如何利用自定义注解放行 Spring Security 项目的接口

最新推荐文章于 2025-06-25 15:21:41 发布
原创 最新推荐文章于 2025-06-25 15:21:41 发布 · 566 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #数据结构 #开发语言 #spring #算法

本文介绍如何在Spring Security项目中通过自定义注解实现接口的匿名访问。文章详细阐述了Spring Security的两种放行策略,并展示了创建自定义注解和配置类的步骤,强调注解只能用于标记在@RestController注解的方法上。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在实际项目中使用到了springsecurity作为安全框架,我们会遇到需要放行一些接口,使其能匿名访问的业务需求。 但是每当需要当需要放行时,都需要在security的配置类中进行修改,感觉非常的不优雅。

例如这样:

图片

所以想通过自定义一个注解,来进行接口匿名访问。在实现需求前,我们先了解一下security的两种方行思路。

第一种就是在 configure(WebSecurity web) 方法中配置放行,像下面这样:

@Override
public void configure(WebSecurity web) throws Exception {
    web.ignoring().antMatchers("/css/**", "/js/**", "/index.html", "/img/**", "/fonts/**", "/favicon.ico", "/verifyCode");
}

第二种方式是在 configure(HttpSecurity http) 方法中进行配置:

@Override
protected void configure(HttpSecurity httpSecurity) throws Exception
{
 httpSecurity
    .authorizeRequests()
          .antMatchers("/hello").permitAll()
          .anyRequest().authenticated()
}

两种方式最大的区别在于,第一种方式是不走 Spring Security 过滤器链,而第二种方式走 Spring Security 过滤器链,在过滤器链中,给请求放行。如果您正在学习Spring Boot,那么推荐一个连载多年还在继续更新的免费教程:http://blog.didispace.com/spring-boot-learning-2x/

在我们使用 Spring Security 的时候,有的资源可以使用第一种方式额外放行,不需要验证,例如前端页面的静态资源,就可以按照第一种方式配置放行。

有的资源放行,则必须使用第二种方式,例如登录接口。大家知道,登录接口也是必须要暴露出来的,不需要登录就能访问到的,但是我们却不能将登录接口用第一种方式暴露出来,登录请求必须要走 Spring Security 过滤器链,因为在这个过程中,还有其他事情要做,具体的登录流程想了解的可以自行百度。

了解完了security的两种放行策略后,我们开始实现

首先创建一个自定义注解

@Target({ElementType.METHOD}) //注解放置的目标位置,METHOD是可注解在方法级别上
@Retention(RetentionPolicy.RUNTIME) //注解在哪个阶段执行
@Documented //生成文档
public @interface IgnoreAuth {
}

这里说明一下, @Target({ElementType.METHOD}) 我的实现方式,注解只能标记在带有 @RequestMapping 注解的方法上。具体为什么下面的实现方式看完就懂了。

接下来创建一个security的配置类SecurityConfig并继承 WebSecurityConfigurerAdapter

@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter
{

    @Autowired
    private RequestMappingHandlerMapping requestMappingHandlerMapping;

    /**
     * @ description: 使用这种方式放行的接口,不走 Spring Security 过滤器链,
     *                无法通过 SecurityContextHolder 获取到登录用户信息的,
     *                因为它一开始没经
最低0.47元/天 解锁文章

