想要控制好权限,这八个注解你必须知道!

已于 2022-08-22 20:15:46 修改
阅读量1.1k 收藏 6
点赞数
分类专栏: Spring Security 文章标签: spring java spring boot
于 2022-08-22 19:58:49 首次发布
原文链接:https://mp.weixin.qq.com/s/1NlWRwiBs8dl3Lu40haz5Q
版权

在讲数据权限之前,我们有必要先和大家介绍一下 Spring Security 中的权限注解

1. Spring Security 中的权限注解

Spring Security 中支持多种权限注解,首先我们需要通过 @EnableGlobalMethodSecurity 注解开启权限注解的使用,方式如下:

@Configuration   
@EnableGlobalMethodSecurity(prePostEnabled = true,securedEnabled = true, jsr250Enabled = true)   
public class SecurityConfig extends WebSecurityConfigurerAdapter {   }

在这个注解中我们一共设置了三个属性:

  1. prePostEnabled:这个表示开启 Spring Security 提供的四个权限注解,@PostAuthorize@PostFilter@PreAuthorize 以及 @PreFilter,这四个注解支持权限表达式,支持 SpEL,功能比较丰富。

  2. securedEnabled:开启 Spring Security 提供的 @Secured 注解,该注解不支持权限表达式。

  3. jsr250Enabled:开启 JSR-250 提供的注解,主要包括 @DenyAll@PermitAll 以及 @RolesAllowed 三个注解,这些注解也不支持权限表达式。

以上这些注解的含义分别如下:

  • @PostAuthorize:在目标方法执行之后进行权限校验。

  • @PostFilter:在目标方法执行之后对方法的返回结果进行过滤。

  • @PreAuthorize:在目标方法执行之前进行权限校验。

  • @PreFilter:在目标方法执行之前对方法参数进行过滤。

  • @Secured:访问目标方法必须具备相应的角色。

  • @DenyAll:拒绝所有访问。

  • @PermitAll:允许所有访问。

  • @RolesAllowed:访问目标方法必须具备相应的角色。

这是所有的,当然一般来说我们只要设置 prePostEnabled=true 就够用了,也就是前四个注解基本上就能满足大部分需求了。

另外还有一种比较“古老”的方法配置基于方法的权限管理,那就是通过 XML 文件配置方法拦截规则,目前已经很少有用 XML 文件来配置 Spring Security 了,所以对于这种方式我们不做过多介绍。感兴趣的小伙伴可以查看官网的相关介绍:https://docs.spring.io/spring-security/ site/docs/5.4.0/reference/html5/#secure-object-impls

2. 权限注解实践

接下来我们通过几个简单的案例来学习一下上面几种不同注解的用法。

首先创建一个 Spring Boot 项目,引入 Web 和 Spring Security 依赖,项目创建完成后,添加如下配置文件:

@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true, jsr250Enabled = true)   
public class SecurityConfig{   }

为了方便起见,我们将使用单元测试进行验证,所以这里就不进行额外的配置了,通过 @EnableGlobalMethodSecurity 注解开启其他权限注解的使用即可。

接下来创建一个 User 类以备后续使用:

public class User {       
	private Integer id;       
	private String username;         
 //省略getter/setter   }

准备工作完成后,我们来逐个讲解一下前面注解的用法。

2.1 @PreAuthorize

@PreAuthorize 注解可以在目标方法执行之前对其进行安全校验,在安全校验时,可以直接使用权限表达式。例如可以定义如下方法:

@Service   
public class HelloService {       
	@PreAuthorize("hasRole('ADMIN')")       
	public String hello() {           
		return "hello";      
	 }  
  }

这里使用了权限表达式 hasRole,表示执行该方法必须具备 ADMIN 角色才可以访问,否则不可以访问。接下来我们在单元测试中来测试该方法:

@SpringBootTest   
class BasedOnMethodApplicationTests {   
    
@Autowired       
HelloService helloService;   
    
@Test       
@WithMockUser(roles = "ADMIN")       
void preauthorizeTest01() {           
	String hello = helloService.hello();           
	assertNotNull(hello);           
	assertEquals("hello", hello);      
	 }  
  }

通过 @WithMockUser(roles = "ADMIN") 注解设定当前执行的用户角色是 ADMIN,然后调用 helloService 中的方法进行测试即可。如果将用户角色设置为其他字符,那单元测试就不会通过。

当然,这里除了 hasRole 表达式之外,也可以使用其他权限表达式,甚至也可以同时使用多个权限表达式,如下所示:

@Service   
public class HelloService { 
      
@PreAuthorize("hasRole('ADMIN') and authentication.name=='javaboy'")       
public String hello() {           
	return "hello";      
	 }   
 }

表示访问者名称必须是 javaboy,而且还需要同时具备 ADMIN 角色,才可以访问该方法。此时通过如下代码对其进行测试:

@SpringBootTest   
class BasedOnMethodApplicationTests {  
     
@Autowired       
HelloService helloService;  
     
@Test       
@WithMockUser(roles = "ADMIN",username = "javaboy")       
void preauthorizeTest01() {           
	String hello = helloService.hello();           
	assertNotNull(hello);           
	assertEquals("hello", hello);     
	  } 
    }

