《Spring实战》学习笔记-------保护方法应用

最新推荐文章于 2022-12-14 13:07:29 发布
最新推荐文章于 2022-12-14 13:07:29 发布
阅读量238 收藏
点赞数
分类专栏: Spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BZeHong/article/details/89069395
版权

文章目录


Spring Security提供了三种不同的安全注解:

  1. Spring Security自带的@Secured
  2. JSR-250的@RolesAllowed注解
  3. 表达式驱动的注解,@PreAuthorize、@PostAuthorize、@PreFilter、@PostFilter

按权限保护方法调用

@Secured和@RolesAllowed使用方法相同,不同的地方在于@RolesAllowed是Java标准中的,@Secured是Spring框架内的。

首先启用基于注解的方法安全性,通过继承GlobalMethodSecurityConfig类:

@Configuration
@EnableGlobalMethodSecurity(securedEnabled=true)
//如果使用@RolesAllowed注解需要改成 (jsr250Enabled=true)
public class MethodSecurityConfig extends GlobalMethodSecurityConfig{
}

与之前Web安全认证类似,不同的是Web安全认证的权限判断是通过重写configure()方法对AuthenticationManagerBuilder参数来配置,这里是使用注解配置在目标方法上。

@Secured("ROLE_SPITTLE", "ROLE_ADMIN")
//或@RolesAllowed("ROLE_SPITTLE", "ROLE_ADMIN")
public void addSpitle(Spittle spittle);

@Secure和@RolesAllowed使用一个String数组作为参数。每个String为一个权限,调用这个方法的用户至少需要具备其中一种权限才能进行调用

这两种注解的弊端在于,只能通过权限来判断能否调用方法。

使用表达式保护方法调用

Spring Security提供了 4 个注解,可以使用SpEL表达式来保护方法调用:

注解描述
@PreAuthorize在方法调用之前,基于表达式计算的结果来限制对方法的访问
@PostAuthorize允许方法调用,但是如果表达式结果为false,将抛出一个安全性异常
@PostFilter允许方法调用,但必须按照表达式来过滤返回的结果
@PreFilter允许方法调用,但必须在进入方法前过滤输入值

首先需要将@EnableGlobalMethodSecurity注解的prePostEnabled属性设置为true,来启用它们:

@Configuration
@EnableGlobalMethodSecurity(prePostEnabled=true)
public class MethodSecurityConfig extends GlobalMethodSecurityConfiguration{}

设定方法访问规则

@PreAuthorize和@PostAuthorize注解的区别在于表达式执行的时机,Pre在方法调用前,Post在方法调用后。

@PreAuthorize:

@PreAuthorize("hasRole('ROLE_SPITTLE')") //判断调用方法的用户是否有权限
@PreAuthorize("(hasRole('ROLE_SPITTLE') and #spittle.text.length() <= 140)"
				+ "or hasRole('ROLE_VIP')" )//普通用户的文字最多140字。VIP用户无限制。spittle能直接引用传入的同名参数
public void addSpittle(Spittle spittle);

@PostAuthorize:

@PostAuthorize("returnObject.spittle.username == principal.username")
//判断通过查询id返回的用户是不是当前认证的用户
public Spittle getSpittleById(Long id);

returnObject变量可以访问方法的返回对象,principal代表当前认证用户的主要信息,这两个由Spring Security提供。

如果SpEL表达式判定为false,将会抛出一个AccessDeniedException异常,而调用者也不会获得结果。

过滤方法的输入和输出

有时需要保护的并不是方法的调用,而是方法传入和输出的数据。例如,getOffensiveSpittles()方法会返回标记为具有攻击性的Spittle列表,这个方法主要提供给管理员使用。但是,普通用户也可以调用这个方法来查看自己的Spittle是不是具有攻击性。

@PostFilter:

@PreAuthorize("hasAnyRole({'ROLE_SPITTLE', 'ROLE_ADMIN'})")
@PostFilter("hasRole('ROLE_ADMIN') || "
			+ "filterObject.spittle.username == principal.username")//确保普通用户只能看到自己的spittle,如果返回的spittle的用户名和当前认证用户不同,就过滤掉它
public List<Spittle> getOffensiveSpittles();

除了事后过滤方法的返回值,还可以预先过滤传入到方法中的值,例如,批量删除Spittle,管理员能删除所有的,普通用户只能删除自己的Spittle

@PreAuthorize("hasAnyRole({'ROLE_SPITTLE', 'ROLE_ADMIN'})")
@ProFilter("hasRole('ROLE_ADMIN') || "
			+ "targetObject.spittle.username == principal.name")//遍历数组中的spittle,过滤掉其它用户的spittle
public void deleteSpittles(List<Spittle> spittles);

targetObject代表当前的传入参数。

定义许可证计算器

如果安全规则变得复杂,定义在注解中的SpEL表达式会变得笨重而且难以测试。可以将它改为:

