spring security 注解@EnableGlobalMethodSecurity的三种开启注解方式

最新推荐文章于 2024-04-01 01:11:16 发布
原创 最新推荐文章于 2024-04-01 01:11:16 发布 · 2.6w 阅读 · 20 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring #spring security

本文详细介绍了Spring Security中用于权限控制的各种注解,包括@DenyAll、@RolesAllowed、@PermitAll、@PreAuthorize、@PostAuthorize、@PreFilter及@Secured等,并解释了它们的工作原理和使用场景。
@EnableGlobalMethodSecurity :Spring Security默认是禁用注解的,要想开启注解,需要在继承WebSecurityConfigurerAdapter的类上加@EnableGlobalMethodSecurity注解,并在该类中将AuthenticationManager定义为Bean。
一、JSR-250注解
@DenyAll 拒绝所有访问
@RolesAllowed({"USER", "ADMIN"})  该方法只要具有"USER", "ADMIN"任意一种权限就可以访问。这里可以省 略前缀ROLE_,实际的权限可能是ROLE_ADMIN
@PermitAll 允许所有访问
二、prePostEnabled注解
@PreAuthorize:在方法执行之前执行,而且这里可以调用方法的参数,也可以得到参数值,这是利用JAVA8的参数名反射特性,如果没用JAVA8,那么也可以利用Spring Security的@P标注参数,或者Spring Data的@Param标注参数。
@PreAuthorize("#userId == authentication.principal.userId or hasAuthority(‘ADMIN’)")
void changePassword(@P("userId") long userId ){  }
这里表示在changePassword方法执行之前,判断方法参数userId的值是否等于principal中保存的当前用户的userId,或者当前用户是否具有ROLE_ADMIN权限,两种符合其一,就可以访问该方法。
@PostAuthorize:在方法执行之后执行,而且这里可以调用方法的返回值,如果EL为false,那么该方法也已经执行完了,可能会回滚。EL变量returnObject表示返回的对象。
@PostAuthorize
User getUser("returnObject.userId == authentication.principal.userId or hasPermission(returnObject, 'ADMIN')");
@PreFilter:在方法执行之前执行,而且这里可以调用方法的参数,然后对参数值进行过滤或处理或修改,EL变量filterObject表示参数,如有多个参数,使用filterTarget注解参数。只有方法参数是集合或数组才行。(很少会用到,与分页技术不兼容)

