如何在spring安全抗匹配器中使用params
在Spring Security中,可以使用params属性来定义安全匹配器,以实现对请求参数的安全性验证。
params属性可以用于<intercept-url>元素或<http>元素中的<access-denied-handler>元素。它允许您指定一个或多个请求参数,以及与这些参数相关联的安全规则。
使用params属性时,您可以使用以下操作符:
=:用于检查参数是否等于指定的值。!=:用于检查参数是否不等于指定的值。>:用于检查参数是否大于指定的值。<:用于检查参数是否小于指定的值。>=:用于检查参数是否大于或等于指定的值。<=:用于检查参数是否小于或等于指定的值。~:用于检查参数是否匹配指定的正则表达式。
以下是一个示例配置,演示如何在Spring Security中使用params属性:
<http>
<intercept-url pattern="/admin/**" access="hasRole('ROLE_ADMIN')" />
<intercept-url pattern="/user/**" access="hasRole('ROLE_USER') and params['param1']" />
<intercept-url pattern="/public/**" access="permitAll" />
<access-denied-handler error-page="/access-denied" />
</http>在上面的示例中,我们定义了三个URL模式的安全规则:
/admin/**:只有具有ROLE_ADMIN角色的用户才能访问。/user/**:只有具有ROLE_USER角色且包含名为param1的请求参数的用户才能访问。/public/**:允许所有用户访问。
如果请求不满足上述规则,则会触发访问被拒绝处理器,将用户重定向到/access-denied页面。
在腾讯云的产品中,与Spring Security相关的产品是腾讯云的云安全产品,例如:
这些产品可以帮助您增强应用程序的安全性,并提供全面的云安全解决方案。
相关·内容
1回答
我应该如何在spring的antmatcher中使用这样的参数呢?我有许多以/sUrl开头的URL,它们有不同的参数。此代码不起作用!params={url:\"reports/Manager\",subSystem:\"ABS\"}/**").access("hasRole('ROLE_ABS')")
SUrl?params={url:%22报告/管理器%22,子系统:%22
浏览 6提问于2018-07-24得票数 2
我正在从事一个Spring项目。通过启用和使用Spring安全性,我将CSRF令牌应用于登录表单。当我进入登录页面时,我可以看到使用名称_csrf自动生成的CSRF令牌。但是,当我使用ZAP扫描该项目时,仍然会收到有关反CSRF令牌的警告,如:抗csrf攻击失败。
我还尝试使用删除或编辑字段_csrf令牌,然后使用有效的用户名/密码登录。我还将_csrf添加到了反CSRF令牌中,但它仍然不
浏览 0提问于2019-05-03得票数 1
我正在使用Grails中的Spring安全插件。我有一个控制器,它对某些安全操作使用注释,但不对非安全内容使用注释。当然,sec:isLoggedIn和其他sec:loggedInUserInfo标记适用于安全操作,但即使用户登录到非安全视图中,它们也始终显示为非登录。, 'secure')
private getContent(params</em
浏览 3提问于2014-01-08得票数 1
回答已采纳
1回答
Spring和Struts是相似的吗?在Spring中,它是否只有像struts这样的表示层?Spring核心在Spring中使用吗?请详细说明Spring是如何在Spring中使用的。
浏览 1提问于2017-04-04得票数 8
回答已采纳
我使用带有属性的作用域,如所描述的。您是否知道如何在spring引导应用程序中实现安全配置,以实现只提供有关作用域属性的相应数据。
浏览 0提问于2018-02-23得票数 2
回答已采纳
1回答
我遇到过一些不同寻常而有趣的技术和使用将业务和技术实现分开的方法,这使得java.util.function类的实现可以充当端点。<dependency> <artifactId>spring-cloud-starter-function-webnewBook() { books.add(book);
return b
浏览 0提问于2019-08-15得票数 1
回答已采纳
我正在尝试使用WebFlux构建web服务。当我尝试用Spring WebFlux配置Spring Security时,Spring Security不会拦截这些请求。我的Spring Security配置是:@EnableWebFluxSecuritypublic class WebConfig {
浏览 2提问于2017-10-31得票数 0
1回答
在我的项目中,我使用spring安全性对该项目进行身份验证。authenticationManager" /> </bean>
它工作得很好,我理解spring安全如何在内部处理这个问题。但是,在spring<em
浏览 2提问于2014-12-29得票数 0
回答已采纳
Spring通常在启动应用程序时急切地加载spring安全配置。我在使用OAuth和Security
