Java
Spring Security mendapat maklumat pengguna untuk pengguna yang disahkan dan tidak disahkan dalam perkhidmatan yang tinggal
Spring Security mendapat maklumat pengguna untuk pengguna yang disahkan dan tidak disahkan dalam perkhidmatan yang tinggal
Keselamatan adalah pertimbangan penting semasa membangunkan aplikasi web. Untuk melindungi data pengguna dan menghalang capaian yang tidak dibenarkan, kami perlu menggunakan mekanisme pengesahan dan kebenaran yang boleh dipercayai. Spring Security ialah rangka kerja keselamatan yang berkuasa dan digunakan secara meluas yang menyediakan set lengkap penyelesaian untuk melindungi aplikasi kami. Dalam artikel ini, kami akan meneroka cara mendapatkan maklumat pengguna untuk pengguna yang disahkan dan tidak disahkan dalam Spring Security. Editor PHP Baicao akan menunjukkan kepada anda cara menggunakan ciri Spring Security untuk mendapatkan maklumat pengguna dan berkongsi maklumat pengguna antara perkhidmatan yang berbeza. Sama ada anda seorang pemula atau pembangun berpengalaman, artikel ini akan memberikan anda maklumat terperinci tentang Spring Security dan membantu anda meningkatkan keselamatan aplikasi anda.
Kandungan soalan
Saya mempunyai perkhidmatan rehat musim bunga dan saya ingin menggunakannya untuk pengguna yang sah dan tidak sah. Jika pengguna disahkan, saya ingin mendapatkan maklumat pengguna daripada securitycontextholder.getcontext().getauthentication().
- Kalau saya guna
.antmatchers("/app/rest/question/useroperation/list/**").permitall()Dalam konfigurasi ouath2 seperti yang ditunjukkan di bawah, maka saya boleh mendapatkan maklumat pengguna Pengguna yang disahkan, tetapi pengguna yang tidak disahkan mendapat ralat 401. - Jika saya
.antmatchers("/app/rest/question/useroperation/list/**").permitall()dan abaikan url dalam websecurityweb.ignoring()..antmatchers("/app/rest/question/useroperation/list/**")Dalamsecurityconfigurationseperti di bawah, barulah semua pengguna boleh menghubungi perkhidmatan tetapi saya tidak boleh mendapatkan maklumat pengguna daripada konteks keselamatan.
Bagaimana cara saya mengkonfigurasi keselamatan musim bunga saya untuk memanggil url untuk pengguna yang disahkan dan tidak disahkan dan mendapatkan maklumat pengguna daripada konteks keselamatan apabila pengguna log masuk.
@configuration
@enableresourceserver
protected static class resourceserverconfiguration extends resourceserverconfigureradapter {
@inject
private http401unauthorizedentrypoint authenticationentrypoint;
@inject
private ajaxlogoutsuccesshandler ajaxlogoutsuccesshandler;
@override
public void configure(httpsecurity http) throws exception {
http
.exceptionhandling()
.authenticationentrypoint(authenticationentrypoint)
.and()
.logout()
.logouturl("/app/logout")
.logoutsuccesshandler(ajaxlogoutsuccesshandler)
.and()
.csrf()
.requirecsrfprotectionmatcher(new antpathrequestmatcher("/oauth/authorize"))
.disable()
.headers()
.frameoptions().disable()
.sessionmanagement()
.sessioncreationpolicy(sessioncreationpolicy.stateless)
.and()
.authorizerequests()
.antmatchers("/views/**").permitall()
.antmatchers("/app/rest/authenticate").permitall()
.antmatchers("/app/rest/register").permitall()
.antmatchers("/app/rest/question/useroperation/list/**").permitall()
.antmatchers("/app/rest/question/useroperation/comment/**").authenticated()
.antmatchers("/app/rest/question/useroperation/answer/**").authenticated()
.antmatchers("/app/rest/question/definition/**").hasanyauthority(authoritiesconstants.admin)
