最新版Spring Security 中的路徑匹配方案!

原創 原創 2024-04-22 12:14

@[toc] Spring Security 是一個功能強大且可高度定製的安全框架,它提供了一套完整的解決方案,用於保護基於 Spring 的應用程序。在 Spring Security 中,路徑匹配是權限控制的核心部分,它決定了哪些請求可以訪問特定的資源。本文將詳細介紹 Spring Security 中的路徑匹配策略,並提供相應的代碼示例。

在舊版的 Spring Security 中,路徑匹配方法有很多,但是新版 Spring Security 對這些方法進行了統一的封裝,都是調用 requestMatchers 方法進行處理:

public C requestMatchers(RequestMatcher... requestMatchers) {
	Assert.state(!this.anyRequestConfigured, "Can't configure requestMatchers after anyRequest");
	return chainRequestMatchers(Arrays.asList(requestMatchers));
}

requestMatchers 方法接收一個 RequestMatcher 類型的參數,RequestMatcher 是一個接口,這個接口是一個用來確定 HTTP 請求是否與給定的模式匹配的工具。這個接口提供了一種靈活的方式來定義請求的匹配規則,從而可以對不同的請求執行不同的安全策略。

所以在新版 Spring Security 中,不同的路徑匹配分方案實際上就是不同的 RequestMatcher 的實現類。

1. AntPathRequestMatcher

AntPathRequestMatcher 是 Spring 中最常用的請求匹配器之一,它使用 Ant 風格的路徑模式來匹配請求的 URI。

1.1 什麼是 Ant 風格的路徑模式

Ant 風格的路徑模式(Ant Path Matching)是一種用於資源定位的模式匹配規則,它源自 Apache Ant 這個 Java 構建工具。在 Ant 中,這種模式被用來指定文件系統中的文件和目錄。由於其簡單性和靈活性,Ant 風格的路徑模式也被其他許多框架和應用程序所採用,包括 Spring Security。

Ant 風格的路徑模式使用了一些特殊的字符來表示不同級別的路徑匹配:

  1. ?:匹配任何單個字符(除了路徑分隔符)。

  2. *:匹配任何字符的序列(除了路徑分隔符),但不包括空字符串。

  3. **:匹配任何字符的序列,包括空字符串。至少匹配一個字符的序列,並且可以跨越路徑分隔符。

  4. {}:表示一個通配符的選擇,可以匹配多個逗號分隔的模式。例如,{,春夏秋冬} 可以匹配任何以春夏秋冬開頭的字符串。

  5. []:在某些實現中,可以用於匹配括號內的單個字符。

  6. ():在某些實現中,可以用於分組匹配。

在 Spring Security 中,Ant 風格的路徑模式通常用於定義 URL 路徑和安全配置之間的映射關係。例如,你可以使用 Ant 風格的路徑模式來指定哪些 URL 路徑需要特定的權限或角色。

以下是一些 Ant 風格路徑模式的例子:

  • /users/*:匹配以 /users/ 開始的任何路徑,如 /users/123/users/profile

  • /users/**:匹配以 /users/ 開始的任何路徑,包括子路徑,如 /users/123/users/profile/picture.

  • /users/123:精確匹配 /users/123

  • /users/{id}:雖然這不是 Ant 風格的模式,但它展示了路徑參數匹配,可以匹配 /users/123/users/456 等。

  • /files/**.{jpg,png}:匹配 /files/ 下所有以 .jpg.png 結尾的文件路徑,如 /files/image1.jpg/files/folder/image.png

通過使用 Ant 風格的路徑模式,你可以靈活地定義複雜的 URL 匹配規則,以適應不同的安全需求。

1.2 基本用法

import org.springframework.security.web.util.matcher.AntPathRequestMatcher;

// 創建 AntPathRequestMatcher 實例
RequestMatcher antMatcher = new AntPathRequestMatcher("/users/**", "GET");

// 使用 matcher 進行匹配
boolean isMatch = antMatcher.matches(request);

1.3 通配符

  • ? 匹配任何單字符。
  • * 匹配任何字符序列(但不包括目錄分隔符)。
  • ** 匹配任何字符序列,包括目錄分隔符。
// 匹配 /admin 下的任何資源,包括子目錄
RequestMatcher adminMatcher = new AntPathRequestMatcher("/admin/**");

// 匹配 /files 目錄下的任何 HTML 文件
RequestMatcher fileMatcher = new AntPathRequestMatcher("/files/*.{html,htm}", "GET");

2. RegexRequestMatcher

RegexRequestMatcher 使用正則表達式來匹配請求的 URI 和 HTTP 方法。

2.1 基本用法

import org.springframework.security.web.util.matcher.RegexRequestMatcher;

// 創建 RegexRequestMatcher 實例
RequestMatcher regexMatcher = new RegexRequestMatcher("^/api/.*", "GET");

