Spring 安全 HttpSecurity 配置
Spring Security HttpSecurity config
我试图了解 RequestMatcher、AntMatcher 等是如何工作的。我阅读了一些帖子并了解了基础知识。其实我有这个简单的基本配置:
@Override
protected void configure(HttpSecurity http) throws Exception {
http.requestMatchers() //1
.antMatchers("/login", "/oauth/authorize") //2
.and() //3
.authorizeRequests() //4
.anyRequest() //5
.authenticated() //6;
我真的不明白第 1、2 和 3 点。根据我的理解,这意味着 /login
和 /oauth/authorize
的请求已映射,应该是授权请求。所有其他请求都需要身份验证。
端点的方法/user/me
我必须经过身份验证,因为它由第 5 点和第 6 点规定?
对这个端点的调用对我有用。
在我的其他配置中,我尝试了一种不同的方法:
@Override
protected void configure(HttpSecurity http) throws Exception { // @formatter:off
http
.authorizeRequests() //1
.antMatchers("/login", "/oauth/authorize", "/img/**").permitAll() //2
.anyRequest() //3
.authenticated() //4
从我的角度来看,这应该与第一个配置的逻辑相同。但实际上端点 /user/me
不再可访问。
非常感谢您的澄清
更新 1:
这是我现在的配置:
@Override
protected void configure(HttpSecurity http) throws Exception { // @formatter:off
http
.requestMatchers()
.antMatchers("/", "/login", "/oauth/authorize",
"/main", "/logout-success", "/single-logout",
"/password_forgotten", "/enter_new_password", "/img/**",
"/logout", "/access_denied")
.and().authorizeRequests()
.antMatchers("/img/**", "/logout-success", "/password_forgotten",
"/enter_new_password", "/access_denied").permitAll()
.requestMatchers(SecurityUtils::isFrameworkInternalRequest).permitAll()
.and()
.authorizeRequests()
.anyRequest()
.authenticated()
.and()
.formLogin()
.loginPage("/login")
.failureUrl("/login?error")
.defaultSuccessUrl("/main")
.permitAll()
.and()
.logout()
.logoutRequestMatcher(new AntPathRequestMatcher("/logout"))
.logoutSuccessUrl("/logout-success")
.deleteCookies("JSESSIONID")
.invalidateHttpSession(true)
.and()
.exceptionHandling()
.accessDeniedPage("/access_denied")
.authenticationEntryPoint(new LoginUrlAuthenticationEntryPoint("/login"))
.and().csrf().disable();
如果我输入 URL \user\me
作为未认证用户,我会收到 401 消息:
<oauth>
<error_description>
Vollständige Authentifikation wird benötigt um auf diese Resource zuzugreifen
</error_description>
<error>unauthorized</error>
</oauth>
没关系,但这意味着任何其他 SecurityFilterChain 都会为此 URL 发生,对吗?
你的第一个配置
.requestMtchers() //1
@Override
protected void configure(HttpSecurity http) throws Exception {
http.requestMatchers() //1
.antMatchers("/login", "/oauth/authorize") //2
.and() //3
.authorizeRequests() //4
.anyRequest() //5
.authenticated() //6;
让我解释一下你的 .authorizeRequests()
//4
http.authorizeRequests()
这是一个通配符(/**
)(就像过滤器允许每个请求一样)
HttpSecurity 配置将只考虑具有这些模式的请求
在这里你可以说
http.authorizeRequests()
//is nothing but equals to
http.antMatcher("/**").authorizeRequests();
//and also equals to
http.requestMatchers()
.antMatchers("/**")
.and()
.authorizeRequests()
如果你配置如下
http.antMatcher("/api/**").authorizeRequests();
其余配置(.hasRole()
、.hasAnyRole
、.authenticated()
或 .authenticated()
)只有在传入请求 uri 与配置的 antmatcher(/api/**
)
考虑到您需要配置多个 URL(不同的模式),那么您不能仅使用一个 antMatcher。你需要多个然后你应该使用 requestMatcher 如下
http.requestMatchers()
.antMatchers("/api/**", "employee/**", "/customer/**")
.and()
.authorizeRequests()
.antMatchers() //2
用于配置RequestMatcherConfigurer
return类型的.requestMatchers()
或者
用于配置ExpressionInterceptUrlRegistry
return类型的.authorizeRequests()
.and() //3
Return the HttpSecurity for further customizations
.anyRequest() //5
The object that is chained after creating the RequestMatcher
所有请求都匹配配置的请求匹配器模式
.authenticated() //6
以下配置不言自明
.antMatchers("/app/admin/**").hasRole("ADMIN")
//or
.antMatchers("/app/admin/**").hasAnyRole("ADMIN", "USER")
//or
.antMatchers("/app/admin/**").authenticated()
//or
.antMatchers("/app/admin/**").permitAll()
这是关于antMatchers、authorizeRequests 和authenticated 的粗略概念。你可以在这个link
中参考我的回答
requestMatchers()
配置 URL 是否由 SecurityFilterChain
处理。因此,如果 URL 不匹配,整个 SecurityFilterChain
将被跳过,这意味着 Spring 之后安全性将不会处理此 URL。如果不配置,默认匹配所有URLs.
