基础
spring
JavaspringmybatisMySQLnetwork
spring
JavaspringmybatisMySQLnetwork
  • 基础知识
    • Spring Core
      • 依赖注入(DI)
        • Spring 容器
        • 装配
        • bean 的作用域
      • bean 的生命周期
      • 面向切面编程(AOP)
        • AOP 术语
        • Spring 对 AOP 的支持
        • 通过切点来选择连接点
          • 编写切点
          • 在切点中选择 bean
        • 使用注解创建切面
          • 定义切面
          • 创建环绕通知
          • 处理通知中的参数
          • 通过注解引入新功能
            • 实例
    • Spring MVC
      • Spring MVC请求的处理流程
      • 搭建 Spring MVC
      • Spring MVC 高级配置
        • 添加其他的 Servlet 和 Filter
        • 处理 multipart 形式的数据
      • 控制器编写技巧
        • 参数传递
        • 表单校验
          • 使用方式
          • 校验相关注解
        • 处理异常
        • 控制器通知
        • 跨重定向请求传递数据
        • UriComponentBuilder
      • REST
        • ContentNegotiatingViewResolver
        • 使用 HTTP 消息转换器
    • Spring Data
      • Page
      • Spring Data Redis
        • 连接到 Redis
        • Redis Template
        • 操作 Redis 数据
        • key 和 value 的序列化器
        • Redis 事务
    • Spring Security
      • 过滤 Web 请求
      • 编写简单的安全性配置
      • 配置用户存储
        • 使用基于内存的用户存储
        • 基于数据库表进行认证
        • 配置自定义的用户服务
      • 拦截请求
        • 使用 Spring 表达式进行安全保护
        • 强制通道的安全性(https)
        • 防止跨站请求伪造(CSRF)
      • 认证用户
        • 启用 HTTP Basic 认证
        • 启用 Remember-me 功能
        • 退出(logout)
  • Group 1
    • Spring Cloud
      • 微服务架构
        • 云计算
        • 微服务不只是编写代码
          • 核心开发模式
          • 路由模式
          • 客户端弹性模式
          • 安全模式
          • 日志记录和跟踪模式
          • 应用程序度量模式
          • 构建/部署模式
        • 什么是 Spring Cloud
          • Spring Cloud Config
          • Spring Cloud Stream
          • Spring Cloud 服务发现
          • Spring Cloud API Gateway
          • Spring Cloud LoadBalancer 和 Resilience4j
          • Spring Cloud Sleuth
          • Spring Cloud Security
      • 微服务设计
        • 云原生开发原则
        • 十二要素应用程序最佳实践
        • 角色分配
          • 架构师
          • 开发人员
          • DevOps
        • 何时不要使用微服务
      • 使用 spring boot 构建微服务
        • 创建项目
        • 集成 swagger
        • 添加国际化支持
        • 集成 Spring HATEOAS(失败)
        • 集成docker
      • Spring Cloud Config
        • 配置管理的四原则
        • 构建 Config 服务端
          • 本地文件系统
          • Git
        • Spring Boot 客户端集成 Config 服务
        • 刷新属性
        • 保护敏感配置信息
      • 服务发现 Eureka
        • 服务发现机制
        • 构建 Eureka 服务端
        • 客户端注册
        • 使用服务发现来查找服务
          • 使用 Spring Discovery Client 查找服务实例
          • 使用带有 Load Balancer 功能的 RestTemplate 调用服务
          • 使用 Netflix Feign 客户端调用服务
        • 集群
      • 客户端弹性模式Resilience4j
        • 客户端弹性模式
          • 客户端弹性模式是什么
          • 为什么需要客户端弹性模式
          • 客户端负载均衡模式
          • 断路器模式
          • 后备模式
          • 舱壁模式
        • 重试模式
        • 限流模式
        • ThreadLocal与Resilience4j
      • 网关Spring Cloud Gateway
        • 什么是服务网关?
        • Spring Cloud Gateway
          • 构建网关服务
          • 在Spring Cloud Gateway中配置路由
            • 使用服务发现进行自动路由映射
            • 使用服务发现进行手动路由映射
            • 动态重新加载路由配置
          • 谓词和过滤器工厂
            • 内置的谓词工厂
            • 内置的过滤器工厂
              • RequestRateLimiter
              • TokenRelay
              • CircuitBreaker
            • 自定义过滤器
          • CORS
        • 实例:关联ID
          • 预过滤器
          • 在服务中使用关联ID
          • 构建一个接收关联ID的后过滤器
      • Securing
        • OAuth2
          • 资源拥有者凭据许可
          • 客户端凭据许可
          • 授权码许可
          • 隐式许可
          • 令牌刷新
        • Keycloak
          • Docker 容器
          • 配置 Keycloak
          • 使用用户进行认证
        • 实例
          • 使用Keycloak保护 organization 服务
          • 传递访问令牌
          • 解析JWT中的字段
        • 关于微服务安全性的一些建议
      • Spring Cloud Stream
        • 消息传递架构
        • 引入 Spring Cloud Stream
          • 绑定(Bindings)
          • 目标绑定器(Destination Binders)
          • 配置选项
        • 编写一个简单的消息生产者和消费者
          • 配置Apache Kafka和Redis
          • 在organization服务中编写消息生产者
          • 在licensing服务中编写消息消费者
          • 使用avro
        • Spring Cloud Stream 使用范例: 分布式缓存
          • 使用Redis缓存
      • Spring Cloud Sleuth 和 Zipkin
        • Micrometer Tracing
        • 分布式追踪
        • 日志聚合
    • Spring Cloud Alibaba
      • 版本说明
      • Nacos
        • 什么是 Nacos?
        • 安装 Nacos Server
          • Windows
          • Docker
        • 与 Spring Cloud Gateway 集成
        • 使用 Nacos Client
          • 服务注册与发现
          • 配置管理
            • 自定义 namespace 的配置
            • 自定义 Group 的配置
            • 自定义扩展的 Data Id 配置
            • 完全关闭配置
  • Group 2
    • 遇到的问题
      • resilience4j
      • oauth2
      • 在Spring Cloud Stream中混合使用avro和JSON
      • Spring Cloud Stream 消费avro数据
      • 因为IDEA断点阻塞引起的一个乌龙
    • Spring 如何解决循环依赖问题
      • Spring 为什么不能解决构造器的循环依赖?
      • Spring 为什么不能解决 prototype 作用域循环依赖?
      • 为什么要使用三级缓存呢?二级缓存能解决循环依赖吗?
    • Spring 框架中用到了哪些设计模式?
    • Spring 事务
    • spring boot 问题
      • SpringBoot自动配置的原理
      • Spring Boot的核心注解
      • SpringBoot 打成 jar 和普通的 jar 有什么区别?
    • Quartz
      • Page 1
      • https://www.cnblogs.com/konglxblog/p/17110558.html
Powered by GitBook
On this page
  1. 基础知识
  2. Spring Security