.antmatchers("/app/rest/logs/**").hasanyauthority(authoritiesconstants.admin)
.antmatchers("/app/**").authenticated()
.antmatchers("/websocket/tracker").hasauthority(authoritiesconstants.admin)
.antmatchers("/websocket/**").permitall()
.antmatchers("/metrics/**").hasauthority(authoritiesconstants.admin)
.antmatchers("/health/**").hasauthority(authoritiesconstants.admin)
.antmatchers("/trace/**").hasauthority(authoritiesconstants.admin)
.antmatchers("/dump/**").hasauthority(authoritiesconstants.admin)
.antmatchers("/shutdown/**").hasauthority(authoritiesconstants.admin)
.antmatchers("/beans/**").hasauthority(authoritiesconstants.admin)
.antmatchers("/info/**").hasauthority(authoritiesconstants.admin)
.antmatchers("/autoconfig/**").hasauthority(authoritiesconstants.admin)
.antmatchers("/env/**").hasauthority(authoritiesconstants.admin)
.antmatchers("/trace/**").hasauthority(authoritiesconstants.admin)
.antmatchers("/api-docs/**").hasauthority(authoritiesconstants.admin)
.antmatchers("/protected/**").authenticated();
}
}Konfigurasi keselamatan
@Configuration
@EnableWebSecurity
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
@Inject
private UserDetailsService userDetailsService;
@Bean
public PasswordEncoder passwordEncoder() {
return new StandardPasswordEncoder();
}
@Inject
public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
auth
.userDetailsService(userDetailsService)
.passwordEncoder(passwordEncoder());
}
@Override
public void configure(WebSecurity web) throws Exception {
web.ignoring()
.antMatchers("/bower_components/**")
.antMatchers("/fonts/**")
.antMatchers("/images/**")
.antMatchers("/scripts/**")
.antMatchers("/styles/**")
.antMatchers("/views/**")
.antMatchers("/i18n/**")
.antMatchers("/swagger-ui/**")
.antMatchers("/app/rest/register")
.antMatchers("/app/rest/activate")
.antMatchers("/app/rest/question/useroperation/list/**")
.antMatchers("/console/**");
}
@EnableGlobalMethodSecurity(prePostEnabled = true, jsr250Enabled = true)
private static class GlobalSecurityConfiguration extends GlobalMethodSecurityConfiguration {
@Override
protected MethodSecurityExpressionHandler createExpressionHandler() {
return new OAuth2MethodSecurityExpressionHandler();
}
}
}Penyelesaian
permitall() 仍然需要 authentication 对象出现在 securitycontext dalam.
Untuk pengguna bukan oauth, ini boleh dicapai dengan mendayakan akses tanpa nama:
@override
public void configure(httpsecurity http) throws exception {
http
//some configuration
.and()
.anonymous() //allow anonymous access
.and()
.authorizerequests()
.antmatchers("/views/**").permitall()
//other security settingsAkses tanpa nama akan menambah penapis tambahan: anonymousauthenticationfilter到填充anonymousauthenticationtoken作为身份验证信息的过滤器链,以防securitycontext中没有authentication objek
Saya mempunyai konfigurasi keselamatan ini untuk menyemak authuser melalui /public/authphpcnendcphp Cina:
@Override
protected void configure(HttpSecurity http) throws Exception {
http.cors().and().authorizeRequests()
.antMatchers("/api/skills/**", "/api/profile/**", "/api/info/**").authenticated()
.antMatchers("/api/**").hasAuthority(Role.ROLE_ADMIN.getAuthority())
.antMatchers("/public/auth").permitAll()
.and().httpBasic()
.and().sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
.and().csrf().disable();
}
@GetMapping(value = "/public/auth")
private ResponseEntity<User> getAuthUser(@AuthenticationPrincipal AuthUser authUser) {
return authUser == null ?
