有没有可能让spring security列出一个webapp的每一个可用的URL,以及它是如何被保护的?
有可能让Spring Security列出一个Web应用的每一个可用的URL,并且展示它们是如何被保护的。Spring Security是一个强大的安全框架,用于保护Web应用程序的资源和URL。
要列出一个Web应用的每一个可用的URL,可以使用Spring Security提供的MvcRequestMatcher和AntPathRequestMatcher类。这些类可以用于匹配URL模式,并确定哪些URL需要进行安全保护。
以下是一个示例代码,展示如何使用Spring Security列出可用的URL和它们的保护方式:
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.web.util.matcher.AntPathRequestMatcher;
import org.springframework.security.web.util.matcher.MvcRequestMatcher;
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.antMatchers("/public/**").permitAll()
.antMatchers("/admin/**").hasRole("ADMIN")
.anyRequest().authenticated()
.and()
.formLogin()
.and()
.logout()
.logoutRequestMatcher(new AntPathRequestMatcher("/logout"))
.and()
.csrf().disable();
}
@Override
public void configure(WebSecurity web) throws Exception {
MvcRequestMatcher mvcMatcher = new MvcRequestMatcher(mvcHandlerMapping());
web.ignoring().requestMatchers(mvcMatcher);
}
private HandlerMapping mvcHandlerMapping() {
// 返回你的Spring MVC HandlerMapping实例
// 例如,如果你使用的是Spring Boot,则可以通过注入WebMvcEndpointHandlerMapping来获取
}
}在上述示例中,configure(HttpSecurity http)方法配置了URL的保护规则。例如,/public/**路径下的URL被允许所有人访问,而/admin/**路径下的URL需要具有"ADMIN"角色的用户才能访问。其他所有URL都需要进行身份验证。
configure(WebSecurity web)方法使用MvcRequestMatcher来忽略Spring Security对于Spring MVC的HandlerMapping的保护。这样可以确保Spring Security不会拦截和保护Spring MVC的URL。
请注意,上述示例中的代码片段是一个简化的示例,实际使用中可能需要根据具体的应用程序需求进行调整。
推荐的腾讯云相关产品:腾讯云云服务器(CVM)和腾讯云Web应用防火墙(WAF)。腾讯云云服务器提供可靠的云计算基础设施,用于部署和运行Web应用程序。腾讯云Web应用防火墙提供了一系列的安全防护功能,用于保护Web应用程序免受常见的网络攻击。
更多关于腾讯云云服务器的信息,请访问:腾讯云云服务器
更多关于腾讯云Web应用防火墙的信息,请访问:腾讯云Web应用防火墙
相关·内容
我正在为一个spring MVC应用程序添加安全性,该应用程序有大约100个不同的urls可供访问(例如: GET /users、GET /users/{userId}等)。我正在使用Spring security的方法安全表达式添加安全性:
@GetMapping(value = "/load-configurations", produces = "application我想知道的是,有没
浏览 6提问于2018-01-04得票数 0
回答已采纳
我正在使用Spring构建一个WebApp。它是由Spring Security保护的,也应该从Android应用程序访问。在web版本中,我使用的是一个基本的登录页面。为了从Android进行身份验证,我计划只向标准身份验证url /j_spring_security_check发送一个带有凭据的h
浏览 13提问于2013-06-07得票数 4
回答已采纳
我正在尝试使用Amazon Elastic Load Balancer (ELB)在服务器上运行我的spring安全性。ELB在端口80上配置为在端口8080上转发到我的应用程序,在端口443上也配置为转发到8080。<security:intercept-url pattern="/login.xhtml" access="IS_AUTHENTICATED_ANONYMOUSLY" requires-channelsecurity</em
浏览 1提问于2011-06-20得票数 6
回答已采纳
所以我们有一个应用程序,它有两个部分
前端使用microsoft-adal-angular6 6库来使用Azure Active我的问题是,保护后端的正确方法是什么,因此只有通过活动目录身份验证的用户才能访问API?