// 使用 matcher 進行匹配
boolean isMatch = regexMatcher.matches(request);

2.2 使用正則表達式

// 匹配任何以 /api 開頭的 URI
RequestMatcher apiMatcher = new RegexRequestMatcher("^/api/.*");

// 匹配任何 HTTP 方法
RequestMatcher anyMethodMatcher = new RegexRequestMatcher("^/.*", "GET|POST|PUT|DELETE");

2.3 結合 Spring Security

下面這段代碼,表示攔截所有以 html、css 以及 js 結尾的請求,這些請求可以直接訪問:

@Configuration
public class SecurityConfig {

    @Bean
    SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http.authorizeHttpRequests(a -> a.requestMatchers(new RegexRequestMatcher("^.*\\.(htm|css|js)$","GET")).permitAll())
                .formLogin(Customizer.withDefaults())
                .csrf(c -> c.disable());
        return http.build();
    }
}

3. RequestHeaderRequestMatcher

RequestHeaderRequestMatcher 用來匹配請求頭中的鍵和值。

import org.springframework.security.web.util.matcher.RequestHeaderRequestMatcher;

// 創建 RequestHeaderRequestMatcher 實例
RequestMatcher headerMatcher = new RequestHeaderRequestMatcher("User-Agent", "Mozilla.*");

// 使用 matcher 進行匹配
boolean isMatch = headerMatcher.matches(request);

具體到 Spring Security 中,用法如下:

@Configuration
public class SecurityConfig {

    @Bean
    SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http.authorizeHttpRequests(a -> a.requestMatchers(new RequestHeaderRequestMatcher("User-Agent","Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/123.0.0.0 Safari/537.36")).permitAll())
                .formLogin(Customizer.withDefaults())
                .csrf(c -> c.disable());
        return http.build();
    }
}

4. NegatedRequestMatcher

NegatedRequestMatcher 允許你否定一個已有的 RequestMatcher 的匹配結果。

import org.springframework.security.web.util.matcher.NegatedRequestMatcher;

// 創建一個 matcher,然後否定它的匹配結果
RequestMatcher notAdminMatcher = new NegatedRequestMatcher(adminMatcher);

// 使用 negated matcher 進行匹配
boolean isNotMatch = notAdminMatcher.matches(request);

例如下面這段代碼表示除了 /hello 之外的地址,全都可以直接訪問:

@Configuration
public class SecurityConfig {

    @Bean
    SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http.authorizeHttpRequests(a -> a.requestMatchers(new NegatedRequestMatcher(new AntPathRequestMatcher("/hello"))).permitAll())
                .formLogin(Customizer.withDefaults())
                .csrf(c -> c.disable());
        return http.build();
    }
}

5. AndRequestMatcher 和 OrRequestMatcher

AndRequestMatcherOrRequestMatcher 分別用來組合多個 RequestMatcher 實例,進行“與”或“或”的邏輯匹配。

5.1 AndRequestMatcher

import org.springframework.security.web.util.matcher.AndRequestMatcher;

// 組合多個 matcher 進行“與”匹配
RequestMatcher andMatcher = new AndRequestMatcher(apiMatcher, headerMatcher);

// 使用 andMatcher 進行匹配
boolean isMatch = andMatcher.matches(request);

5.2 OrRequestMatcher

import org.springframework.security.web.util.matcher.OrRequestMatcher;

// 組合多個 matcher 進行“或”匹配
RequestMatcher orMatcher = new OrRequestMatcher(adminMatcher, fileMatcher);

// 使用 orMatcher 進行匹配
boolean isMatch = orMatcher.matches(request);

6. 總結

Spring 提供了多種 RequestMatcher 實現類,以滿足不同的請求匹配需求。通過合理地使用這些匹配器,可以靈活地定義和實施安全策略。在實際應用中,你可能需要根據業務需求選擇合適的匹配器,並結合 Spring Security 的配置來實現細粒度的訪問控制。

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

Spring AI 搶先體驗,5 分鐘玩轉 Java AI 應用開發

作者:劉軍 Spring AI 是 Spring 官方社區項目,旨在簡化 Java AI 應用程序開發,讓 Java 開發者像使用 Spring 開發普通應用一樣開發 AI 應用。 Spring Cloud Alibaba AI 以 Spr

原創 2024-04-29 21:12:12

TiDB Vector 太香啦:以圖搜圖初體驗!

