0
有沒有一種方法可以配置Spring Security(使用Java配置)以僅保護自定義頁面,甚至可以在註解上工作?Spring Security安全自定義頁面
這個想法是,我想保證自定義調用如/admin和其他東西(沒有硬編碼安全配置中的每個調用),它是在控制器中設置的提到的註釋,但其他的東西不應該使用完全認證。
A
回答
1
我很難找到適合我的東西。這是訣竅,它也是非常可讀的。
@Override
protected void configure(HttpSecurity http) throws Exception
{
http.authorizeRequests()
.antMatchers("/admin/**").access("hasRole('ADMIN')")
.antMatchers("/**").permitAll()
.anyRequest().authenticated()
.and()
.formLogin();
}
和滿級對於那些誰仍然不能在同一網頁上
package com.your.package.config;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.*;
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter
{
@Override
protected void configure(HttpSecurity http) throws Exception
{
http.authorizeRequests()
.antMatchers("/admin/**").access("hasRole('ADMIN')")
.antMatchers("/**").permitAll()
.anyRequest().authenticated()
.and()
.formLogin();
}
@Autowired
public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception
{
auth.inMemoryAuthentication().withUser("user").password("password").roles("USER");
}
}
注意,不是調用formLogin()方法將使默認的「/登錄」返回404錯誤。
0
我不知道這是否回答你的問題,但你可以使用ant的匹配來識別特定頁面,而忽略其他人在你的安全配置,像這樣:
.antMatchers("/**").permitAll()
或
.antMatcher("/admin/**")
.authorizeRequests()
.anyRequest().authenticated()
相關問題
- 1. 自定義.formLogin()Spring安全
- 2. 自定義Spring Security認證
- 3. 安全管理面板(Spring Security)
- 4. 自定義新的Grails Spring Security Core插件登錄頁面
- 5. 自定義Spring Security渲染頁面,當授權失敗時,Grails
- 6. java-spring security自定義tomcat錯誤頁面
- 7. Spring Security在顯示自定義頁面時出錯
- 8. Spring Security有多安全?
- 9. Spring Security&Spring批量管理控制檯 - 自定義登錄頁面
- 10. 春季安全自定義UserDetailsService實現+自定義登錄頁面
- 11. 設置彈簧安全困境的自定義登錄頁面
- 12. Spring Security全局方法安全位置
- 13. 如何使用Spring Security爲微服務創建自定義安全篩選器
- 14. Spring Security的自定義過濾器通過基本的HTTP安全覆蓋
- 15. 使用Spring Security將用戶註銷到自定義頁面後重定向?
- 16. Spring Security的註冊頁面
- 17. 用Spring Security 3.1.3自定義SecurityExpressionRoot方法
- 18. Spring Security和Grails - 自定義URLS
- 19. 自定義登錄檢查(Grails Spring Security)
- 20. Spring Security Oauth - OAuth2Exceptions的自定義格式
- 21. Spring Security:自定義用戶代碼
- 22. Spring Security自定義用戶授權表
- 23. 自定義訪問規則的Spring Security
- 24. Spring Security自定義AuthenticationSuccessHandler被忽略
- 25. Spring Web Security中的自定義方法
- 26. Spring Boot Security 4自定義PasswordEncoder
- 27. Spring Security 3自定義記得我
- 28. 根據所需角色自定義登錄頁面使用Grails Spring Security
- 29. Spring Security SAML2-SP http post安全
- 30. Grails Spring Security Plugin +多重安全配置
http://stackoverflow.com/questions/35633194/spring-security-configuration-for-basic-authentication-and-form-login/35634692#35634692在這裏你可以找到兩個工作的例子,也許它有幫助。 – Andrei
感謝您的回覆。第二個版本是我需要的,但仍然是更多的硬編碼(「/ admin/**」)。 但是最終的結果是來自系統的「另一面」 - 我簡單地爲Controller定義添加了 @PreAuthorize(「hasRole('ROLE_ANONYMOUS')」) ,這幫助我導出了主要調用從那些我需要額外的安全。 –
如果要完全刪除java配置類中的硬編碼值,可以使用常量定義一個抽象類,如ADMIN_PATH =「/ admin /」,並將其用於控制器和安全配置中,或者甚至可以更好地定義它在屬性文件中。 – Andrei