exception {return super.authenticationManagerBean();}

才可正常拦截。

以上为个人经验,希望能给大家一个参考,也希望大家多多支持好吧啦网。

标签: Spring
上一条:Spring中如何使用Comparator接口下一条:Spring Boot集成redis,key自定义生成方式
相关文章:
1. Django基于Models定制Admin后台实现过程解析2. Django项目在pycharm新建的步骤方法3. python数字转对应中文的方法总结4. Windows+Apache搭建PHP开发环境5. JavaScript实时更新当前的时间的示例代码6. Python OpenCV读取中文路径图像的方法7. Django contrib auth authenticate函数源码解析8. Java 如何实现AES加密9. Android安装应用 INSTALL_FAILED_DEXOPT 问题及解决办法10. opencv-python的RGB与BGR互转方式
排行榜
python数字转对应中文的方法总结
python数字转对应中文的方法总结
1. Java 如何实现AES加密
2. JavaScript实时更新当前的时间的示例代码
3. Python OpenCV读取中文路径图像的方法
4. Django项目在pycharm新建的步骤方法
5. Android安装应用 INSTALL_FAILED_DEXOPT 问题及解决办法
6. Django基于Models定制Admin后台实现过程解析
7. Windows+Apache搭建PHP开发环境
8. Django contrib auth authenticate函数源码解析
9. 浅谈PHP设计模式之门面模式Facade
10. django admin search_fields placeholder 管理后台添加搜索框提示文字
热门标签