SpringSecurity如何設置白名單策略

更新時間：2024年07月24日 10:05:32 作者：VermouthSp

這篇文章主要介紹了SpringSecurity如何設置白名單策略,本文給大家介紹的非常詳細,感興趣的朋友跟隨小編一起看看吧

在SpringSecurity中,往往需要對部分接口白名單訪問,而大部分在使用Security中就有一個誤區(qū),那就是免鑒權訪問和白名單的區(qū)別。

大部分的Security文章包括官方文檔給出免鑒權訪問都是使用.permitAll()去對相應路徑進行免鑒權訪問,但實際上這僅僅只表示該資源不需要相應的權限訪問，但是用戶還需要認證.也就是Security的認證/授權兩個概念.

Security白名單策略

將需要放行的白名單使用.ignoring注冊.

 @Bean
    public WebSecurityCustomizer ignoringCustomizer() {
        return web -> web.ignoring().requestMatchers(whiteUrlArr);
    }

當Spring啟動后，會將其中每個url注冊為一個MvcRequestMatcher并且放入到WebSecurity中的ignoredRequests管理。

然后在構建WebSecurity時去創(chuàng)建對應的DefaultSecurityFilterChain.

然后這些會被放入到Security的過濾鏈中交給WebSecurity進行管理,當有請求進入后就會進入到過濾鏈時，WebSecurity會去循環(huán)調用chian，以獲取處理請求路徑對應的過濾器組成過濾鏈，如果未注冊ignor則會使用默認的AnyRequest,這將返回全部的Security過濾器.

    private List<Filter> getFilters(HttpServletRequest request) {
        int count = 0;
        Iterator var3 = this.filterChains.iterator();
        SecurityFilterChain chain;
        do {
            if (!var3.hasNext()) {
                return null;
            }
            chain = (SecurityFilterChain)var3.next();
            if (logger.isTraceEnabled()) {
                ++count;
                logger.trace(LogMessage.format("Trying to match request against %s (%d/%d)", chain, count, this.filterChains.size()));
            }
        } while(!chain.matches(request));
        return chain.getFilters();
    }