authorizeRequests()
为 URL 配置授权内容,例如是否需要进行身份验证或者是否只有某些角色可以访问它等。它只对那些 [=由该 SecurityFilterChain 处理的 36=]s(即与 requestMatchers()
匹配的那些 URLs)
所以,回到你的第一个例子:
http.requestMatchers() //1
.antMatchers("/login", "/oauth/authorize") //2
.and() //3
.authorizeRequests() //4
.anyRequest() //5
.authenticated() //6;
表示这个SecurityFilterChain只会对/login
和/oauth/authorize
有效。两个 URL 都需要进行身份验证。此 SecurityFilterChain 不会处理所有其他 URLs。所以/user/me
是否需要认证与Spring安全无关。
http
.authorizeRequests() //1
.antMatchers("/login", "/oauth/authorize", "/img/**").permitAll() //2
.anyRequest() //3
.authenticated() //4
表示所有URL都将被这个SecurityFilterChain处理(默认值为requestMatchers()
)。 /login
, /oauth/authorize
和 /img/**
不需要任何授权。其他 URL 需要进行身份验证。
我试图了解 RequestMatcher、AntMatcher 等是如何工作的。我阅读了一些帖子并了解了基础知识。其实我有这个简单的基本配置:
@Override
protected void configure(HttpSecurity http) throws Exception {
http.requestMatchers() //1
.antMatchers("/login", "/oauth/authorize") //2
.and() //3
.authorizeRequests() //4
.anyRequest() //5
.authenticated() //6;
我真的不明白第 1、2 和 3 点。根据我的理解,这意味着 /login
和 /oauth/authorize
的请求已映射,应该是授权请求。所有其他请求都需要身份验证。
端点的方法/user/me
我必须经过身份验证,因为它由第 5 点和第 6 点规定?
对这个端点的调用对我有用。
在我的其他配置中,我尝试了一种不同的方法:
@Override
protected void configure(HttpSecurity http) throws Exception { // @formatter:off
http
.authorizeRequests() //1
.antMatchers("/login", "/oauth/authorize", "/img/**").permitAll() //2
.anyRequest() //3
.authenticated() //4
从我的角度来看,这应该与第一个配置的逻辑相同。但实际上端点 /user/me
不再可访问。
非常感谢您的澄清
更新 1:
这是我现在的配置:
@Override
protected void configure(HttpSecurity http) throws Exception { // @formatter:off
http
.requestMatchers()
.antMatchers("/", "/login", "/oauth/authorize",
"/main", "/logout-success", "/single-logout",
"/password_forgotten", "/enter_new_password", "/img/**",
"/logout", "/access_denied")
.and().authorizeRequests()
.antMatchers("/img/**", "/logout-success", "/password_forgotten",
"/enter_new_password", "/access_denied").permitAll()
.requestMatchers(SecurityUtils::isFrameworkInternalRequest).permitAll()
.and()
.authorizeRequests()
.anyRequest()
.authenticated()
.and()
.formLogin()
.loginPage("/login")
.failureUrl("/login?error")
.defaultSuccessUrl("/main")
.permitAll()
.and()
.logout()
.logoutRequestMatcher(new AntPathRequestMatcher("/logout"))
.logoutSuccessUrl("/logout-success")
.deleteCookies("JSESSIONID")
.invalidateHttpSession(true)
.and()
.exceptionHandling()
.accessDeniedPage("/access_denied")
.authenticationEntryPoint(new LoginUrlAuthenticationEntryPoint("/login"))
.and().csrf().disable();
如果我输入 URL \user\me
作为未认证用户,我会收到 401 消息:
<oauth>
<error_description>
Vollständige Authentifikation wird benötigt um auf diese Resource zuzugreifen
</error_description>
<error>unauthorized</error>
</oauth>
没关系,但这意味着任何其他 SecurityFilterChain 都会为此 URL 发生,对吗?
