Java Spring安全中Web忽略和Http允许的区别?
这两种方法有什么区别Java Spring安全中Web忽略和Http允许的区别?,java,spring,spring-boot,spring-mvc,spring-security,Java,Spring,Spring Boot,Spring Mvc,Spring Security,这两种方法有什么区别 @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests().antMatchers("/api/**").permitAll(); } @Override public void configure(WebSecurity web) { web.ignoring().antMatchers("/api/**"); }
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests().antMatchers("/api/**").permitAll();
}
@Override
public void configure(WebSecurity web) {
web.ignoring().antMatchers("/api/**");
}
在一个spring安全配置类中,当我使用HttpSecurity时,它仍然给我403 forbidden,但当我使用WebSecurity时,它通过了罚款?为什么呢?我觉得我几乎无法通过过滤器控制什么是允许的,什么是需要授权的。我建议您浏览一下这篇文章:代码中两种方法的区别是:
- 允许为HTTP请求配置基于web的安全性。在此级别,您将声明身份验证规则
- 允许配置对所有web安全性具有全局影响的内容,例如设置调试模式或使用的实现启用进一步的防火墙配置,或如代码所示忽略资源
- 这将启用并确保身份验证机制,例如基于LDAP的身份验证或基于JDBC的身份验证
- [flow 1]想象一座大办公楼,一楼有一个主接待处。一楼的接待处可以让你进入大楼,如果你想去公司,比如说B他们会带你去那里,但他们不能让你进入任何公司的办公室,因为他们是诚实的,每个办公室都有自己的接待处,当你来到B办公室接待处时,你需要在那里进行身份验证(只有客人、想看看他们办公室的匿名人士、员工/用户、管理员等),只有他们允许你进入任何一位父亲,这才取决于他们
- [flow 2]再想象一下,在同一座大办公楼里有餐厅/商店/厕所,当你来到一楼的主接待处,问他们餐厅在哪里时,他们会带你去那里,你不应该在这里进行身份验证,他们不知道你是谁,他们也不应该:
web.ignering().antMatchers(“/restaurant/**”; - [flow 3]想象一下,在同一座大办公楼里,有一家公司决定在他们的楼层(一个房间,而不是整个办公室)开设画廊
- 他们问一楼的总接待处:“如果有人来看我们的画廊,就让他们进去吧,不需要我们接待处的认证”
web.ignoreing().antMatchers(“/C/gallery/**”); - 此外,他们还可以通过其他方式处理流程1,当有人来到他们的接待处说他想看他们的画廊时,他们只会让他们进去,而无需验证
http.authorizeRequests().antMatchers(“/C/gallery/**”).permitAll();
的流程中,涉及到许多步骤/人/(案例中的过滤器http
)-速度稍慢,不需要静态资源Spring Security
一楼的主接待处it- - 他们问一楼的总接待处:“如果有人来看我们的画廊,就让他们进去吧,不需要我们接待处的认证”
- 这是一个有点抽象的问题,有点抽象的答案
WebSecuritywebsecurityConfigureAdapterwebsecurityConfigureAdapterHttpSecurityWebSecurityWebSecurity总结一下您的问题,这两种方法应该具有相同的效果,如果不是,这意味着
WebSecurityConfigurerAdapter异常TranslationFilterhttp.csrf().disable()