HttpSecurity 是 Spring Security 中用于配置 HTTP 安全性的核心類。它允許你定義各種安全規則和過濾器,以保護 Web 應用程序中的不同 URL 和請求。下面是對 HttpSecurity 中常見配置的詳細解析,以及每個配置的意義。
1. csrf
配置:
http.csrf(customizers -> customizers.disable());
意義:
- CSRF(Cross-Site Request Forgery):跨站請求偽造攻擊。
.disable():禁用 CSRF 保護。在前后端分離的應用中,通常使用 JWT 或其他機制進行身份驗證,因此可以禁用 CSRF 保護。
2. authorizeHttpRequests
配置:
http.authorizeHttpRequests((authorize) -> authorize.requestMatchers("/**.js","/**.css","/**.ico","/**.jpg","/**.png","/**.gif"
設計原則之合成復用原則)
)
)
)