你的第一个配置
.requestMtchers() //1
@Override
protected void configure(HttpSecurity http) throws Exception {
http.requestMatchers() //1
.antMatchers("/login", "/oauth/authorize") //2
.and() //3
.authorizeRequests() //4
.anyRequest() //5
.authenticated() //6;
让我解释一下你的 .authorizeRequests()
//4
http.authorizeRequests()
这是一个通配符(/**
)(就像过滤器允许每个请求一样)
HttpSecurity 配置将只考虑具有这些模式的请求
在这里你可以说
http.authorizeRequests()
//is nothing but equals to
http.antMatcher("/**").authorizeRequests();
//and also equals to
http.requestMatchers()
.antMatchers("/**")
.and()
.authorizeRequests()
如果你配置如下
http.antMatcher("/api/**").authorizeRequests();
其余配置(.hasRole()
、.hasAnyRole
、.authenticated()
或 .authenticated()
)只有在传入请求 uri 与配置的 antmatcher(/api/**
)
考虑到您需要配置多个 URL(不同的模式),那么您不能仅使用一个 antMatcher。你需要多个然后你应该使用 requestMatcher 如下
http.requestMatchers()
.antMatchers("/api/**", "employee/**", "/customer/**")
.and()
.authorizeRequests()
.antMatchers() //2
用于配置RequestMatcherConfigurer
return类型的.requestMatchers()
或者
用于配置ExpressionInterceptUrlRegistry
return类型的.authorizeRequests()
.and() //3
Return the HttpSecurity for further customizations
.anyRequest() //5
The object that is chained after creating the RequestMatcher
所有请求都匹配配置的请求匹配器模式
.authenticated() //6
以下配置不言自明
.antMatchers("/app/admin/**").hasRole("ADMIN")
//or
.antMatchers("/app/admin/**").hasAnyRole("ADMIN", "USER")
//or
.antMatchers("/app/admin/**").authenticated()
//or
.antMatchers("/app/admin/**").permitAll()
这是关于antMatchers、authorizeRequests 和authenticated 的粗略概念。你可以在这个link
requestMatchers()
配置 URL 是否由 SecurityFilterChain
处理。因此,如果 URL 不匹配,整个 SecurityFilterChain
将被跳过,这意味着 Spring 之后安全性将不会处理此 URL。如果不配置,默认匹配所有URLs.
authorizeRequests()
为 URL 配置授权内容,例如是否需要进行身份验证或者是否只有某些角色可以访问它等。它只对那些 [=由该 SecurityFilterChain 处理的 36=]s(即与 requestMatchers()
匹配的那些 URLs)
所以,回到你的第一个例子:
http.requestMatchers() //1
.antMatchers("/login", "/oauth/authorize") //2
.and() //3
.authorizeRequests() //4
.anyRequest() //5
.authenticated() //6;
表示这个SecurityFilterChain只会对/login
和/oauth/authorize
有效。两个 URL 都需要进行身份验证。此 SecurityFilterChain 不会处理所有其他 URLs。所以/user/me
是否需要认证与Spring安全无关。
http
.authorizeRequests() //1
.antMatchers("/login", "/oauth/authorize", "/img/**").permitAll() //2
.anyRequest() //3
.authenticated() //4
表示所有URL都将被这个SecurityFilterChain处理(默认值为requestMatchers()
)。 /login
, /oauth/authorize
和 /img/**
不需要任何授权。其他 URL 需要进行身份验证。