Security 退出登、权限控制

最新推荐文章于 2022-12-14 17:08:21 发布
最新推荐文章于 2022-12-14 17:08:21 发布
阅读量493 收藏
点赞数
分类专栏: spring secuitry 文章标签: spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MXqihang/article/details/124459061
版权

Security 退出登、权限控制

文章目录

退出登陆

//@Configuration
public class LogoutSecurityConfig implements WebSecurityConfigurerAdapter {

    //TODO 重点and之前
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.httpBasic()
                .and()
                .logout()
                .logoutUrl("/logout") //退出处理的 url
                .logoutSuccessUrl("/logout/page") //退出成功后,发起的请求,或跳转的页面
                //.logoutSuccessHandler(MyLogOutSuccessHandler) //也可以指定退出成功 处理器自定义退出成功逻辑
                .deleteCookies("deleteCookie") //感觉这步是不是不用写在这

                //TODO能拼接其他的
                .and();
    }
    /*
    默认的退出登陆URL 为 /logout 退出登陆后 spring Security 会有一下处理
    1. 当前sesion 失效
    2. 清楚与当前用户关联的RememberMe 记录
    3. 清空当前 SecurityContext
    4. 重定向到登陆页
     */
}

自定义退出成功处理器需要实现 LogoutSuccessHandler接口

替换.logoutSuccessUrl("/logout/page")

//注入到配置类
@Autowired
private MyLogOutSuccessHandler logOutSuccessHandler;

@Component
public class MyLogOutSuccessHandler implements LogoutSuccessHandler {

    @Override
    public void onLogoutSuccess(HttpServletRequest request,
                                HttpServletResponse response,
                                Authentication authentication) throws IOException, ServletException {
        response.setStatus(HttpStatus.UNAUTHORIZED.value());
        response.setContentType("application/json;charset=utf-8");
        response.getWriter().write("退出成功,请重新登录");
    }
}

权限控制

开启注解

xml 开启

顺序

  1. @Secured
  2. @RolesAllowed
  3. SqEL : @PreAuthoreize 、 @PostAuthorize 、@PreFilter 、 @PostFilter
<global-method-security secured-annotations="enabled"/> 
<global-method-security jsr250-annotations="enabled"/>
<global-method-security pre-post-annotations="enabled"/>
注解 开启方式

配置类中 @EnableGlobalMethodSecurity(prePostEnabled = true)

@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {}

注解说明

@Secured
//需要拥有权限 role_admin 才能访问方法 
//权限是一个 String[],只需要满足其中一个 就可以访问
@Secured("role_admin","..")
public void T(){}
@RolesAllowed

@Secyred功能一样,只是缺少元注解@Inherited

SqEL

@PreAuthorize访问方法前对权限验证
@PreFilter 访问方法前对参数验证
@PostAuthorize 访问方法后验证权限
@PostFilter 方法返回参数验证

//user用户文字小于100。或 是vip
@PreAuthorize("hasRole()'role_user') and form.note.length()<= 100  or hasRole('role_vip')")
public void T(){}

//用户名 lf 才能访问
@PreAuthorize("#user.name.equals('lf')")
public void T(User user){}

//需要admin权限
@PreAuthorize("hasAuthorize('admin')")
public void T(){}

和@PreFilter中 有一个filterObject表示集合中方的对象。

//只返回 偶数id 的结果
@PostFilter("filterObject.id%2==0")
public List<User> seleteAll(){}

多个对象时 使用filterTarget来指定

//指定访问方法的参数
@PreFilter(filterTarget="ids",value="filterObjcet%2==0")
public void delete(List<User> ids,List<role> role){}

自定义权限不足处理器

实现AccessDeniedHandler接口

@Component
public class MyAccessDeniedHandler implements AccessDeniedHandler {
    @Override
    public void handle(HttpServletRequest request,
                       HttpServletResponse response,
                       AccessDeniedException accessDeniedException) throws IOException, ServletException {
        response.setStatus(HttpStatus.INTERNAL_SERVER_ERROR.value());
        response.setContentType("application/json;charset=utf-8");
        response.getWriter().write("很抱歉,您没有该访问权限");
    }
}

配置类设置

    @Autowired
    private MyAccessDeniedHandler accessDeniedHandler;


....
 http.exceptionHandling()
     .accessDeniedHandler(accessDeniedHandler);

