SpringSecurity中的@PreAuthorize注解具体介绍与使用

最新推荐文章于 2025-03-27 06:00:00 发布
最新推荐文章于 2025-03-27 06:00:00 发布
阅读量1.6k 收藏 28
点赞数 23
分类专栏: 各大实战问题分析 文章标签: spring
ABin-阿斌
本文链接:https://blog.csdn.net/Mango_Bin/article/details/143260027
版权

声明

  • 原文地址为:https://blog.csdn.net/weixin_47872288/article/details/135854926

1 . 基本知识

在Java中,@PreAuthorize 是Spring Security框架中的一个注解,用于在方法调用之前对用户的权限进行验证。

允许在方法级别定义访问控制规则,确保只有满足指定条件的用户才能调用该方法

这个注解通常与 Spring 的 AOP(面向切面编程)结合使用,推荐阅读:

  1. Spring框架从入门到学精(全)
  2. java框架 零基础从入门到精通的学习路线 附开源项目面经等(超全)

本身的作用主要如下:

  • 权限控制: 主要用于实现基于方法调用的权限控制,确保只有经过验证的用户才能访问受保护的方法
  • 条件判断: 允许在注解中定义条件表达式,这些表达式决定是否允许方法调用

使用方式:

@PreAuthorize 注解的参数是一个 SpEL(Spring Expression Language)表达式,用于定义权限规则(SpEL支持在表达式中使用各种功能,包括方法调用、条件判断等)

表达式的结果应该是布尔值,如果为 true,则允许方法调用,否则抛出权限异常。
示例:@PreAuthorize("hasRole('ROLE_ADMIN')") 表示只有具有 ROLE_ADMIN 角色的用户可以调用该方法。

除了在方法级别使用 @PreAuthorize,还可以在全局配置中定义方法安全性

通过配置类,指定应用于整个应用程序的全局安全性规则。

2. 使用方式

要么以配置类要么直接使用

2.1 配置类

如果通过配置类的方式:

一般通过继承 WebSecurityConfigurerAdapter 类,通过这个类配置应用程序的安全性

大致的Demo如下:

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    // 配置内存中的用户
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
            .withUser("user").password("{noop}password").roles("USER")
            .and()
            .withUser("admin").password("{noop}admin").roles("ADMIN");
    }

    // 配置访问控制规则
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/admin/**").hasRole("ADMIN")
                .antMatchers("/user/**").hasRole("USER")
                .anyRequest().authenticated()
                .and()
            .formLogin()
                .loginPage("/login")
                .permitAll()
                .and()
            .logout()
                .permitAll();
    }
}

一个是普通用户,一个是管理员。
访问控制规则指定了 /admin/** 路径需要具有 “ADMIN” 角色的用户才能访问
/user/** 路径需要具有 “USER” 角色的用户才能访问
其他请求需要身份验证。登录页面配置为 /login,注销行为允许所有用户。

整体对于配置类来说:

  1. 定义认证规则: 指定用户认证的规则、设置用户的身份验证方式,例如基于内存、数据库、LDAP 等方式,并定义用户的角色和权限

  2. 配置访问控制规则:哪些路径需要身份验证,哪些路径允许匿名访问,哪些路径需要特定的角色或权限

  3. 定制登录和注销行为: 自定义登录页面、处理登录请求的 URL、注销行为等

  4. 启用或禁用特定的安全性功能: 启用或禁用各种安全性功能,例如 CSRF 保护、Session 管理等

2.2 直接使用

内部内置的方法,都在这个类上:

@PreAuthorize 注解内置了一些方便的方法,可以直接在表达式中使用,例如:

  • hasRole('ROLE_NAME') 检查用户是否具有指定角色。
  • hasAnyRole('ROLE1', 'ROLE2') 检查用户是否具有给定角色中的任意一个。
  • hasAuthority('AUTHORITY_NAME') 检查用户是否具有指定权限。
  • hasAnyAuthority('AUTHORITY1', 'AUTHORITY2') 检查用户是否具有给定权限中的任意一个。
  • hasPermission(targetObject, 'permission'): 检查用户是否具有特定对象的特定权限。

如图所示:

对于上述方法的基本细节操作如下:

方法参数传递:

在表达式中,可以引用方法的参数,例如:
@PreAuthorize("hasPermission(#entity, 'read')") 表示检查用户是否有对给定实体的读权限。

逻辑运算:

表达式支持逻辑运算符,如 and, or, not,允许构建更复杂的权限规则

@PreAuthorize("hasRole('ADMIN') and hasPermission(#entity, 'write')")

大致Demo如下:

import org.springframework.security.access.prepost.PreAuthorize;

public class MyService {

    // 示例1: 仅允许具有ROLE_ADMIN角色的用户调用
    @PreAuthorize("hasRole('ROLE_ADMIN')")
    public void adminOperation() {
        // 实现管理员操作的代码
    }

    // 示例2: 允许具有READ权限并且是特定用户的调用
    @PreAuthorize("hasPermission(#username, 'READ')")
    public void userOperation(String username) {
        // 实现用户操作的代码
    }
}

