开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

Spring Boot HttpSecurity重定向到Spring，即使角色不同也是如此

Spring Boot是一个用于快速开发基于Spring框架的Java应用程序的开源框架。HttpSecurity是Spring Security提供的一个配置类，用于配置应用程序的安全性。

在Spring Boot中，可以使用HttpSecurity来配置访问控制规则，包括角色授权、URL权限等。当配置了HttpSecurity后，如果用户没有满足访问条件，系统会自动重定向到Spring Security提供的默认登录页面。

无论用户的角色是什么，当访问受限资源时，都会被重定向到登录页面。这是因为Spring Security的设计理念是通过认证和授权来保护应用程序的安全性。只有经过认证的用户才能访问受限资源。

在Spring Boot中，可以通过以下方式配置HttpSecurity的重定向行为：

创建一个配置类，并继承WebSecurityConfigurerAdapter类，重写configure方法。

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/admin/**").hasRole("ADMIN")
                .antMatchers("/user/**").hasRole("USER")
                .anyRequest().authenticated()
                .and()
            .formLogin()
                .and()
            .logout()
                .logoutSuccessUrl("/login?logout")
                .and()
            .exceptionHandling()
                .accessDeniedPage("/403");
    }
}

上述配置中，使用了antMatchers方法来配置URL的访问规则，hasRole方法用于指定角色授权。anyRequest方法表示对于其他未配置的URL，需要进行认证。formLogin方法配置了登录页面，logout方法配置了登出行为，exceptionHandling方法配置了访问被拒绝时的处理。

在Spring Boot的主类上添加@EnableWebSecurity注解，启用Web安全性配置。

@SpringBootApplication
@EnableWebSecurity
public class Application {

    public static void main(String[] args) {
        SpringApplication.run(Application.class, args);
    }
}

通过以上配置，无论用户的角色是什么，当访问受限资源时，都会被重定向到登录页面。这样可以保证只有经过认证的用户才能访问受限资源，提高应用程序的安全性。

推荐的腾讯云相关产品：腾讯云安全组（https://cloud.tencent.com/product/sg）可以帮助用户实现网络访问控制，保护云服务器的安全。

相关搜索:ajax上spring boot HttpSecurity{403}异常将数组post到RequestMapping apache2忽略默认主机并始终重定向到域，即使使用IP时也是如此 Spring boot & Spring安全始终重定向到登录 Spring boot从context-path重定向到localhost Spring boot保留属性，即使在新部署之后也是如此 Spring boot和角度更改路径手动重定向到root Spring Boot如何将所有请求重定向到Dispatcher Servlet？Spring boot安全性不会重定向configure(HttpSecurity http)方法上的oauth/authorize调用 Spring Boot应用程序在启动时仍然崩溃，即使有spring-boot-starter-web依赖项也是如此 Spring Boot服务器端口在8080上运行，即使在更改之后也是如此

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

精通 Spring Boot 系列文（12）

Spring Boot 的安全管理 1、Spring Security 是啥？ Spring Security 是 Spring 的一个安全模块，它很强大，但使用特别复杂。...最近，很多安全管理技术栈的组合长这样的：Spring Boot/Spring Cloud + Spring Security。...RedirectStrategy redirectStrategy = new DefaultRedirectStrategy(); // 重写 handle 方法，通过 RedirectStrategy 对象重定向到指定的...GrantedAuthority a : authorities) { roles.add(a.getAuthority()); } // 判断不同角色跳转到不同的...new SecurityContextLogoutHandler().logout(request, response, auth); } // 重定向到

4052 0

Spring Security (二) Guides

> org.springframework.boot spring-boot-starter-security...整个Spring Security的工作量，其实都是集中在该配置类，不仅仅是这个guides，实际项目中也是如此。...在默认配置中，Spring Security提供了一个拦截该请求并验证用户的过滤器。如果验证失败，该页面将重定向到“/ login?error”，并显示相应的错误消息。...成功注销后，会将用户重定向到“/ login?logout”。...考虑到受众的问题，一个入门的例子是必须得有的，方便后续对Spring Security的自定义配置进行讲解。

1.1K6 0

Spring Security(二)--Guides

> org.springframework.boot spring-boot-starter-security...整个Spring Security的工作量，其实都是集中在该配置类，不仅仅是这个guides，实际项目中也是如此。...在默认配置中，Spring Security提供了一个拦截该请求并验证用户的过滤器。如果验证失败，该页面将重定向到“/ login?error”，并显示相应的错误消息。...成功注销后，会将用户重定向到“/ login?logout”。...考虑到受众的问题，一个入门的例子是必须得有的，方便后续对Spring Security的自定义配置进行讲解。

