Korrekte Verwendung von WebSecurity in WebSecurityConfigurerAdapter

In meinem Spring Boot Anwendung basiert auf der version 1.3.0.BUILD-SNAPSHOT, ich habe die statische Ressourcen (Bilder, css, js) in der static Ordner unter resources.

Sehe ich einige Beispiele in Bezug auf Sicherheit Konfiguration wie folgt aus:

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    public void configure(final WebSecurity web) throws Exception {
        web.ignoring()
           .antMatchers("/static/**");
    }
}

Ist das Beispiel richtig?
Was sollte die Wirkung sein?
Wie um zu überprüfen, dass es funktioniert (z.B. eine Anfrage an localhost:8080/something?
Welche coolen Dinge, die kann ich mit WebSecurity?

InformationsquelleAutor JeanValjean | 2015-08-13
  1. 20

    Deinem Beispiel bedeutet, dass der Frühling (Web -) Sicherheit ist ignorieren URL-Muster, die mit dem Ausdruck übereinstimmen, die Sie definiert haben ("/static/**"). Diese URL wird übersprungen, Spring Security, daher nicht gesichert.

    Ermöglicht das hinzufügen RequestMatcher Instanzen, der sollte das Spring Security ignorieren sollte. Web-Sicherheit von Spring Security (einschließlich der SecurityContext) wird es nicht HttpServletRequest, entsprechen. In der Regel die Anforderungen, die registriert werden soll, dass der nur statische Ressourcen. Für Anfragen, die dynamisch sind, ordnen die Anforderung, dass alle Benutzer statt.

    Sehen WebSecurity API-Dokumentation für weitere Informationen.

    Sie können so viele URL-Muster gesichert oder ungesichert, wie Sie wollen.

    Mit Spring Security haben Sie Authentifizierung und access control Funktionen für die web-Schicht einer Anwendung. Sie können auch einschränken, die Benutzer einer bestimmten Rolle Zugriff auf eine bestimmte URL und so weiter.

    Lesen Sie die Spring Security reference enthält weitere details:

    http://docs.spring.io/spring-security/site/docs/current/reference/html/

    Bestellung Vorrang von URL-Mustern

    Beim Abgleich der angegebenen Muster gegen eine eingehende Anfrage, die Zuordnung erfolgt in der Reihenfolge, in der die Elemente deklariert sind. Also die spezifischen Muster entspricht, sollte zuerst kommen und die meisten Allgemeinen sollte kommen letzten.

    Gibt es mehrere Kinder, um die http.authorizeRequests () - Methode
    jeder matcher betrachtet in der Reihenfolge in der Sie deklariert wurden.

    Muster sind immer in der Reihenfolge ausgewertet der Sie definiert sind. Daher ist es wichtig, dass mehr spezifische Muster definiert sind, höher in der Liste als weniger spezifische Muster.

    Lesen Sie hier weitere details:

    http://docs.spring.io/spring-security/site/docs/current/reference/htmlsingle/#filter-security-interceptor

    Beispiel 1

    Allgemeine Verwendung von WebSecurity ignoring() Methode unterlässt, Spring Security, und keiner von Spring Security-Funktionen zur Verfügung stehen.
    WebSecurity-basiert oben HttpSecurity

    (in einer XML-Konfiguration können Sie dies schreiben: <http pattern="/resources/**" security="none"/>).

    @Override
public void configure(WebSecurity web) throws Exception {
    web
        .ignoring()
        .antMatchers("/resources/**")
        .antMatchers("/publics/**");
}

@Override
protected void configure(HttpSecurity http) throws Exception {
    http
        .authorizeRequests()
        .antMatchers("/admin/**").hasRole("ADMIN")
        .antMatchers("/publics/**").hasRole("USER") //no effect
        .anyRequest().authenticated();
}

    WebSecurity im obigen Beispiel kann der Frühling ignorieren /resources/** und /publics/**. Daher die .antMatchers("/publics/**").hasRole("USER") im HttpSecurity ist unberücksichtigt.

    Diese wird es unterlassen die Anfrage Muster aus der security-filter-Kette komplett.
    Beachten Sie, dass alles, was mit diesem Pfad werden dann keine Authentifizierung oder Autorisierung Dienstleistungen angewendet und wird frei zugänglich sein.

    Beispiel 2

    Muster sind immer ausgewertet um. Die unten Abstimmung ist ungültig, da die ersten Spiele jede Anfrage und werden nie das zweite Spiel:

    @Override
protected void configure(HttpSecurity http) throws Exception {
    http
        .authorizeRequests()
        .antMatchers("/**").hasRole("USER")
        .antMatchers("/admin/**").hasRole("ADMIN"):
}
    • Scheint vernünftig. In der Tat, die Sicherung der url zu einem Bild macht nicht viel Sinn, wenn das Bild öffentlich (z.B. das Firmenlogo auf der Seite-header).
    • Ja, in der Tat. Andere Beispiele sind JavaScript -, CSS-Ressourcen, so dass alle statischen Inhalte, die könnte auch zwischengespeichert werden können. Alle Urls, die Sie bedeuten, sinnvoll gesichert werden könnten, schützen Sie die Authentifizierung und Autorisierung.
    • Ich Frage mich: was passiert, wenn mit der gleichen Priorität WebSecurity sagt ignore und HttpSecurity sagt access("hasRole('ROLE_ADMIN')") für einen bestimmten Pfad?
    • HttpSecurity ist sehr ähnlich zu der http-namespace-element. Es ermöglicht das konfigurieren von web-basierte Sicherheit für eine bestimmte Auswahl (in diesem Fall alle) Anfragen. WebSecurity ist ganz ähnlich wie alle Security-namespace-Elemente für web und die, die nicht erfordern eine übergeordnete (d.h. security=none, debug, usw.). Es ermöglicht die Konfiguration der Dinge, die Auswirkungen auf alle web-Sicherheit. Siehe: Frühling.io/blog/2013/07/03/... Für eine Erläuterung der Bestell-Priorität habe ich bearbeitet den vorherigen Post.
    InformationsquelleAutor sven.kwiotek
  2. 0

    Gut in den code, die Sie gemeinsam, wenn Sie hatte Ihre statische Dateien, also CSS/JS usw in einen Ordner namens statischen dann alle statischen Ressourcen werden auf der Seite Hinzugefügt, in der Erwägung, dass, wenn Sie nach Links aus

    web.ignoring()
    .antMatchers("/static/**");

    keiner von statischen Ressourcen geladen werden.

    Spring Security ist äußerst mächtig, der Frühling hat tolle Dokumentation, so sollten Sie nur gehen, Lesen Sie über es vollständig zu schätzen wissen/verstehen.

    Hier ist ein
    link

    • Ich bin mir nicht sicher. Alle Bilder, css und js geladen werden, unabhängig davon, dass der Unterricht.
    • sind Sie mit Spring boot?
    • Sicher. Alle Bilder, css und js ist in resources/static
    InformationsquelleAutor PaulRyan17
Schreibe einen Kommentar