SpringBoot - 安全管理框架Spring Security使用詳解(8)-配置多個HttpSecurity

原創 Andy2019 2020-06-07 22:32

 在之前的文章中我們都只配置一個 HttpSecurity,如果業務比較複雜,我們也可以配置多個 HttpSecurity,實現對 WebSecurityConfigurerAdapter 的多次擴展。

 

八、配置多個 HttpSecurity

1,樣例代碼

(1)配置多個 HttpSecurity 時,MultiHttpSecurityConfig 不需要繼承 WebSecurityConfigurerAdapter,而是在 MultiHttpSecurityConfig 中創建靜態內部類繼承 WebSecurityConfigurerAdapter 即可。

注意:靜態內部類上添加 @Configuration 註解和 @Order 註解,@Order 註解表示該配置的優先級,數字越小優先級越大,未加 @Order 註解的配置優先級最小。

(2)這裏我們創建了兩個靜態內部類來配置兩個不同的 HttpSecurity,一個用來處理“/admin/**”模式的 URL,另一個處理其它的 URL。

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

@Configuration

public class MultiHttpSecurityConfig{

    // 指定密碼的加密方式

    @SuppressWarnings("deprecation")

    @Bean

    PasswordEncoder passwordEncoder(){

        // 不對密碼進行加密

        return NoOpPasswordEncoder.getInstance();

    }

 

    // 配置用戶及其對應的角色

    @Autowired

    protected void configure(AuthenticationManagerBuilder auth) throws Exception {

        auth.inMemoryAuthentication()

                .withUser("root").password("123").roles("DBA")

                .and()

                .withUser("admin").password("123").roles("ADMIN")

                .and()

                .withUser("hangge").password("123").roles("USER");

    }

 

    // 下面配置專門用來處理 "/admin/**" 模式的URL

    @Configuration

    @Order(1)

    public static class AdminSecurityConfig

            extends WebSecurityConfigurerAdapter {

        @Override

        protected void configure(HttpSecurity http) throws Exception {

            http.antMatcher("/admin/**").authorizeRequests()

                    .anyRequest().hasRole("ADMIN");

        }

    }

 

    // 下面配置用來處理其它的URL

    @Configuration

    public static class OtherSecurityConfig

            extends WebSecurityConfigurerAdapter{

        @Override

        protected void configure(HttpSecurity http) throws Exception {

            http.authorizeRequests() // 開啓 HttpSecurity 配置

                .anyRequest().authenticated() // 用戶訪問其它URL都必須認證後訪問(登錄後訪問)

                .and().formLogin().loginProcessingUrl("/login").permitAll()//開啓表單登錄並配置登錄接口

                .and().csrf().disable(); // 關閉csrf

        }

    }

}

 

2,運行測試

(1)啓動項目,我們使用 root 用戶進行登錄,所以登錄後可以訪問除 /admin/* 外所有接口。

原文:SpringBoot - 安全管理框架Spring Security使用詳解8(配置多個HttpSecurity)

 

(2)而由於 /admin/hello 接口需要 ADMIN 角色,因此 root 用戶仍然無法訪問。

原文:SpringBoot - 安全管理框架Spring Security使用詳解8(配置多個HttpSecurity)

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

(二)java版spring boot 社交電子商務平臺-security簡單使用

security的簡單原理: 使用衆多的攔截器對url攔截,以此來管理權限。但是這麼多攔截器,不可能對其一一來講,主要講裏面核心流程的兩個。 首先,權限管理離不開登陸驗證的,所以登陸驗證攔截器AuthenticationProcessing

原創 2023-10-10 11:05:06

spring boot 2.2.2 中禁用 spring security

只要在 spring boot 中加入 spring security 就會自動啓用七安全機制,默認每次訪問接口都會進行驗證。但是由於某些原因,不想使用 spring security,可以選擇禁用 spring security

ChaseDreamBoy 2020-07-07 07:25:52

(二)基於數據庫的認證與授權

環境準備 controller @RestController @RequestMapping("/api/admin") public class AdminController { @GetMapping("/hel