1.1K12 0

Spring Boot+OAuth2，一个注解搞定单点登录！

当然大家也都知道，无状态登录也是有弊端的。所以今天松哥想和大家说一说 Spring Boot+OAuth2 做单点登录，利用 @EnableOAuth2Sso 注解快速实现单点登录功能。...如此之后，我们的统一认证登录平台就算是 OK 了。 3.客户端创建接下来我们来创建一个客户端项目，创建一个名为 client1 的 Spring Boot 项目，添加如下依赖： ?...最后，我再来和小伙伴们把上面代码的一个执行流程捋一捋：首先我们去访问 client1 的 /hello 接口，但是这个接口是需要登录才能访问的，因此我们的请求被拦截下来，拦截下来之后，系统会给我们重定向到...在第二步发送的请求是请求 auth-server 服务上的东西，这次请求当然也避免不了要先登录，所以再次重定向到 auth-server 的登录页面，也就是大家看到的统一认证中心。...获取到授权码之后，这个时候会重定向到我们 client1 的 login 页面，但是实际上我们的 client1 其实是没有登录页面的，所以这个操作依然会被拦截，此时拦截到的地址包含有授权码，拿着授权码

2.8K3 4

Spring Security 系列(1)

Request Credentials with AuthenticationEntryPoint - 用于从客户端请求凭据（即重定向到登录页面、发送 WWW 身份验证响应等） AbstractAuthenticationProcessingFilter...>spring-boot-starter-web org.springframework.boot spring-boot-starter-test...例如，它可能会重定向到登录页面或发送WWW-Authenticate标头。否则，如果是AccessDeniedException，则拒绝访问。...LoginUrlAuthenticationEntryPoint 根据配置计算出登录页面url,将用户重定向到该登录页面从而开始一个认证流程。

9682 0

spring security——基本介绍（一）「建议收藏」

>org.springframework.boot spring-boot-starter-thymeleaf...您可以通过在应用程序中配置Spring Security来实现。如果Spring Security在类路径上，则Spring Boot会使用“Basic认证”来自动保护所有HTTP端点。...当用户成功登录时，它们将被重定向到先前请求的需要身份认证的页面。有一个由 loginPage()指定的自定义“/登录”页面，每个人都可以查看它。...根据配置，Spring Security提供了一个拦截该请求并验证用户的过滤器。如果用户未通过认证，该页面将重定向到“/ login?error”，并在页面显示相应的错误消息。...其他提供SecurityConfigurer的对象使用 PortMapper 从 HTTP 重定向到 HTTPS 或者从 HTTPS 重定向到 HTTP。

9141 0

分布式--Spring Security入门

spring-boot-starter-security 2....artifactId>spring-boot-starter-thymeleaf 2....设置请求的角色权限 Spring Security权限分为两种：权限和角色，一个用户可以拥有多个角色，而一个角色可以拥有不同的权限。...分配用户的角色权限上面只是争对不同的请求配置了权限和角色，想要用户拥有权限和角色，就需要在UserDetails中进行添加，之前我们权限暂时设置为了空。...依赖 org.mybatis.spring.boot mybatis-spring-boot-starter

6751 0

Spring Boot + Security-01基于内存认证

spring-boot-starter-security ...org.springframework.boot spring-boot-starter-webspring-boot-starter-test test...用户密码手工设置用户名密码配置文件配置配置用户名为admin，密码123，角色为admin，注意此时使用的是yml文件格式 spring: security: user:....permitAll() .and() .csrf().disable(); } } 登录成功与失败之处理针对前端采用框架不同可以采用不同的处理方式

7451 0

Spring Boot 3.1 中如何整合Spring Security和Keycloak

其中包括Spring Security和Spring Boot的适配器，这意味着今后Keycloak团队将不再提供针对Spring Security和Spring Boot的集成方案。...但是，如此强大的Keycloak，还要用怎么办呢？本文就来聊聊，在最新的Spring Boot 3.1版本之下，如何将Keycloak和Spring Security一起跑起来。...配置Keycloak 第一步：为Spring Boot应用创建Realm，并在下面创建一个Client 第二步：创建一个SYS_ADMIN角色，并创建一个用户赋予SYS_ADMIN角色第三步：调用Keycloak...配置Spring Boot应用第一步：创建一个Spring Boot应用，这个很简单，这里不赘述了。...Security在JWT令牌中查找角色信息的位置。

