av一区二区在线观看_亚洲男人的天堂网站_日韩亚洲视频_在线成人免费_欧美日韩精品免费观看视频_久草视

您的位置:首頁技術文章
文章詳情頁

Spring Security permitAll()不允許匿名訪問的操作

瀏覽:2日期:2023-07-08 09:48:08
Spring Security permitAll()不允許匿名訪問修改前

http.addFilterBefore(muiltpartFilter, ChannelProcessingFilter.class).addFilterBefore(cf, ChannelProcessingFilter.class).authorizeRequests() .anyRequest() .authenticated() .and().authorizeRequests() .antMatchers('/ping**') .permitAll() .and().formLogin() .loginPage('/login') .permitAll() .and().logout() .logoutUrl('/logout').logoutSuccessUrl('/login');修改后

http.addFilterBefore(muiltpartFilter, ChannelProcessingFilter.class).addFilterBefore(cf, ChannelProcessingFilter.class).authorizeRequests() .antMatchers('/ping**') .permitAll() .and().formLogin() .loginPage('/login') .permitAll() .and().authorizeRequests() .anyRequest() .authenticated() .and().logout() .logoutUrl('/logout').logoutSuccessUrl('/login');

permitAll() 順序很重要,如同在 XML 配置中,即把 authorizeRequests().anyRequest().authenticate 放到最后

Spring Security @PreAuthorize 攔截無效1. 在使用spring security的時候使用注解

@PreAuthorize('hasAnyRole(’ROLE_Admin’)')

放在對方法的訪問權限進行控制失效,其中配置如:

@Configuration@EnableWebSecuritypublic class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired UserDetailsService userDetailsService; @Bean @Override public AuthenticationManager authenticationManagerBean() throws Exception {return super.authenticationManagerBean(); } @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception {auth.userDetailsService(userDetailsService); } @Override protected void configure(HttpSecurity http) throws Exception {http.csrf().disable() .authorizeRequests() .antMatchers('/res/**', '/login/login*').permitAll() .anyRequest().authenticated() .and().formLogin().loginPage('/login/login').defaultSuccessUrl('/').passwordParameter('password').usernameParameter('username') .and().logout().logoutSuccessUrl('/login/login'); }}

Controller中的方法如下:

@Controller@RequestMapping('/demo')public class DemoController extends CommonController{ @Autowired private UserService userService; @PreAuthorize('hasAnyRole(’ROLE_Admin’)') @RequestMapping(value = 'user-list') public void userList() { }}

使用一個沒有ROLE_Admin權限的用戶去訪問此方法發(fā)現(xiàn)無效。

修改一下 SecurityConfig:

  @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() .authorizeRequests() .antMatchers('/res/**', '/login/login*').permitAll() .antMatchers('/demo/user-list').access('hasRole(’ROLE_Admin’)') .anyRequest().authenticated() .and().formLogin().loginPage('/login/login').defaultSuccessUrl('/') .passwordParameter('password') .usernameParameter('username') .and().logout().logoutSuccessUrl('/login/login'); }

添加上:

.antMatchers('/demo/user-list').access('hasRole(’ROLE_Admin’)')

可以被正常攔截,說明是方法攔截沒有生效。

如果是基于xml,則需要在配置文件中加上:

<security:global-method-security pre-post-annotations='enabled' proxy-target- />

換成Annotation方式以后,則需要使用 @EnableGlobalMethodSecurity(prePostEnabled=true) 注解來開啟。

并且需要提供以下方法:

@Bean@Overridepublic AuthenticationManager authenticationManagerBean() throws Exception {return super.authenticationManagerBean();}

才可正常攔截。

以上為個人經(jīng)驗,希望能給大家一個參考,也希望大家多多支持好吧啦網(wǎng)。

標簽: Spring
相關文章:
主站蜘蛛池模板: 亚洲成人在线免费 | 国产在线一区二 | 国外成人在线视频网站 | 黄色一级视频 | 亚洲成人av在线播放 | 男人天堂99 | 欧美午夜精品久久久久久浪潮 | 国产一区二区在线免费观看 | av中文字幕在线观看 | 精品96久久久久久中文字幕无 | 成人在线一级片 | 免费在线观看一区二区 | 91干b| 国产精品自在线 | 日韩精品色网 | 国产一区二区三区四区五区3d | 一区二区影视 | 99久久久99久久国产片鸭王 | 成人av网站在线观看 | 欧美激情综合五月色丁香小说 | 国产精品久久久亚洲 | 成人片网址| 国产一级视屏 | 中文字幕在线观看成人 | 夜夜爆操 | 日韩精品一区二区三区中文在线 | 日本一区二区在线视频 | 欧美不卡在线 | 日本一二三区高清 | 亚洲天堂一区 | 精品国产乱码一区二区三区 | 免费国产视频 | 国产成人免费观看 | 一级毛片视频 | 黄色毛片在线看 | 日韩在线视频一区二区三区 | 亚洲国产看片 | 一区二区三区在线观看视频 | 亚洲精品免费视频 | 伊人免费视频二 | 91 中文字幕 |