Spring Security下H2数据库控制台的正确配置与访问策略

程序猿 • 2025年12月2日 02:08:31 • java • 阅读 0

spring security下h2数据库控制台的正确配置与访问策略

本文旨在解决在Spring Boot应用中集成Spring Security后，H2数据库控制台无法正常访问的问题。即使配置了permitAll()，H2控制台仍可能因CSRF保护和iframe安全策略而受阻。我们将详细介绍如何利用PathRequest.toH2Console()或AntPathRequestMatcher正确配置Spring Security，以允许对H2控制台的访问，并确保必要的CSRF忽略和iframe同源策略设置，从而实现H2控制台的顺畅使用。

H2数据库控制台的集成基础

H2数据库是一个轻量级的内存或文件型数据库，常用于开发和测试环境。Spring Boot提供了对其的良好支持，包括一个内置的Web控制台，方便开发者管理和查看数据。

要启用H2控制台，首先需要在项目的pom.xml中添加H2数据库的依赖：

   com.h2database   h2   runtime

接着，在application.properties或application.yml中配置H2数据库和控制台：

spring.datasource.url=jdbc:h2:file:/data/noNameDB # 示例：文件模式数据库路径spring.h2.console.enabled=true # 启用H2控制台spring.h2.console.path=/h2-console # 设置控制台访问路径spring.datasource.driverClassName=org.h2.Driverspring.datasource.username=adminspring.datasource.password=adminspring.jpa.database-platform=org.hibernate.dialect.H2Dialectspring.jpa.show-sql=truespring.jpa.hibernate.ddl-auto=update

配置完成后，理论上可以通过http://localhost:8080/h2-console访问控制台。然而，当Spring Security集成到应用中时，访问往往会受阻。

Spring Security对H2控制台的默认影响

当Spring Security集成到Spring Boot应用中时，它会默认对所有传入的HTTP请求进行安全检查。即使在SecurityConfig中通过requestMatchers(“/h2-console/**”).permitAll()明确允许了对H2控制台路径的访问，开发者仍然可能遇到401 Unauthorized或403 Forbidden错误，或者控制台页面无法正常显示。

这通常是由于以下几个原因：

稿定抠图

AI自动消除图片背景

76 查看详情稿定抠图 CSRF保护（Cross-Site Request Forgery）: Spring Security默认启用CSRF保护。H2控制台在提交表单时通常不包含有效的CSRF令牌，导致请求被拒绝。Frame Options安全策略: H2控制台通常在一个iframe中运行。Spring Security的默认X-Frame-Options策略（例如DENY或SAMEORIGIN但配置不当）可能阻止浏览器加载iframe内容，导致页面空白或显示错误。请求匹配器差异: Spring Security内部处理路径匹配的方式可能比预期的更复杂。简单的字符串路径匹配器（String… patterns）在某些Spring Security版本或配置下，可能被解释为MvcRequestMatcher，而H2控制台并非Spring MVC端点，这可能导致匹配失败。

解决方案：正确配置Spring Security

为了确保H2控制台能够正常访问，我们需要在Spring Security配置中进行以下调整：

1. 允许H2控制台路径的访问

最直接且推荐的方法是使用Spring Boot提供的PathRequest.toH2Console()来创建请求匹配器。这种方式能够确保Spring Security正确识别H2控制台路径，并应用适当的授权规则。

import static org.springframework.boot.autoconfigure.security.servlet.PathRequest.toH2Console; // 导入静态方法import org.springframework.context.annotation.Bean;import org.springframework.context.annotation.Configuration;import org.springframework.security.config.annotation.web.builders.HttpSecurity;import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;import org.springframework.security.web.SecurityFilterChain;@Configuration@EnableWebSecuritypublic class SecurityConfig {    @Bean    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {        http            .authorizeHttpRequests(auth -> auth                .requestMatchers(toH2Console()).permitAll() // 允许H2控制台访问                .anyRequest().authenticated() // 其他所有请求需要认证            )            .csrf(csrf -> csrf                .ignoringRequestMatchers(toH2Console()) // 忽略H2控制台的CSRF保护            )            .headers(headers -> headers                .frameOptions(frameOptions -> frameOptions.sameOrigin()) // 允许H2控制台在同源iframe中显示            );            // ... 其他Spring Security配置，例如JWT过滤器等        return http.build();    }}