8104 0

「Spring」认证安全架构指南

不仅如此：从容器的角度来看，Spring Security 是一个单一的过滤器，但在其中，还有额外的过滤器，每个过滤器都扮演着特殊的角色。下图显示了这种关系：图 2....容器不知道 Spring Security 内部的所有过滤器这一事实很重要，尤其是在 Spring Boot 应用程序中，默认情况下，所有@Beans类型Filter都自动注册到容器中。...例如，托管 UI 和支持 API 的应用程序可能支持基于 cookie 的身份验证，通过重定向到 UI 部分的登录页面和基于令牌的身份验证，以及对 API 部分的未经身份验证请求的 401 响应。...对于用户，这意味着使用相同格式的ConfigAttribute字符串（例如，角色或表达式）声明访问规则，但在代码中的不同位置。...过滤器链提供用户体验功能，例如身份验证和重定向到登录页面等，方法安全性提供更细粒度的保护。

9373 0

Spring Security的认证和授权

认证是为了保证用户身份的合法性，授权则是为了更细粒度的对隐私数据进行划分，授权是在认证通过后发生的，控制不同的用户能够访问不同的资源。...Spring Security中维护着一个List列表，存放多种认证方式，不同的认证方式使用不同的AuthenticationProvider。...} 测试：当用户没有认证时访问系统的资源会重定向到login-view页面输入账号和密码，点击登录，报错：问题原因： spring security为防止CSRF（Cross-site request...SecurityConfigurer的对象使用 PortMapper 从 HTTP 重定向到 HTTPS 或者从 HTTPS 重定向到 HTTP。...默认情况是，访问URL”/ logout”，使HTTP Session无效来清除用户，清除已配置的任何#rememberMe()身份验证，清除SecurityContextHolder，然后重定向到”

2.1K3 0

Spring认证-Spring 安全架构专题教程

笔记Spring Security 内部的所有过滤器对容器来说都是未知的这一事实很重要，特别是在 Spring Boot 应用程序中，默认情况下，所有@Beans类型都会Filter自动注册到容器中。...例如，托管 UI 和后备 API 的应用程序可能支持基于 cookie 的身份验证，重定向到 UI 部分的登录页面，以及基于令牌的身份验证，对 API 部分的未经身份验证的请求发出 401 响应。...对于用户来说，这意味着访问规则是使用相同格式的ConfigAttribute字符串（例如，角色或表达式）声明的，但在代码中的不同位置。...过滤器链提供用户体验功能，例如身份验证和重定向到登录页面等，方法安全提供更细粒度的保护。...(); assert(authentication.isAuthenticated); 这是不是对用户应用程序代码来执行这个共同的，但它可以是有用的，如果你，比如，需要写一个自定义的验证过滤器（虽然，即使如此

6912 0

Spring Boot2 系列教程(三十八)Spring Security 非法请求直接返回 JSON

Spring Security 登录添加验证码 SpringSecurity 登录使用 JSON 格式数据 Spring Security 中的角色继承问题 Spring Security 中使用 JWT...Spring Security 结合 OAuth2 不过，今天要和小伙伴们聊一聊 Spring Security 中的另外一个问题，那就是在 Spring Security 中未获认证的请求默认会重定向到登录页...，但是在前后端分离的登录中，这个默认行为则显得非常不合适，今天我们主要来看看如何实现未获认证的请求直接返回 JSON ，而不是重定向到登录页面。...结语好了，一个小小的重定向问题和小伙伴们分享下，不知道大家有没有看懂呢？这也是我最近在重构微人事的时候遇到的问题。...预计 12 月份，微人事的 Spring Boot 版本会升级到目前最新版，请小伙伴们留意哦。

1.3K4 0

Spring Boot+Keycloak从零到壹

我们将被重定向到http://localhost:8180/auth 去创建一个初始的admin用户：让我们创建一个名为“initial1”的用户，密码“zaq1!QAZ“。...配置完成后，将被重定向到端口8081： 3.4. 创建一个角色和用户 Keycloak使用Role-Based Access。因此，每个用户都必须有一个角色。...我们需要导航到“Role”页面：然后，我们添加 “user”角色：现在我们已经有了一个可以分配给用户的角色，但是还没有一个用户。...Keycloak Spring Boot 适配器是基于 Spring Boot的自动配置，因此我们所需要做的就是将Keycloak Spring Boot starter添加到我们的项目中。...可以看到,我们已经被重定向到Keycloak进行认证,并且要检查当前用户是否被授权查看这个内容: 如果通过认证，并且通过Keycloak的授权检查，我们就会被重定向到受限访问的customers页面

