Spring 安全 HttpSecurity 配置

Spring Security HttpSecurity config

我试图了解 RequestMatcher、AntMatcher 等是如何工作的。我阅读了一些帖子并了解了基础知识。其实我有这个简单的基本配置:

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.requestMatchers() //1
        .antMatchers("/login", "/oauth/authorize") //2
        .and() //3
        .authorizeRequests() //4
        .anyRequest() //5
        .authenticated() //6;

我真的不明白第 1、2 和 3 点。根据我的理解,这意味着 /login/oauth/authorize 的请求已映射,应该是授权请求。所有其他请求都需要身份验证。

端点的方法/user/me 我必须经过身份验证,因为它由第 5 点和第 6 点规定? 对这个端点的调用对我有用。

在我的其他配置中,我尝试了一种不同的方法:

@Override
protected void configure(HttpSecurity http) throws Exception { // @formatter:off
      http
       .authorizeRequests() //1
        .antMatchers("/login", "/oauth/authorize", "/img/**").permitAll() //2
        .anyRequest() //3
        .authenticated() //4

从我的角度来看,这应该与第一个配置的逻辑相同。但实际上端点 /user/me 不再可访问。

非常感谢您的澄清


更新 1:

这是我现在的配置:

@Override
protected void configure(HttpSecurity http) throws Exception { // @formatter:off
    http
        .requestMatchers()
           .antMatchers("/", "/login", "/oauth/authorize", 
               "/main", "/logout-success", "/single-logout",
               "/password_forgotten", "/enter_new_password", "/img/**",
               "/logout", "/access_denied")
            .and().authorizeRequests()
                .antMatchers("/img/**", "/logout-success", "/password_forgotten",
                    "/enter_new_password", "/access_denied").permitAll()
            .requestMatchers(SecurityUtils::isFrameworkInternalRequest).permitAll()
            .and()
            .authorizeRequests()
            .anyRequest()
            .authenticated()
            .and()
            .formLogin()
            .loginPage("/login")
            .failureUrl("/login?error")
            .defaultSuccessUrl("/main")
            .permitAll()
            .and()
            .logout()
            .logoutRequestMatcher(new AntPathRequestMatcher("/logout"))
            .logoutSuccessUrl("/logout-success")
            .deleteCookies("JSESSIONID")
            .invalidateHttpSession(true)
            .and()
            .exceptionHandling()
            .accessDeniedPage("/access_denied")
            .authenticationEntryPoint(new LoginUrlAuthenticationEntryPoint("/login"))
            .and().csrf().disable();

如果我输入 URL \user\me 作为未认证用户,我会收到 401 消息:

<oauth>
<error_description>
Vollständige Authentifikation wird benötigt um auf diese Resource zuzugreifen
</error_description>
<error>unauthorized</error>
</oauth>

没关系,但这意味着任何其他 SecurityFilterChain 都会为此 URL 发生,对吗?

你的第一个配置
.requestMtchers() //1

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.requestMatchers() //1
        .antMatchers("/login", "/oauth/authorize") //2
        .and() //3
        .authorizeRequests() //4
        .anyRequest() //5
        .authenticated() //6;

让我解释一下你的 .authorizeRequests() //4

http.authorizeRequests()这是一个通配符(/**)(就像过滤器允许每个请求一样)
HttpSecurity 配置将只考虑具有这些模式的请求 在这里你可以说

http.authorizeRequests()
//is nothing but equals to
http.antMatcher("/**").authorizeRequests();
//and also equals to
http.requestMatchers()
            .antMatchers("/**")
            .and()
            .authorizeRequests()

如果你配置如下

http.antMatcher("/api/**").authorizeRequests();

其余配置(.hasRole().hasAnyRole.authenticated().authenticated())只有在传入请求 uri 与配置的 antmatcher(/api/**)

考虑到您需要配置多个 URL(不同的模式),那么您不能仅使用一个 antMatcher。你需要多个然后你应该使用 requestMatcher 如下

http.requestMatchers()
            .antMatchers("/api/**", "employee/**", "/customer/**")
            .and()
            .authorizeRequests()

.antMatchers() //2
用于配置RequestMatcherConfigurerreturn类型的.requestMatchers()
或者
用于配置ExpressionInterceptUrlRegistryreturn类型的.authorizeRequests()

.and() //3

Return the HttpSecurity for further customizations

.anyRequest() //5

The object that is chained after creating the RequestMatcher

所有请求都匹配配置的请求匹配器模式

.authenticated() //6
以下配置不言自明

.antMatchers("/app/admin/**").hasRole("ADMIN")
//or
.antMatchers("/app/admin/**").hasAnyRole("ADMIN", "USER")
//or
.antMatchers("/app/admin/**").authenticated()
//or
.antMatchers("/app/admin/**").permitAll()

这是关于antMatchers、authorizeRequests 和authenticated 的粗略概念。你可以在这个link

中参考我的回答

requestMatchers() 配置 URL 是否由 SecurityFilterChain 处理。因此,如果 URL 不匹配,整个 SecurityFilterChain 将被跳过,这意味着 Spring 之后安全性将不会处理此 URL。如果不配置,默认匹配所有URLs.

authorizeRequests() 为 URL 配置授权内容,例如是否需要进行身份验证或者是否只有某些角色可以访问它等。它只对那些 [=由该 SecurityFilterChain 处理的 36=]s(即与 requestMatchers() 匹配的那些 URLs)

所以,回到你的第一个例子:

  http.requestMatchers() //1
        .antMatchers("/login", "/oauth/authorize") //2
        .and() //3
        .authorizeRequests() //4
        .anyRequest() //5
        .authenticated() //6;

表示这个SecurityFilterChain只会对/login/oauth/authorize有效。两个 URL 都需要进行身份验证。此 SecurityFilterChain 不会处理所有其他 URLs。所以/user/me是否需要认证与Spring安全无关。

http
       .authorizeRequests() //1
        .antMatchers("/login", "/oauth/authorize", "/img/**").permitAll() //2
        .anyRequest() //3
        .authenticated() //4

表示所有URL都将被这个SecurityFilterChain处理(默认值为requestMatchers())。 /login , /oauth/authorize/img/** 不需要任何授权。其他 URL 需要进行身份验证。