springSecurity学习之springSecurity注解使用

已于 2024-07-22 10:29:30 修改
阅读量47 收藏 1
点赞数 1
分类专栏: springSecurity 文章标签: java
于 2024-07-22 10:26:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Lxn2zh/article/details/140602823
版权

springSecurity注解使用

在使用springboot的时候,大家更习惯于使用注解来进行配置,那么springSecurity注解怎么使用呢

首先开启注解

@EnableGlobalMethodSecurity(// Spring Security 开启注解
		securedEnabled=true, // 开启@Secured注解,会创建切点,代理@Secured注解的方法
		prePostEnabled = true // 开启@PreAuthorize和@PostAuthorize注解
)

@Secured

用户具有哪些角色可以访问,注意要有ROLE_前缀

@Secured({"ROLE_student","ROLE_admin"})  // 用户具有哪些角色可以访问,注意要有ROLE_前缀
public String test(){
    System.out.println("secured");
    return "test";
}

@PreAuthorize

方法进入前进行校验

@PreAuthorize("hasAuthority('admin')")  // 方法进入前进行校验
public String test(){
    System.out.println("preAuthorize");
    return "test";
}

@PostAuthorize

方法结束后进行校验,可以正常执行,但是返回值需要进行权限校验

@PostAuthorize("hasAuthority('admin')")  // 方法结束后进行校验,可以正常执行,但是返回值需要进行权限校验
    public String test(){
    System.out.println("preAuthorize");
    return "test";
}