@PreAuthorize 注解用于控制方法的访问权限。

  • 只有具有ROLE_ADMIN角色的用户才能调用adminOperation方法
  • 只有具有READ权限并且传入的用户名符合条件的用户才能调用userOperation方法
Spring Security-@PreAuthorize 权限注解分析
西京刀客
09-18 2万+
@PreAuthorize @PreAuthorize
SpringSecurity基于注解实现方法级别授权:@PreAuthorize、@PostAuthorize、@Secured
pan_junbiao的博客
02-22 1036
方法调用授权的含义很明确, HTTP 端点级别的授权机制一样,人们可以用它来确定某个请求是否具有调用方法的权限。这里可以分成两种情况:如果是在方法调用之前进行授权管理,则称为预授权(PreAuthorization);如果是在方法执行完之后确定是否可以访问方法返回的结构,则称为后授权(PostAuthorization)。在 Spring Security 中,@PreAuthorize 注解是一种用于方法级别授权的强大工具。它允许你在方法执行之前进行权限检查,从而确保只有具备相应权限的用户才能调用该方法
SpringSecurity使用@PreAuthorize、@PostAuthorize实现Web系统权限认证
u011930054的博客
07-17 5170
SpringSecurity可以使用@PreAuthorize和@PostAuthorize进行访问控制,下面进行说明。 项目使用Springboot2.3.3+SpringSecurtiy+Mbatis实现。 首先先引入pom.xml <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artif
SpringSecurity方法安全:@PreAuthorizeSpEL表达式
最新发布
程序媛学姐的博客
03-27 1274
方法级安全是Spring Security的核心特性之一,它允许开发者在方法执行前、执行后甚至执行过程中应用安全控制。基于URL的安全控制相比,方法级安全提供了更细粒度的访问控制机制,特别适合复杂业务场景下的权限管理需求。方法级安全可以基于用户角色、权限、方法参数甚至是返回值进行控制,使得安全规则能够业务逻辑紧密结合。要启用Spring Security的方法级安全,需要在配置类上添加@EnableMethodSecurity注解
详细分析SpringSecurity中的@PreAuthorize注解
码农研究僧的博客
01-27 1万+
在Java中,`@PreAuthorize` 是Spring Security框架中的一个注解,用于在方法调用之前对用户的权限进行验证。 允许在方法级别定义访问控制规则,确保只有满足指定条件的用户才能调用该方法 这个注解通常Spring的AOP(面向切面编程)结合使用,推荐阅读: Spring框架从入门到学精(全) java框架 零基础从入门到精通的学习路线 附开源项目面经等(超全)
@PreAuthorize注解
先知三日
01-12 6456
例如,v-hasPermi="['monitor:job:add']"会检查用户是否具有monitor:job:add这个权限,如果有,那么相关的UI元素就会显示。用户此时已经登陆系统,假设用户操作的是角色管理模块的查询按钮,当点击该按钮时,会通过网络映射到后端的接口方法。通过这种方式,RuoYi框架可以实现精细的基于权限的访问控制,确保只有具有相应权限的用户才能访问特定的资源。如果当前用户的权限集合中,包含当前被@PreAuthorize标注的方法的权限,则返回true。等集合信息返回给前端。
SpringBoot - @PreAuthorize注解详解
热门推荐
记录并分享
08-21 9万+
@PreAuthorize注解会在方法执行前进行权限验证,支持Spring EL表达式。只有当@EnableGlobalMethodSecurity(prePostEnabled=true)的时候,@PreAuthorize才可以使用
@PreAuthorize注解详解
19.2.04.157N的博客
04-13 3958
SpringBoot - @PreAuthorize注解详解
Spring Security 之方法级的权限管控 @PreAuthorize 使用详解
LoveSummer
01-22 1万+
默认情况下, Spring Security 并不启用方法级的安全管控. 启用方法级的管控后, 可以针对不同的方法通过注解设置不同的访问条件.Spring Security 支持三种方法级注解, 分别是 JSR-205 注解 /@Secured 注解 / prePostEnabled 注解. 这些注解不仅可以直接加 controller 方法上, 也可以注解 Service 或 DAO 类中的方法.
SpringSecurity@PreAuthorize如何实现自定义权限校验方法
2301_76607156的博客
05-05 1653
在我们一般的web系统中必不可少的就是权限的配置,也有经典的RBAC权限模型,是基于角色的权限控制。这是目前最常被开发者使用也是相对易用、通用权限模型。当然已经实现了权限的校验,但是不够灵活,我们可以自己写一下校验条件,从而更加的灵活!很多开源框架中也是用的比较多,小编看了一下若依是自己写了一个注解实现的,pig是使用来实现自己的校验方式,小编以pig框架的为例。这样就完成了自定义校验,具体的校验可以自己在配置里进行修改,当然也可以自己写一个注解来进行自定义校验,可以参考若依的注解
@PreAuthorize 注解
susu1083018911的博客
11-03 1万+
以前也写过登录,但是没有研究过 spring-security ,在新项目中看到这个注解还是一脸的懵,下面简单的梳理一下此注解(题外话:其实好多都可以通过名字的大概意思猜一猜): @PreAuthorize 注解方法前拦截判断是否有权限 进入方法前判断el表达式 查找到我们项目中定义了一个接口,接口中定义了常量 常量值的定义,我们可以在SecurityExpressionRoot类中看到 el表达式返回true:通过 false:拒绝访问 对上述el表达式 ...
