Spring security config httpSecurity object method description

1. anyRequest | 匹配所有请求路径
2. access | SpringEl表达式结果为true时可以访问
3. anonymous | 匿名可以访问
4. denyAll | 用户不能访问
5. fullyAuthenticated | 用户完全认证可以访问（非remember-me下自动登录）
6. hasAnyAuthority | 如果有参数，参数表示权限，则其中任何一个权限可以访问
7. hasAnyRole | 如果有参数，参数表示角色，则其中任何一个角色可以访问
8. hasAuthority | 如果有参数，参数表示权限，则其权限可以访问
9. hasIpAddress | 如果有参数，参数表示IP地址，如果用户IP和参数匹配，则可以访问
10. hasRole | 如果有参数，参数表示角色，则其角色可以访问
11. permitAll | 用户可以任意访问
12. rememberMe | 允许通过remember-me登录的用户访问
13. authenticated | 用户登录后可访问

配置案例

    protected void configure(HttpSecurity http) throws Exception {

        http
                //登入
                .formLogin().loginPage("/login")
                .successHandler(this.loadAuthSuccessProcessor())
                .failureHandler(this.loadAuthFailedProcessor())
                //登出
                .and().logout()
                .logoutUrl("/logout") // 退出登录
                .logoutSuccessHandler(this.loadLogoutSuccessProcessor())

                //异常
                .and().exceptionHandling()
                .accessDeniedHandler(this.loadNoPermissionProcessor())
                .authenticationEntryPoint(this.loadNoAuthProcessor())

                //授权
                .and().authorizeRequests()
                //匿名访问
                .antMatchers("/", "/login", "/register").permitAll()
                .antMatchers("/favicon.ico","/robots.txt").permitAll()
                .antMatchers("/js/**","/css/**","/img/**").permitAll()
                .antMatchers("/files/**","/ui/**").permitAll()
                .antMatchers("/swagger-ui/**").permitAll()
                //其它登录访问
                .anyRequest().authenticated()

                //禁止csrf
                .and().csrf().disable()
                //IFrame拒绝问题
                .headers().frameOptions().disable()
        ;
    }

Spring Security 常用注解

1. @EnableGlobalMethodSecurity(securedEnabled=true,prePostEnabled = true)
securedEnabled 确定安全注解 [@Secured] 是否启用
prePostEnabled 确定 前置注解[@PreAuthorize,@PostAuthorize,…] 是否启用

2. @Secured

用于判断是否具有角色，写在方法或类上，参数以 ROLE_开头

3. @PreAuthorize

访问方法或类在执行之前先判断权限,大多情况下都是使用这个注解，注解的参数和access()方法参数取值相同,都是权限表达式。

4. @PostAuthorize

方法或类执行结束后判断权限，一般不会使用到。

5. @PreFilter(filterTarget="ids”, value="filterObject%2==0”)

对传入参数进行过滤，为true才通过，filterTarget指定传入方法参数的变量名ids，对ids进行过滤，为true才通过

6. @PostFilter("filterObject.username == 'admin1')
对返回结果进行过滤，为true才通过

...

SpringBoot的2.4.0之后，对多文件的yml配置进行了更新，旧方式的配置都被划上一道线，也就是说被废弃了，不过还可以正常使用。而properties配置方式没有变化。

2.4.0之前

spring:
  profiles:
    active: dev
---
spring:
  profiles: test
server:
  port: 1111
---
spring:
  profiles: dev
server:
  port: 2222

2.4.0之后

spring:
  profiles:
    active: dev
---
spring:
  config:
    activate:
      on-profile: test
server:
  port: 1111
---
spring:
  config:
    activate:
      on-profile: dev
server:
  port: 2222

即环境配置使用 spring.config.activate.on-profile 替换了 spring.profiles

on-profile: dev  指，当环境是dev时，配置生效，非dev时配置不生效

spring.active, spring.include 并没有改变

配置组应用

spring:
  profiles:
    # 默认环境
    include: database,runtime
    group:
      # test 环境
      test: databasetest,runtimetest
      # prod 环境
      prod: databaseprod,runtimeprod

若在新旧版本应急其间或包版本升级，短时间不方便升级为新的模式，则可以通过配置指定为旧的的处理逻辑，但此模式不建议长时使用。

通过如下参数进行配置：

.