个人中心
文章发布
退出
作者热门文章
- mongodb - 在 MongoDB mapreduce 中,如何展平值对象?
- javascript - 对象传播与 Object.assign
- html - 输入类型 ="submit"Vs 按钮标签它们可以互换吗?
- sql - 使用 MongoDB 而不是 MS SQL Server 的优缺点
25
4
我在内容管理系统上工作,它有五个 antMatchers,如下所示:
http.authorizeRequests()
.antMatchers("/", "/*.html").permitAll()
.antMatchers("/user/**").hasRole("USER")
.antMatchers("/admin/**").hasRole("ADMIN")
.antMatchers("/admin/login").permitAll()
.antMatchers("/user/login").permitAll()
.anyRequest().authenticated()
.and()
.csrf().disable();
假设访问者可以在根路径(/*)看到所有站点,并且用户只能看到(/user),admin只能看到(/admin),并且有两个登录页面一个供用户使用另一个用于管理员。
代码似乎工作正常,除了管理部分 - 它不起作用但返回访问被拒绝异常。
最佳答案
我认为问题出在您的规则的顺序上:
.antMatchers("/admin/**").hasRole("ADMIN")
.antMatchers("/admin/login").permitAll()
规则的顺序很重要,更具体的规则应该放在第一位。现在以 /admin 开头的所有内容都需要经过身份验证的具有 ADMIN 角色的用户,即使是 /admin/login 路径(因为 /admin/login 是已经被 /admin/** 规则匹配,因此第二条规则被忽略)。
因此,登录页面的规则应位于 /admin/** 规则之前。例如
.antMatchers("/admin/login").permitAll()
.antMatchers("/admin/**").hasRole("ADMIN")
关于spring - Spring 安全性中的多个 antMatchers,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/30819337/
25
4
0
这个问题已经有答案了: When to use Spring Security`s antMatcher()? (2 个回答) 已关闭 3 年前。 我正在学习 Spring Security,我从 h
只是想看看我是否在解释 answer to this question正确的方法。 如果我们只需要像这样保护一条路径: http.antMatcher("/api/**").authorizeRequ
我有两种配置: @订单(1) @Override protected void configure(HttpSecurity http) throws Exception { http.ant
我有将用于身份验证的 REST 服务。身份验证端点将类似于 /api/v.1/authentication . API 版本是一个可以更改以反射(reflect)更新版本的变量。一个例子是 /api/
我有一个我想提供给 antMatchers() 的路径列表.但是由于这个列表是动态的,我不能提供逗号分隔的路径。我目前正在遍历列表并将 eachPath 添加到 antMatcher() .有没有更好
我有我的自定义 Controller "/my-endpoint" 和具有以下配置的 spring 应用程序: @Override public void configure(Http
我正在学习spring-boot,对于我的大脑来说,为了接受一些东西,它需要对这些东西找到一个有意义的解释。有人能告诉我“antMatchers”中的“ant”是什么意思吗?像“ Ant ”这样的昆虫
我有一个基本的 Spring 应用程序,它具有各种端点和一个登录页面,通过配置 WebSecurityConfigurerAdapter 的 HttpSecurity 来定义。 我有一个服务,可以查找
我有以下 spring 安全配置片段: http .authorizeRequests() .antMatchers("/tokens").hasIpAddress("10.0.0.0/1
我有以下可用的 spring security java config rule(3.2.4 版): http.antMatcher("/lti1p/**") .addFilterBefore
我在内容管理系统上工作,它有五个 antMatchers,如下所示: http.authorizeRequests() .antMatchers("/", "/*.html").per
我知道有这个问题的主题,但我所做的配置是正确的,我将它与它正常工作的项目进行了比较。我想“解除”JWT 安全性的/login 端点,但 AuthenticationFilter 仍然在到达/login
这是我配置 spring security 的方式,在 Controller 中我获得 ROLE_ANONYMOUS 作为权限。看起来安全性并没有拦截请求并检查 JWT。如何配置antmatcher.
编辑: 我进一步深入研究了问题,发现即使使用单一配置,问题仍然存在。如果我使用单一配置并保留 http.antMatcher("/api/test/**") 网址不安全。删除 antMatcher 和
我想在 .antmatchers.access(): 中使用 AuthoritiesConstants.java 中的一些常量: .antMatchers("/first/**").access("h
编辑: 我进一步深入研究了问题,发现即使使用单一配置,问题仍然存在。如果我使用单一配置并保留 http.antMatcher("/api/test/**") 网址不安全。删除 antMatcher 和
我定义了一个自定义过滤器,我在 BasicAutenticationFilter 之后添加... 问题是,当我 ping 我的微服务时(在这种情况下通过 Rancher 的健康检查)它总是进入过滤器,
我试图忽略身份验证中的 url 我尝试了多种不同的模式,但 java 似乎无法识别它们。我的配置如下所示: @Override public void configure(WebSecurit
Spring security oauth 实现中有一个常见的做法是使用以下行来保护 oauth 端点: .requestMatchers().antMatchers("/login", "/oaut
我使用正确的凭据登录为“CHILD”,因此它与“USER”角色不同。当我将带有 token 的 get 请求发送到 http://localhost:8081/iam/accounts/users 时
我是一名优秀的程序员,十分优秀!