底部

黑色幽默595
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring security 3 登录 退出 认证 最少配置
01-12
应用中涉及到安全认证,目前项目有独立的统一认证网关,所以登录时只需要将安全认证网关的认证后信息塞到spring security中,由security3来管理用户的权限设置。目前项目由spring security2升级到spring security3。...
初学spring security(六)-----退出登录和CRSF
m0_48631806的博客
03-25 925
用户只需要向Spring Security项目中发送/logout退出请求即可。<a href="/logout">退出登录如果不希望使用默认值,可以通过下面的方法进行修改。logout常用配置源码解读。
Security 登录认证 退出步骤
weixin_44768962的博客
07-31 1356
登录认证 授权
spring-security--基础--4.1--案例:简单
zhou920786312的博客
10-26 553
参考手册 https://www.springcloud.cc/spring-security-zhcn.html 四、简单出案例 通过SpringSecurity实现以下功能: 用户访问资源页面,未陆跳转陆页面。 陆失败给出提示,并还在陆页面。 陆成功跳转资源页面。 结构 4.1、 依赖 <!--security begin--> <dependency> <groupId>org.springframework.boot</g
springsecurity oauth2.0 自定义退出9
健康平安的活着的专栏
08-15 2459
security默认的退出 Spring security默认实现了logout退出,访问/logout: 实现逻辑: 点击“Log Out”退出 成功。 退出 后访问其它url判断是否成功退出。 二 自定义退出 2.1 配置文件中配置 在WebSecurityConfifig的protected void confifigure(HttpSecurity http)中配置: .and() .logout() .logoutUrl("/logout") .logoutSucc.
SpringSecurity退出登录报错,logout,404,CSRF防护
质量不太好的博客
03-15 1826
SpringSecurity退出登录报错,logout,404,CSRF防护
spring security 参考手册中文版
02-01
9.5 Spring Security中的访问控制(授权) 84 9.5.1安全和AOP建议 84 9.5.2安全对象和AbstractSecurityInterceptor 85 什么是配置属性? 85 RunAsManager 86 AfterInvocationManager 86 扩展安全对象模型 87 9.6本地...
springsecurity-collection:springsecurity安全框架的一些使用
04-28
自定义退出登录成功的handler MockUserList是模拟用户列表 authorizeRequests对url进行统一的权限要求配置 test-ss-12 在test-ss-11 的基础上进一步扩展 增加了对session的管理 可使用redis或者mongodb进行session...
插件开发框架(含开发示例源码,权限管理源码,开发说明文档,基于DevExpress控件)
03-26
解压压缩包,使用visual studio2010打开文件夹中的td.Addin.sln工程文件,点击运行,即可自动编译,如果提示LC.EXE已退出错误,请再次确认你已安装了DevExpress11.1.6。 4.开发体验 任务:向系统中增加一个功能:在...
Spring Security 退出登录
技术分享,读书笔记,面试宝典,算法积累,应有尽有~
06-07 1078
这一篇就来讲讲如何退出登录的一些处理,包括如何退出登录Spring Security默认的退出处理逻辑以及退出登录相关的配置项。
SpringSecurity退出
Leon_Jinhai_Sun的博客
06-06 886
SpringSecurity退出
Spring Security使用自定义的用户登录页面导致退出功能异常的原因分析与解决方案
Java大数据联盟
03-20 2063
Spring Security使用自定义的用户登录页面导致退出功能异常的原因分析与解决方案1 问题描述2 问题重现2.1 使用默认的用户登录页面,退出成功2.2 使用自定义的用户登录页面,退出失败3 原因分析3.1 对比两次请求3.2 分析执行原理3.3 分析结果总结4 解决方法4.1 使用POST请求/logout4.2 使用自定义的RequestMatcher4.3 改变默认的RequestM...
【每日进步一点点】SpringSecurity退出登录不生效问题
u012329294的专栏
04-08 3310
SpringSecurity实现了登录,但配置了退出登录,始终不成功。 配置情况如下: @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/css/**").permitAll() ...
Spring Security 实战干货:实现自定义退出登录
码农小胖哥
10-23 4816
1. 前言 上一篇对 Spring Security 所有内置的 Filter 进行了介绍。今天我们来实战如何安全退出应用程序。 2. 我们使用 Spring Security 登录后都做了什么 这个问题我们必须搞清楚!一般登录后,服务端会给用户发一个凭证。常见有以下的两种: 基于 Session 客户端会存 cookie 来保存一个 sessionId ,服务端存一个 Session 。...
Spring Security--退出登录
我和井盖都笑了博客
04-05 382
退出登录       用户只需要向 Spring Security 项目中发送/logout 退出请求即可。 1 退出实现       实现退出非常简单,只要在页面中添加/logout 的超链接即可。       默认退...
spring-security退出
nrsc
09-22 6670
项目源码地址https://github.com/nieandsun/security
SpringSecurity[6]-Thymeleaf中Spring Security的使用/退出登录/Spring Security中CSRF
listeningdu的博客
12-14 611
上一篇:SpringSecurity[5]-基于表达式的访问控制/基于注解的访问控制/Remember Me功能实现。
Spring Security技术栈学习笔记(十九)退出登录的原理及流程
脚踏实地,慢慢来
02-22 6926
内容待补充。
SpringBoot整合SpringSecurity权限控制 详情用法
最新发布
04-04
本文将介绍如何在Spring Boot中整合Spring Security实现权限控制。 1. 添加Spring Security依赖 在pom.xml文件中添加以下依赖: ``` <groupId>org.springframework.boot <artifactId>spring-boot-starter-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值