TiDB Serverless 上的向量化功能終於開始邀約體驗啦!本文是來自 TiDB 社區用戶對 TiDB Vector 功能初體驗的詳細分享,hey-hoho 介紹了他從申請體驗到實際操作的全過程,包括創建 TiDB Vector 實例

原創 2024-04-30 22:25:02

從原始邊列表到鄰接矩陣Python實現圖數據處理的完整指南

本文分享自華爲雲社區《從原始邊列表到鄰接矩陣Python實現圖數據處理的完整指南》,作者: 檸檬味擁抱。 在圖論和網絡分析中,圖是一種非常重要的數據結構,它由節點(或頂點)和連接這些節點的邊組成。在Python中,我們可以使用鄰接矩陣來表示

原創 2024-04-30 10:34:05

使用 @NoRepositoryBean 簡化數據庫訪問

在 Spring Data JPA 應用程序中管理跨多個存儲庫接口的數據庫訪問邏輯可能會變得乏味且容易出錯。開發人員經常發現自己爲常見查詢和方法重複代碼,從而導致維護挑戰和代碼冗餘。幸運的是,Spring Data JPA 爲這個問題提供了

原創 2024-04-27 21:36:42

解鎖HDC 2024之旅:從購票到報名,全程攻略

本文分享自華爲雲社區《解鎖HDC 2024之旅:從購票到報名,全程攻略》,作者:華爲雲社區精選。 Hi,代碼界的小夥伴們,集結號已經吹響了!華爲開發者大會(HDC 2024)——這場匯聚了HarmonyOS NEXT鴻蒙星河版、盤古大模型5

原創 2024-04-30 22:34:35

O2OA開發平臺前端源碼級二次開發(Vue3,React)

在使用O2OA進行項目定製化開發時,我們可以開發新的前端組件(x_component)以擴展O2OA來實現更多的業務。這種新增前端組件或者前端業務的開發通常會配合後端自定義應用實現的服務來完成系統內數據的交互。在當系統默認的界面不符合系統

原創 2024-04-30 22:26:12

通義靈碼實戰系列:一個新項目如何快速啓動,如何維護遺留系統代碼庫?

作者:別象 進入 2024 年,AI 熱度持續上升,翻閱科技區的文章,AI 可謂是軍書十二卷,卷卷有爺名。而麥肯錫最近的研究報告顯示,軟件工程是 AI 影響最大的領域之一,AI 已經成爲了軟件工程的必選項,也有研究稱開發者每天的事務性工作可

原創 2024-04-30 21:12:20

ArkTS開發原生鴻蒙HarmonyOS短視頻應用

HarmonyOS實戰課程“2024鴻蒙零基礎快速實戰-仿抖音App開發(ArkTS版)”已經於今日上線至慕課網(https://coding.imooc.com/class/843.html),有致力於鴻蒙生態開發的同學們可以關注一下。

原創 2024-04-29 23:07:45

Haskell 實現京東優惠券爬取的詳細步驟解析

在當今的電商行業中,優惠券活動是吸引用戶的一種重要方式。京東作爲中國領先的電商平臺之一,其優惠券活動頻繁且多樣,爲用戶提供了豐富的購物體驗。然而,想要及時獲取最新的京東優惠券信息並非易事,尤其是在優惠券數量龐大的情況下。爲了解決這一問題,

原創 2024-04-28 23:27:18

Java word通過html設置樣式(Spire Docx)

  Java  word通過html設置樣式(Spire Docx) <dependencies>   <!-- Apache POI dependency for Word --> <dependency>

原創 2024-04-26 23:42:09

Linux下製作Nginx綠色免安裝包

前言 linux下安裝nginx比較繁瑣,遇到內網部署環境更是麻煩,所以研究了下nginx綠色免安裝版的部署包製作,開箱即用,特此記錄分享,一下操作在centos8環境下安裝,如果需要其他內核系統的安裝(Debian/Ubuntu等),請在

原創 2024-04-29 21:38:23

鴻蒙 如何發佈靜態共享包?

一、首先要創建一個靜態共享包 next即可。 然後在src同級目錄下,創建三個文件: 新建README.md文件:在README.md文件中必須包含包的介紹和引用方式,還可以根據包的內容添加更詳細介紹。 新建CHANGELOG.md文件

原創 2024-04-26 22:34:20

Nacos 安全零信任實踐

作者:柳遵飛 Nacos 作爲配置中心經常存儲一些敏感信息,但是由於誤用導致安全風險,最常見的主要是以下兩個問題: 1)Nacos 暴露公網可以嗎?不可以,因爲 Nacos 定位是註冊配置中心,是內部系統,不應該暴露到公網使用。 2)不得已

原創 2024-04-26 21:12:11

drools 添加外部類

最近 使用drools7 開發業務,需要動態加載外部類,看到helper.setClassLoader方法,想着是設置自定義類加載器的,但是不起作用,後來看到一東西 KieFileSystemImpl, 對應的對象是helper.kfs,

原創 2024-04-29 22:14:16

雲原生週刊:K8s 中的服務和網絡 | 2024.4.29

開源項目推薦 k8s-image-swapper k8s-image-swapper 是 Kubernetes 的一個變更 Webhook,它將鏡像下載到自己的鏡像倉庫,並將鏡像指向該新位置。它是 docker pull-through p

原創 2024-04-30 10:48:10