当前位置:首页 > 技术 > 正文内容

Spring Security配置免验证访问策略

访客 技术 2026年7月16日 6

针对特定资源无需身份验证的情况,可通过两种方式实现访问控制:

  1. 通过HttpSecurity定义路径权限规则
  2. 利用WebSecurityCustomizer跳过安全过滤器

一、HttpSecurity权限配置

Spring Security通过以下方法管理访问控制:

  • authenticated():仅限已认证用户访问
  • anonymous():仅限匿名用户访问
  • permitAll():允许所有用户访问

示例场景需求:

  • /api/secure/** 需要登录访问
  • /api/public/products 公开访问
  • /api/public/register 仅限未登录用户
  • 其他路径默认公开

创建测试接口:

import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
public class StoreController {
    @GetMapping("/api/secure/cart")
    public String getCart() {
        return "Cart Data";
    }

    @GetMapping("/api/public/products")
    public String getProducts() {
        return "Product List";
    }

    @GetMapping("/api/public/register")
    public String userRegister() {
        return "Registration Form";
    }
    
    @GetMapping("/api/test")
    public String testEndpoint() {
        return "Test Access";
    }
    
}

配置安全规则:

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.provisioning.InMemoryUserDetailsManager;
import org.springframework.security.web.SecurityFilterChain;

@Configuration
public class SecurityConfig{
    
    @Bean
    public UserDetailsService userAccountManager() {
        InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();
        manager.createUser(User.withDefaultPasswordEncoder().username("admin").password("pass123").roles("ADMIN").build());
        manager.createUser(User.withDefaultPasswordEncoder().username("user").password("user123").roles("USER").build());
        return manager;
    }   
    
    @Bean
    public SecurityFilterChain securityChain(HttpSecurity http) throws Exception {
        http
          .authorizeRequests()
          .antMatchers("/api/secure/**").authenticated()
          .antMatchers("/api/public/products").permitAll()
          .antMatchers("/api/public/register").anonymous()
          .anyRequest().permitAll()
        .and()
          .formLogin()
        .and()
           .httpBasic();

        return http.build();
    }
}

测试验证: 未登录状态访问:

  • /api/test 返回200
  • /api/public/products 返回200
  • /api/public/register 返回200
  • /api/secure/cart 重定向到登录页

登录后访问:

  • /api/public/register 返回403
  • /api/secure/cart 正常访问

二、WebSecurityCustomizer免验证配置

该方式通过直接排除路径规避安全过滤器链,适用于全局公开路径:

需求场景:

  • /api/public/** 无需验证
  • 其他路径需要认证

配置示例:

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.configuration.WebSecurityCustomizer;

@Configuration
public class SecurityConfig{

    @Bean
    public WebSecurityCustomizer ignoreSecurity() {
        return (web) -> web
          .ignoring()
          .antMatchers("/api/public/*");
    }
}

测试验证: 未登录状态访问:

  • /api/test 重定向登录
  • /api/public/products 返回200
  • /api/secure/cart 重定向登录

登录后访问:

  • /api/public/register 返回200
  • /api/secure/cart 正常访问

相关文章

Linux crontab 详解

1) crontab 是什么cron 是 Linux 的定时任务守护进程;crontab 是用来编辑/查看“按时间周期执行命令”的表(cron table)。常见两类:用户 crontab:每个用户一份(crontab -e 编辑)系统级 crontab / cron.d:可指定执行用户(/etc/crontab、/etc/cron.d/*)2) crontab 时间...

富文本里可以允许的 HTML 属性

一、所有标签默认允许的安全属性(极少)class        (可选)id           (通常建议禁用)title️ 注意:id 容易被滥用做锚点注入,很多系统直接禁用class 允许的话最好只允许固定前缀(如 editor-*)二、a 标签允许属性<a href="" t...

Mac 安装 Node.js 指南

方法一:通过官网安装包(最简单,适合初学者)如果你只是想快速安装并开始使用,这是最直接的方法。访问 Node.js 官网。页面会显示两个版本:LTS (Recommended For Most Users):长期支持版,最稳定。建议选这个。Current:最新特性版,包含最新功能但可能不够稳定。下载 .pkg 安装包并运行。按照安装向导点击“下一步”即可完成。方法二:使用 Homebrew 安装(...

Dom\HTML_NO_DEFAULT_NS 的副作用:自动加闭合标签

在使用Dom\HTMLDocument时,Dom\HTML_NO_DEFAULT_NS 将禁止在解析过程中设置元素的命名空间, 此设置是为了与DOMDocument向后兼容而存在的。当使用它时,已知的一个副作用就是:自动加闭合标签例如 </img> 为什么会这样?当你使用:Dom\HTML_NO_DEFAULT_NS文档会变成 无命名空间模式,此时内部更接近 XML...

Laravel 事件和监听器创建

在 Laravel 中,使用 Artisan 命令创建 Events(事件) 和 Listeners(监听器) 是非常高效的。你可以通过以下几种方式来实现:1. 手动创建单个 Event如果你只想创建一个事件类,可以使用 make:event 命令:Bashphp artisan make:event UserRegistered执行后,文件将生成在 app/Even...

自定义域名解析神器 dnsmasq

什么是 dnsmasq?dnsmasq 是一个轻量级、功能强大的网络服务工具,专为小型和中等规模网络设计。它是一个综合的网络基础设施解决方案[1]。dnsmasq 能做什么?功能说明应用场景DNS 转发与缓存将 DNS 查询转发到上游服务器(ISP、Google DNS 等),并在本地缓存结果加快 DNS 查询速度,减少外部 DNS 流量本地 DNS解析本地网络设备的主机名,无需编辑&n...

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。