详解了解权限控制符@PreAuthorize
sunsiny
11-01 3664
是一个Spring Security的注解,用于在Spring框架中的方法级别上进行权限控制。这个注解通常用于保护某个方法,确保只有具备特定权限的用户才能访问该方法。这里的 是Spring Security提供的权限注解之一,它允许你定义一个SpEL(Spring Expression Language)表达式,用来在方法执行之前检查用户的权限。解释一下代码片段中的各个部分:在Spring Security中,为不同用户角色设置不同的权限通常涉及以下几个步骤:定义角色和权限:配置用户DetailsServ
Spring Security @PreAuthorize注解
疯一样的码农
11-20 753
Spring Security 的一个注解,用于指定在方法调用前应评估的表达式,以确定调用者是否有权执行该方法。本教程介绍了如何使用 Spring 方法级安全和注解来保护 RestController 方法。通过这些步骤,您可以确保只有具有适当角色或权限的用户才能访问特定的 REST API。
Spring Security权限注解@PreAuthorize通俗讲解
m0_53370922的博客
05-20 6164
写在前面:后端就是后端,后端接口权限和前端可以想成没有任何关系,千万不要被所谓的路由、所谓的那些按钮、权限标识在哪个菜单下所迷惑(只要保证接口权限字符串在用户菜单权限下即可,除此之外,在哪个菜单或按钮都行)!(后端的我们就用接口测试工具测试,所以不要被前端界面的这些东西所迷惑) 图1 简单举例子说,后端有这么一个接口,图2,这个权限标识不一定非得放在图1所示的菜单下才起作用。比如admin用户拥有所有菜单的权限,那么你将test: one:testForm:list放到任何一个菜单下,用户admin都可以访
Spring Security 之方法级的安全管控@PreAuthorize
weixin_42030357的博客
03-07 3314
文章目录1. JSR-205 注解2.@Secured 注解3.@PreAuthorize 类型的注解(支持 Spring 表达式)3.1SPEL表达试(bean引用)3.2 @PreAuthorize 表达式1. returnObject 保留名2. 表达式中的 # 号3. 内置表达式有:例子SecurityConfig 配置类BookService 配置类 原博文,点击这里 默认情况下, Spring Security 并不启用方法级的安全管控. 启用方法级的管控后, 可以针对不同的方法通过注解设置不同
史上最简单的Spring Security教程(十二):@PreAuthorize注解实现权限控制
银河架构师的博客
07-17 3万+
我们前面讲的所有的例子,都是没有权限控制的,也就是只要登录就可以访问任何资源,不需要其它的权限。但是,现实生活中肯定不是这样。 比如你是普通员工,只能查看自己的工作记录;而部门经理作为领导,则可以查看整个部门员工的工作记录;再如企业老板,作为最大的权限拥有者,可以查看整个公司员工的工作记录。这就是所谓的权限控制,不同角色拥有的不同资源。 而Spring Security框架最大的功用就在于此。当然,实现权限控制体系非常复杂,我们一步一步来,本次先讲一个如何通过注解实现权限控制需求。 Spri...
#6解析@PreAuthorize以及其中的Spel
weixin_42718399的博客
01-12 2378
#6解析@PreAuthorize以及其中的Spel
spring boot 没有@PreAuthorize注解怎么办
02-21
Spring Boot中,@PreAuthorize注解是用于在方法执行之前进行权限验证的。如果你不想使用@PreAuthorize注解,你可以通过其他方式来实现权限验证。 一种常见的方式是使用Spring Security框架来进行权限验证。Spring Security提供了一套完整的安全认证和授权机制,可以轻松地集成到Spring Boot应用中。 首先,你需要在pom.xml文件中添加Spring Security的依赖: ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> ``` 然后,在你的应用主类上添加@EnableWebSecurity注解,启用Spring Security的功能: ```java import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity; @EnableWebSecurity public class YourApplication { // ... } ``` 接下来,你可以创建一个继承自WebSecurityConfigurerAdapter的配置类,来配置权限验证规则: ```java import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter; @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/admin/**").hasRole("ADMIN") .antMatchers("/user/**").hasAnyRole("ADMIN", "USER") .anyRequest().authenticated() .and() .formLogin(); } } ``` 上述配置中,我们定义了两个URL模式的权限规则:/admin/**需要具有ADMIN角色才能访问,/user/**需要具有ADMIN或USER角色才能访问。其他URL需要进行身份验证。 当你使用Spring Security进行权限验证时,你可以在方法中使用注解来进行更细粒度的权限控制,例如@Secured、@RolesAllowed等。 除了Spring Security,你还可以使用其他的权限验证框架或自定义实现来替代@PreAuthorize注解。这些方式的具体实现方式会根据你的需求和项目架构而有所不同。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值