SpringBoot整合SpringSecurity系列(6)-URL匹配控制

淩亂°似流年 2023-01-13 10:29 257阅读 0赞

### 文章目录 ###

*  一、URL匹配控制
 *  二、URL匹配方法
 *   *  1.1 anyRequest()
     *  1.2 antMatcher()
     *  1.3 regexMatchers()
     *  1.4 HttpMethod
     *  1.5 mvcMatchers

# 一、URL匹配控制 #

1.  通过上面的规则可以有很多 url 匹配规则和很多权限控制方法，这些内容进行各种组合就形成了Spring Security中的授权
2.  权限在所有匹配规则中取所有规则的交集，配置顺序影响了之后授权效果，越是具体的应该放在前面，越是笼统的应该放到后面，换句话说就是控制粒度小的先配置，粒度大的后配置，因为先配置先生效
3.  认证中主要使用配置类中**http.authorizeRequests()对url进行控制，也就是授权（访问控制），主要通过控制不同url匹配实现，http.authorizeRequests() 支持链式写法，如http.authorizeRequests().匹配方法**

# 二、URL匹配方法 #

## 1.1 anyRequest() ##

1.  anyRequest()表示匹配所有的请求，一般情况下此方法都会使用，设置全部内容都需要进行认证，通常作为最后一个规则，拦截所有，更细的规则应该在此之前进行指定，否则将会导致其后配置的规则无效

// 所有请求都拦截，通常用来做最后控制
    .anyRequest().authenticated();

## 1.2 antMatcher() ##

1.  通过ant表达式进行匹配，参数是不定向参数，每个参数是一个 ant 表达式，用于匹配 URL规则
    
     *  antMatchers(String… antPatterns)
2.  ant表达式规则如下
    
     *  ?：匹配一个字符
     *  \*：匹配0个或多个字符
     *  \*\*：匹配0个或多个目录
3.  在实际项目中经常需要放行所有静态资源，下面配置为放行 js 文件夹下和css文件夹下所有脚本文件

.antMatchers("/js/**", "/css/**").permitAll()

1.  还有一种配置方式是只要是.js和.css 文件都放行

.antMatchers("/**/*.js", "/**/*.css").permitAll()

## 1.3 regexMatchers() ##

1.  使用正则表达式进行匹配，和 antMatchers() 主要的区别就是参数， antMatchers() 参数是 ant表达式， regexMatchers() 参数是正则表达式
2.  下面配置所有以.css结尾的文件都被放行

.regexMatchers(".*[.]css").permitAll()

## 1.4 HttpMethod ##

1.  无论是 antMatchers() 还是 regexMatchers() 都具有两个参数的方法，其中一个参数都是**HttpMethod** ，表示请求方式，当设置了 HttpMethod 后表示只有设定的特定的请求方式才执行对应的权限设置
2.  枚举类型 HttpMethod 内置属性如下

import java.util.HashMap;
    import java.util.Map;
    
    import org.springframework.lang.Nullable;
    
    public enum HttpMethod { 
    
    	GET, HEAD, POST, PUT, PATCH, DELETE, OPTIONS, TRACE;
    
    	private static final Map<String, HttpMethod> mappings = new HashMap<>(16);
    
    	static { 
    		for (HttpMethod httpMethod : values()) { 
    			mappings.put(httpMethod.name(), httpMethod);
    		}
    	}
    
    	/** * 将给定方法名称转为HttpMethod */
    	@Nullable
    	public static HttpMethod resolve(@Nullable String method) { 
    		return (method != null ? mappings.get(method) : null);
    	}
    
    	/** * 判断方法名是否匹配 */
    	public boolean matches(String method) { 
    		return (this == resolve(method));
    	}
    }

## 1.5 mvcMatchers ##

1.  mvcMatchers()适用于配置文件中配置了servletPath的情况
2.  servletPath 就是所有的 URL 的统一前缀，在 SpringBoot 整合SpringMVC 的项目中可以在配置文件中添加下面内容设置 ServletPath

spring.mvc.servlet.path=/security

1.  在 Spring Security 的配置类中配置\*\*.servletPath()**是**mvcMatchers()\*\*返回值特有的方法，antMatchers()和 regexMatchers()没有这个方法。在 servletPath() 中配置了 servletPath 后，mvcMatchers()直接写 SpringMVC 中@RequestMapping()中设置的路径即可
    
     *  访问**http://localhost:8888/security/toCss**时放行，此时非此路径的请求全部被拦截

.mvcMatchers("/toCss").servletPath("/security").permitAll()

@ResponseBody
    @RequestMapping("/toCss")
    public String css() { 
        return "redirect:index.css";
    }

1.  mvcMatchers()也可以等价使用 antMatchers()
    
     *  延伸：此处可以设置为某个菜单的操作权限，例如/user/delete，即可达到权限控制

.antMatchers("/security/toCss").permitAll()