SpringSecurity方法层4种方式使用

最新推荐文章于 2024-02-29 09:04:35 发布
最新推荐文章于 2024-02-29 09:04:35 发布
阅读量1w 收藏 4
点赞数
分类专栏: javaweb ssh

 SpringSecurity方法层安全基于SpringAOP技术,它有自己的@Secured注解,SpringSecurity支持四种方法层

的安全:

      (1) Methods annotated with @Secured.

      (2) Methods annotated with JSR-250's @RolesAllowed.

      (3) Methods annotated with Spring's pre- and post-invocation annotations.

      (4) Methods matching one or more explicitly declared pointcuts.

      启用方法层注解

      <global-method-security secured-annotations="enabled" />

1. Securing methods with @Secured

    @Secured({"ROLE_SPITTER", "ROLE_ADMIN"}) 
    public void addSpittle(Spittle spittle) {
           // ...
    }

    示例说明:指认证的用户必须被授予"ROLE_SPITTER", "ROLE_ADMIN"其中的一个权限才能访问该方法;如果没

    有这两个中任何一个权限将抛出异常或是AuthenticationException or AccessDeniedException的子异常。如

    果方法被在Web请求中调用,异常将被SpringSecurity自动调用。

2. Using JSR-250's @RolesAllowed

    <global-method-security jsr250-annotations="enabled" />

    JSR-250's @RolesAllowed与secured-annotations可同时被启用,推荐使用该方式启用注解,因为他是Java的

    标准注解。

3. Pre-/Post-invocation security with SpEL

    <global-method-security pre-post-annotations="enabled" />

    主要有四个:

    (1) @PreAuthorized: 基于表达式的结果在调用方法前限制方法被访问。

    @PreAuthorize("hasRole('ROLE_SPITTER')")
            public void addSpittle(Spittle spittle) {
            // ...
     }

    拥有角色ROLE_SPITTER的用户可以访问addSpittle方法。

    @PreAuthorize("(hasRole('ROLE_SPITTER') and #spittle.text.length() <= 140)
           or hasRole('ROLE_PREMIUM')") 
     public void addSpittle(Spittle spittle) {
                // ...
    }

    拥有角色ROLE_SPITTER的用户的参数spittle字符只能少于140ge,而拥有角色ROLE_PREMIUM的用户则不受

    此限制。

    (2) @PostAuthorized: 如果表达式结果为false,允许方法被调用,同时抛出一个安全异常。

    该注解主要是基于被保护的方法的返回值来决定执行表达式,例如:

    @PostAuthorize("returnObject.spitter.username == principal.username") 
    public Spittle getSpittleById(long id) {
          // ...
    }

    当返回的Spittle对象属于被认证的用户时才可以访问该方法,本例中returnObject是SpringEL提供的一个name

    用于方便获取返回的对象,而principal是SpringSecuroty提供的用于代表被当前认证的用户。如果认证失败,则

    AccessDeniedException异常将抛出。

    (3) @PostFilter:允许一个方法被调用,但是用每一个表达式去过滤方法的结果。

    (4) @PreFilter: 允许一个方法被调用,但是过滤在进如方法之前的输入。

4. 声明方法层的安全切点

    用于同时给多个方法添加安全:

    <global-method-security>
    <protect-pointcut access="ROLE_SPITTER"  expression=
              "execution(@com.habuma.spitter.Sensitive * *.*(String))"/>
    </global-method-security>

