Spring Security不对API请求执行任何角色/授权检查
Spring Security是一个基于Spring框架的安全性解决方案,用于保护应用程序的安全性和控制访问权限。它提供了一套强大的安全性特性,包括身份验证、授权、密码加密、会话管理等。
对于API请求的角色/授权检查,Spring Security默认情况下不会执行任何角色或授权检查。这意味着所有的API请求都可以被访问,而不需要进行任何身份验证或授权。
然而,Spring Security提供了一系列的配置选项和注解,可以轻松地实现API请求的角色/授权检查。以下是一些常用的配置选项和注解:
- 配置选项:
- 使用
antMatchers方法配置URL路径的访问规则,可以指定需要的角色或权限。 - 使用
hasRole方法配置角色访问规则,只有具有指定角色的用户才能访问。 - 使用
hasAuthority方法配置权限访问规则,只有具有指定权限的用户才能访问。 - 使用
@PreAuthorize注解在方法级别进行访问控制。
- 使用
- 注解:
@Secured注解用于在方法级别进行角色访问控制。@PreAuthorize注解用于在方法级别进行角色和权限访问控制。@PostAuthorize注解用于在方法级别进行后置角色和权限访问控制。
Spring Security的角色/授权检查功能可以帮助开发人员实现细粒度的访问控制,确保只有经过身份验证和授权的用户才能访问受保护的API资源。
腾讯云提供了一系列与安全相关的产品和服务,可以与Spring Security结合使用,以增强应用程序的安全性。例如,腾讯云的Web应用防火墙(WAF)可以提供Web应用程序的安全防护,腾讯云的访问管理(CAM)可以实现身份验证和访问控制,腾讯云的云安全中心可以提供全面的安全监控和威胁情报等。
更多关于腾讯云安全产品和服务的信息,请访问腾讯云官方网站:腾讯云安全产品。
相关·内容
我写了下面的spring安全过滤器,它在很大程度上按预期工作,但它不会检查用户可能拥有或可能没有的任何角色/授权: http return request.getRequestURL().toString().contains("api-docsand()
浏览 10提问于2020-03-27得票数 0
2回答
基于角色的授权REST API
、、、、
我正在为OMS(订单管理系统)构建一个REST API (使用Jersey作为rest,使用Spring作为DI和AOP,JDBC模板),其中具有不同角色的几个用户将可以访问它包含的资源。为了简单起见,我们有三个角色:客户、经理、管理员那么我可以在这里做什么:1.为每个角色创建单独的API。2.为所有角色创建一个API
浏览 17提问于2016-08-04得票数 1
sessionCreationPolicy(SessionCreationPolicy.STATELESS).and() .antMatchers("/api/test/**").permitAll()
.anyRequest()UsernamePasswordAuth
浏览 7提问于2022-07-18得票数 0
3回答
我需要在spring引导中实现基于角色的授权。我有不同的角色,多个用户将映射到每个角色。每当调用api时,我将设置不同的访问(读取、添加、删除、编辑),需要检查访问权限和允许权限。我计划使用拦截器调用方法,让查询从DB获得访问权,并拒绝或访问api。还有其他更好的方法可以用来做同样的事情吗?
浏览 9提问于2021-05-12得票数 0
1回答
我有关于授权和春季安全的问题。为了在我的服务中实现授权检查(在面向服务的体系结构环境下),我试图看看是否可以使用Security。在阅读Security文档时,我看到在内部使用Spring的AOP。
Ref:您可以选择使用AspectJ或Spring执行方法授权,也可以选择使用过滤器执行web请求授权。主流的使用模式是执行某些web请求
浏览 2提问于2014-02-11得票数 2
回答已采纳
用Spring安全实现这个非常简单..。在授权步骤中,应用程序询问用户是否愿意为他们授予阅读和/或撰写帖子的权利。这里的用户在这里授予作用域(而不是角色)。
然后,当OAuth2使用者调用我的REST时,Spring授权所授予的令牌,并创建一个身份验证,其中包含用户的所有角色,并且只包含授予的作用域。问题(以及问题)是,我现在必须编写不同的安全逻辑,这取决于API是由通常经过身
浏览 6提问于2014-03-14得票数 23
回答已采纳
1回答
我面临一个困难,我只需要将请求的范围限制在特定用户的数据上。有了一个API,以前经过身份验证的用户可以检索数据列表,我首先需要验证请求者是否拥有所请求的数据。使用以前经过身份验证的用户调用/api/elements/{elementId}时,如果执行请求的用户是其所有者,则只应返回带有提供的elementId 的元素;如果执行请求的用户具有ADMIN角色(或任何其他授予
浏览 0提问于2019-09-25得票数 2
回答已采纳
我有一个spring引导应用程序,其中有几个REST。现在我想对所有的请求做一个授权检查。这涉及到使用x509客户端证书的每个请求,然后是一些用于授权目的的业务逻辑,类似于角色检查。执行此操作的最佳位置是什么,即此检查是否应该在DispatcherServlet - doDispatch方法中完成?在Controller中对每个请求执行相同的检查没有多大意义。有人
浏览 5提问于2018-03-02得票数 0
