Spring Security permitAll()不允许匿名访问的操作
http.addFilterBefore(muiltpartFilter, ChannelProcessingFilter.class).addFilterBefore(cf, ChannelProcessingFilter.class).authorizeRequests() .anyRequest() .authenticated() .and().authorizeRequests() .antMatchers('/ping**') .permitAll() .and().formLogin() .loginPage('/login') .permitAll() .and().logout() .logoutUrl('/logout').logoutSuccessUrl('/login');修改后
http.addFilterBefore(muiltpartFilter, ChannelProcessingFilter.class).addFilterBefore(cf, ChannelProcessingFilter.class).authorizeRequests() .antMatchers('/ping**') .permitAll() .and().formLogin() .loginPage('/login') .permitAll() .and().authorizeRequests() .anyRequest() .authenticated() .and().logout() .logoutUrl('/logout').logoutSuccessUrl('/login');
permitAll() 顺序很重要,如同在 XML 配置中,即把 authorizeRequests().anyRequest().authenticate 放到最后
Spring Security @PreAuthorize 拦截无效1. 在使用spring security的时候使用注解@PreAuthorize('hasAnyRole(’ROLE_Admin’)')
放在对方法的访问权限进行控制失效,其中配置如:
@Configuration@EnableWebSecuritypublic class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired UserDetailsService userDetailsService; @Bean @Override public AuthenticationManager authenticationManagerBean() throws Exception {return super.authenticationManagerBean(); } @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception {auth.userDetailsService(userDetailsService); } @Override protected void configure(HttpSecurity http) throws Exception {http.csrf().disable() .authorizeRequests() .antMatchers('/res/**', '/login/login*').permitAll() .anyRequest().authenticated() .and().formLogin().loginPage('/login/login').defaultSuccessUrl('/').passwordParameter('password').usernameParameter('username') .and().logout().logoutSuccessUrl('/login/login'); }}
Controller中的方法如下:
@Controller@RequestMapping('/demo')public class DemoController extends CommonController{ @Autowired private UserService userService; @PreAuthorize('hasAnyRole(’ROLE_Admin’)') @RequestMapping(value = 'user-list') public void userList() { }}
使用一个没有ROLE_Admin权限的用户去访问此方法发现无效。
修改一下 SecurityConfig:
@Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() .authorizeRequests() .antMatchers('/res/**', '/login/login*').permitAll() .antMatchers('/demo/user-list').access('hasRole(’ROLE_Admin’)') .anyRequest().authenticated() .and().formLogin().loginPage('/login/login').defaultSuccessUrl('/') .passwordParameter('password') .usernameParameter('username') .and().logout().logoutSuccessUrl('/login/login'); }
添加上:
.antMatchers('/demo/user-list').access('hasRole(’ROLE_Admin’)')
可以被正常拦截,说明是方法拦截没有生效。
如果是基于xml,则需要在配置文件中加上:
<security:global-method-security pre-post-annotations='enabled' proxy-target- />
换成Annotation方式以后,则需要使用 @EnableGlobalMethodSecurity(prePostEnabled=true) 注解来开启。
并且需要提供以下方法:
@Bean@Overridepublic AuthenticationManager authenticationManagerBean() throws Exception {return super.authenticationManagerBean();}
才可正常拦截。
以上为个人经验,希望能给大家一个参考,也希望大家多多支持好吧啦网。
相关文章:
1. javascript设计模式 ? 建造者模式原理与应用实例分析2. Python使用oslo.vmware管理ESXI虚拟机的示例参考3. Java构建JDBC应用程序的实例操作4. Express 框架中使用 EJS 模板引擎并结合 silly-datetime 库进行日期格式化的实现方法5. IDEA的Mybatis Generator驼峰配置问题6. 一篇文章带你了解JavaScript-对象7. IntelliJ IDEA设置条件断点的方法步骤8. Jsp中request的3个基础实践9. python flask框架快速入门10. 浅谈SpringMVC jsp前台获取参数的方式 EL表达式
网公网安备