200万优质内容无限畅学
SpringSecurity6 | 自定义认证规则
分享思想,留下痕迹。
12-09 1351
大家好,我是Leo哥🫣🫣🫣,接到上一节,我们学习了如何修改SpringSecurity默认用户,使用我们自己的自定义的用户名和密码来进行认证登录。但是有时候我们的开发者可能并不是所有的接口都需要进行拦截,就比如,登录,注册接口等这些是不是要进行拦截的,那么如何修改并自定义这些规则。没错这就是我们本节的重点。好了,话不多说让我们开始吧😎😎😎。在SpringSecurity6中,我们原本在原来SpringSecurity实现的方法已经被抛弃,已经完全不能用了。
10、SpringSecurity自定义认证配置
weixin_44478828的博客
01-27 1132
经过上一小结配置,我们发现用户认证通过后,资源是都可被访问的。如果我们想为不同的用户指定不同的访问资源,该如何实现呢?接下来,我们通过配置为不同用户访问授权。@Bean@Override@Overridehttp.formLogin()//开启默认form表单登录方式.and().logout()//登出用默认的路径登出 /logout.permitAll()//允许所有的用户访问登录或者登出的路径.and()
Spring Security 源码
12-07
Spring Security 安全权限管理源码
如何利用自定义注解放行springsecurity项目接口
weixin_45089791的博客
07-19 2611
如何利用自定义注解放行springsecurity 在实际项目中使用到了springsecurity作为安全框架,我们会遇到需要放行一些接口,使其能匿名访问的业务需求。但是每当需要当需要放行时,都需要在security的配置类中进行修改,感觉非常的不优雅。 例如这样: 所以想通过自定义一个注解,来进行接口匿名访问。在实现需求前,我们先了解一下security的两种方行思路。 第一种就是在 configure(WebSecurity web) 方法中配置放行,像下面这样: @Override pub
Spring Security自定义注解和基于aop的注解鉴权实现的登录认证权限)
最新发布
weixin_52952621的博客
06-25 397
关于登录认证的权限编写流程,首先自定义需要使用的注解@RequiresPermissions ,@RequiresRoles,然后使用Spring AOP实现来进行注解鉴权,最后在注解鉴权的过程中获取登录用户的缓存信息的token来进行判断用户是否登录。如果判断用户登录成功后进行权限的认证,同样的在其过程中通过获取登录用户的权限列表与注解元数据进行对比是否存在权限。@Aspect@Component//定义AOP签名@Pointcut("@annotation("注解文件路径")")//注解鉴权。
security放行 spirng_你可别用错了,这两种Spring Security资源放行策略
weixin_39862871的博客
12-20 767
原标题:你可别用错了,这两种Spring Security资源放行策略Spring Security 中,到底该怎么样给资源额外放行?1.两种思路在 Spring Security 中,有一个资源,如果你希望用户不用登录就能访问,那么一般来说,你有两种配置策略:第一种就是在 configure(WebSecurity web) 方法中配置放行,像下面这样:@Overridepublic void ...
如何让 Spring Security 放行所有接口
jakelihua
09-02 2355
首先,我们需要创建一个自定义的安全配置类,用于配置 Spring Security 的行为。在该类中,我们可以覆盖默认的安全配置,并进行自定义的配置。@Override在上面的代码中,我们使用方法来配置所有的接口都可以被放行,即不需要进行任何安全验证。
SpringBoot security 安全认证(三)——自定义注解实现接口放行配置
朗朗的博客
02-02 1666
通过Security实现了安全管理,可以配置哪些接口可以无token直接访问。但一个麻烦就是每增加一个匿名访问接口时都要去修改SecurityConfig配置,从程序设计上讲是不太让人接受的。:即是解决以上问题,增加一个匿名访问接口,但不要去修改SecurityConfig配置。在需要匿名的接口上添加注解,系统启动时扫描带注解接口SecurityConfig配置时,读取这些接口,即可完成自动配置匿名访问了。
浅谈Spring Security 对于静态资源的拦截与放行
08-25
在本文中,我们将深入探讨如何处理Spring Security对于静态资源(如CSS、JavaScript和图片)的拦截与放行。 在初始创建的Spring Boot项目中,通常会使用模板引擎(如Thymeleaf)来构建动态网页。Spring Security...
自定义注解加 AOP 实现服务接口鉴权以及内部认证
qq_64948664的博客
10-01 1895
1.定义注解:使用@interface关键字定义注解。2.注解元素:在注解中定义元素,就像在接口中定义方法。3.注解:使用元注解(如@Retention、@Target等)来描述注解的行为。1. 定义注解可以使用@interface关键字来定义一个注解。在上面的例子中, MyAnnotation 注解有两个元素: value 和 number。其中, number 有一个默认值 0。2.注解注解注解注解,用来描述注解本身的行为。
Spring Security放行特定端口的请求
Jaccccck的博客
07-03 520
实现:springboot多开一个端口专门用于服务间调用 Spring Security不拦截这个端口的请求。需求:微服务系统中,某个模块同时被内网和外网访问 外网访问需要拦截进行身份验证 内网服务间的访问不需拦截。2 spring security配置文件对端口进行设置。这时重新启动项目 通过不同端口访问同一个接口 查看效果。启动服务插看日志能看到下面的即为正确。1 tomcat多开一个端口。
spring security http接口鉴权使用示范项目
03-01
spring security http接口鉴权使用示范项目
Spring Security API(Spring Security 开发文档).CHM
08-31
Spring Security。 官网 Spring Security API(Spring Security 开发文档).CHM
Spring Security实现不同接口安全策略方法详解
09-07
主要介绍了Spring Security实现不同接口安全策略方法详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
SpringSecurity自定义注解放行,以及在微服务架构中使用
qq_57587177的博客
10-15 1245
SpringSecurity自定义注解放行,以及在微服务架构中使用
(六)SpringCloud+Security+Oauth2--自定义注解实现接口权限放行
Instanceztt的博客
12-06 2872
在前面的配置中我们在查询用户相关的接口时,由于还没有获得token,就通过permitAll()对/user相关的接口全部放行,那么我们在日常开发中会设计到有些接口不需要token也能访问,比如我们在引入swagger后有些接口就不需要相应的token这时候我们可以在配置中增加相应配置放开权限,这种针对的是比较固定的一些,那么如何自定义在自己接口中随便去加接口权限放行呢实现思路 由此没有token接口也能正常访问了
Spring Security 两种资源放行策略,千万别用错了!
2401_84010762的博客
04-18 819
文章中涉及到的知识点我都已经整理成了资料,录制了视频供大家下载学习,诚意满满,希望可以帮助在这个行业发展的朋友,在论坛博客等地方少花些时间找资料,把有限的时间,真正花在学习上,所以我把这些资料,分享出来。相信对于已经工作和遇到技术瓶颈的朋友们,在这份资料中一定都有你需要的内容。《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!些时间找资料,把有限的时间,真正花在学习上,所以我把这些资料,分享出来。
spring boot+security (二) - 对外接口(匿名接触)放行处理
sinat_15872851的博客
12-12 1937
spring security - 对外接口(匿名接触)放行处理
# spring-security(一)
m0_74795259的博客
12-09 3560
是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在 Spring 应用上下文中配置的 Bean,充分利用Spring IoC(Inversion of Control 控制反转),DI(Dependency Injection 依赖注入)和 AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。对身份验证和授权的全面且可扩展的支持防御会话固定、点击劫持,跨站请求伪造等攻击。
spring security6自定义放行
11-02
如果你想在Spring Security自定义放行特定请求,你可以通过创建`WebSecurityConfigurerAdapter`的子类,并覆盖其中的几个关键方法来实现。 1. **配置过滤器**: 在`configure(HttpSecurity http)`方法中,可以使用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值