SpringSecurity保护了什么？你知道吗？

Spring Security仅对保护应用程序中的路径感兴趣

Spring Security 主要用于保护应用程序中的特定路径或者 URL，以确保只有经过授权的用户能够访问受保护的资源。对于其他路径或者 URL，Spring Security 可能会忽略或者不处理。WC328资讯网——每日最新资讯28at.com

忽略 contextPath

在 Servlet 容器中，contextPath 是指 Web 应用程序的上下文路径，即应用程序部署的根路径。这句话指出，Spring Security 在处理路径时会忽略 contextPath。换句话说，即使请求的 URL 包含了应用程序的上下文路径，Spring Security 也会将其视为未经过上下文路径修饰的路径来处理。WC328资讯网——每日最新资讯28at.com

servletPath 和 pathInfo 的不确定性

在 Servlet 规范中，并没有准确定义 servletPath 和 pathInfo 的值将包含特定请求 URI 的内容。这两个值的含义可能会因不同的 Servlet 容器或者配置而有所不同。因此，对于某些特定的请求 URI，servletPath 和 pathInfo 的值可能会包含不同的内容，这可能会影响 Spring Security 对请求路径的处理。WC328资讯网——每日最新资讯28at.com

综上所述，这句话强调了 Spring Security 在处理路径时的一些限制和不确定性，特别是与 Servlet 规范相关的部分。开发者在配置和使用 Spring Security 时需要考虑这些因素，并确保理解和处理路径的方式与应用程序的要求和预期一致。WC328资讯网——每日最新资讯28at.com

Ant样式路径

在 Spring Security 中，Ant 样式路径指的是一种类似于 Ant 的路径匹配模式，它允许使用通配符来匹配 URL 路径。这种路径匹配方式可以通过简单的模式来匹配一系列的 URL 路径，具有灵活性和便利性。WC328资讯网——每日最新资讯28at.com

Ant 样式路径匹配的常见通配符

• ?匹配任意单个字符。
• *匹配任意数量的字符，包括空字符。
• `` 匹配任意数量的路径段。

例如WC328资讯网——每日最新资讯28at.com

• /admin/ 可以匹配 /admin/user、/admin/user/profile 等路径。
• /user/*/profile 可以匹配 /user/john/profile、/user/jane/profile 等路径。

AntPathRequestMatcher

是 Spring Security 中用于 Ant 样式路径匹配的工具类，提供了一些方法来执行路径匹配和比较。一些常用的方法包括WC328资讯网——每日最新资讯28at.com

AntPathRequestMatcher(String pattern)

构造一个 Ant 样式路径匹配器，使用指定的模式来匹配路径。WC328资讯网——每日最新资讯28at.com

matches(HttpServletRequest request)

检查指定的 HTTP 请求是否与模式匹配。这个方法通常用于检查当前请求是否与配置的路径匹配。WC328资讯网——每日最新资讯28at.com

getPattern()

获取当前匹配器使用的模式。WC328资讯网——每日最新资讯28at.com

setCaseSensitive(boolean caseSensitive)

设置是否区分大小写，默认为 true。WC328资讯网——每日最新资讯28at.com

setTrimTokens(boolean trimTokens)

设置是否对路径进行去空格处理，默认为 true。WC328资讯网——每日最新资讯28at.com

setPathMatcher(PathMatcher pathMatcher)

设置路径匹配器，用于执行路径匹配，默认使用 AntPathMatcher。WC328资讯网——每日最新资讯28at.com

通过使用 AntPathRequestMatcher，可以方便地配置 Spring Security 权限控制规则，实现对特定路径的访问控制。WC328资讯网——每日最新资讯28at.com

HttpFirewall

HttpFirewall 是 Spring Security 中用于防止 HTTP 请求攻击的接口，主要用于对 HTTP 请求中的特殊字符进行过滤和处理，以防止恶意用户利用这些特殊字符进行攻击。WC328资讯网——每日最新资讯28at.com

HttpFirewall 接口提供的功能

对特殊字符进行过滤

HttpFirewall 可以对 HTTP 请求中的特殊字符进行过滤，包括 URL 路径、查询参数、请求头等，以防止恶意用户利用这些特殊字符进行攻击，例如跨站脚本（XSS）攻击、路径遍历攻击等。WC328资讯网——每日最新资讯28at.com

规范化 URL 路径

HttpFirewall 可以对 URL 路径进行规范化处理，以确保路径的格式正确且安全。例如，可以移除路径中多余的斜杠、解码路径中的 URL 编码等。WC328资讯网——每日最新资讯28at.com

处理请求参数

HttpFirewall 可以对 HTTP 请求中的查询参数进行处理，包括解码 URL 编码、过滤特殊字符等，以确保参数的安全性。WC328资讯网——每日最新资讯28at.com

自定义策略

HttpFirewall 允许用户自定义特殊字符过滤和处理的策略，以满足不同场景下的安全需求。WC328资讯网——每日最新资讯28at.com

HttpFirewall 接口的常用实现类

StrictHttpFirewall

严格的 HTTP 防火墙，对 URL 路径和查询参数进行严格的字符过滤和处理，确保符合 HTTP 规范和安全要求。WC328资讯网——每日最新资讯28at.com

DefaultHttpFirewall

默认的 HTTP 防火墙，提供一些基本的安全防护功能，但不如严格防火墙严格。WC328资讯网——每日最新资讯28at.com

用户自定义实现类

用户可以根据自身的需求，实现 HttpFirewall 接口来自定义特殊字符过滤和处理的策略，以满足特定的安全需求。WC328资讯网——每日最新资讯28at.com

通过使用 HttpFirewall 接口及其实现类，可以有效地防止 HTTP 请求攻击，提高应用程序的安全性。WC328资讯网——每日最新资讯28at.com

转发HttpFirewall产生的安全日志

HttpFirewall 接口本身并没有提供专门用于日志转发的方法。它主要是用于防止 HTTP 请求攻击，例如路径遍历攻击、跨站脚本攻击等。它的主要责任是对 HTTP 请求中的特殊字符进行过滤和处理，以确保请求的安全性。WC328资讯网——每日最新资讯28at.com

如果我们想要将 HttpFirewall 的操作记录到日志中，我们可以通过以下几种方式实现WC328资讯网——每日最新资讯28at.com

使用 AOP

利用 Spring 的 AOP 功能，为 HttpFirewall 的实现类添加切面，在关键的操作点前后记录日志。WC328资讯网——每日最新资讯28at.com

自定义实现类

创建一个自定义的 HttpFirewall 实现类，在其中添加日志记录的逻辑。WC328资讯网——每日最新资讯28at.com

使用代理类

创建一个代理类，实现 HttpFirewall 接口，并在代理类中添加日志记录的逻辑，然后将请求转发给真正的 HttpFirewall 实现类。WC328资讯网——每日最新资讯28at.com

这些方法都可以实现将 HttpFirewall 的操作记录到日志中，我们可以根据自己的需求和项目的实际情况选择适合的方式进行实现。WC328资讯网——每日最新资讯28at.com

本文链接：http://www.28at.com/showinfo-26-81738-0.htmlSpringSecurity保护了什么？你知道吗？

声明：本网页内容旨在传播知识，若有侵权等问题请及时与本网联系，我们将在第一时间删除处理。邮件：2376512515@qq.com

上一篇： 你有思考过@Transactional事务是真的好用吗？

下一篇： 受 TypeScript 启发，微软又搞了一个神器！