ResponseEntity.notFound().build() :
ResponseEntity.ok(authUser.getUser());
}Atas ialah kandungan terperinci Spring Security mendapat maklumat pengguna untuk pengguna yang disahkan dan tidak disahkan dalam perkhidmatan yang tinggal. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!
Alat AI Hot
Undresser.AI Undress
Apl berkuasa AI untuk mencipta foto bogel yang realistik
AI Clothes Remover
Alat AI dalam talian untuk mengeluarkan pakaian daripada foto.
Undress AI Tool
Gambar buka pakaian secara percuma
Clothoff.io
Penyingkiran pakaian AI
AI Hentai Generator
Menjana ai hentai secara percuma.
Artikel Panas
Alat panas
Notepad++7.3.1
Editor kod yang mudah digunakan dan percuma
SublimeText3 versi Cina
Versi Cina, sangat mudah digunakan
Hantar Studio 13.0.1
Persekitaran pembangunan bersepadu PHP yang berkuasa
Dreamweaver CS6
Alat pembangunan web visual
SublimeText3 versi Mac
Perisian penyuntingan kod peringkat Tuhan (SublimeText3)
Topik panas
1376
52
Spring Security 6: cors() ditamatkan dan ditandakan untuk dialih keluar
Feb 10, 2024 pm 11:45 PM
我有下面的代码:publicSecurityFilterChainsecurityFilterChain(HttpSecurityhttp)throwsException{returnhttp.httpBasic().disable().cors().and().csrf().disable().authorizeHttpRequests().requestMatchers("
Cara membangunkan sistem log masuk tunggal berasaskan SAML Spring Security menggunakan Java
Sep 22, 2023 am 08:49 AM
Cara menggunakan Java untuk membangunkan sistem log masuk tunggal berdasarkan SpringSecuritySAML Pengenalan: Dengan perkembangan pesat Internet, semakin banyak aplikasi dibangunkan. Dalam aplikasi ini, log masuk pengguna adalah salah satu ciri yang paling biasa. Walau bagaimanapun, untuk aplikasi peringkat perusahaan, pengguna perlu log masuk dalam berbilang sistem, yang akan membawa kepada pengalaman log masuk pengguna yang sangat lemah. Untuk menyelesaikan masalah ini, sistem log masuk tunggal (SingleSign-On, dirujuk sebagai SSO) telah wujud. ringkas
GO sahkan token akses (kunci kunci)
Feb 09, 2024 am 09:30 AM
Saya cuba melaksanakan pengesahan token akses menggunakan GO. Tetapi contoh yang saya lihat dalam talian nampaknya hanya menggunakan TOKEN_SECRET untuk mengesahkannya. Tetapi saya sudah biasa dengan pengaturcaraan dalam Javaspring dan tidak perlu menggunakan TOKEN_SECRET. Saya hanya menyediakan jwk-set-uri dan ia menyemak kesahihan (penapis keselamatan automatik dsb.) dan saya tahu ia bercakap dengan pelayan oauth dan melakukan pengesahan ini. Adakah tiada perpustakaan dalam Go untuk menyemak sama ada token itu sah dengan membuat permintaan kepada pelayan oauth? Saya tahu saya tahu saya boleh melakukan ini secara manual dengan membuat permintaan ke titik akhir info pengguna pelayan oauth: http://localh
Panduan penggunaan rangka kerja kawalan kebenaran Spring Security
Feb 18, 2024 pm 05:00 PM
Dalam sistem pengurusan bahagian belakang, kawalan kebenaran akses biasanya diperlukan untuk mengehadkan keupayaan pengguna yang berbeza untuk mengakses antara muka. Jika pengguna tidak mempunyai kebenaran khusus, dia tidak boleh mengakses antara muka tertentu. Artikel ini akan menggunakan projek waynboot-mall sebagai contoh untuk memperkenalkan cara memperkenalkan rangka kerja kawalan kebenaran SpringSecurity ke dalam sistem pengurusan back-end biasa. Garis besarnya adalah seperti berikut: alamat projek waynboot-mall: https://github.com/wayn111/waynboot-mall 1. Apakah SpringSecurity SpringSecurity ialah projek sumber terbuka berdasarkan rangka kerja Spring, bertujuan untuk menyediakan keselamatan yang berkuasa dan fleksibel untuk aplikasi Java.
