方法级别权限控制-基本介绍与JSR250注解使用

最新推荐文章于 2023-10-12 07:55:49 发布
最新推荐文章于 2023-10-12 07:55:49 发布
阅读量423 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Leon_Jinhai_Sun/article/details/104452919
版权

服务器端方法级权限控制

在服务器端我们可以通过Spring security提供的注解对方法来进行权限控制。Spring Security在方法的权限控制上支持三种类型的注解,JSR-250注解、@Secured注解和支持表达式的注解,这三种注解默认都是没有启用的,需要单独通过global-method-security元素的对应属性进行启用

开启注解使用

配置文件

<security:global-method-security jsr250-annotations="enabled"/>
<security:global-method-security secured-annotations="enabled"/>
<security:global-method-security pre-post-annotations="disabled"/>

注解开启

@EnableGlobalMethodSecurity :Spring Security默认是禁用注解的,要想开启注解,需要在继承ebSecurityConfigurerAdapter的类上加@EnableGlobalMethodSecurity注解,并在该类中将AuthenticationManager定义为Bean。

JSR-250注解

@RolesAllowed表示访问对应方法时所应该具有的角色

示例:
@RolesAllowed({"USER", "ADMIN"}) 该方法只要具有"USER", "ADMIN"任意一种权限就可以访问。这里可以省
略前缀ROLE_,实际的权限可能是ROLE_ADMIN