另一件事是,如果管理程序更改了JWK url,那么如何在运行时刷新/重新加
浏览 2提问于2021-08-18得票数 7
我正在尝试仅使用访问令牌在Spring Boot应用程序上配置单点登录OpenID连接(Keycloak)。我已经在Keycloak中为我的应用程序设置了客户端,并配置了权限和范围。注意:我找到了java适配器(spring-boot- adapter ),但它需要指定要在属性文件中定义的安全约束,如角色、资源等。documentation/en-us/red_hat_single_sign-on/7.2/htm
浏览 14提问于2020-01-30得票数 1
我希望两个不同领域的用户(例如人类用户和S2S用户)访问相同的rest端点。我可以找到的所有多租户示例(例如)都建议实现一个基于请求路径的KeycloakConfigResolver来选择一个单独的领域。例: private final KeycloakDeployment realm1Deployment;
浏览 9提问于2022-07-04得票数 0
1回答
我得到了错误消息:
org.mockito.exceptions.misusing.InvalidUseOfMatchersException:无效使用参数匹配器!0匹配器预期,1记录:-> at *.SegmentExportingTest.happyDay(SegmentExportingTest.java:37)如果匹配器与原始值组合在一起://不正确: someMethod(anyObject(),“原始字符串”);当使用匹配器时,所
浏览 0提问于2016-02-28得票数 4
我已经将keycloak适配器集成到了我的spring boot应用程序中,如文档中所述。工作流程正在运行。最初,我在属性中使用会话令牌存储,但我想摆脱它,成为无状态的。我可以看到我的Spring Boot应用程序确实在KEYCLOAK_ADAPTER_STATE cookie ()中发送了密钥罩访问令牌。不出所料,它被标记为HTTP cookie。然而,当我查询我后端时,进一步的angular http请求不会发送cookie,即使我在查询中打开了withCreden
浏览 3提问于2018-03-24得票数 1
1回答
我希望将密钥披风安全特性集成到基于春季引导的rest中。我使用的是KeyCloak 1.3.1Final。现在,这是基于纯rest的api,并且正在通过进行测试。我不确定这是否正确)
KeyCloak上的任何有用资源都可以帮助我解决这个问题。到目前为止,我还不知道问题出在哪里?更进一步,我从K
浏览 3提问于2015-09-08得票数 1
回答已采纳
我不确定Security是否也使用了AOP,所以我的第一个问题是:是吗?编辑文档说:
文档中说:“Security为基于J2EE的企业软件应用程序提供了全面的安全服务。特别强调的是支持<
浏览 1提问于2011-06-16得票数 4
回答已采纳
我正在编写spring应用程序,我有这段代码,但是当使用Tomcat 8运行这段代码时,出现了这个错误,我不知道错误的根本原因是什么,请帮助 01:15:02.681 [localhost-startStop: Name [spring.liveBeansView.mbeanDomain] is not bound in this Context.-1] DEBUG o.s.jndi.JndiPropertySource - JNDI lookup for name [spring.liveBeansView.
浏览 2提问于2015-06-18得票数 1
回答已采纳
尽管推荐使用Cloud、Kubernetes等作为任务执行环境,但我更喜欢在生产中运行东西,这主要是因为我没有太多的工作量,无法处理所有额外的复杂性。安全性--我希望围绕应用程序的部署和对工具的操作访问(仪表板)设置控制,并将对LDAP的角色支持视为一种选择,但使用Cloudfoundry的整个概念--另一种驱动用户管理的产品--似乎有点过火了。在Github中的LDAP问题中发现了以下内容,但不清楚它是否在其停靠映像中使用了UAA。最坏的情况是,我不介意仪表板是否可以在视图/只读模式下运行。
浏览 0提问于2019-04-05得票数 0
回答已采纳
java.lang.reflect.Method Get “侦听器”,如 update in Updatable**.**使用。{ Method UPDATE = method(Updatable.class, "update");//anywhere使用这个> of, String name, Class... pa
浏览 5提问于2020-03-01得票数 0
回答已采纳
Spring、Security OAuth2实现、默认令牌端点(/oauht/ token )运行良好。它使用UserDetailsService of DaoAuthenticationProvider类来获取用户数据。我尝试在BasicAuthenticationFilter中注入现有的身份验证管理器,并在ResourceServerConfigurerAdapter中添加了作为过滤器的内容,但这并没有起到任何作用。
浏览 3提问于2017-05-04得票数 3
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
实时音视频
云直播活动推荐
腾讯云开发者