Cara menggunakan Java untuk membangunkan sistem log masuk tunggal berdasarkan Spring Security OAuth2
Sep 20, 2023 pm 01:06 PM
Cara menggunakan Java untuk membangunkan sistem log masuk tunggal berdasarkan SpringSecurityOAuth2 Pengenalan: Dengan perkembangan pesat Internet, semakin banyak laman web dan aplikasi memerlukan pengguna untuk log masuk, tetapi pengguna tidak mahu mengingati setiap laman web atau aplikasi. Nombor akaun dan kata laluan. Sistem log masuk tunggal (SingleSign-On, dirujuk sebagai SSO) boleh menyelesaikan masalah ini, membenarkan pengguna mengakses berbilang tapak web dan aplikasi tanpa pengesahan berulang selepas log masuk sekali. Artikel ini akan memperkenalkan
Spring Security mendapat maklumat pengguna untuk pengguna yang disahkan dan tidak disahkan dalam perkhidmatan yang tinggal
Feb 08, 2024 pm 11:00 PM
Saya mempunyai perkhidmatan springrest dan saya mahu menggunakannya untuk kedua-dua pengguna yang disahkan dan tidak disahkan. Jika pengguna disahkan, saya ingin mendapatkan maklumat pengguna daripada securitycontextholder.getcontext().getauthentication(). Jika saya menggunakan .antmatchers("/app/rest/question/useroperation/list/**").permitall() dalam konfigurasi ouath2 seperti yang ditunjukkan di bawah, maka saya boleh mendapatkan maklumat pengguna pengguna yang disahkan, tetapi bukan Pengguna yang disahkan akan muncul 40
Buku masakan Java RESTful API: Membina perkhidmatan yang sempurna untuk setiap aplikasi
Mar 27, 2024 pm 12:11 PM
Pengenalan Dalam dunia yang saling berkaitan hari ini, API RESTful telah menjadi mekanisme utama untuk komunikasi antara aplikasi. Dengan Java, bahasa pengaturcaraan yang berkuasa, anda boleh membina API RESTful yang cekap, berskala dan diselenggara dengan baik. Bab 1: Prinsip Asas RESTfulAPI dan Amalan Terbaik Seni Bina RESTful Kaedah Http, kod status dan pengepala respons Format data seperti JSON dan XML Bab 2: Reka Bentuk dan Pemodelan RESTfulAPI RESTfulAPI Prinsip Reka Bentuk Pemodelan Sumber dan Kawalan Versi Reka Bentuk URI dan HATEOAS Bab 3: Menggunakan SpringBoot untuk membina pengenalan SpringBoot API RESTful dan mula membina dan
Bagaimanakah rangka kerja vue dan rangka kerja springboot berinteraksi dengan hujung hadapan dan belakang?
Apr 06, 2024 am 01:51 AM
Vue.js dan Spring Boot berinteraksi melalui: RESTful API: Vue.js menggunakan Axios untuk menghantar permintaan HTTP tak segerak dan Spring Boot menyediakan pelaksanaan API RESTful. Penghantaran data: Data dihantar melalui permintaan dan respons, seperti badan permintaan atau parameter pertanyaan. Kaedah permintaan: Kaedah permintaan HTTP seperti GET, POST, PUT dan DELETE digunakan untuk menentukan operasi. Penghalaan: Anotasi Spring Boot @RequestMapping mentakrifkan penghalaan pengawal dan Vue.js menggunakan Penghala Vue untuk mentakrifkan penghalaan antara muka. Pengurusan negeri: Vu