配置详解：

requestMatchers(toH2Console()).permitAll()：这是Spring Boot推荐的方式，它内部会生成一个AntPathRequestMatcher，精确匹配H2控制台路径，并允许所有用户访问。csrf(csrf -> csrf.ignoringRequestMatchers(toH2Console()))：明确告诉Spring Security，对于H2控制台路径的请求，禁用CSRF保护。这是因为H2控制台的UI可能不会发送CSRF令牌。headers(headers -> headers.frameOptions(frameOptions -> frameOptions.sameOrigin()))：设置X-Frame-Options头为SAMEORIGIN。这允许H2控制台在与应用同源的iframe中加载，解决了因浏览器安全策略导致的显示问题。

2. 替代方案：使用AntPathRequestMatcher

如果由于某种原因无法使用PathRequest.toH2Console()（例如，非Spring Boot项目或自定义需求），可以直接使用AntPathRequestMatcher。这种方式提供了更底层的控制，其效果与toH2Console()类似。

import org.springframework.security.web.util.matcher.AntPathRequestMatcher;// ... 其他导入@Configuration@EnableWebSecuritypublic class SecurityConfig {    @Bean    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {        http            .authorizeHttpRequests(auth -> auth                .requestMatchers(new AntPathRequestMatcher("/h2-console/**")).permitAll()                .anyRequest().authenticated()            )            .csrf(csrf -> csrf                .ignoringRequestMatchers(new AntPathRequestMatcher("/h2-console/**"))            )            .headers(headers -> headers                .frameOptions(frameOptions -> frameOptions.sameOrigin())            );            // ... 其他配置        return http.build();    }}

请注意，AntPathRequestMatcher的构造函数接受路径字符串，它会创建一个基于Ant风格路径匹配的请求匹配器。

完整配置示例（结合JWT认证）

考虑到原始问题中包含了JWT认证的配置，以下是一个更完整的示例，展示了如何将H2控制台的配置与JWT过滤器等结合起来：

import com.example.noName.security.JwtAuthenticationEntryPoint;import com.example.noName.security.JwtAuthenticationFilter;import org.springframework.beans.factory.annotation.Autowired;import org.springframework.context.annotation.Bean;import org.springframework.context.annotation.Configuration;import org.springframework.security.authentication.AuthenticationManager;import org.springframework.security.config.annotation.authentication.configuration.AuthenticationConfiguration;import org.springframework.security.config.annotation.web.builders.HttpSecurity;import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;import org.springframework.security.config.http.SessionCreationPolicy;import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;import org.springframework.security.crypto.password.PasswordEncoder;import org.springframework.security.web.SecurityFilterChain;import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;import static org.springframework.boot.autoconfigure.security.servlet.PathRequest.toH2Console; // 导入H2控制台路径匹配器@Configuration@EnableWebSecuritypublic class SecurityConfig {    @Autowired    private JwtAuthenticationEntryPoint jwtAuthenticationEntryPoint;    @Bean    public JwtAuthenticationFilter jwtAuthenticationFilter() {        return new JwtAuthenticationFilter();    }    @Bean    public PasswordEncoder passwordEncoder() {        return new BCryptPasswordEncoder();    }    @Bean    public AuthenticationManager authenticationManager(            AuthenticationConfiguration authConfig) throws Exception {        return authConfig.getAuthenticationManager();    }    @Bean

以上就是Spring Security下H2数据库控制台的正确配置与访问策略的详细内容，更多请关注创想鸟其它相关文章！

版权声明：本文内容由互联网用户自发贡献，该文观点仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容，请发送邮件至 chuangxiangniao@163.com 举报，一经查实，本站将立刻删除。
发布者：程序猿，转转请注明出处：https://www.chuangxiangniao.com/p/1028573.html

ai app crypt red session spring mvc spring security word 浏览器

打赏

微信扫一扫

支付宝扫一扫

0 0

关于作者

程序猿签约作者

414.1K 文章

0 评论

2 粉丝

这个人很懒，什么都没有留下～

Java中实现货币类加法操作的指南与实践

上一篇 2025年12月2日 02:08:20

Java自定义链表：在指定索引处插入元素的正确实现

下一篇 2025年12月2日 02:08:41

好文分享

Uniapp 中如何不拉伸不裁剪地展示图片？

灵活展示图片：如何不拉伸不裁剪在界面设计中，常常需要以原尺寸展示用户上传的图片。本文将介绍一种在 uniapp 框架中实现该功能的简单方法。对于不同尺寸的图片，可以采用以下处理方式：极端宽高比：撑满屏幕宽度或高度，再等比缩放居中。非极端宽高比：居中显示，若能撑满则撑满。然而，如果需要不拉伸不…

