关于 spring security 配置问题

monkeyWie:想实现只对 /actuator/** 路径会进行鉴权,并且在源 ip 为内网的时候放行,否则需要通过 HTTP basic 认证

目前的配置可以实现内网放行,代码如下:

http.antMatcher("/actuator/**")
                .authorizeRequests()
                .anyRequest()
                .access("hasIpAddress('::1')" +
                        " or hasIpAddress('127.0.0.1')" +
                        " or hasIpAddress('10.0.0.0/8')" +
                        " or hasIpAddress('172.16.0.0/12')" +
                        " or hasIpAddress('192.168.0.0/16')")
                .and()
                .httpBasic();

但是这样的话会导致配置文件中定义的用户名和密码失效:

spring.security.user.name=admin
spring.security.user.password=123456

之前不做 ip 白名单的时候配置的用户密码可以生效的:

http.antMatcher("/actuator/**").authorizeRequests()
                .anyRequest().authenticated()
                .and()
                .httpBasic();

大佬们帮忙看看应该怎么配置,或者有没有什么最简单的办法能做自定义的权限校验。

Spring Security @Secured批注和用户权限 - java

这是关于Spring v.4(MVC +安全性)的。我已经实现了UserDetailsServiceImpl,其中在loadUserByUsername方法内部向用户授予了其权限。说的很简单:public UserDetails loadUserByUsername(String username) { ... Collection<GrantedAu…

Spring MVC Web应用程序检测暴力攻击的最佳方法? - java

Spring 3.0 MVC中是否有专门用于帮助检测Web应用程序的身份验证/登录页面上的蛮力攻击的功能? 参考方案 经过长期验证的实践是,如果身份验证失败,则会引入随机但相当大的延迟。这样,合法用户将立即登录,但攻击者每次尝试将花费500ms-1s,这使整个暴力概念不切实际(将永远存在)。合法用户偶尔失败的登录只会使他们稍有延迟,并且不会引起注意。如果需要…

Spring Security不允许加载CSS或JS资源 - java

该资源位于src / main / resources / static / css或src / main / resources / static / js下,我使用的是Spring Boot,安全级别为:@Configuration @EnableWebMvcSecurity @EnableGlobalAuthentication public clas…

Spring Security更改登录用户的角色不会立即生效 - java

我正在使用Spring Security 3.2。在更改其角色后,我可以动态地重新加载当前用户的授权:UserDetailsImpl userDetails = new UserDetailsImpl(dao.getEntity(User.class,currentUserService.getUserDetails().getUsername())); A…

Spring Security SAML:从saml2p:Response中提取属性作为用户属性 - java

昨天我一直在研究Spring Security Yaml,以使其与Okta SAML一起使用。登录有效,但是响应XML包含用户属性,这些用户属性显然无法自动提取到属性映射中。响应包含这样的字段<saml2:Attribute Name="user.lastName" NameFormat="urn:oasis:names:…