浏览 1提问于2020-01-23得票数 2
我很好奇“记住我”是如何工作的,以及它在Spring Security中是如何工作的?Spring Se
浏览 0提问于2010-06-30得票数 13
回答已采纳
我是Spring Security的新手,所以我可能错过了一些东西。我有一个Spring应用程序,它用一个我想用Spring Security保护的WebApplication启动一个Jetty。webapp正在运行且可访问,但不受限制。我尝试了很多东西,但都不起作用,所以我把它分解为最小的设置,但仍然没有机会。Security
浏览 1提问于2014-10-02得票数 0
1回答
Spring安全性-不访问数据库
、、、、
我正在使用spring引导,并且对spring安全性非常陌生,但是我希望我的web应用程序具有基本的安全性。我所做的是在我的pom.xml上添加所需的依赖项,并将这个java类添加到我的项目中:@EnableWebSecurity
public class SecurityConfig我正在按一些应该向我的MySql数据库发送信号的按钮,但是什么都没有发生。就像前端不再连接后端了一样。
浏览 1提问于2017-06-02得票数 0
回答已采纳
我有一个应用程序,我在其中使用了spring security和grails旋律。我计划在生产环境中运行grails melody,但不想让访问者访问它。我该如何做到这一点?我甚至不想让用户知道这样一个URL的存在,所以我想在过滤器中检查一下,如果"monitoring“是URL,我会显示404错误页面。这也是我不想用spring安全保护这个URL的原因,因为它会显示“访
浏览 0提问于2010-06-02得票数 4
1回答
我们希望开始迁移这些系统以支持单点登录机制,并可能允许我们的外部客户端使用自己的身份验证机制来验证其用户。例如,如果我们有一个拥有大量用户的客户端,并且他们希望用户只需要使用他们公司的登录信息进行登录,我们希望支持这一行为。我们已经研究了使用基于证书的身份验证系统(其中一种常见的是Kerberos),并使用该身份验证机制来允许在我们的系统中使用外部身份验证服务。
这可行吗?有没有我们需要了解的具体实现细节?我不关心具
浏览 2提问于2011-03-26得票数 4
回答已采纳
2回答
实际上,我刚刚开始在webapp中使用spring,并且我在spring安全性上翻了个跟头,它处理身份验证和会话。我的问题是它如何处理会话,以及如何创建自己的会话id引用以供spring安全性使用。我确实使用了spring安全,但在某种程度上,我觉得被它的过程蒙蔽了。另一件事是,我可以添加我自己的会话服务,如果它是可实现
浏览 0提问于2014-01-16得票数 0
回答已采纳
我正在迁移一个Spring3webapp到一个Spring4SpringBootwebapp。在Spring 3中,我使用了基于XML的Security配置,并定义了如下内容:<sec:http问题:如果我试图访问JS或CSS文件(不是受保护
浏览 0提问于2018-01-19得票数 0
1回答
我有一个受Security保护的Spring应用程序。生活似乎如此平静,直到我被迫做了一个静态的应用程序安全测试(SAST),并且这个工具抛出了许多安全问题。我有几个问题:
当像security这样的安全框架被集成在一起时,web应用程序如何容易受到这种攻击?我是否可以忽略所有这些漏洞,因为Security可能对所有这些漏洞都有某种解决办法?
浏览 3提问于2017-10-12得票数 12
回答已采纳
1回答
我正在尝试将vaadin 10与spring安全性集成(使用vaadin提供的spring项目库),我对它们如何准确地交互感到困惑。如果我转到受保护的url (在本例中是"/about"),直接在浏览器中输入它,就会显示登录页面。如果我通过单击UI中的链接转到同一个URL,即使我没有经过身份验证,页面也会显示出来。因此,我猜想Vaadin并没有通过Security<em
浏览 0提问于2018-10-29得票数 6
回答已采纳
2回答
我有一个完全由Weblogic容器保护的web应用程序。现在我必须列出当前登录的用户。为此,我必须使用Spring Security 2.0.4 <listener> <
浏览 0提问于2011-05-06得票数 4
回答已采纳
这是我第一次使用Spring Boot secured应用程序。我已经将spring-boot-starter-security添加到我的类路径中,并且我知道它会自动保护所有URL。但是在我的开发阶段,我还没有准备好这样做,所以我添加了一个允许所有URL的antMatcher。的完整版本。我还需要做些什么才能让Spring使用它呢?如何验证<em
浏览 7提问于2017-07-25得票数 0
3回答
让我的Java web应用在Heroku上运行时,我遇到了很多麻烦。这就是我所拥有的: <security-constraint>/j_spring_security_check</url-pattern>
浏览 2提问于2012-11-15得票数 2
我们使用Spring Security来管理身份验证。我们看到的问题是,当用户的会话在打开GET表单和点击执行POST的保存按钮之间超时时,他们会被发送到登录页面,但spring会在会话中保存原始的post信息。我们的应用程序不会在登录后将它们带回原始URL,而是将它们发送回一个通用的起始页。这可以很好地工作,但当用户碰巧返回到他们最初尝试发布的页面( form GET和POST是
浏览 0提问于2011-02-01得票数 7
回答已采纳
前端Spring被配置为领域中的客户端( App -ui),用户可以通过keycloak登录,令牌成功地传递了所有的东西。Security正在确保端点的安全,并且端点的角色受到尊重。现在,我正在尝试在混合应用程序中添加一个下游Spring (Web ),我希望它知道登录的用户,以便能够保护对它的调用。如何配置后端Spring应用程序以使用它从上游Sprin
浏览 4提问于2018-11-05得票数 6
回答已采纳
我正在用Spring和Tiles做一个新的webapp。到目前为止,我已经完成了登录,创建/编辑用户。现在我必须开始使用Rest控制器来使用json的第三个应用程序。我尝试使用spring <csrf disabled="true"/>中的XML,它可以工作,但是对于enthire应用程序,有没有一种方法可以按路径进行配置,或者唯一的方法是用Java写下来?void configur
浏览 15提问于2019-02-15得票数 0
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM活动推荐
腾讯云开发者