我只需要了解Spring Security配置中的一些内容。使用下面的例子...authorizeRequests().antMatchers("/**", "/resources/**").permitAll();,它的工作方式不应该是一样的吗,即允许所有请求在没有任何身份验证的情况下访问
浏览 5提问于2019-05-31得票数 51
回答已采纳
登录到门户后,将有一个链接,用户将从该链接重定向到我们在JBOSS上托管的应用程序(spring mvc)。现在我们拥有的信息是,用户角色和组信息将在我们的容器中可用,我们必须进行JAAS api调用来检索用户角色和组信息,spring security将进一步使用它们来进行授权。我可以想象,这将是一个spring预身份验证场景,其中用户将已经通过身份验证(SSO),对于授权,我们需要检索他的角色和组信息。请您帮助我
浏览 3提问于2016-01-16得票数 0
1回答
我们计划将细粒度授权添加到现有的RESTful API中,并使用Apache CXF实现。有几个角色,每个角色都有几十个权限。我们需要做的是将权限映射到我们的端点/操作,并决定给定的权限集是否能够在此资源上执行此操作。身份验证和目前非常简单的访问控制都是由Spring Security完成的。我只是想知道是否有任何框架/库对此有帮助。如有任何建议/提示/线索,我们将不胜感激
浏览 1提问于2015-01-07得票数 0
我正在致力于保护REST API,这是我正在使用的基本设置(Happy Path):我相信这是可能的,但我过去使用Spring Security的经验不仅仅
浏览 0提问于2018-02-02得票数 0
我正在Spring Security中实现JWT身份验证。我有预定义的角色,例如。我只是好奇如何仅基于传入请求中包含的角色(在其授权头令牌中)实现Spring Security的授权。我希望在请求被适当路由之后,能够访问控制器中的用户标识符。仅仅基于检查过期时间和角色有效性的令牌验证就足够了吗?
浏览 2提问于2018-05-29得票数 3
1回答
我有以下要求:
在阅读了许多关于不同oauth授予类型的文章之后,我了解到但是我有Security依赖项,默认情况下它会检查<
浏览 2提问于2020-09-30得票数 0
回答已采纳
3回答
我正在设置一个Keycloak实例,以便使用包含spring安全性的spring引导应用程序。我用邮递员来测试服务。我从获得新的访问令牌开始,这很好。当我对受保护的端点执行HTTP调用时--一切正常,人员就会返回。但是,当我对受保护的端点执行HTTP /PUT/DELETE调用时,Keycloak说错误403是禁止的。--- [io-1080-exec-10] o.k.adapters.PreAuthActionsHandler : adminRequest http://
浏览 0提问于2019-04-01得票数 7
回答已采纳
4回答
我有一个spring-boot应用程序,它有4个微服务、eureka服务器和一个集中的API网关。JWT令牌是在用户登录后由我的一个微服务(users微服务)生成的,该令牌包含用户Id及其角色/权限。我尝试过使用@PreAuthorize,但它不能在网关之外工作(显然,为了让它工作,我必须在我的微服务的SecurityContextHolder中设置一个Spring
浏览 3提问于2020-01-17得票数 7
我在我的项目中使用了Spring安全核心& Spring安全UI。我有一个要求,我需要创建2种不同类型的用户:卖家和买家。当用户转到主页时,他可以选择他想要创建的帐户类型,无论是买方还是卖方。我要做的就是让它与spring安全UI插件一起工作。我是否必须为不同类型的用户创建不同的注册页面。然后是如何在注册时分配角色。
我在张贴这个问题之前检查了各种问题,但找不到正确的答案。
浏览 3提问于2014-03-10得票数 0
目前,我们在许多应用程序中使用<security-role>和<security-constraint>在web.xml中进行基于角色的身份验证,并且工作正常。然而,应用程序中还有其他手动检查,只需调用HttpServletRequest.isUserInRole()来确定用户是否具有特定的角色。在使用Security之前,如果用户在原始请求中具有该角色,则该调用将返回true。添加Spring之后,该调用仅返
浏览 4提问于2016-10-13得票数 3
1回答
我已经用spring-boot-starter-security和keycloak-spring-security-adapter创建了一个Spring应用程序,并且验证了使用Keycloak工作的用户现在,我想使用Keycloak的对我的API进行细粒度访问控制。
在Keycloak中,我为我的客户启用了授权。我创建了一个角色,并将该角色分配给了我的测试用户。我创建了一个资源和一个基于资源的权限,并添加了一个基于角色</em
浏览 3提问于2020-10-12得票数 2
3回答
我使用来控制我的web应用程序中的权限,我在代码中导入了安全标记,如下所示:
<%@ taglib prefix="sec" uri="http://www.springframework.org/security
浏览 14提问于2015-02-03得票数 1
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
云直播
腾讯会议活动推荐
腾讯云开发者
