依靠
- <dependency>
- <groupId>org.springframework.boot</groupId>
- <artifactId>spring-boot-starter-security</artifactId>
- <version>2.3.12.RELEASE</version>
- </dependency>
- <dependency>
- <groupId>org.springframework.boot</groupId>
- <artifactId>spring-boot-starter-web</artifactId>
- <version>2.3.12.RELEASE</version>
- </dependency>
- @Controller
- public class UserController {
- @GetMapping("/test")
- @ResponseBody
- public String test(){
- return "hello";
- }
- }
用户名默认为 user,密码在控制台出现
将表单请求转换为弹出框请求
WebSecurityConfigurerAdapter- /**
- * 定制用户认证管理器来实现用户认证
- * 1. 提供用户认证所需信息(用户名、密码、当前用户的资源权)
- * 2. 可采用内存存储方式,也可能采用数据库方式
- */
- void configure(AuthenticationManagerBuilder auth);
- /**
- * 定制基于 HTTP 请求的用户访问控制
- * 1. 配置拦截的哪一些资源
- * 2. 配置资源所对应的角色权限
- * 3. 定义认证方式:HttpBasic、HttpForm
- * 4. 定制登录页面、登录请求地址、错误处理方式
- * 5. 自定义 Spring Security 过滤器等
- */
- void configure(HttpSecurity http);
- /**
- * 定制一些全局性的安全配置,例如:不拦截静态资源的访问
- */
- void configure(WebSecurity web);
- 创建配置类继承 WebSecurityConfigurerAdapter 类,实现 http 的 configure 方法
- @Configuration
- public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
- @Override
- protected void configure(HttpSecurity http) throws Exception {
- /**
- * fromLogin():表单认证
- * httpBasic():弹出框认证
- * authorizeRequests():身份认证请求
- * anyRequest():所有请求
- * authenticated():身份认证
- */
- http.httpBasic()
- .and()
- .authorizeRequests()
- // 其它任何请求访问都需要先通过认证
- .anyRequest()
- .authenticated();
- }
- }
- 访问地址:localhost: 8080/test,此时发现表单请求转换为弹出框请求
路径匹配器
MvcRequestMatcher
匹配规则
- /a:仅匹配路径/a
- /a/*:操作符* 会更换一个路径名。在这种情况下,它将匹配/a/b 或/a/c,而不是/a/b/c
- /a/**:操作符** 会更换多个路径名。在这种情况下,/a 以及/a/b 和/a/b/c 都是这个表达式的匹配项
- /a/{param}:这个表达式实用于具有给定路径参数的路径/a
- /a/{param: regex}:只有当参数的值与给定正则表达式匹配时,此表达式才应用于具有给定路径参数的路径/a
使用案例
- http.authorizeRequests()
- .mvcMatchers("/hello_user").hasRole("USER")
- .mvcMatchers("/hello_admin").hasRole("ADMIN");
注意:没有被 MVC 匹配器所匹配的端点,其访问不受任何的限制,效果相称于如下所示的配置- http.authorizeRequests()
- .mvcMatchers("/hello_user").hasRole("USER")
- .mvcMatchers("/hello_admin").hasRole("ADMIN"); .anyRequest().permitAll();
- http.authorizeRequests()
- .mvcMatchers(HttpMethod.POST, "/hello").authenticated()
- .mvcMatchers(HttpMethod.GET, "/hello").permitAll()
- .anyRequest().denyAll();
- http.authorizeRequests()
- .mvcMatchers("/test/xiao","/test/giao","/test/a","/test/a/b").hasRole("ADMIN");
- //可以简化为以下方式
- http.authorizeRequests()
- .mvcMatchers("/test/**").hasRole("ADMIN");
- @GetMapping("/product/{code}")
- public String productCode(@PathVariable String code){
- return code;
- }
- http.authorizeRequests()
- .mvcMatchers("/product/{code:^[0-9]*$}").permitAll();
AntPathRequestMatcher
Ant 匹配器的表现形式和使用方法与前面先容的 MVC 匹配器非常相似
使用方法:
- antMatchers(String patterns)
- antMatchers(HttpMethod method)
- antMatchers(HttpMethod method, String patterns)
mvc 与 ant 匹配器的区别
- antMatchers("/secured")仅仅匹配 /secured
- mvcMatchers("/secured")匹配 /secured 之余还匹配 /secured/,/secured.html,/secured.xyz
因此 mvcMatcher 更加通用且容错性更高
RegexRequestMatcher
使用方法:
- regexMatchers(HttpMethod method, String regex)
- regexMatchers(String regex)
使用这一匹配器的主要优势在于它可以大概基于复杂的正则表达式对请求地址进行匹配,这是 MVC 匹配器和 Ant 匹配器无法实现的- http.authorizeRequests()
- //只有输入的请求是一个合法的邮箱地址才能允许访问
- .regexMatchers("/email/{email:.*(.+@.+\\.com)}")
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
