快捷導(dǎo)航

spring Security配置攔截規(guī)則小結(jié)

更新時間：2025年09月09日 09:58:59 作者：bug別找我

本文介紹了使用Spring Security解決后臺管理系統(tǒng)在訪問靜態(tài)資源如圖片時需要登錄驗證的問題,通過配置攔截規(guī)則,將靜態(tài)資源路徑添加到白名單,感興趣的可以了解一下

問題描述

使用spring Security實現(xiàn)后臺管理系統(tǒng)登錄驗證加攔截，訪問圖片即靜態(tài)資源時響應(yīng)需要登錄驗證，分析問題得出結(jié)論未配置security的攔截規(guī)則，沒有對靜態(tài)資源進(jìn)行登錄放行

解決方案：

配置spring Security攔截規(guī)則，將訪問路徑添加進(jìn)入白名單中，比如博主將resources下files下的圖片設(shè)置白名單，規(guī)則就是"/files/**"，以下就是博主的配置

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

	protected void configure(HttpSecurity http) throws Exception {
		http.authorizeRequests()
			.antMatchers("/files/**").permitAll()// 配置攔截規(guī)則
			.anyRequest().authenticated();
	}
 }

有關(guān)spring security的配置器相關(guān)規(guī)則

http.authorizeRequests().antMatchers("/api/**").denyAll();    //拒絕api路徑下所有的訪問

http.authorizeRequests().antMatchers("/api/**").authenticated();    //api路徑下訪問需認(rèn)證通過

http.authorizeRequests().antMatchers("/api/**").permitAll();    //api路徑下無條件允許訪問

端點保護(hù)配置

了解到這部分的知識是因為在做OAuth2認(rèn)證的時候，我發(fā)現(xiàn)項目中的安全配置已經(jīng)開放所有請求(即/**請求不進(jìn)行攔截)，但是當(dāng)我訪問/oauth/token的時候竟然提示401，百思不得其解。最后發(fā)現(xiàn)原來在Spring Security中預(yù)制了一些默認(rèn)斷點保護(hù)策略。具體配置是在AuthorizationServerSecurityConfiguration中

過濾規(guī)則踩到的坑

.requestMatchers().antMatchers("/test/**").and()
.authorizeRequests().antMatchers("/test/authenticated").authenticated()
.anyRequest().permitAll().and()

通過匹配規(guī)則我們可以知道這部分配置的意思是針對/test/**的請求將使用安全配置，/test/authenticated是需要認(rèn)證的，匹配/test/**且不是/test/authenticated的請求是不需要認(rèn)證的。但是在實際項目中卻遇到了一個坑，就是我訪問/test/**的任何請求都是需要認(rèn)證的，跟了源碼發(fā)現(xiàn)是使用錯誤，具體原因是因為我在繼承WebSecurityConfigurerAdapter重寫configure(HttpSecurity http)方法的最后多寫了一行代碼

super.configure(http);

我在最后又去調(diào)用了WebSecurityConfigurerAdapter的configure(HttpSecurity http)方法

protected void configure(HttpSecurity http) throws Exception {
   logger.debug("Using default configure(HttpSecurity). If subclassed this will potentially override subclass configure(HttpSecurity).");
   http
      .authorizeRequests().anyRequest().authenticated().and()
      .formLogin().and()
      .httpBasic();
}

這個是WebSecurityConfigurerAdapter.configure方法的源碼，它默認(rèn)會對所有請求進(jìn)行過濾。有興趣的同學(xué)可以跟蹤源碼會發(fā)現(xiàn)Spring Security對URL攔截規(guī)則最后是存放在Map中，即在super的配置會覆蓋掉自定義配置導(dǎo)致自定義配置失效，寫的比較簡潔可能不是很好理解。

到此這篇關(guān)于spring Security配置攔截規(guī)則小結(jié)的文章就介紹到這了,更多相關(guān)spring Security 攔截規(guī)則內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: