SpringSecurity5（1-快速入门）

news/2025/3/11 13:57:44/文章来源:https://www.cnblogs.com/penggx/p/18764907

依赖

<dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-security</artifactId><version>2.3.12.RELEASE</version>
</dependency>
<dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-web</artifactId><version>2.3.12.RELEASE</version>
</dependency>

登录认证

@Controller
public class UserController {@GetMapping("/test")@ResponseBodypublic String test(){return "hello";}
}

注意：导入依赖之后，访问 localhost: 8080/test 请求地址会自动跳转到 localhost: 8080/test 中，出现一个表单，需要登录后才能访问

用户名默认为 user，密码在控制台出现

将表单请求转换为弹出框请求

WebSecurityConfigurerAdapter

/*** 定制用户认证管理器来实现用户认证*  1. 提供用户认证所需信息（用户名、密码、当前用户的资源权）*  2. 可采用内存存储方式，也可能采用数据库方式*/
void configure(AuthenticationManagerBuilder auth);/*** 定制基于 HTTP 请求的用户访问控制*  1. 配置拦截的哪一些资源*  2. 配置资源所对应的角色权限*  3. 定义认证方式：HttpBasic、HttpForm*  4. 定制登录页面、登录请求地址、错误处理方式*  5. 自定义 Spring Security 过滤器等*/
void configure(HttpSecurity http);/*** 定制一些全局性的安全配置，例如：不拦截静态资源的访问*/
void configure(WebSecurity web);

使用案例

创建配置类继承 WebSecurityConfigurerAdapter 类，实现 http 的 configure 方法

@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {@Overrideprotected void configure(HttpSecurity http) throws Exception {/*** fromLogin()：表单认证* httpBasic()：弹出框认证* authorizeRequests()：身份认证请求* anyRequest()：所有请求* authenticated()：身份认证*/http.httpBasic().and().authorizeRequests()// 其它任何请求访问都需要先通过认证.anyRequest().authenticated();}
}

访问地址：localhost: 8080/test，此时发现表单请求转换为弹出框请求

路径匹配器

MvcRequestMatcher

匹配规则

/a：仅匹配路径/a
/a/*：操作符* 会替换一个路径名。在这种情况下，它将匹配/a/b 或/a/c，而不是/a/b/c
/a/**：操作符** 会替换多个路径名。在这种情况下，/a 以及/a/b 和/a/b/c 都是这个表达式的匹配项
/a/{param}：这个表达式适用于具有给定路径参数的路径/a
/a/{param: regex}：只有当参数的值与给定正则表达式匹配时，此表达式才应用于具有给定路径参数的路径/a

使用案例

单个请求无请求方法匹配

http.authorizeRequests() .mvcMatchers("/hello_user").hasRole("USER") .mvcMatchers("/hello_admin").hasRole("ADMIN");

如果使用角色为“USER”的用户来访问“/hello_admin”端点，那么会出现禁止访问的情况，因为“/hello_admin”端点只有角色为“ADMIN”的用户才能访问

注意：没有被 MVC 匹配器所匹配的端点，其访问不受任何的限制，效果相当于如下所示的配置

http.authorizeRequests() .mvcMatchers("/hello_user").hasRole("USER") .mvcMatchers("/hello_admin").hasRole("ADMIN");.anyRequest().permitAll();

单个请求有请求方法匹配

如果一个 Controller 中存在两个路径完全一样的 HTTP 端点，可以把 HTTP 方法作为一个访问的维度进行控制

http.authorizeRequests() .mvcMatchers(HttpMethod.POST, "/hello").authenticated() .mvcMatchers(HttpMethod.GET, "/hello").permitAll() .anyRequest().denyAll();

多个路径匹配

http.authorizeRequests() .mvcMatchers("/test/xiao","/test/giao","/test/a","/test/a/b").hasRole("ADMIN");
//可以简化为以下方式
http.authorizeRequests() .mvcMatchers("/test/**").hasRole("ADMIN");

带有路径变量匹配

@GetMapping("/product/{code}")
public String productCode(@PathVariable String code){return code;
}

http.authorizeRequests() .mvcMatchers("/product/{code:^[0-9]*$}").permitAll();

此时调用端点，假设 code = 1234a，不符合全部都是数字，报 401；然后再次调用端点，code = 12345，发现调用通过

AntPathRequestMatcher

Ant 匹配器的表现形式和使用方法与前面介绍的 MVC 匹配器非常相似

使用方法：

antMatchers(String patterns)
antMatchers(HttpMethod method)
antMatchers(HttpMethod method, String patterns)

mvc 与 ant 匹配器的区别

antMatchers("/secured")仅仅匹配 /secured
mvcMatchers("/secured")匹配 /secured 之余还匹配 /secured/，/secured.html，/secured.xyz

因此 mvcMatcher 更加通用且容错性更高

RegexRequestMatcher

使用方法：

regexMatchers(HttpMethod method, String regex)
regexMatchers(String regex)

使用这一匹配器的主要优势在于它能够基于复杂的正则表达式对请求地址进行匹配，这是 MVC 匹配器和 Ant 匹配器无法实现的

http.authorizeRequests() //只有输入的请求是一个合法的邮箱地址才能允许访问.regexMatchers("/email/{email:.*(.+@.+\\.com)}")

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.hqwc.cn/news/897246.html

如若内容造成侵权/违法违规/事实不符，请联系编程知识网进行投诉反馈email:809451989@qq.com，一经查实，立即删除！

ASE9N20-ASEMI工业自动化专用ASE9N20

ASE9N20-ASEMI工业自动化专用ASE9N20编辑：ll 一、性能卓越，能效先锋 9N20 MOS 管最为人称道的便是它超低的导通电阻。在电路中，犹如为电流开辟了一条 “高速公路”，让电能得以高效传输，极大减少了因电阻产生的热损耗。这意味着无论是为便携设备供电的 DC - DC 转换器，还是…

LayerSkip: 使用自推测解码加速大模型推理

自推测解码是一种新颖的文本生成方法，它结合了推测解码 (Speculative Decoding) 的优势和大语言模型 (LLM) 的提前退出 (Early Exit) 机制。该方法出自论文 LayerSkip: Enabling Early-Exit Inference and Self-Speculative Decoding。它通过使用同一个模型的早期层来生成候…

2025年我用 Compose 写了一个 Todo App

标题党嫌疑犯实锤序言从2月12日到3月4日这整整三周时间里，我从零开始又学习了一次 Compose。为什么说又，是因为这已经是我第二次学习这套课程了。故事从 4 年前说起，2021 年在意外获悉扔物线朱凯老师准备发布一套名为 Compose 的新课程，意识到这是 Android 未来的方向，…

Ubuntu设置静态IP——NetworkManager方式

1、直接在系统界面上设置静态IP的方式，不再赘述 2、命令行方式查看已经有哪些工具#查看状态 sudo systemctl status Netplan sudo systemctl status NetworkManager sudo systemctl status systemd-networkd sudo systemctl status NetworkManager出现Active，说明电脑已经安装…

《Quick Start Kubernetes》读后感

一、为什么选择这本书？面试的时候经常被问到 kubernetes(下称 k8s)，所以打算学习 k8s。看到《Quick Start Kubernetes》的作者对自己所写的书持续地更新，被这种认真打动了，外加这本书只有100多页，所以选择了这本书作为入门 k8s 的教材。二、这本书写了什么？这本书介绍…

正交实验法python实现

1.等水平正交表每个条件下的种类一样多例1：这是一个7因子2状态列表里内部每一个[]表示一个因子，然后每个因子都有2种类型 #7因子2状态 from allpairspy import AllPairs parameters = [["Chrome", "Firefox"],#因子1有"Chrome"或"Fir…

如何调用 DeepSeek 的自然语言处理 API 接口并集成到在线客服系统

本文将提供一个详细的示例，展示如何调用 DeepSeek 的自然语言处理 API 接口。我们将以情感分析为例，演示如何发送请求、处理响应以及处理可能的错误。我在业余时间开发了一款自己的独立产品：升讯威在线客服与营销系统。陆陆续续开发了几年，从一开始的偶有用户尝试，到如今线…

使用 Pixi.js 插件实现探险者小游戏（一）

什么是 Pixi Pixi 是一个非常快的 2D sprite 渲染引擎。使用它你可以轻松的利用 JavaScript 和其他 HTML5 技术制作游戏和应用程序。 Pixi 的官网地址：https://pixijs.com/ 本游戏使用的是 Pixi 的 V4.5.5 版本，官网最新版本更新到了 V8.x，两个版本 API 相差很大，建议大家学…