其它权限校验方法

最新推荐文章于 2024-01-12 14:44:53 发布
最新推荐文章于 2024-01-12 14:44:53 发布
阅读量899 收藏
点赞数
文章标签: SpringSecurity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Leon_Jinhai_Sun/article/details/125131196
版权

我们前面都是使用@PreAuthorize注解,然后在在其中使用的是hasAuthority方法进行校验。SpringSecurity还为我们提供了其它方法例如:hasAnyAuthority,hasRole,hasAnyRole等。

​ 这里我们先不急着去介绍这些方法,我们先去理解hasAuthority的原理,然后再去学习其他方法你就更容易理解,而不是死记硬背区别。并且我们也可以选择定义校验方法,实现我们自己的校验逻辑。

​ hasAuthority方法实际是执行到了SecurityExpressionRoot的hasAuthority,大家只要断点调试既可知道它内部的校验原理。

​ 它内部其实是调用authentication的getAuthorities方法获取用户的权限列表。然后判断我们存入的方法参数数据在权限列表中。

​ hasAnyAuthority方法可以传入多个权限,只有用户有其中任意一个权限都可以访问对应资源。

    @PreAuthorize("hasAnyAuthority('admin','test','system:dept:list')")
    public String hello(){
        return "hello";
    }

hasRole要求有对应的角色才可以访问,但是它内部会把我们传入的参数拼接上 ROLE_ 后再去比较。所以这种情况下要用用户对应的权限也要有 ROLE_ 这个前缀才可以。

    @PreAuthorize("hasRole('system:dept:list')")
    public String hello(){
        return "hello";
    }

hasAnyRole 有任意的角色就可以访问。它内部也会把我们传入的参数拼接上 ROLE_ 后再去比较。所以这种情况下要用用户对应的权限也要有 ROLE_ 这个前缀才可以。

    @PreAuthorize("hasAnyRole('admin','system:dept:list')")
    public String hello(){
        return "hello";
    }

