2. 程式人生 > >SpringSecurity學習筆記之四:攔截請求

SpringSecurity學習筆記之四:攔截請求

阿新 發佈:2018-12-14

在任何應用中,並不是所有請求都需要同等程度地保護起來。有些請求需要認證,有些則不需要。 對每個請求進行細粒度安全性控制的關鍵在於過載configure(HttpSecurity)方法。如下程式碼片段展現了過載的configure(HttpSecurity)方法,它為不同的URL路徑有選擇地應用安全性:

antMatchers()方法所設定的路徑支援Ant風格的萬用字元。如下

antMatchers()方法所使用的路徑可能會包括Ant風格的萬用字元,而regexMatchers()方法則能夠接受正則表示式來定義請求路徑。如下:

除了路徑選擇,我們還通過authenticated()和permitAll()來定義該如何保護路徑。authenticated()要求在執行該請求時,必須已經登入了應用。如果使用者沒有認證,Spring Security的Filter將會捕獲該請求,並將使用者重定向到應用的登入介面。同時permitAll()方法允許請求沒有任何的安全限制。除了authenticated()和permitAll()以外,authorizeRequests()方法返回的物件還有更多的方法用於細粒度地保護請求。如下所示:

這裡寫圖片描述

我們可以將任意數量的antMatchers()、regexMatchers()和anyRequest()連線起來,以滿足Web應用安全規則的需要。注意,將最不具體的路徑(如anyRequest())放在最後面。如果不這樣做,那不具體的路徑配置將會覆蓋掉更為具體的路徑配置。

使用Spring表示式進行安全保護

上面的方法雖然滿足了大多數應用場景,但並不是全部。如果我們希望限制某個角色只能在星期二進行訪問的話,那麼就比較困難了。同時,上面的大多數方法都是一維的,如hasRole()方法和hasIpAddress()方法沒辦法同時限制一個請求路徑。 藉助access()方法,我們可以將SpEL作為宣告訪問限制的一種方式。例如,如下就是使用SpEL表示式來宣告具有“ROLE_SPITTER”角色才能訪問“/spitter/me”URL:

讓SpEL更強大的原因在於,hasRole()僅是Spring支援的安全相關表示式中的一種。下表列出了Spring Security支援的所有SpEL表示式。

這裡寫圖片描述

現在,如果我們想限制“/spitter/me”URL的訪問,不僅需要ROLE_SPITTER角色,還需要來自指定的IP地址,那麼我們可以按照如下的方式呼叫access()方法:

Spring Security攔截請求的另外一種方式:強制通道的安全性

通過HTTP傳送的資料沒有經過加密,黑客就有機會攔截請求並且能夠看到他們想看的資料。這就是為什麼敏感資訊要通過HTTPS來加密傳送的原因。傳遞到configure()方法中的HttpSecurity物件,除了具有authorizeRequests()方法以外,還有一個requiresChannel()方法,藉助這個方法能夠為各種URL模式宣告所要求的通道(如HTTPS)。 在登錄檔單中,使用者會希望敏感資訊(使用者不希望洩露的資訊,如信用卡號等)是私密的。為了保證登錄檔單的資料通過HTTPS傳送,我們可以在配置中新增requiresChannel()方法,如下所示:

不論何時,只要是對“/spitter/form”的請求,Spring Security都視為需要安全通道(通過呼叫requiresChannel()確定的)並自動將請求重定向到HTTPS上。 與之相反,有些頁面並不需要通過HTTPS傳送。例如,首頁不包含任何敏感資訊,因此並不需要通過HTTPS傳送。我們可以使用requiresInsecure()代替requiresSecure()方法,將首頁宣告為始終通過HTTP傳送:

防止跨站請求偽造

什麼是跨站請求偽造?下面是一個簡單的例子:

