Spring Security(17)——基于方法的权限控制

最新推荐文章于 2023-11-25 21:48:01 发布
VIP文章 最新推荐文章于 2023-11-25 21:48:01 发布
阅读量1w 收藏 5
点赞数 1
分类专栏: Spring Security Spring Security简介 文章标签: Spring Security 方法 权限控制 Secured MethodSecurityInterceptor
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/elim168/article/details/73198070
版权

 

       之前介绍的都是基于URL的权限控制,Spring Security同样支持对于方法的权限控制。可以通过intercept-methods对某个bean下面的方法进行权限控制,也可以通过pointcut对整个Service层的方法进行统一的权限控制,还可以通过注解定义对单独的某一个方法进行权限控制。

 

1.1     intercept-methods定义方法权限控制

       intercept-methods是需要定义在bean元素下的,通过它可以定义对当前的bean的某些方法进行权限控制,具体方法是使用其下的子元素protect进行定义的。protect元素需要指定两个属性,access和method,method表示需要拦截的方法名称,可以使用通配符,access表示执行对应的方法需要拥有的权限,多个权限之间可以使用逗号分隔。

   <bean id="userService" class="com.xxx.service.impl.UserServiceImpl">

      <security:intercept-methods>

         <security:protect access="ROLE_USER" method="find*"/>

         <security:protect access="ROLE_ADMIN" method="add*"/>

         <security:protect access="ROLE_ADMIN" method="update*"/>

         <security:protect access="ROLE_ADMIN" method="delete*"/>

      </security:intercept-methods>

   </bean>

 

       在上面的配置中表示在执行UserServiceImpl的方法名以find开始的方法时需要当前用户拥有ROLE_USER的权限,在执行方法名以add、update或delete开始的方法时需要拥有ROLE_ADMIN的权限。当访问被拒绝时还是交由ExceptionTranslationFilter处理,这也就意味着如果用户未登录则会引导用户进行登录,否则默认将返回403错误码到客户端。

 

1.2     使用pointcut定义方法权限控制

       基于pointcut的方法权限控制是通过global-method-security下的protect-pointcut来定义的。可以在global-method-security元素下定义多个protect-pointcut以对不同的pointcut使用不同的权限控制。

   <security:global-method-security>

      <security:protect-pointcut access="ROLE_READ" expression="execution(* com.elim.*..*Service.find*(..))"/>

      <security:protect-pointcut access="ROLE_WRITE" expression="execution(* com.elim.*..*Service.*(..))"/>

   </security:global-method-security>

 

       上面的定义表示我们在执行com.elim包或其子包下任意以Service结尾的类,其方法名以find开始的所有方法时都需要用户拥有ROLE_READ的权限,对于com.elim包或其子包下任意以Service结尾的类的其它方法在执行时都需要ROLE_WRITE的权限。需要注意的是对应的类需要是定义在ApplicationContext中的bean才行。此外同对于URL的权限控制一样,当定义多个protect-pointcut时更具有特性的应当先定义,因为在pointcut匹配的时候是按照声明顺序进行匹配的,一旦匹配上了后续的将不再进行匹配了。

 

1.3     使用注解定义方法权限控制

       基于注解的方法权限控制也是需要通过global-method-security元素定义来进行启用的。Spring Security在方法的权限控制上支持三种类型的注解,JSR-250注解、@Secured注解和支持表达式的注解。这三种注解默认都是没有启用的,需要单独通过global-method-security元素的对应属性进行启用。

 

1.3.1   JSR-250注解

       要使用JSR-250注解,首先我们需要通过设置global-method-security元素的jsr250-annotation=”enabled”来启用基于JSR-250注解的支持&#