@ProFilter("hasPermission(targetObject, 'delete')")

hasPermission()是扩展的一个属性,使用它需要配置一个实现PermissionEvaluator接口的类:

//这段代码抄自https://www.cnblogs.com/fenglan/p/5913463.html
public class MyPermissionEvaluator implements PermissionEvaluator {

   public boolean hasPermission(Authentication authentication,Object targetDomainObject, Object permission) {
      if ("user".equals(targetDomainObject)) {
         return this.hasPermission(authentication, permission);
      }
      return false;
   }

   //总是认为有权限
   public boolean hasPermission(Authentication authentication, Serializable targetId, String targetType, Object permission) {
      return true;
   }

    //简单的字符串比较,相同则认为有权限
   private boolean hasPermission(Authentication authentication, Object permission) {
      Collection<? extends GrantedAuthority> authorities = authentication.getAuthorities();
      for (GrantedAuthority authority : authorities) {
         if (authority.getAuthority().equals(permission)) {
            returntrue;
         }
      }
      return false;
   }
}

这个接口实现了两个hasPermission,第一个把要评估的对象作为第二个参数。第二个hasPermission只有在目标对象的ID可以得到时才有用,并将id作为Serializable传入第二个参数。

许可计算器已经准备好了,还需要将它注册到Spring Security中。我们要替换原有的表达式计算器,默认情况下,它使用DefaultMethodSecurityExpressionHandler。我们要提供另一个DefaultMethodSecurityExpressionHandler,让它使用自定义的MyPermissionEvaluator:

这需要重载GlobalMethodSecurityConfiguration的createExpressionHandler方法:

@Override
protected MethodSecurityExpresionHandler createExpressionHandler(){
	DefaultMethodSecurityExpressionHandler expresionHandler = new MyDefaultMethodSecurityExpressionHandler();
	expressionHandler.setPermissionEvaluator(new MyPermissionEvaluator);
	return expressionHandler;
}