這是跨站請求偽造(cross-site request forgery,CRSF)的一個簡單樣例。簡單來講,奧斯卡電影入過一個站點欺騙使用者提交請求到其他伺服器的話,就會發生CSRF攻擊,這可能會帶來很嚴重的後果。 從Spring Security3.2開始,預設就會啟用CSRF攻擊。 Spring Security通過一個同步token的方式來實現CSRF防護。它會攔截狀態變化的請求並檢查CSRF token。如果請求不包含CSRF token,或token不能與伺服器端的token相匹配,請求將會失敗,並丟擲CsrfException。 Spring Security已經簡化了將token放到請求的屬性中這一任務。

  • 使用Thymeleaf,只要標籤的action屬性添加了Thymeleaf名稱空間字首,那麼就會自動生成一個“_csrf”隱藏域:

  • 使用JSP作為頁面模板的話,要做的事非常類似:
  • 如果使用Spring表單繫結標籤的話,標籤會自動為我們新增隱藏的CSRF token標籤。

相關推薦

SpringSecurity學習筆記攔截請求

在任何應用中,並不是所有請求都需要同等程度地保護起來。有些請求需要認證,有些則不需要。 對每個請求進行細粒度安全性控制的關鍵在於過載configure(HttpSecurity)方法。如下程式碼片段展現了過載的configure(HttpSecurity)方法,它為不同的UR

Android異步載入學習筆記利用緩存優化網絡載入圖片及ListView載入優化

角度 thread 下午 出發 easy code cat height back 假設不做不論什麽處理。直接用網絡載入圖片在網速快的情況下可能沒什麽不好的感覺。可是假設使用移動流量或是網絡不好的時候。問題就來了,要麽用戶會抱怨流量使用太多。要麽抱怨圖

Memcached學習筆記Memcache應用場景介紹

對於高併發高訪問的Web應用程式來說,資料庫存取瓶頸一直是個令人頭疼的問題。特別當你的程式架構還是建立在單資料庫模式,而一個數據池連線數峰 值已經達到500的時候,那你的程式執行離崩潰的邊緣也不遠了。很多小網站的開發人員一開始都將注意力放在了產品需求設計上,缺忽視了程式整體效能,可擴 展性等方面的考

SpringSecurity學習筆記配置使用者儲存

沒有使用者儲存的應用相當於沒有使用者,因為任何使用者都會被拒之門外。我們所需要的是使用者儲存,也就是使用者名稱、密碼以及其他資訊儲存的地方,在進行認證決策的時候,會對其進行檢索。Spring Security非常靈活,能夠基於各種資料儲存來認證使用者。它內建了多種常見的使用者

SpringSecurity學習筆記SpringSecurity結構及基本配置

Spring Security3.2分為11個模組,如下表所示: Spring Security3.2引入了新的Java配置方案,完全不在需要通過XML來配置安全性功能。如下,展現了Spring Security最簡單的Java配置: @EnableWebSecurity

SpringSecurity學習筆記保護檢視

Spirng Security本身提供了一個JSP標籤庫,而Thymeleaf通過特定的方言實現了與Spring Security的整合。 Spring Security的JSP標籤庫很小,只包含是三個標籤: 為了使用JSP標籤庫,需要在JSP中宣告它: 訪問認證資訊的

android學習筆記四大元件BroadcastReceiver

1.定義廣播接收者 定義一個類繼承BroadcastReceiver,並重寫onReceive()方法。 @Override public class SMSBroadCastReceiver

f2fs學習筆記冷熱數據分離

intent resp block esp use under who log rec 多路日誌的原理 多路日誌的相關數據結構 /* * For SIT manager * * By default, there are 6 active log areas acro

Vue.js 學習筆記Vue 元件基礎

到目前為止,這個系列的筆記所展示的都是一些極為簡單的單頁面 Web 應用程式,並且頁面上通常只有幾個簡單的互動元素。但在實際生產環境中,Web 應用程式的使用者介面往往是由多個複雜的頁面共同組成的。這時候,我們就需要開始注意程式碼的可複用性了,針對這個問題,Vue.js 框架提出的解決方案就是先將使用者介面上