    该配置将识别任何拥有@Sensitive的方法,而access属性则指,认证的用户必须拥有的角色去访问表达式识别的

    方法。

wyabc1986
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity.pdf
05-24
SpringSecurity入门到进阶到高级,是我们老师给我们讲课用的,我们都照着配就没有问题,可以跑通,
SpringSecurity笔记3-Securing Methods
SpringsSpace
12-07 259
      SpringSecurity方法安全基于SpringAOP技术,它有自己的@Secured注解,SpringSecurity支持四方法 的安全:       (1) Methods annotated with @Secured.       (2) Methods annotated with JSR-250's @RolesAllowed.       (3) Met...
Spring Security的基本概念和用法
最新发布
m0_51431003的博客
02-29 1142
Spring Security是一个功能强大且可高度自定义的身份验证和访问控制框架。它是为Java应用程序提供全面的安全解决方案,包括身份验证、授权、防止跨站请求伪造(CSRF)等。Spring Security基于Spring框架,可以轻松地与Spring Boot、Spring MVC等其他Spring项目集成。
oauth2 access_denied 不允许访问_「全栈修炼」OAuth2 修炼宝典
weixin_39720181的博客
12-06 704
一、OAuth 概念开放授权(OAuth)是一个开放标准,允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片,视频,联系人列表),而无需将用户名和密码提供给第三方应用。 —— 维基百科严格来说,OAuth2 不是一个标准协议,而是一个安全的授权框架。其详细描述系统中不同角色,用户,服务前端应用(如 API )以及客户端(如网站或APP)之间如何实现相互认证。当前 OAuth 协议版...
OAuth2.0授权码/oauth/authorize接口调用unauthorized异常
tianlong1569的专栏
09-03 1万+
调用/oauth/authorize接口时,代码首先进入org.springframework.web.method.support.InvocableHandlerMethod类的invokeForRequest方法;代码如下: @Nullable public Object invokeForRequest(NativeWebRequest request, @Nullable ModelAndViewContainer mavContainer, Object... providedArg
oauth2 access_denied 不允许访问_OAuth2.0系列之密码模式实践教程(四)
weixin_39708854的博客
12-10 514
OAuth2.0系列之密码模式实践教程(四)1、密码模式简介1.1 前言简介1.2 授权流程图2、例子实践2.1 实验环境准备2.2 OAuth2.0角色2.3 OAuth2.0配置类2.4 Security配置类2.5 功能简单测试OAuth2.0系列博客:OAuth2.0系列之基本概念和运作流程(一)OAuth2.0系列之授权码模式实践教程(二)OAuth2.0系列之简化模式实践教程...
spring security权限控制(方法级别+页面级别)注解简单使用
qq_26496077的博客
11-04 1279
一: 方法级别权限控制 JSR-250注解 pom.xml文件中导入依赖jar包 <dependency> <groupId>javax.annotation</groupId> <artifactId>jsr250-api</artifactId> <version>1.0</version> </depe
Spring Security 实现权限控制功能(8)
Java是世界上最好的语言
04-26 1062
1. 权限注解 Spring Security权限控制可以配合授权注解使用Spring Security提供了三不同的安全注解: Spring Security自带的@Secured注解; JSR-250的@RolesAllowed注解; 表达式驱动的注解,包括@PreAuthorize、@PostAuthorize、@PreFilter和 @PostFilter。 1.1 @Secured 在Spring-Security.xml中启用@Secured注解: <global-m
java开源包4
06-28
Spring4GWT GWT Spring 使得在 Spring 框架下构造 GWT 应用变得很简单,提供一个易于理解的依赖注入和RPC机制。 Java扫雷游戏 JVMine JVMine用Applets开发的扫雷游戏,可在线玩。 public class JVMine extends java...
java开源包8
06-28
Spring4GWT GWT Spring 使得在 Spring 框架下构造 GWT 应用变得很简单,提供一个易于理解的依赖注入和RPC机制。 Java扫雷游戏 JVMine JVMine用Applets开发的扫雷游戏,可在线玩。 public class JVMine extends java...
