快捷導(dǎo)航

SpringSecurity如何設(shè)置白名單策略

更新時(shí)間：2024年07月24日 10:05:32 作者：VermouthSp

這篇文章主要介紹了SpringSecurity如何設(shè)置白名單策略,本文給大家介紹的非常詳細(xì),感興趣的朋友跟隨小編一起看看吧

在SpringSecurity中,往往需要對(duì)部分接口白名單訪問,而大部分在使用Security中就有一個(gè)誤區(qū),那就是免鑒權(quán)訪問和白名單的區(qū)別。

大部分的Security文章包括官方文檔給出免鑒權(quán)訪問都是使用.permitAll()去對(duì)相應(yīng)路徑進(jìn)行免鑒權(quán)訪問,但實(shí)際上這僅僅只表示該資源不需要相應(yīng)的權(quán)限訪問，但是用戶還需要認(rèn)證.也就是Security的認(rèn)證/授權(quán)兩個(gè)概念.

Security白名單策略

將需要放行的白名單使用.ignoring注冊(cè).

 @Bean
    public WebSecurityCustomizer ignoringCustomizer() {
        return web -> web.ignoring().requestMatchers(whiteUrlArr);
    }

當(dāng)Spring啟動(dòng)后，會(huì)將其中每個(gè)url注冊(cè)為一個(gè)MvcRequestMatcher并且放入到WebSecurity中的ignoredRequests管理。

然后在構(gòu)建WebSecurity時(shí)去創(chuàng)建對(duì)應(yīng)的DefaultSecurityFilterChain.

然后這些會(huì)被放入到Security的過濾鏈中交給WebSecurity進(jìn)行管理,當(dāng)有請(qǐng)求進(jìn)入后就會(huì)進(jìn)入到過濾鏈時(shí)，WebSecurity會(huì)去循環(huán)調(diào)用chian，以獲取處理請(qǐng)求路徑對(duì)應(yīng)的過濾器組成過濾鏈，如果未注冊(cè)ignor則會(huì)使用默認(rèn)的AnyRequest,這將返回全部的Security過濾器.

    private List<Filter> getFilters(HttpServletRequest request) {
        int count = 0;
        Iterator var3 = this.filterChains.iterator();
        SecurityFilterChain chain;
        do {
            if (!var3.hasNext()) {
                return null;
            }
            chain = (SecurityFilterChain)var3.next();
            if (logger.isTraceEnabled()) {
                ++count;
                logger.trace(LogMessage.format("Trying to match request against %s (%d/%d)", chain, count, this.filterChains.size()));
            }
        } while(!chain.matches(request));
        return chain.getFilters();
    }