西红柿鸡蛋打卤面 2020-07-05 23:15:39

(一)創建簡單的Spring security 項目

參考:陳木鑫老師的《Spring Security 實戰》 創建spring boot項目 通過Intellij IDEA創建Spring Boot項目的方式有許多種,其中最簡單的方式就是使用Spring Initializr 工

西红柿鸡蛋打卤面 2020-07-05 23:15:39

spring security報錯解決:IllegalArgumentException:There is no PasswordEncoder mapped for the id "null"

報錯信息:java.lang.IllegalArgumentException: There is no PasswordEncoder mapped for the id “null” 頁面毫無響應 後臺彙報錯誤:java.la

南风~~~ 2020-07-05 17:06:59

springboot 2.0 集成 Spring Security進行安全控制

添加依賴 <!-- spring security 權限框架依賴 --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-

瘦_猴 2020-07-05 08:08:47

無法對自定義的securityMetadataSource進行注入

在做spring security3的另一種配置方式,測試時,無法對自定義的securityMetadataSource進行注入想要使用的dao處理,後來調試發現注入進去時null,對於注入進來的是獲取不到的,利用構造可以解決, 解決方案

steryzone 2020-07-04 17:45:55

SpringSecurityOAuth開發app認證框架

令牌的表現形式就是一個字符串 文章目錄服務提供商的實現認證服務器demo pom 文件中引入app模塊依賴 使正常啓動實現認證服務器WhaleAuthenticationSecurityConfig授權碼模式的請求參數Use

神奇小白 2020-07-04 01:46:13

使用JWT替換默認令牌token

文章目錄JSON Web Token (JWT)自包含token的創建總結密籤可擴展替換默認tokenTokenStoreConfigWhaleAuthenticationServiceConfigOAuth2Properties

神奇小白 2020-07-04 01:46:13

Spring Boot集成Spring Security或Shiro實現用戶登錄認證和授權,thymeleaf與之整合。

一般來說,Web 應用的安全性包括用戶認證(Authentication)和用戶授權(Authorization)兩個部分。 用戶認證:指的是驗證某個用戶是否爲系統中的合法主體,也就是說用戶能否訪問該系統。(登錄) 用戶授權

Himit_ZH 2020-07-01 14:53:10

Spring Security源碼閱讀2-Spring Security過濾器鏈初始化1

Spring Security的核心實現是通過一條過濾器鏈來確定用戶的每一個請求應該得到什麼樣的反饋。 1. 使用@EnableWebSecurity註解開啓Spring Security 在使用Spring Security時首

liulijun-dev 2020-06-30 23:58:26

Spring Security源碼閱讀3-Spring Security過濾器鏈的初始化2

在Spring Security源碼閱讀2-Spring Security過濾器鏈的初始化1文章中,遺留了如下兩個問題: 在步驟(15)中,我們說HttpSecurity類中的performBuild函數返回了DefaultS

liulijun-dev 2020-06-30 23:58:26

看完這篇,SpringSecurity就算入門了

看完這篇,SpringSecurity就算入門了 1.SpringSecurity是什麼?能幹嘛? Spring Security 是一個安全框架,能夠爲 Spring企業應用系統提供聲明式的安全訪問控制。 主要用來做訪問權限管理

未来谁可知 2020-06-30 23:08:52

SpringCloud+Spring Security OAuth2 實現微服務統一認證授權

目前正在做了一個基於Spring Cloud的微服務項目,現在的好多項目都是基於APP移動端以及前後端分離的項目,之前基於Session的前後端放到一起的項目已經慢慢失寵並淡出我們視線,尤其是當基於SpringCloud的微服務

一个BUG搞一天。 2020-06-30 17:34:33

【spring系列】spring security入門

​ spring security作爲spring的親兒子,在進行web開發的時候,可以進行一個優雅的權限控制。筆者說來慚愧,工作n多年一直沒有機會深入研究此框架。如有不對的地方望大家指正。 spring boot引入 mave

叁滴水 2020-06-29 06:50:00