我只是想确保我是否正确理解,所以我会很感激任何回应;在我的配置覆盖中:@Overrideprotected void configure(HttpSecurity http) throws Exception{ http. [...] permitAll() [...]}所述permitAll()允许任何请求,而:anonymous()将只授予那些用户访问不登录,但 在这两种情况下的HttpSession -object默认情况下创建。是对的吗?
1 回答
拉莫斯之舞
TA贡献1820条经验 获得超10个赞
从 Spring文档:
采用“默认拒绝”通常被认为是良好的安全实践,您可以明确指定允许的内容并禁止其他所有内容。定义未经身份验证的用户可以访问的内容是类似的情况,尤其是对于 Web 应用程序。许多站点要求用户必须通过除少数 URL 之外的任何其他内容(例如主页和登录页面)的身份验证。在这种情况下,最容易为这些特定 URL 定义访问配置属性,而不是为每个受保护的资源定义访问配置属性。换句话说,有时可以说默认情况下需要 ROLE_SOMETHING 并且只允许此规则的某些例外情况,例如登录、注销和应用程序的主页。您也可以完全从过滤器链中省略这些页面,从而绕过访问控制检查,
这就是我们所说的匿名身份验证。
和
请注意,“经过匿名身份验证”的用户和未经身份验证的用户之间没有真正的概念差异。Spring Security 的匿名身份验证只是为您提供了一种更方便的方式来配置您的访问控制属性。
使用.permitAll()will 配置授权,以便在该特定路径上允许所有请求(来自匿名用户和登录用户)。
的.anonymous()表达主要是指用户(登录与否)的状态。基本上,在用户通过“身份验证”之前,它是“匿名用户”。这就像每个人都有一个“默认角色”。
添加回答
举报
0/150
提交
取消