这样,不管在任何地方的表达式使用hasPermission来保护方法,都会调用MyPermissionEvaluator来决定用户是否由权限调用方法。

BZeHong
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
新版Spring Security6.2架构 (三) - Authorization
喝醉的鱼博客
12-11 2315
新版Spring security 6.2,官网文档Authorization翻译和一点点个人修改
springsecurity开启方法级的授权源码分析
python15397的博客
02-28 1487
至于 @PreAuthorize 注解的拦截器是如何生效的那就要靠 @EnableMethodSecurity 注解,因为该注解中导入了 @Import({MethodSecuritySelector.class}) 并接入到了IOC容器,因此只需要看 MethodSecuritySelector 类具体是怎么处理方法级的认证的即可。使用了方法权限注解开启了方法级的权限鉴定之后,就可以使用如下注解直接在控制器上使用方法级的权限鉴定了。处理器,其中的这部分源码解释可以看出如何使用表达式的过程。
SpringSecurity 自定义PermissionEvaluator进行数据权限校验和访问限制
明平姚的博客
12-14 1173
SpringSecurity 自定义PermissionEvaluator进行数据权限校验和访问限制
Spring-Security源码分析】Spring安全表达式解析
通往神秘的道路的专栏
02-28 5670
在使用Spring Security进行权限检查的时候会用到SecurityExpressionHandler,具体参考《【Spring-Security源码分析】Spring Security基于注解认证原理》。 SecurityExpressionHandler接口定义了两个方法。 public interface SecurityExpressionHandler&lt;T&gt; e...
Sping实战第十四章:保护方法应用
li_wulang的博客
05-04 244
前面Spring Security保护应用的Web层,限制URL级别访问,此处是方法级别的保护; 一、使用注解保护方法 Spring Security提供了三种不同的安全注解: Spring Security自带的@Secured注解:能够基于用户所授予的权限限制对方法的访问 JSR-250的@RolesAllowed注解:能够基于用户所授予的权限限制对方法的访问 表达式驱动的注解,包...
java笔记 Java-Web笔记 J2EE三大框架笔记
10-19
MLDN JAVA-WEB开发实战笔记PDF可能包含更多实践案例和项目经验,涵盖了如何将理论知识应用于实际开发过程中的技巧和最佳实践。通过这些笔记,开发者可以学习到如何设计和实现一个完整的Java Web应用,包括数据库设计...
Acegi学习笔记--Acegi详解实战Acegi实例
03-17
通过学习Acegi,我们可以了解到Web应用安全的基本思路和实践方法,这对于理解现代的Spring Security框架非常有帮助。虽然Acegi已经不再更新,但它的理念和架构仍对现代安全框架设计产生深远影响。
终结版--Spring MVC+MYBatis企业应用实战
05-22
本书介绍了 Java EE 领域的两个开源框架: Spring的MVC 和 MyBatis。其中 Spring的版本为 4.2, My Batis的版本是 3.4o 本书的示例建议在 Tomcat 8 上运行。
spring-boot-test_springboot学习笔记
01-17
Spring Boot测试方面,我们主要关注的是如何有效地利用Spring Boot提供的测试工具和框架来确保我们的应用程序功能正确且高效。Spring Boot简化了测试流程,通过自动配置和内嵌的Servlet容器,使得测试Java web应用...
Spring Boot应用性能调优实战:批量更新篇.zip
最新发布
05-11
通过实际测试对比了Spring Boot中6种MySQL批量更新方式的效率,并详细记录了每种方法在处理500,1000,5000,10000,50000,100000条数据的平均时间、最小时间和最大时间。包括MyBatis-Plus提供的批量更新,JdbcTemplate...
Spring Security 6.x 系列【20】授权篇之自定义权限注解表达式
记录知识、锤炼自我
08-10 3245
在之前的案例中,使用提供了很多计算表达式,能满足大部分应用场景,但是某些特殊条件下,如何进行表达式的自定义扩展呢?
Spring Security(16)——基于表达式的权限控制
dotedy的博客
10-16 1882
EL表达式hasPermissionPreFilterPreAuthorizeSpring Security  基于表达式的权限控制 目录 1.1      通过表达式控制URL权限 1.2      通过表达式控制方法权限 1.2.1     使用@PreAuthorize和@PostAuthorize进行访问控制 1.2.2     使用@PreFilter和@Post
Spring Security入门
热门推荐
dalangzhonghangxing的专栏
11-03 2万+
Spring Security  Spring Security是能够为J2EE项目提供综合性的安全访问控制解决方案的安全框架。它依赖于Servlet过滤器。这些过滤器拦截进入请求,并且在应用程序处理该请求之前进行某些安全处理。   Spring Security对用户请求的拦截过程如下:    经过拦截器栈 在访问方法前进行Pre拦截 方法访问结束后进行Post拦截
基于角色得后台权限管理系统设计(八、spring security 之自定义前缀一)
a807719447的专栏
07-08 744
这个问题搜索百度了半天,无非就是配置什么roleVoter之类得,这个前提是你使用到了这个投票器,但是现在默认配置并未使用到这个投票器。然后百度了半天各种尝试就是不行,有时候查资料就是这么坑,好了最后确定查不到资料了,只能调试跟代码了。 我们知道默认使用得决策管理器是AffirmativeBased一票通过。关于我们为什么知道,之前得篇幅有讲过了,不熟悉得朋友可以翻翻。 找到这个决策管理器,找...
Spring Security 参考手册(二)
bigKylin的专栏
05-13 7545
授权 在Spring Security的高级授权功能是其受欢迎的最有说服力的原因之一,无论您如何选择如何进行身份验证-是否使用提供的机制和提供程序的Spring Security,或整合与一个容器或其他non-Spring Security 认证机构-你会发现授权服务可以在您的应用程序中使用一个一致的和简单的方式. 在这一部分我们将探讨不同的` abstractsecuri
Spring Security Web : DefaultWebSecurityExpressionHandler 缺省Web安全表达式处理器
Details Inside Spring
12-10 4382
概述 DefaultWebSecurityExpressionHandlerSpring Security Web用于Web安全表达式处理器(handler)。它会基于一组缺省配置,和当时的环境,对指定的Web安全表达式求值。 DefaultWebSecurityExpressionHandler对给定的认证token和请求上下文FilterInvocation创建一个评估上下文Evaluati...
Spring Security 实战干货:基于注解的接口角色访问控制
码农小胖哥
11-19 3439
1. 前言 欢迎阅读 Spring Security 实战干货[1] 系列文章 。在上一篇 基于配置的接口角色访问控制[2] 我们讲解了如何通过 javaConfig 的方式配置接口的角色访问控制。其实还有一种更加灵活的配置方式 基于注解 。今天我们就来探讨一下。DEMO 获取方式在文末。 2. Spring Security 方法安全 Spring Security 基于注解的安全...
spring security:保护方法调用
指尖思维
08-31 2342
基本用户认证和授权 本节从最基本的用户认证和授权开始对 Spring Security 进行介绍。一般来说,Web 应用都需要保存自己系统中的用户信息。这些信息一般保存在数据库中。用户可以注册自己的账号,或是由系统管理员统一进行分配。这些用户一般都有自己的角色,如普通用户和管理员之类的。某些页面只有特定角色的用户可以访问,比如只有管理员才可以访问 /admin 这样的网址。下面介绍如何使用
SpringCloud深度解析:配置管理与组件实战
本文档是一份关于Spring Cloud的详细笔记,主要涵盖了Spring Boot框架下的关键组件及其使用方法,包括Config Server、Eureka、Feign+Ribbon、Spring Cloud Bus、Hystrix、Hystrix Dashboard、Turbine、Sleuth等。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值