最低0.47元/天 解锁文章
elim168
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring security 2.0 的简单配置使用(补)——用aop控制method权限
03-01
博文链接:https://snz.iteye.com/blog/229915
——基于方法权限控制
dotedy的博客
12-08 2258
基于方法权限控制          之前介绍的都是基于URL的权限控制Spring Security同样支持对于方法权限控制。可以通过intercept-methods对某个bean下面的方法进行权限控制,也可以通过pointcut对整个Service层的方法进行统一的权限控制,还可以通过注解定义对单独的某一个方法进行权限控制。   1.1     intercept-met
SpringsecurityMethodSecurityInterceptor
weixin_33716154的博客
09-06 1391
2019独角兽企业重金招聘Python工程师标准>>> ...
controller层_使用Spring Security方法层的权限拦截
weixin_39541212的博客
11-26 1563
Spring Security中可以通过Authentication(认证)和Authorization(授权)的功能,识别用户身份并完成用户授权。通常的做法是在用户访问某些资源时,通过拦截器方法确认用户身份,如果当前用户身份不明(未登录或者是匿名用户)且被访问资源是非公开资源时,系统会强制跳转至登录页面,在用户登录完成后再跳转回原地址,继续访问资源。这些拦截功能基本都是使用Filter...
SpringSecurity学习(七)授权
Huathy的博客
03-15 1912
SpringSecurity:认证与授权,基于URL的权限管理、基于方法权限管理。权限表达式、授权原理分析。授权实战——权限模型
Spring Security入门宝典(二)中篇
长夜漫漫,无心睡眠
10-10 2748
使用正则表达式进行匹配。和主要的区别就是参数,antMatchers()参数是ant表达式,参数是正则表达式。演示所有以.js结尾的文件都被放行。
SpringBoot+Vue前后端分离,使用SpringSecurity完美处理权限问题的解决方法
11-27
当前后端分离时,权限问题的处理也和我们传统的处理方式有一点差异。笔者前几天刚好在负责一个项目的权限管理模块,现在权限管理模块已经做完了,我想通过5-6篇文章,来介绍一下项目中遇到的问题以及我的解决方案,...
非常珍贵的Spring Security企业级认证与授权全套视频(自鉴过后,良心推荐)
04-02
SpringSecurity 全套开发,设计源码解读,整个拦截器链分析,QQ登录,微信登录,短信验证,短信登录,在security基础上学习写一个自定义验证授权设计模式,整套视频讲解的分享细致认真,非常值得学习。不管小白还是...
SpringSecurity 3.0.1.RELEASE.CHM
03-21
5.5. Spring Security中的访问控制(验证) 5.5.1. 安全和AOP建议 5.5.2. 安全对象和AbstractSecurityInterceptor 5.5.2.1. 配置属性是什么? 5.5.2.2. RunAsManager 5.5.2.3. AfterInvocationManager 5.5.2.4...
word源码java-rbac-security:基于角色的权限访问控制(Role-BasedAccessControl)
06-05
Control的缩写,意思就是基于角色的权限访问控制。 基本思想: 对系统的各种权限不是直接授予具体的用户,而是在用户集合与权限集合之间建立一个角色集合。每一种角色对应一组相应的权限。一旦用户被分配了适当的...
Spring Security核心组件之授权
clyu的博客
01-01 3484
Spring Security 中对于权限控制默认已经提供了很多了,但是,一个优秀的框架必须具备良好的扩展性,恰好,Spring Security 的扩展性就非常棒,我们既可以使用 Spring Security 提供的方式做授权,也可以自定义授权逻辑。一句话,你想怎么玩都可以! 一、 URL层面的授权 1.1 访问控制url的匹配 在配置类中http.authorizeRequests()主要是对url进行控制。配置顺序会影响之后授权的效果,越是具体的应该放在前面,越是笼统的应该放到后面。 anyRequ
Spring Security——组件
violetlove的专栏
09-05 347
一、Security Interceptor:         Security Interceptor组件是Spring Security中最重要的组件,它用来鉴定一个请求是否可以访问某个资源。包含一个抽象类AbstractSecurityInterceptor,以及两个具体的实现类FilterSecurityInterceptor 以及MethodSecurityInterceptor。 ...
说一下Spring Security中@PermitAll和@PreAuthorize的使用
最新发布
qq_55754838的博客
11-25 1305
本文主要来自于看Java开源项目,方便理解开源项目的代码是怎么实现的,加深自己的基本功。
spring security 服务器端方法权限控制
初心不改,事在人为
05-09 1176
配置文件 <security:global-method-security pre-post-annotations=“disabled”/> 注解开启 @EnableGlobalMethodSecuritySpring Security默认是禁用注解的,要想开启注解,需要在继承 WebSecurityConfigurerAdapter的类上加@EnableGlobalMethod...
SpringSecurity6解决requestMatchers().permitAll()后依然执行自定义过滤器的问题
m0_54250110的博客
06-04 6470
Spring容器会自动识别被注册成为Bean对象的Filter过滤器(即继承自Filter对象的类),将这个Bean对象自动注册到SpringBoot的过滤器链中。如果你的过滤器类使用注解注册成为了一个Bean对象,那么他就已经加到了SpringBoot的过滤器链中,所以就算你的SpringSecurity配置中设置了permitAll,可能还会去走SpringBoot的过滤器链。
The bean ‘methodSecurityInterceptor‘, defined in class path resource []could not be registered
资浅程序媛,个人公众/头条/百家号:郑州小闲人,关注权限已向你开放
08-27 2716
项目背景 若依框架springboot整合activiti7时出现报错 问题描述 *************************** APPLICATION FAILED TO START *************************** Description: The bean 'methodSecurityInterceptor', defined in class path resource [org/activiti/spring/boot/MethodSecurityCon
springSecurity之global-method-security
远方的少年
04-10 2442
   springSecurity不仅提供了基于URL的安全访问策略,还提供了方法级别的安全访问策略,如果是用xml配置的形式,就是使用&lt;global-method-security&gt;标签来进行控制,可以在这个里面定义切入点,采用aop或者AspectJ的形式来进行对方法级别的细粒度控制。   但是这里有个问题,就是在这里配置的自定义策略管理器配置的投票器的角色权限前缀不生效,这个有待...
Spring Security(十七):5.8 Method Security
weixin_30830327的博客
12-17 116
From version 2.0 onwards Spring Security has improved support substantially for adding security to your service layer methods. It provides support for JSR-250 annotation security as well as the framew...
spring boot整合spring security实现基于rbac的权限控制
07-27
对于基于 RBAC(Role-Based Access Control)的权限控制,可以使用 Spring Boot 和 Spring Security 来实现。下面是一个简单的步骤指南: 1. 添加依赖:在你的 Spring Boot 项目的 pom.xml 文件中,添加以下依赖: ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值