@PreFilter

允许方法调用,但是在进去方法前先过滤输入值

@PostFilter

允许方法调用,但是会过滤方法的结果

https://zhhll.icu/2021/框架/springSecurity/4.springSecurity注解使用/

拾光师
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
spring security 学习使用的静态文件
05-10
这个“spring security 学习使用的静态文件”可能包含了一些示例代码、配置文件、教程文档等资源,帮助初学者更好地理解并实践Spring Security。 首先,我们要明白Spring Security的基础架构。它基于过滤器链工作,...
SpringBoot3】Spring Security 常用注解
不积跬步无以至千里,不积小流无以成江海。一个喜欢学习分享的程序员
02-19 1547
Spring Security 6 的常用注解包括以下几种,通过这些注解可以更加方便的控制资源权限。 - `@Secured` :方法执行前检查,直接判断有没有对应的角色 - `@PreAuthorize`:方法执行前检查,根据SpEL表达式执行结果判断是否授权 - `@PostAuthorize`:方法执行后检查,根据SpEL表达式执行结果判断是否授权
Spring Security 详解
热门推荐
qq_22075913的博客
06-06 11万+
Spring SecuritySpring家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用SpringSecurity来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。​ 一般Web应用的需要进行认证和授权。​ 而认证和授权也是SpringSecurity作为安全框架的核心功能。视频地址:​ 我们先要搭建一个简单的SpringBoot工程① 设置父工
SpringSecurity系列之授权与注解
kenewstar的博客
01-29 3751
SpringSecurity用户授权与权限注解使用
Spring——Security安全框架之注解使用
专注写bug
02-23 5390
文章目录前言本次测试注解介绍注解使用@Secured@PreAuthorize@PostAuthorize@PostFilter@PreFilter代码下载 前言 之前security中,针对配置项进行了相关的配置和测试。 但是这些都是基于在security.config.MyConfig#configure(org.springframework.security.config.annotation.web.builders.HttpSecurity)中进行对应请求的权限限制。 如果是多个请求,各个有
SpringSecurity
Java 技术专栏,从入门到精通,熟悉企业级开发
04-20 1万+
一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring Security 重要核心功能。(1)用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问 该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认 证过程。通俗点说就是系统认为用户是否能登录。(2)用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户 所具有的权限是不同的。
SpringSecurity6 学习
screamn的博客
05-03 1143
SpringSecurity6介绍,讲解基本的配置过滤链 和 对应的用户配置,流程讲解。
SpringSecurity常见注解使用
Kk_Chosen1的博客
08-21 1581
方法级别的权限认证,只有被该注解指定的角色才能访问该方法使用注解需要开启注解功能,在配置类或者启动类上添加在controller方法上添加@Secured注解此时如果不是这两个角色其中之一访问请求将被拒绝。
5.Spring Security安全注解
相互学习 共同进步
04-24 1216
Spring Security默认是禁用注解的,要想开启注解,需要在继承WebSecurityConfigurerAdapter的类上加@EnableGlobalMethodSecurity注解,并在该类中将AuthenticationManager定义为Bean如果要启用基于注解的方法安全性,要在配置类上使用**@EnableGlobalMethodSecurity**设置了securedEnabled = true,此时Spring将会创建一个切点,并将带有@Secured注解的方法防入切面中。
SpringSecurity-用户授权-注解使用
qq_43297569的博客
03-10 475
SpringSecurity-用户授权-注解使用,认证授权的注解使用(五个注解)@Secured,@PreAuthorize,@PostAuthorize
详解springSecurityjava配置篇
08-18
在本文中,我们将详细介绍 Spring SecurityJava 配置篇,包括如何使用 Java 配置 Spring Security,如何自定义登陆页面,如何使用多用户等。 一、 Java 配置 Spring Security使用 Java 配置 Spring ...
SpringSecurity笔记,编程不良人笔记
10-28
- XML配置:早期版本的SpringSecurity使用XML配置,但现在已被注解配置取代。 - 注解配置:使用`@EnableWebSecurity`开启Web安全,通过`@Configuration`和`WebSecurityConfigurerAdapter`自定义安全规则。 - ...
springsecurity学习笔记
12-13
在"springsecurity学习笔记"中,你可能会涉及以下主题: - Spring Security的基本配置,包括web安全配置和全局安全配置。 - 如何自定义认证和授权流程,比如实现自定义的AuthenticationProvider和...
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
Spring Security 则是 Java 开发中广泛使用的安全框架,用于实现认证和授权。当我们将这两者结合时,我们可以创建一个强大的统一登录认证鉴权系统。 首先,让我们深入了解Spring Cloud Gateway。这是一个基于...
Java-Lambda
最新发布
lizhiwei21的博客
07-21 173
lambda表达式可以理解为对匿名内部类的一种简化 , 但是本质是有区别的面向对象思想 :强调的是用对象去完成某些功能函数式编程思想 :强调的是结果 , 而不是怎么去做。
Promise 详解(原理篇)
山重水复疑无路,柳暗花明又一村。
07-20 492
Promise 是一种异步编程的解决方案。在异步操作中,callback 会导致回调地狱的问题,Promise 解决了这个问题。一个 Promise对象有以下三种状态:pending:初始状态,既不是成功,也不是失败状态。:意味着操作成功完成。rejected:意味着操作失败。当 new Promise() 被实例化后,即表示 Promise 进入 pending 初始化状态,准备就绪,等待运行。
接口防刷!利用redisson快速实现自定义限流注解
架构师小吴的博客
07-18 1170
如登录接口,当用户使用手机号+验证码登录时,一般我们会生成6位数的随机验证码,并将验证码有效期设置为1-3分钟,如果对登录接口不加以限制,理论上,通过技术手段,快速重试100000次,即可将验证码穷举出来。解决思路:对登录接口加上限流操作,如限制一分钟内最多登录5次,登录次数过多,就返回失败提示,或者将账号锁定一段时间。在日常开发中,一些重要的对外接口,需要加上访问频率限制,以免造成资��损失。ok,通过以上两步,即可完成我们的限流注解了,下面通过一个接口验证下效果。
JVM-垃圾回收与内存分配
m0_50846237的博客
07-19 1141
JVM-垃圾回收与内存分配
springSecurity注解使用
04-04
Spring Security 是一个基于 Spring 框架的安全框架,可以轻松地实现身份认证和授权等安全功能。 Spring Security 提供了一些注解,用于在应用中标注安全相关的信息,例如: - @Secured:用于标注方法或类,表示该方法或类需要特定的权限才能被访问。 - @PreAuthorize:用于标注方法或类,表示该方法或类需要满足指定的条件才能被访问。 - @PostAuthorize:用于标注方法,表示该方法需要在执行后满足指定的条件才能返回结果。 - @RolesAllowed:用于标注方法或类,表示该方法或类需要特定的角色才能被访问。 - @AuthenticationPrincipal:用于标注方法的参数,表示该参数需要获取当前身份认证用户的信息。 使用这些注解可以非常方便地实现应用的安全控制,例如: ```java @RestController public class UserController { @Autowired private UserService userService; @Secured("ROLE_ADMIN") @GetMapping("/users") public List<User> getUsers() { return userService.getUsers(); } @PreAuthorize("hasRole('ADMIN') or hasRole('USER')") @GetMapping("/users/{id}") public User getUserById(@PathVariable("id") Long id) { return userService.getUserById(id); } @PostAuthorize("returnObject.username == authentication.principal.username") @PutMapping("/users/{id}") public User updateUser(@PathVariable("id") Long id, @RequestBody User user) { return userService.updateUser(id, user); } @RolesAllowed({"ADMIN", "USER"}) @DeleteMapping("/users/{id}") public void deleteUser(@PathVariable("id") Long id) { userService.deleteUser(id); } @GetMapping("/me") public User getMe(@AuthenticationPrincipal UserDetails userDetails) { return userService.getUserByUsername(userDetails.getUsername()); } } ``` 在上述代码中,我们使用Spring Security 提供的各种注解,实现了对用户资源的安全控制。例如: - getUsers 方法需要 ROLE_ADMIN 权限才能访问。 - getUserById 方法需要 ADMIN 或 USER 角色才能访问。 - updateUser 方法执行后需要满足返回对象的 username 属性等于当前用户的用户名。 - deleteUser 方法需要 ADMIN 或 USER 角色才能访问。 - getMe 方法获取当前用户的信息,使用了 @AuthenticationPrincipal 注解获取了当前身份认证用户的信息。 需要注意的是,使用注解时需要启用 Spring Security 的方法级别安全控制,即需要在 WebSecurityConfigurerAdapter 中配置如下内容: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .anyRequest().authenticated() // 其他所有请求均需要身份认证 .and() .httpBasic(); // 使用 HTTP Basic 认证方式 } @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { // 配置用户信息和密码编码器 auth.inMemoryAuthentication() .withUser("admin").password(passwordEncoder().encode("admin")).roles("ADMIN") .and() .withUser("user").password(passwordEncoder().encode("user")).roles("USER"); } @Bean public PasswordEncoder passwordEncoder() { // 选择密码编码器 return new BCryptPasswordEncoder(); } } ``` 在上述代码中,我们配置了使用 HTTP Basic 认证方式,配置了用户信息和密码编码器,启用了方法级别安全控制。这样,我们就可以使用注解来实现应用的安全控制了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

拾光师

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值