@PermitAll表示允许所有的角色进行访问,也就是说不进行权限控制

@DenyAll是和PermitAll相反的,表示无论什么角色都不能访问

Leon_Jinhai_Sun
关注
Java SSM 项目实战 day08 方法级别权限操作 服务器端的权限控制JSR-250注解)(支持表达式的注解)(@Secured)以及页面端的权限控制
2401_83916394的博客
04-02 633
分享一些系统的面试题,大家可以拿去刷一刷,准备面试涨薪。
Spring Security(17)——基于方法权限控制
热门推荐
Elim的博客
06-14 1万+
本文主要介绍Spring Security进行方法级别权限控制的几种手段。包括使用intercept-methods、使用Pointcut、使用JSR-250注解使用Spring自身定义的@Secured注解使用支持表达式的注解等,以及在进行方法级别权限控制时会使用到的一些Advice。
spring3零配置注解实现Bean定义(包括JSR-250JSR-330)
08-05
spring3零配置注解实现Bean定义(包括JSR-250JSR-330)
Spring JSR-250 注释
随风而逝的博客
07-11 1440
Spring JSR-250 注释 Spring还使用基于 JSR-250 注释,它包括 @PostConstruct, @PreDestroy 和 @Resource 注释。因为你已经有了其他的选择,尽管这些注释并不是真正所需要的,但是关于它们仍然让我给出一个简短的介绍。 @PostConstruct 和 @PreDestroy 注释: 为了定义一个 bean 的安装和卸载,我们使用 in...
Spring JSR-250注解
光华小丸子
07-27 1904
Spring也基于JSR-250注解,包括@PostConstruct,@PreDestroy和@Resource 注解。虽然这些注释都没有真正必需的,因为你已经有其他的候补,但还是让我给他们有关一个简单的想法。 @PostConstruct 和@PreDestroy 注解: 要定义安装和拆卸一个bean,我们只是声明了初始化方法和/或销毁,方法的参数。在ini
服务器端方法权限控制
lameraaa的博客
02-09 460
在服务器端我们可以通过Spring security提供的注解方法来进行权限控制。Spring Security在方法权限控制上支持三种类型的注解 JSR-250注解 @Secured注解 支持表达式的注解, 这三种注解默认都是没有启用的,需要 单独通过global-method-security元素的对应属性进行启用 JSR-250注解使用 第一步:在spring-security.xm...
入门注解基于JSR250
@siye
09-09 837
JSR250
Spring安全: 使用注解控制方法级的权限
在本章中,我们将深入了解Spring安全的基础知识,包括Spring Security的概述、基于角色的访问控制以及使用注解控制方法级的权限。让我们开始吧! ### 第三章:Spring Security注解详解 在这一章节中,我们将深入...
带有权限控制机制的JAVAEE基本框架.zip
最新发布
12-29
通过`@DeclareRoles`注解定义角色,`@RolesAllowed`注解控制方法级别的访问权限。 5. **EJB(Enterprise JavaBeans)安全**: - EJB容器也提供了对安全性的支持,通过ejb-jar.xml或注解来设置访问控制。例如,使用...
java访问权限控制级别_Spring Security方法级别权限控制
weixin_42429109的博客
02-26 405
Spring Security方法级别权限控制引言Spring Security是一个能够为基于Spring的企业应用系统提供安全访问控制解决方案的安全框架,它利用Spring IOC、DI和AOP功能,为企业应用系统提供声明式的安全访问控制功能,简化企业系统为了安全控制而编写大量重复代码的工作,Spring Security支持Url级别权限控制,同样也支持方法级别权限控制,今天主要介绍S...
JSR 250 @Resource注解使用
qq_28145603的博客
12-19 537
Spring-bean的自动注入(@Resource)使用 项目结构 Student.java package com; import org.springframework.stereotype.Service; @Service //表示service组件,用于spring xml文件的组件自动扫描机制 public class Student { ...
权限控制-JSR250注解
qq_38780240的博客
03-23 491
SSM框架下通过SpringSecurity进行身份认证和权限控制,后端通过JSR250注解进行权限控制步骤。 1、在项目的pom.xml文件中导入坐标。 <dependency> <groupId>javax.annotation</groupId> <artifactId>jsr250-api</artifactId> <...
springJSR-250注解学习
lcl249847947的博客
10-19 784
spring注解学习 1. {CSDN:CODE:@RestController} 相当于{SCDN:CODE:@Controller}和{CSDN:CODE:@Requestbody} 连个一起使用使用@RestController不需要返回具体的前端页面,可以返回字符串。 2.@SpringBootApplication 由于大量项目都会在主要的配置类上添加@
权限控制 JSR-250注解、@Secured注解、支持表达式的注解
qq_32865713的博客
09-17 635
目录 一.JSR-250注解使用 使用流程 二.Secured注解使用 三.SPEL表达式注解使用 1.导入相关依赖 2.使用 3.在jsp页面获取当前用户名 4.根据用户权限隐藏某些标签 A.在jsp页面使用SPEL表达式对某些标签做处理,下方表示只允许ADMIN才能看到此标签 B.需要修改在Spring Security.xml文件中配置的拦截规则,首先需要开启...
Spring framework Day09:JSR250注入注解
zhiqiuqiu2的博客
10-12 400
JSR 250 是 Java Specification Request 的缩写,它定义了一组用于依赖注入和生命周期管理的注解。这些注解是在 Java EE 5 规范中引入的,用于简化和标准化开发企业级应用程序的依赖注入和生命周期管理。
服务器端方法权限控制--------------JSR-250注解使用
Rocky balboa
02-25 360
服务器端方法权限控制       在服务器端我们可以通过Spring security提供的注解方法来进行权限控制。Spring Security在方法权限控制上 支持三种类型的注解JSR-250注解、@Secured注解和支持表达式的注解,这三种注解默认都是没有启用的,需要单独通过global-method-security元素的对应属性进行启用 开启注解使用 第一步在spring-security.xml文件中加上下面这段 <se
JSR 250
MichaelJY1991的专栏
04-08 1803
JSR 250 简介 JSR 250,Java注解规范,定义了一系列基于Java EE和Java SE通用注解。它避免了不同框架或组件间重复(或冗余)的注解JSR 250正式发布于2006年5月11日。随着申明式注解配置被越来越多地应用在Java框架(比如Spring),JSR 250可能在未来会持续增长,所以在使用诸如Spring之类的框架时,尽量使用JSR 250中定义的注解,避免和特定...
JSR250
陨落不凡的专栏
04-13 7222
JSR是什么? JSR是Java Specification Requests的缩写,意思是Java 规范提案。是指向JCP(Java Community Process)提出新增一个标准化技术规范的正式请求。任何人都可以提交JSR,以向Java平台增添新的API和服务。JSR已成为Java界的一个重要标准。(来自百度百科) 注释配置相对于 XML 配置具有很多的优势: 它可
springsecurity的注解权限管理
06-02
Spring Security提供了一些注解来简化权限管理的配置。使用注解可以使代码更加简洁易懂,同时也可以提高开发效率。 下面介绍几个常用的注解: 1. @EnableGlobalMethodSecurity 这个注解用来启用方法级别的安全控制。它有三个属性: - prePostEnabled:启用@PreAuthorize和@PostAuthorize注解,默认为false。 - securedEnabled:启用@Secured注解,默认为false。 - jsr250Enabled:启用@RolesAllowed注解,默认为false。 在使用注解进行权限管理时,需要在配置类上添加@EnableGlobalMethodSecurity注解并设置相应的属性。 ```java @Configuration @EnableWebSecurity @EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true, jsr250Enabled = true) public class SecurityConfig extends WebSecurityConfigurerAdapter { ... } ``` 2. @PreAuthorize和@PostAuthorize 这两个注解用来控制方法调用前和调用后的访问权限。 @PreAuthorize注解表示在方法调用前进行权限检查,只有通过检查才能调用方法。例如: ```java @PreAuthorize("hasRole('ADMIN')") public void addUser(User user) { ... } ``` 在上面的示例中,只有具有“ADMIN”角色的用户才能调用addUser方法。 @PostAuthorize注解表示在方法调用后进行权限检查,只有通过检查才能返回结果。例如: ```java @PostAuthorize("hasRole('ADMIN')") public User getUserById(int id) { ... } ``` 在上面的示例中,只有具有“ADMIN”角色的用户才能得到getUserById方法的返回结果。 3. @Secured和@RolesAllowed 这两个注解用来控制方法调用的访问权限。 @Secured注解表示只有具有指定角色的用户才能调用方法。例如: ```java @Secured("ROLE_ADMIN") public void deleteUser(int id) { ... } ``` 在上面的示例中,只有具有“ROLE_ADMIN”角色的用户才能调用deleteUser方法。 @RolesAllowed注解与@Secured注解类似,也是表示只有具有指定角色的用户才能调用方法。例如: ```java @RolesAllowed("ROLE_ADMIN") public void updateUser(User user) { ... } ``` 在上面的示例中,只有具有“ROLE_ADMIN”角色的用户才能调用updateUser方法。 总的来说,以上就是使用注解进行权限管理的一些基本介绍注解可以使代码更加简洁易懂,同时也可以提高开发效率。但是,在使用注解时需要注意注解的作用范围,不要让注解的作用范围过大或过小。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值