程序猿
2025年12月24日
4000
好文分享

如何让小说网站控制台显示乱码，同时网页内容正常显示？

如何在不影响用户界面的情况下实现控制台乱码？当在小说网站上下载小说时，大家可能会遇到一个问题：网站上的文本在网页内正常显示，但是在控制台中却是乱码。如何实现此类操作，从而在不影响用户界面（UI）的情况下保持控制台乱码呢？答案在于使用自定义字体。网站可以通过在服务器端配置自定义字体，并通过在客户端…

程序猿
2025年12月24日
8000
好文分享

如何在地图上轻松创建气泡信息框？

地图上气泡信息框的巧妙生成地图上气泡信息框是一种常用的交互功能，它简便易用，能够为用户提供额外信息。本文将探讨如何借助地图库的功能轻松创建这一功能。利用地图库的原生功能大多数地图库，如高德地图，都提供了现成的信息窗体和右键菜单功能。这些功能可以通过以下途径实现：高德地图 JS API 参考文…

程序猿
2025年12月24日
4000
好文分享

如何使用 scroll-behavior 属性实现元素scrollLeft变化时的平滑动画？

如何实现元素scrollleft变化时的平滑动画效果？在许多网页应用中，滚动容器的水平滚动条（scrollleft）需要频繁使用。为了让滚动动作更加自然，你希望给scrollleft的变化添加动画效果。解决方案：scroll-behavior 属性要实现scrollleft变化时的平滑动画效果…

程序猿
2025年12月24日
0000
好文分享

如何为滚动元素添加平滑过渡，使滚动条滑动时更自然流畅？

给滚动元素平滑过渡如何在滚动条属性（scrollleft）发生改变时为元素添加平滑的过渡效果？解决方案：scroll-behavior 属性为滚动容器设置 scroll-behavior 属性可以实现平滑滚动。 html 代码： click the button to slide right!…

程序猿
2025年12月24日
5000
好文分享

如何选择元素个数不固定的指定类名子元素？

灵活选择元素个数不固定的指定类名子元素在网页布局中，有时需要选择特定类名的子元素，但这些元素的数量并不固定。例如，下面这段 html 代码中，activebar 和 item 元素的数量均不固定： *n *n 如果需要选择第一个 item元素，可以使用 css 选择器 :nth-child()。该…

程序猿
2025年12月24日
2000
好文分享

使用 SVG 如何实现自定义宽度、间距和半径的虚线边框？

使用 svg 实现自定义虚线边框如何实现一个具有自定义宽度、间距和半径的虚线边框是一个常见的前端开发问题。传统的解决方案通常涉及使用 border-image 引入切片图片，但是这种方法存在引入外部资源、性能低下的缺点。为了避免上述问题，可以使用 svg（可缩放矢量图形）来创建纯代码实现。一种方…

程序猿
2025年12月24日
1000
好文分享

如何让“元素跟随文本高度，而不是撑高父容器？

如何让元素跟随文本高度，而不是撑高父容器在页面布局中，经常遇到父容器高度被子元素撑开的问题。在图例所示的案例中，父容器被较高的图片撑开，而文本的高度没有被考虑。本问答将提供纯css解决方案，让图片跟随文本高度，确保父容器的高度不会被图片影响。解决方法为了解决这个问题，需要将图片从文档流中脱离…

程序猿
2025年12月24日
0000
好文分享

为什么 CSS mask 属性未请求指定图片？

解决 css mask 属性未请求图片的问题在使用 css mask 属性时，指定了图片地址，但网络面板显示未请求获取该图片，这可能是由于浏览器兼容性问题造成的。问题如下代码所示：立即学习“前端免费学习笔记（深入）”； icon [data-icon=”cloud”] { –icon-cl…

程序猿
2025年12月24日
2000
好文分享

如何利用 CSS 选中激活标签并影响相邻元素的样式？

如何利用 css 选中激活标签并影响相邻元素？为了实现激活标签影响相邻元素的样式需求，可以通过 :has 选择器来实现。以下是如何具体操作：对于激活标签相邻后的元素，可以在 css 中使用以下代码进行设置： li:has(+li.active) { border-radius: 0 0 10px…

