堆棧內存溢出
  簡體   English   中英

如何使用 Spring Security 修復對資源的訪問?

[英]How to fix access to resources using spring security?

 原文  2019-12-30 05:43:39       java/ spring/ spring-boot/ spring-security/ resources

問題描述

我剛剛從 web 復制了帶有 Spring Security 的登錄/注冊表單,但我遇到了大問題。 我想讓所有人都公開所有資源,因為 5 個小時后,我完全不知道這個春季安全發生了什么。

好的,這是我的配置方法1:

@Configuration
@EnableWebSecurity
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
...
...
@Override
protected void configure(HttpSecurity http) throws Exception {
    http.authorizeRequests()
            // URLs matching for access rights
            .antMatchers("/").permitAll()
            .antMatchers("/login").permitAll()
            .antMatchers("/register").permitAll()
            .antMatchers("/DBDesign").permitAll()
            .antMatchers("/index").permitAll()
            .antMatchers("/admin/**").hasAuthority("ADMIN")
            .antMatchers("/user/**").hasAuthority("USER")
            .anyRequest().authenticated()
            .and()
            // form login
            .csrf().disable().formLogin()
            .loginPage("/login")
            .failureUrl("/login?error=true")
            .successHandler(sucessHandler)
            .usernameParameter("email")
            .passwordParameter("password")
            .and()
            // logout
            .logout()
            .logoutRequestMatcher(new AntPathRequestMatcher("/logout"))
            .logoutSuccessUrl("/").and()
            .exceptionHandling()
            .accessDeniedPage("/access-denied");
}

配置方法二:

    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring().antMatchers("/resources/**", "/static/**", "/common/**", "/js/**", "/images/**");
    }
}

配置方法三:

@Configuration
public class WebMvcConfig implements WebMvcConfigurer{
    @Bean
    public BCryptPasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Override
    public void addResourceHandlers(ResourceHandlerRegistry registry) {
        registry
                .addResourceHandler("/webjars/**", "/static/**", "/templates/**")
                .addResourceLocations("/webjars/", "classpath:/static/", "classpath:/templates/");
    }
}

我 100% 確信這些方法之一負責管理登錄前可用和不可用的目錄。 伙計們,有人可以解釋一下這是如何工作的嗎? 看這是我的臨時文件結構:

在此處輸入圖片說明

綠色 --- 我可以訪問

紅色 --- 我沒有訪問權限

我可以將路徑復制並粘貼到“綠色”文件並查看其中的內容,但是如果我嘗試對紅色文件執行相同的操作...錯誤 404。這怎么可能? 只有那些 2x 沒有權限。

1 個解決方案

解決方案1
 1 已采納  2019-12-30 16:35:01

資源處理程序/static/**指向classpath:/static/

所以安全過濾器應該忽略對/sidebar/**請求,....

@Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring().antMatchers("/sidebar/**","/diagramER/**", .....);
    }

然后你可以在你的頁面中使用類似的東西

<html lang="en">
<head>
    ....
    <script src="/sidebar/js/main.js" ></script>
    <script src="/diagramER/DBDesign.js" ></script>
    <link rel="stylesheet" type="text/css" href="/sidebar/common/style.css">
</head>

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 Spring Security未根據角色過濾對資源的訪問 從Spring Security訪問被拒絕的html資源 使用Spring Security和Angularjs授權訪問資源 如何使用Spring安全性訪問JSP中的角色? 如何修復 Spring Security 中的角色? 如何使用Spring訪問外部jar文件中的資源? Spring Security無法訪問/ resources下的文件 在不使用spring security的情況下在spring boot中獲取靜態資源的403 如何使用 Spring Security 自定義 403 Forbidden/Access Denied Page 如何使用Spring Boot Security從Facebook獲取訪問令牌
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM