SpringSecurity常见注解的使用

最新推荐文章于 2024-02-19 18:36:11 发布
最新推荐文章于 2024-02-19 18:36:11 发布
阅读量1.5k 收藏 6
点赞数 3
分类专栏: 笔记 文章标签: spring spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Kk_Chosen1/article/details/126444180
版权

@Secured

方法级别的权限认证,只有被该注解指定的角色才能访问该方法

使用该注解需要开启注解功能,在配置类或者启动类上添加

@EnableGlobalMethodSecurity(securedEnabled=true)

 在controller方法上添加@Secured注解

    @GetMapping("update")
    @Secured({"ROLE_salesman","ROLE_manager"}) //设置只有这两种角色才能访问这个方法
    public String update() {
        return "hello, update";
    }

此时如果不是这两个角色其中之一访问请求将被拒绝

@PreAuthorize 

进入方法前的权限验证,同时也支持表达式的访问控制

要想使用该注解需要在@EnableGlobalMethodSecurity注解上添加 prePostEnabled = true 属性

在controller中的方法上添加此注解

    @GetMapping("update")
//    @Secured({"ROLE_salesman","ROLE_manager"}) //设置只有这两种角色才能访问这个方法
    @PreAuthorize("hasAuthority('manager')")
    public String update() {
        return "hello, update";
    }

此时如果不具备manager权限的访问将会被拒绝

如果要求同时满足多个条件的可以这样编码

    @GetMapping("update")
//    @Secured({"ROLE_salesman","ROLE_manager"}) //设置只有这两种角色才能访问这个方法
    @PreAuthorize("hasAuthority('manager') and hasRole('salesman')") //只有同时满足是salesman角色并且具有manager权限的才能访问该方法
    public String update() {
        return "hello, update";
    }

如果不能同时满足这两个条件,那么这个方法将不能访问

@PostAuthorize

同上面的注解一样,要开启此注解的功能需要在 @EnableGlobalMethodSecurity注解上添加 prePostEnabled = true 属性

@PostAuthorize注解的使用频率并不高,在方法执行之后再进行权限验证,适合验证带有返回值的权限。

在controller中的方法上添加上该注解

    @PostAuthorize("hasAuthority('admin')") //方法执行之后进行权限验证
    @GetMapping("testPostAu")
    public String testPostAu() {
        System.out.println("hello, PostAuthorize");
        return "hello, PostAuthorize";
    }

此时来一个没有admin权限的访问请求该方法,将会被拒绝访问,但是idea控制台会执行输出语句输出hello, PostAuthorize,这说明该注解是在方法执行之后进行的权限验证

 @PostFilter

在权限验证过后对数据进行过滤

    @GetMapping("getAll")
    @PreAuthorize("hasRole('salesman')")
    @PostFilter("filterObject.username == 'admin1'") //权限验证之后对数据进行过滤 留下用户名是 admin1 的数据
    public List<Users> getAllUser(){
        ArrayList<Users> list = new ArrayList<>();
        list.add(new Users(1,"admin1","6666"));
        list.add(new Users(2,"admin2","888"));
        return list;
    }

 访问该请求可发现只返回了admin1,admin2并没有显示出来而是被过滤掉了

 

 @PreFilter

进入控制器之前对数据进行过滤

Kk_Chosen1
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springsecurity使用demo
03-03
springsecurity使用demo
SpringSecurity注解讲解
上善若泪
09-08 576
test:是一个注册在Spring容器中的Bean,对应的类是 cn.test.PermissionService;是类中定义的方法;当Spring EL 表达式返回TRUE,则权限校验通过;
Spring常用注解总结(全)
立身以力学为先,力学以读书为本。 —郑耕老《劝学》
12-20 649
Spring注解
SpringBoot3】Spring Security 常用注解
最新发布
不积跬步无以至千里,不积小流无以成江海。一个喜欢学习分享的程序员
02-19 1313
Spring Security 6 的常用注解包括以下几种,通过这些注解可以更加方便的控制资源权限。 - `@Secured` :方法执行前检查,直接判断有没有对应的角色 - `@PreAuthorize`:方法执行前检查,根据SpEL表达式执行结果判断是否授权 - `@PostAuthorize`:方法执行后检查,根据SpEL表达式执行结果判断是否授权
Spring Security中的注解
qq_44188658的博客
08-10 280
Spring Security中的注解: @Configuration //相当于Spring的xml配置文件,在这个类方法的返回值是java对象,这些对象存放在spring容器中 @EnableWebSecurity //表示启用SpringSecurity安全框架的功能 @EnableGlobalMethodSecurity(prePostEnabled = true) //启用方法级别的认证 @Bean //把当前类的对象放到容器中 ...
Spring——Security安全框架之注解使用
专注写bug
02-23 5304
文章目录前言本次测试注解介绍注解使用@Secured@PreAuthorize@PostAuthorize@PostFilter@PreFilter代码下载 前言 之前security中,针对配置项进行了相关的配置和测试。 但是这些都是基于在security.config.MyConfig#configure(org.springframework.security.config.annotation.web.builders.HttpSecurity)中进行对应请求的权限限制。 如果是多个请求,各个有
5.Spring Security安全注解
相互学习 共同进步
04-24 965
Spring Security默认是禁用注解的,要想开启注解,需要在继承WebSecurityConfigurerAdapter的类上加@EnableGlobalMethodSecurity注解,并在该类中将AuthenticationManager定义为Bean如果要启用基于注解的方法安全性,要在配置类上使用**@EnableGlobalMethodSecurity**设置了securedEnabled = true,此时Spring将会创建一个切点,并将带有@Secured注解的方法防入切面中。
SpringSecurity配置及注解说明
magicproblem的博客
10-25 1129
一、配置准备 1、引入相关pom.xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> <version>2.0.4.RELEASE</version>
(看了之后保证学会超仔细)Springboot整合Spring security实现用户登录验证入门项目
woshilishu的博客
03-27 341
##这几天在弄毕设,原本是自己弄的用户管理,登录验证什么的。偶然知道了Spring security这个框架,才知道自己弄的是那么低级。因为有一个最大的问题,就是没有监听器没有拦截url,可以直接跳过用户密码验证直接访问系统。所以决定还是整合spring security。接下来是入门操作. #导入依赖(Maven): <!-- spring security依赖 --> ...
Springboot集成security,自定义@Anonymous标签实现免登录,免鉴权
evil_lrn的博客
02-16 4946
首先,项目springboot使用了2.6.8版本,集成security的过程中,使用了比较严格的自定义策略,任何请求都需要认证和授权,判断用户是否有查询改接口的权限。并且提供了配置或者注解两种方式提供匿名访问的接口。引起需要收集@Anonymous注解标注的controller。于是就像参照spring启动扫描注解的方式实现,然后自定义了。参照spring scan。第二种使用自定义注解
16 Spring Security 权限注解.mp4
05-15
16 Spring Security 权限注解.mp4
使用SpringSecurity.md
09-12
适合初学SpringSecurity人群
Spring Boot2.0使用Spring Security的示例代码
08-27
主要介绍了Spring Boot2.0使用Spring Security的示例代码,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
SpringSecurity.zip
06-08
Spring Securityspring家族一员。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转...
spring security 登录接口不校验_Spring Security 自定义登录认证(二)
weixin_34280468的博客
01-25 3897
一、前言本篇文章将讲述Spring Security自定义登录认证校验用户名、密码,自定义密码加密方式,以及在前后端分离的情况下认证失败或成功处理返回json格式数据温馨小提示:Spring Security中有默认的密码加密方式以及登录用户认证校验,但小编这里选择自定义是为了方便以后业务扩展,比如系统默认带一个超级管理员,当认证时识别到是超级管理员账号登录访问时给它赋予最高权限,可以访问系统所有...
SpringSecurity-非注解方式进行权限控制
子悠のziyou
11-03 631
SpringSecurity通过非注解方式进行权限控制,可以动态为每个权限设置对应的角色,无需修改代码,通过Url匹配
通过spring注解实现接口免登录校验
u013658068的专栏
04-26 2308
定义注解类 @Target(ElementType.METHOD) @Retention(RetentionPolicy.RUNTIME) public @interface NotLogin { } 2.登录拦截放行 public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { Ha..
基于注解方式实现Spring Security忽略拦截
皓亮君的博客
12-22 4358
一般像一些静态资源文件需要过滤掉安全认证,例如图片,.css,.js等静态资源文件,像这种在配置文件中指定比较方便。: String url=baseUrl+接口访问路径(/login) =/test/login。像这种需要忽略某个接口需要在Spring Security配置类中在代码中写死,非常的不灵活。测试用注解修饰的接口路径,可以正常访问,由此可看配置是正常。如果从配置文件中删除了过滤的接口名称则访问接口会返回403。忽略的接口访问路径规则以下文3.3的测试接口为例,添加配置类注入配置的参数。
spring security单点登录跳过密码验证
weixin_43082983的博客
10-27 8161
spring security单点登录跳过密码验证
security 权限跳过注解
07-29
你可以使用Spring Security框架来实现权限控制和注解跳过。在Spring Security中,你可以使用`@PreAuthorize`注解来定义方法级别的权限控制。如果你想跳过某个方法的权限控制,你可以使用`@Secured("IS_AUTHENTICATED_ANONYMOUSLY")`注解。 `@Secured("IS_AUTHENTICATED_ANONYMOUSLY")`注解表示该方法可以被匿名用户访问,即跳过权限验证。你可以将该注解放在需要跳过权限验证的方法上,这样即使用户没有登录也可以访问该方法。 另外,你也可以在Spring Security的配置类中配置`http.authorizeRequests().antMatchers("/path/to/skip").permitAll()`来实现路径级别的权限跳过。这样配置后,指定路径下的请求将被允许无需进行权限验证。 需要注意的是,安全性是一个非常重要的问题,跳过权限验证可能会导致安全漏洞,请谨慎使用并确保你的系统安全性得到保障。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值