Leon_Jinhai_Sun
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringSecurity给用户授权,一个用户能同时拥有多种身份Role,及权限鉴权注解方法hasRole及hasAuthority的使用区别
质量不太好的博客
03-13 9306
SpringSecurity给用户授权,一个用户能同时拥有多种身份Role
基于SpringSecurity的@PreAuthorize实现自定义权限校验方法
小王博客基地
08-15 5598
在我们一般的web系统中必不可少的就是权限的配置,也有经典的RBAC权限模型,是基于角色的权限控制。这是目前最常被开发者使用也是相对易用、通用权限模型。当然已经实现了权限校验,但是不够灵活,我们可以自己写一下校验条件,从而更加的灵活!很多开源框架中也是用的比较多,小编看了一下若依是自己写了一个注解实现的,pig是使用来实现自己的校验方式,小编以pig框架的为例。这样就完成了自定义校验,具体的校验可以自己在配置里进行修改,当然也可以自己写一个注解来进行自定义校验,可以参考若依的注解!...
@PreAuthorize 权限控制的原理
05-19 3574
@PreAuthorize 注解,顾名思义是进入方法前的权限验证,@PreAuthorize 声明这个方法所需要的权限表达式,例如:@PreAuthorize("hasAuthority('sys:dept:delete')"), 根据这个注解所需要的权限,再和当前登录的用户角色所拥有的权限对比,如果用户的角色权限集Set中有这个权限,则放行;没有,拒绝 跟进hasAuthority方法: 但是,问题来了,这个用户的角色权限Set,是什么时候存入的,其流程如下: 相关代码: ...
@PreAuthorize注解
最新发布
先知三日
01-12 2608
例如,v-hasPermi="['monitor:job:add']"会检查用户是否具有monitor:job:add这个权限,如果有,那么相关的UI元素就会显示。用户此时已经登陆系统,假设用户操作的是角色管理模块的查询按钮,当点击该按钮时,会通过网络映射到后端的接口方法。通过这种方式,RuoYi框架可以实现精细的基于权限的访问控制,确保只有具有相应权限的用户才能访问特定的资源。如果当前用户的权限集合中,包含当前被@PreAuthorize标注的方法权限,则返回true。等集合信息返回给前端。
Spring Security 中的 hasRole 和 hasAuthority 差异引发的思考及解决从数据库从查出来的ROLE对不上
qq1480371991的博客
06-20 765
hasRole和 hasAuthority的底层实现方式是类似的,功能是一样的,hasRole和hasAuthority判断的都是有没有权限,区别就是hasRole对应的权限有前缀ROLE_,而hasAuthority没有。hasRole和hasAuthority的工作原理都是判断角色所拥有的权限有没有对应的字段,一般角色所拥有的权限从数据库中查出来,然后封装在user类中覆写的getAuthorities方法中,如下。
SpringBoot Security Oauth2角色及权限鉴权注解方法hasRole及hasAuthority的使用区别
ipifei的博客
09-06 7154
SpringBoot Security Oauth2角色及权限鉴权注解方法hasRole及hasAuthority的使用区别
权限校验表设计
11-14
基于Dubbo Filter,每次请求时通过【调用方(用户令牌)+服务标识+被调接口+调用参数】访问权限管理微服务获取具体权限
深入浅出Git权限校验
02-01
借助上次“掉坑”的经历,我对Git权限校验的两种方式重头进行了梳理,形成了这篇总结记录。 在本地计算机与GitHub(或GitLab)进行通信时,传输主要基于两种协议,HTTPS和SSH,对应的仓库地址就是HTTPS URLs和...
Android的权限设置及自启动设置方法
08-27
Android权限设置及自启动设置方法 Android操作系统中,权限设置和自启动设置是两个非常重要的概念。在开发Android应用程序时,需要对权限进行设置,以便应用程序可以正常地运行和获取必要的资源。同时,自启动设置...
pig权限管理系统-其他
06-12
pig是一个基于 Spring Cloud Hoxton 、Spring Boot 2.3、 OAuth2 的 RBAC 权限管理系统。同时也基于数据驱动视图的理念封装 element-ui,即使没有 vue 的使用经验也能快速上手。 软件功能: 提供对常见容器化支持 ...
Spring AOP实现功能权限校验功能的示例代码
08-28
使用Spring AOP,可以轻松实现权限校验功能,并且可以与其他Spring Framework模块集成。 权限管理 权限管理是指对用户访问系统资源的控制,包括身份验证、权限校验、资源访问控制等。权限管理是系统安全的重要组成...
springsecurity开启方法级的授权源码分析
python15397的博客
02-28 1450
至于 @PreAuthorize 注解的拦截器是如何生效的那就要靠 @EnableMethodSecurity 注解,因为该注解中导入了 @Import({MethodSecuritySelector.class}) 并接入到了IOC容器,因此只需要看 MethodSecuritySelector 类具体是怎么处理方法级的认证的即可。使用了方法权限注解开启了方法级的权限鉴定之后,就可以使用如下注解直接在控制器上使用方法级的权限鉴定了。处理器,其中的这部分源码解释可以看出如何使用表达式的过程。
计算机毕业设计选题推荐-旅游管理系统-Java项目实战
IT研究室的博客
10-04 105
随着社会的发展和人们生活水平的提高,旅游业已经成为了一个重要的经济支柱。越来越多的人选择旅游作为休闲娱乐的方式,旅游市场的需求不断扩大。然而,随着旅游业的快速发展,旅游管理方面也面临着越来越多的挑战。如何提高旅游管理的效率和服务质量,成为了亟待解决的问题。因此,开发一款实用的旅游管理系统具有重要的现实意义。本项目旨在设计并实现一套基于Java技术的旅游管理系统,通过对旅游业务的深入分析,设计出合理的系统架构和功能模块。本系统将采用B/S架构,用户通过浏览器访问系统,方便快捷。
3.spring security授权流程
weixin_45974277的博客
02-26 3716
Spring Security的授权流程如下: 分析授权流程: 1. 拦截请求,已认证用户访问受保护的web资源将被SecurityFilterChain中的 FilterSecurityInterceptor 的子类拦截。 2. 获取资源访问策略,FilterSecurityInterceptor会从 SecurityMetadataSource 的子类 DefaultFilterInvocationSecurityMetadataSource 获取要访问当前资源所需要的权限 Collection.
Springboot +spring security方法权限注解
weixin_40991408的博客
05-27 2327
Springboot +spring security方法权限注解
Spring——Security安全框架之权限限定
专注写bug
02-22 2036
文章目录前言基于角色或权限进行访问控制hasAuthority 方法(单个权限)测试hasAnyAuthority 方法(多个权限)测试hasRole 方法(一个权限)测试异常测试hasAnyRole 方法(多个)测试loadUserByUsername中传递多个权限代码下载 前言 上一篇博客Security安全框架针对请求追加限制中,针对 部分请求 增加了 登录验证 。 只要是登录成功,就能访问被限制的请求。 但是,这种模式肯定是不够用的。 比如:淘宝商品页面。商家可以修改商品价格,但顾客只能看和购
SpringSecurity权限校验详解说明(附完整代码)
qq_51076413的博客
02-19 3601
SpringSecurity安全检验、SpringSecurity权限认证、SpringSecurity权限校验SpringSecurity自定义校验SpringSecurity自定义校验规则、SpringSecurity异常处理器
Spring Security实现用户身份验证及权限管理
个人学习笔记库,一篇一篇记录成长的足迹
03-26 5595
Spring SecuritySpring生态的一个成员,提供了一套Web应用安全性的完整解决方案。Spring Security 旨在以一种自包含的方式进行操作,因此你不需要在 Java 运行时环境中放置任何特殊的配置文件。这种设计使部署极为方便,因为可以将目标工件(无论是 JAR还是WAR)从一个系统复制到另一个系统,并且它可以立即工作。spring Security,这是一种基于 Spring AOP 和 Servlet 过滤器的安全框架。
我的BUG日志(2020082601):spring security问题,hasAuthority方法无法获取权限的原因
王和平的第三个果园
08-26 1642
这里是spring security初始化用户详情信息 public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { //省略获取权限列表的代码 return new org.springframework.security.core.userdetails.User(userName, password, authList); } 然后是Controller的调用部分(注意hasAut
springboot 权限校验interceptor
08-05
2. 在preHandle方法中进行权限校验的逻辑处理,可以根据具体的业务需求,判断用户是否具有执行请求的权限。 3. 在Spring Boot的配置类中,通过实现WebMvcConfigurer接口,并重写addInterceptors方法,将Interceptor...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值