3.8K2 0

【SpringSecurity系列（一）】初识 Spring Security

Acegi Security 基于 Spring，可以帮助我们为项目建立丰富的角色与权限管理，但是最广为人诟病的则是它臃肿繁琐的配置，这一问题最终也遗传给了 Spring Security。...Spring Security 支持多种不同的认证方式，这些认证方式有的是 Spring Security 自己提供的认证功能，有的是第三方标准组织制订的，主要有如下一些：一些比较常见的认证方式： HTTP...幸运的是，即使你对各种攻击不太熟悉，只要你用了 Spring Security，就能自动避免掉很多攻击了，因为 Spring Security 已经自动帮我们完成很多防护了。...从这个角度讲，我们学习 Spring Security，不仅仅是学习 Spring Security 的各种用法，也是去了解去熟悉各种网络攻击。...松哥在未来，将会通过文章+视频的形式来向小伙伴们逐一展示 Spring Security 的用法，从基本的注册登录，到复杂的 OAuth2、Spring Social 登录等，都会和大家介绍。

1.3K3 2

Spring Security权限控制框架使用指南

二、如何引入 Spring Security在 waynboot-mall 项目中直接引入 spring-boot-starter-security 依赖， org.springframework.boot spring-boot-starter-security<...Security 3.0 中要配置 Spring Security 跟以往是有些不同的，比如不在继承 WebSecurityConfigurerAdapter。...读取数据库中当前用户信息判断该用户是否存在判断是否禁用获取当前用户的角色信息根据角色获取权限信息总结一下本文给大家讲解了后管系统如何引入权限控制框架 Spring Security 3.0 版本以及代码实战...相信能帮助大家对权限控制框架 Spring Security 有一个清晰的理解。后续大家可以按照本文的使用指南一步一步将 Spring Security 引入到的自己的项目中用于访问权限控制。

9570 0

Spring Cloud Security的核心组件-Cloud Security Filter

对于Cloud Security Filter来说，我们需要使用HttpSecurity对象来配置它的行为。HttpSecurity对象包含了一系列的方法，这些方法可以用来设置安全性规则和验证器。...如果用户没有登录，则会被重定向到“/login”页面。如果用户登录失败，则会返回一个HTTP 401错误。...三、Cloud Security Filter的使用方法使用Cloud Security Filter需要以下几个步骤：导入依赖在Spring Boot应用中使用Cloud Security Filter...配置安全性规则在Spring Boot应用中，我们可以使用@EnableWebSecurity注解来启用Web安全性，并使用WebSecurityConfigurerAdapter...如果用户没有登录，则会被重定向到“/login”页面。如果用户登录失败，则会返回一个HTTP 401错误。

6063 0

源码剖析 Spring Security 的实现原理

为了让这个示例程序开启 Spring Security 功能，我们在 pom.xml 文件中引入 spring-boot-starter-security 依赖即可： `` `...`org.springframework.boot`` ``spring-boot-starter-security</artifactId...Security 的 BUG，升级到最新版本即可。...LogoutFilter：当用户退出应用时被调用，它通过注册的 LogoutHandler 删除会话并清理 SecurityContext，然后通过 LogoutSuccessHandler 将页面重定向到...AccessDeniedException 异常，而这个异常被 ExceptionTranslationFilter 拦截，并将这个异常交给 LoginUrlAuthenticationEntryPoint 处理，从而重定向到

4381 0

使用SpringSecurity

spring-boot-starter-parent 1.5.9.RELEASE... spring-boot-starter-web ... org.springframework.boot spring-boot-devtools...的资源不需要验证，直接可以请求，/user/**的资源需要验证，权限是USER，/admin/**的资源需要验证，权限是ADMIN，登录地址是/login，登录失败地址是/login_error，异常重定向到.../user/**的资源需要验证，权限是USER /admin/**的资源需要验证，权限是ADMIN // 登录地址是/login 登录失败地址是 /login_error // 异常重定向到

6877 0

Spring Security入门(二) 基于内存存储的表单登录实战

ExceptionTranslationFilter 也是作为一个安全过滤器加入到 FilterChainProxy 中的，它允许将AccessDeniedException（访问拒绝异常）和 AuthenticationException...例如，它会重定向到一个登录页面或者发送一个WWW-Authenticate请求头（3）如果发生 AccessDeniedException，代表访问被拒绝，则会执行 AccessDeniedHandler... 而在 Spring Boot 中，只要加入了Spring security的起步依赖，直接启动 spring Boot 的应用也会启用 Spring...的默认配置就会完成以下事项创建一个命名为springSecurityFilterChain的Servlet过滤器 bean ，这个bean负责保护应用的整个安全，包括保护请求的URL、认证提交的用户名和密码和重定向到登录表单等...因为用户一开始没有登录认证，所有会被spring security拦截到登录界面让用户先登录。

7043 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