asp.net知识库
06-18
通过反射调用類的方法,屬性,字段,索引器(2種方法) ASP.NET: State Server Gems 完整的动态加载/卸载程序集的解决方案 从NUnit中理解.NET自定义属性的应用(转载) 如何在.NET中实现脚本引擎 (CodeDom篇) .NET的插件...
java开源包1
06-28
Spring4GWT GWT Spring 使得在 Spring 框架下构造 GWT 应用变得很简单,提供一个易于理解的依赖注入和RPC机制。 Java扫雷游戏 JVMine JVMine用Applets开发的扫雷游戏,可在线玩。 public class JVMine extends java...
SpringSecurity 权限控制之开启动态权限注解支持
Leon_Jinhai_Sun的博客
11-14 459
开启授权的注解支持 这里给大家演示三类注解,但实际开发中,用一类即可! <!-- 开启权限控制注解支持 jsr250-annotations="enabled" 表示支持jsr250-api的注解,需要jsr250-api的jar包 pre-post-annotations="enabled" 表示支持spring表达式注解 secured-annotations="enabled" 这才是SpringSecurity提供的注解 --> <security:global-
和特朗普吃了顿饭后写下了这篇文章
Jack Li 的博客
11-10 341
GitHub OAuth2.0 登录 SpringBoot 原理与实战 文章目录GitHub OAuth2.0 登录 SpringBoot 原理与实战1. 前言2. OAuth 角色3. OAuth 许可3.1 授权码3.2 隐式许可3.3 资源所有者密码3.4 客户凭证4. 实战演练4.1 应用登记4.2 在浏览器提供通过 GitHub 登录的界面4.3 跳转到 GitHub 进行授权4.4 返回授权码4.5 通过 access_token 访问资源4.6 根据获取到的用户信息和业务对用户进行认证 1.
springboot oauth2登录成功处理器_Spring Cloud Security:Oauth2使用入门
weixin_39756540的博客
11-21 964
Spring Cloud Security 为构建安全的SpringBoot应用提供了一系列解决方案,结合Oauth2可以实现单点登录、令牌中继、令牌交换等功能,本文将对其结合Oauth2入门使用进行详细介绍。OAuth2 简介 OAuth 2.0是用于授权的行业标准协议。OAuth 2.0为简化客户端开发提供了特定的授权流,包括Web应用、桌面应用、移动端应用等。OAuth2 相关名词...
Spring Security 基本介绍及基础项目搭建
一个菜鸡的博客
05-16 9166
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring Security 重要核心功能。
Spring Security详解
热门推荐
JAVA_KX的博客
05-15 2万+
AuthenticationManager进行认证时,将该认证管理器中的所有认证提供器遍历一遍,遍历过程中,首先检测认证提供器是否支持认证的票据类型,如果支持,则认证提供器开始进行认证。用于处理基于表单的登录请求,从表单中获取用户名和密码,默认情况下处理来自/login的请求,从表单中获取用户名和密码, 默认使用表单name值为username和password,这两个值可以通过这个过滤器的usernaemparamter个passwordParameter连个参数的值进行修改。
Method Security
qq_40800349的博客
04-08 290
 支持表达式的注解       Spring Security中定义了四个支持使用表达式的注解,分别是@PreAuthorize、@PostAuthorize、@PreFilter和@PostFilter。其中前两者可以用来在方法调用前或者调用后进行权限检查,后两者可以用来对集合类型的参数或者返回值进行过滤。要使它们的定义能够对我们的方法的调用产生影响我们需要设置global-method-sec...
spring security3 demo配置分析
caozuiba
02-29 154
在源码分析之前补充了一些知识,详见上三篇文章的转载,我感觉比较有用。 下面是servlet的加载顺序。 web.xml 中 对象的加载顺序为:先 listener &gt;&gt; filter &gt;&gt; servlet &gt;&gt; springspring security demo例子中,所有的配置文件有几个: 1、web.xml 这个是web项目的标准配置文件...
SpringSecurity注册
08-21
Spring Security提供了一可定制的身份验证和授权框架,可以帮助我们在应用程序中实现用户注册功能。下面是一个简单的示例: 1. 配置Spring Security依赖 在项目的pom.xml文件中添加Spring Security的依赖项: `...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值