三、securedEnabled 注解
@Secured认证是否有权限访问,例如
@Secured("IS_AUTHENTICATED_ANONYMOUSLY")public Account readAccount(Long id);
@Secured("ROLE_TELLER")
Spring Security注解详解】
samsung_samsung的专栏
05-06 1265
Spring Security 是一个强大的、高度可定制的身份验证和访问控制框架,广泛用于Java应用程序中以确保安全。它提供了多种注解来简化安全控制的实现,特别是在方法级别的权限控制上。
SpringSecurity基于注解实现方法级别授权:@PreAuthorize、@PostAuthorize、@Secured
最新发布
pan_junbiao的博客
02-22 1173
方法调用授权的含义很明确,与 HTTP 端点级别的授权机制一样,人们可以用它来确定某个请求是否具有调用方法的权限。这里可以分成两种情况:如果是在方法调用之前进行授权管理,则称为预授权(PreAuthorization);如果是在方法执行完之后确定是否可以访问方法返回的结构,则称为后授权(PostAuthorization)。在 Spring Security 中,@PreAuthorize 注解是一种用于方法级别授权的强大工具。它允许你在方法执行之前进行权限检查,从而确保只有具备相应权限的用户才能调用该方法
基于java config的springSecurity(四)--启用全局方法安全
01-16
实现了认证,一般都满足不了应用的需求.使用@EnableGlobalMethodSecurity来实现授权,实现用户对某个操作是否有权限的控制.详细请参考:http://blog.csdn.net/xiejx618/article/details/42739707
别再用过时的方式了!全新版本Spring Security,这样用才够优雅!
BASK2312的博客
12-21 880
Spring Security的升级用法确实够优雅,够简单,而且对之前用法的兼容性也比较好!个人感觉一个成熟的框架不太会在升级过程中大改用法,即使改了也会对之前的用法做兼容,所以对于绝大多数框架来说旧版本会用,新版本照样会用!
@EnableGlobalMethodSecurity注解详解
热门推荐
池海
03-05 4万+
作用: 当我们想要开启spring方法级安全时,只需要在任何 @Configuration实例上使用 @EnableGlobalMethodSecurity 注解就能达到此目的。同时这个注解为我们提供了prePostEnabled 、securedEnabled 和 jsr250Enabled 三种不同的机制来实现同一种功能: @Configuration @EnableWebSecurity @...
SpringBoot - @EnableGlobalMethodSecurity注解详解
记录并分享
08-03 3389
使用@EnableGlobalMethodSecurity注解,用于开启Spring环境的方法级安全,如果实现该方案需要在添加了@Configuration注解的类上再添加@EnableGlobalMethodSecurity注解即可,通常是继承WebSecurityConfigurerAdapter基类,使用自定义的处理器或者过滤器,实现符合业务场景的访问控制。......
SpringBoot3】Spring Security 常用注解
不积跬步无以至千里,不积小流无以成江海。一个喜欢学习分享的程序员
02-19 2699
Spring Security 6 的常用注解包括以下几种,通过这些注解可以更加方便的控制资源权限。 - `@Secured` :方法执行前检查,直接判断有没有对应的角色 - `@PreAuthorize`:方法执行前检查,根据SpEL表达式执行结果判断是否授权 - `@PostAuthorize`:方法执行后检查,根据SpEL表达式执行结果判断是否授权
SpringSecurity进阶:使用@EnableGlobalMethodSecurity实现方法级授权
值得注意的是,`@EnableGlobalMethodSecurity`以及相关安全注解的使用,是在开发者已经构建了Spring Security框架基本认证体系之后,向系统中添加授权规则的高级应用。因此,在深入了解如何启用和使用全局方法安全...
Spring Security 实战内容:基于注解的接口角色访问控制
m0_66876551的博客
04-14 452
1. 前言 基于配置的接口角色访问控制[2] 我们讲解了如何通过 javaConfig 的方式配置接口的角色访问控制。其实还有一种更加灵活的配置方式 基于注解 。今天我们就来探讨一下。DEMO 获取方式在文末。 2. Spring Security 方法安全 Spring Security 基于注解的安全认证是通过在相关的方法上进行安全注解标记来实现的。 2.1 开启全局方法安全 我们可以在任何 @Configuration实例上使用 @EnableGlobalMethodSecurity 注解来启用全局方
Spring SecurityEnableGlobalMethodSecurity注解详解
Smiling Ron的博客
02-12 4182
@EnableGlobalMethodSecurity 详解 @EnableGlobalMethodSecurity(securedEnabled=true) 开启@Secured 注解过滤权限 例如:@Secured({“ROLE_EMP”})、@Secured({“ROLE_EMP”, “ROLE_ROOT”})、@Secured({“ROLE_ROOT”}) @EnableGlobalMet...
@EnableGlobalMethodSecurity(prePostEnabled=true)
盲目的拾荒者的博客
05-24 1万+
关于@EnableGlobalMethodSecurity(prePostEnabled=true)的解释: 开启基于方法的安全认证机制,也就是说在web层的controller启用注解机制的安全确认, @ApiOperation(value = "获取用户列表", httpMethod = "GET") @GetMapping @PreAuthorize("hasAuth...
@EnableGlobalMethodSecurity和@EnableWebSecurity的区别及使用场景
m0_70276286的博客
04-01 1360
EnableGlobalMethodSecurity和@EnableWebSecuritySpring Security框架中的两个重要注解,它们各自在Spring应用的安全性方面发挥着不同的作用。下面是这两个注解的区别以及使用场景和举例说明。
Spring Security@EnableGlobalMethodSecurity 方法级安全
点滴记录
10-14 1940
默认情况下, Spring Security 并不启用方法级的安全管控. 启用方法级的管控后, 可以针对不同的方法通过注解设置不同的访问条件. @EnableGlobalMethodSecurity(prePostEnabled = true) public class SecurityConfig extends WebSecurityConfigurerAdapter {} Spring...
Security启用@EnableGlobalMethodSecurity实现API接口权限校验
WannaRunning的博客
12-14 658
基于token的校验方式通常是作用于一个服务或应用范围,在一个应用内继续进行更细粒度的权限校验控制,就是实现用户对某个接口的调用权限控制。 @EnableGlobalMethodSecurity Security应用中的@Configuration实例上添加@EnableGlobalMethodSecurity 注解开启注解权限控制功能。 @EnableGlobalMethodSecurity(prePostEnabled = true) 其实这个注解为我们提供了prePostEnabled 、s
spring security 注解@EnableGlobalMethodSecurity详解
weixin_34138521的博客
08-04 200
 1、Spring Security默认是禁用注解的,要想开启注解,需要在继承WebSecurityConfigurerAdapter的类上加@EnableGlobalMethodSecurity注解,来判断用户对某个控制层的方法是否具有访问权限 @Configuration@EnableWebSecurity@EnableGlobalMethodSecurity(prePostEnabled ...
@EnableGlobalMethodSecurity详解
ywb201314的专栏
10-09 1703
注解的机制是只要其声明的角色集合(value)中包含当前用户持有的任一角色就可以访问。也就是 用户的角色集合和 @Secured 注解的角色集合要存在非空的交集。从名字就可以看出@PreAuthorize 注解会在方法执行前进行验证,而 @PostAuthorize 注解会在方法执行后进行验证。在需要安全[角色/权限等]的方法上指定 @Secured,并且只有那些角色/权限的用户才可以调用该方法。@PostFilter: 和@PreFilter 不同的是, 基于返回值相关的表达式,对返回值进行过滤。
自定义security的权限验实现 @EnableGlobalMethodSecurity(prePostEnabled = true)
cominglately的博客
12-22 1815
我们使用SPEL的方式自定义实现权限控制,比如: @PreAuthorize(“@customPermission.hasPermission(‘system:user:create’)”) 代表着调用customPermission bean的hasPermission 返回true代表有权限,false没有权限。securedEnabled = true 表示启用 @Secured 注解,允许在方法上使用 @Secured 注解定义基于角色的访问控制。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值