程序猿
2025年12月24日
1000
好文分享

如何模拟Windows 10 设置界面中的鼠标悬浮放大效果？

win10设置界面的鼠标移动显示周边的样式（探照灯效果）的实现方式在windows设置界面的鼠标悬浮效果中，光标周围会显示一个放大区域。在前端开发中，可以通过多种方式实现类似的效果。使用css 使用css的transform和box-shadow属性。通过将transform: scale(1.…

程序猿
2025年12月24日
2000
好文分享

为什么我的 Safari 自定义样式表在百度页面上失效了？

为什么在 Safari 中自定义样式表未能正常工作？在 Safari 的偏好设置中设置自定义样式表后，您对其进行测试却发现效果不同。在您自己的网页中，样式有效，而在百度页面中却失效。造成这种情况的原因是，第一个访问的项目使用了文件协议，可以访问本地目录中的图片文件。而第二个访问的百度使用了 ht…

程序猿
2025年12月24日
0000
好文分享

如何用前端实现 Windows 10 设置界面的鼠标移动探照灯效果？

如何在前端实现 Windows 10 设置界面中的鼠标移动探照灯效果想要在前端开发中实现 Windows 10 设置界面中类似的鼠标移动探照灯效果，可以通过以下途径： CSS 解决方案 DEMO 1: Windows 10 网格悬停效果：https://codepen.io/tr4553r7/pe…

程序猿
2025年12月24日
0000
好文分享

使用CSS mask属性指定图片URL时，为什么浏览器无法加载图片？

css mask属性未能加载图片的解决方法使用css mask属性指定图片url时，如示例中所示： mask: url(“https://api.iconify.design/mdi:apple-icloud.svg”) center / contain no-repeat; 但是，在网络面板中却…

程序猿
2025年12月24日
0000
好文分享

如何用CSS Paint API为网页元素添加时尚的斑马线边框？

为元素添加时尚的斑马线边框在网页设计中，有时我们需要添加时尚的边框来提升元素的视觉效果。其中，斑马线边框是一种既醒目又别致的设计元素。实现斜向斑马线边框要实现斜向斑马线间隔圆环，我们可以使用css paint api。该api提供了强大的功能，可以让我们在元素上绘制复杂的图形。立即学习“前端…

程序猿
2025年12月24日
0000
好文分享

图片如何不撑高父容器？

如何让图片不撑高父容器？当父容器包含不同高度的子元素时，父容器的高度通常会被最高元素撑开。如果你希望父容器的高度由文本内容撑开，避免图片对其产生影响，可以通过以下 css 解决方法：绝对定位元素： .child-image { position: absolute; top: 0; left: …

程序猿
2025年12月24日
0000
CSS 帮助

我正在尝试将文本附加到棕色框的左侧。我不能。我不知道代码有什么问题。请帮助我。 css .hero { position: relative; bottom: 80px; display: flex; justify-content: left; align-items: start; color:…

程序猿
2025年12月24日 • 好文分享
2000
好文分享

前端代码辅助工具：如何选择最可靠的AI工具？

前端代码辅助工具：可靠性探讨对于前端工程师来说，在HTML、CSS和JavaScript开发中借助AI工具是司空见惯的事情。然而，并非所有工具都能提供同等的可靠性。个性化需求关于哪个AI工具最可靠，这个问题没有一刀切的答案。每个人的使用习惯和项目需求各不相同。以下是一些影响选择的重要因素：立…

程序猿
2025年12月24日
3000
好文分享

如何用 CSS Paint API 实现倾斜的斑马线间隔圆环？

实现斑马线边框样式：探究 css paint api 本文将探究如何使用 css paint api 实现倾斜的斑马线间隔圆环。问题：给定一个有多个圆圈组成的斑马线图案，如何使用 css 实现倾斜的斑马线间隔圆环？答案：立即学习“前端免费学习笔记（深入）”；使用 css paint api…

程序猿
2025年12月24日
0000
好文分享

如何使用CSS Paint API实现倾斜斑马线间隔圆环边框？

css实现斑马线边框样式想定制一个带有倾斜斑马线间隔圆环的边框？现在使用css paint api，定制任何样式都轻而易举。 css paint api 这是一个新的css特性，允许开发人员创建自定义形状和图案，其中包括斑马线样式。立即学习“前端免费学习笔记（深入）”；实现倾斜斑马线间隔圆环 …

程序猿
2025年12月24日
1000