拦截请求

对每个请求进行细粒度安全性控制的关键在于重载 configure(HttpSecurity) 方法。如下的代码片段展现了重载的 configure(HttpSecurity) 方法,它为不同的 URL 路径有选择地应用安全性:

@Override
protected void configure(HttpSecurity http) throws Exception {
  http
    .authorizeRequests()
    .antMatchers("/spitters/me").authenticated()
    .antMatchers(HttpMethod.POST, "/spittles").authenticated()
    .anyRequest().permitAll();
}

在这里,我们首先调用 authorizeRequests(),然后调用该方法所返回的对象的方法来配置请求级别的安全性细节。其中,

  • 第一次调用 antMatchers() 指定了对 /spitters/me 路径的请求需要进行认证。

  • 第二次调用 antMatchers() 更为具体,说明对 /spittles 路径的 HTTP POST 请求必须要经过认证。

  • 最后对 anyRequests() 的调用中,说明其他所有的请求都是允许的,不需要认证和任何的权限。

antMatchers() 方法中设定的路径支持 Ant 风格的通配符。如下所示:

.antMatchers("/spitter/**").authenticated();

也可以在一个对 antMatchers() 方法的调用中指定多个路径:

.antMatchers("/spitter/**", "/spittles/mine").authenticated();

注意:

可以将任意数量的 antMatchers()、regexMatchers() 和 anyRequest() 连接起来,以满足 Web 应用安全规则的需要。这些规则会按照给定的顺序发挥作用。

所以,很重要的一点就是将最为具体的请求路径放在前面,而最不具体的路径(如 anyRequest())放在最后面。如果不这样做的话,那不具体的路径配置将会覆盖掉更为具体的路径配置。

用来定义如何保护路径的配置方法:

方法
能够做什么

access(String)

如果给定的 SpEL 表达式计算结果为 true,就允许访问

anonymous()

允许匿名用户访问 authenticated() 允许认证过的用户访问

denyAll()

无条件拒绝所有访问

fullyAuthenticated()

如果用户是完整认证的话(不是通过Remember-me 功能认证的),就允许访问

hasAnyAuthority(String...)

如果用户具备给定权限中的某一个的话,就允许访问

hasAnyRole(String...)

如果用户具备给定角色中的某一个的话,就允许访问

hasAuthority(String)

如果用户具备给定权限的话,就允许访问

hasIpAddress(String)

如果请求来自给定 IP 地址的话,就允许访问

hasRole(String)

如果用户具备给定角色的话,就允许访问

not()

对其他访问方法的结果求反

permitAll()

无条件允许访问

rememberMe()

如果用户是通过 Remember-me 功能认证的,就允许访问

Previous配置自定义的用户服务Next使用 Spring 表达式进行安全保护

Last updated 1 year ago