C語言學習及應用筆記C語言volatile關鍵字及其使用

  在C語言中,還有一個並不經常使用但卻非常有用的關鍵字volatile。那麼使用volatile關鍵字究竟能幹什麼呢?接下來我將就此問題進行討論。   一個使用volatile關鍵字定義變數,其實就是告訴編譯系統這變數可能會被意想不到地改變。那麼編譯時,編譯器就不會自作主張的去假設這個變數的值,而進行程式

【機器學習入門】Andrew NG《Machine Learning》課程筆記分類、邏輯迴歸和過擬合

分類和邏輯迴歸 在實際的生活中,會遇到很多二元分類問題(Binary Classification Problem),比如判斷一封郵件是否是垃圾郵件,攝像頭判斷使用者是男是女和一張圖片裡包含的是貓還是狗等等。 在有監督的分類問題中,通常使用帶標記(Label

《C#圖解教程》讀書筆記類和繼承

intern html pan 類中訪問 ted obj 小寫 his new 本篇已收錄至《C#圖解教程》讀書筆記目錄貼,點擊訪問該目錄可獲取更多內容。 一、萬物之宗:Object   (1)除了特殊的Object類,其他所有類都是派生類,即使他們沒有顯示基類定義。   

機器學習入門機器學習的方法-神經網絡(轉載)

轉載 bsp 圖像 src nbsp 加速 數值 str 我們   轉自 飛鳥各投林   神經網絡      神經網絡(也稱之為人工神經網絡,ANN)算法是80年代機器學習界非常流行的算法,不過在90年代中途衰落。現在,攜著“深度學習”之勢,神

Modbus庫開發筆記Modbus TCP Client開發

creat 需要 修改 status command 協議格式 sin 服務器端 這一 這一次我們封裝Modbus TCP Client應用。同樣的我們也不是做具體的應用,而是實現TCP客戶端的基本功能。我們將TCP客戶端的功能封裝為函數,以便在開發具體應用時調用。 對於T

ceph學習筆記PG

sds ceph cloud 對象 pg PG PG(Placement Group)單從名字上可理解為一個放置策略組,它是對象的集合,集合裏的所有對象具有相同的放置策略;對象的副本都分布在相同的OSD列表上。一個對象只能屬於一個PG,一個PG對應於放置在其上的OSD列表。一個OSD上可

Linux運維學習筆記常用命令2

linux 運維 筆記71、passwd:修改用戶密碼語法passwd [參數]username選項-k --keep-tokens :保留即將過期的用戶在期滿後仍能使用-l --lock :鎖定用戶無權更改其密碼,只能root才能操作-u --unlock :解除鎖定-S --status :查看用戶狀

odoo10學習筆記mixin其他功能模塊

idg 其他 www 有用 read http 消息系統 pan div 原文地址:http://www.cnblogs.com/ygj0930/p/7153680.html odoo提供了許多有用的功能,比如:討論、通知、網站等。我們可以在開發自己的模塊時,引入這些功能。

Linux學習筆記————Linux常用命令 ( 待補充)

-h http “.” 現實 人性化 快捷 我們 包括 無法 一、Linux命令——文件、磁盤管理 1.文件管理 <1>查看文件信息:ls ls是英文單詞list的簡寫,其功能為列出目錄的內容,是用戶最常用的命令之一,它類似於DOS下的dir命令。 Linu

Linux 學習筆記 查看文件

lin 學習 文件內容 筆記 文件 內容 上下 post blog 一 cat cat filename 查看文件內容 cat -n filename 查看文件內容,帶上行號 cat -b filename 查看文件內容 ,空行不帶行號 二 more more file

項目管理學習筆記.風險管理

src analysis 方式 出現 ati 表示 statistic 1.2 esp 項目管理個人能力--風險管理 下圖是一個風險管理的示意表格