@PreAuthorize 注解中,还可以通过 # 引用方法的参数,并对其进行校验,例如如下方法表示请求者的用户名必须等于方法参数 name 的值,方法才可以被执行:

@PreAuthorize("authentication.name==#name")   
public String hello(String name) {       
	return "hello:" + name;  
 }

测试方法如下:

@Test   
@WithMockUser(username = "javaboy")   
void preauthorizeTest02() {       
	String hello = helloService.hello("javaboy");       
	assertNotNull(hello);       
	assertEquals("hello:javaboy", hello); 
  }

当模拟的用户名和方法参数相等时,单元测试就可以通过。

2.2 @PreFilter

@PreFilter 主要是对方法的请求参数进行过滤,它里边包含了一个内置对象 filterObject 表示要过滤的参数,如果方法只有一个参数,则内置的 filterObject 对象就代表该参数;如果方法有多个参数,则需要通过 filterTarget 来指定 filterObject 到底代表哪个对象:

@PreFilter(value = "filterObject.id%2!=0",filterTarget = "users")   
public void addUsers(List<User> users, Integer other) {       
System.out.println("users = " + users);   }

上面代码表示对方法参数 users 进行过滤,将 id 为奇数的 user 保留。

然后通过单元测试对该方法进行测试:

@Test   
@WithMockUser(username = "javaboy")   
void preFilterTest01() {       
	List<User> users = new ArrayList<>();       
	for (int i = 0; i < 10; i++) {           
	users.add(new User(i, "javaboy:" + i));    
	   }       
	helloService.addUsers(users, 99); 
  }

执行单元测试方法,addUsers 方法中只会打印出 id 为奇数的 user 对象。

2.3 @PostAuthorize

@PostAuthorize 是在目标方法执行之后进行权限校验。可能有小伙伴会觉得奇怪,目标方法都执行完了才去做权限校验意义何在?其实这个主要是在 ACL 权限模型中会用到,目标方法执行完毕后,通过 @PostAuthorize 注解去校验目标方法的返回值是否满足相应的权限要求。

不过呢,即使你的权限模型不是 ACL,也没关系,也有可能用到这个注解,反正记得它的作用:方法执行完成后,根据用户的权限信息过滤出需要返回给用户的数据。

从技术角度来讲,@PostAuthorize 注解中也可以使用权限表达式,但是在实际开发中权限表达式一般都是结合 @PreAuthorize 注解一起使用的。@PostAuthorize 包含一个内置对象 returnObject,表示方法的返回值,开发者可以对返回值进行校验:

@PostAuthorize("returnObject.id==1")   
public User getUserById(Integer id) {      
 return new User(id, "javaboy"); 
   }

这个表示方法返回的 user 对象的 id 必须为 1,调用才会顺利通过,否则就会抛出异常。

然后通过单元测试对该方法进行测试:

@Test   
@WithMockUser(username = "javaboy")   
void postAuthorizeTest01() {       
	User user = helloService.getUserById(1);       
	assertNotNull(user);       
	assertEquals(1,user.getId());       
	assertEquals("javaboy",user.getUsername());  
 }

如果调用时传入的参数为 1,单元测试就会顺利通过。

2.4 @PostFilter

@PostFilter 注解是在目标方法执行之后,对目标方法的返回结果进行过滤,该注解中包含了一个内置对象 filterObject,表示目标方法返回的集合/数组中的具体元素:

@PostFilter("filterObject.id%2==0")   
public List<User> getAll() {       
	List<User> users = new ArrayList<>();       
	for (int i = 0; i < 10; i++) {           
	users.add(new User(i, "javaboy:" + i));     
	}       
	  return users;  
}

这段代码表示 getAll 方法的返回值 users 集合中 user 对象的 id 必须为偶数。

然后我们通过单元测试对其进行测试,代码如下:

@Test   
@WithMockUser(roles = "ADMIN")   
void postFilterTest01() {       
	List<User> all = helloService.getAll();       
	assertNotNull(all);       
	assertEquals(5, all.size());       
	assertEquals(2,all.get(1).getId()); 
 }

2.5 @Secured

@Secured 注解也是 Spring Security 提供的权限注解,不同于前面四个注解,该注解不支持权限表达式,只能做一些简单的权限描述。

@Secured({"ROLE_ADMIN","ROLE_USER"})   
public User getUserByUsername(String username) {      
 return new User(99, username);  
 }

这段代码表示用户需要具备 ROLE_ADMIN 或者 ROLE_USER 角色,才能访问 getUserByUsername 方法。

然后我们通过单元测试对其进行测试,代码如下:

@Test   @WithMockUser(roles = "ADMIN")   
void securedTest01() {       
	User user = helloService.getUserByUsername("javaboy");       
	assertNotNull(user);       
	assertEquals(99,user.getId());       
	assertEquals("javaboy", user.getUsername());  
 }

注意,这里不需要给角色添加 ROLE_ 前缀,系统会自动添加。

2.6 @DenyAll

@DenyAllJSR-250 提供的方法注解,看名字就知道这是拒绝所有访问:

@DenyAll   
public String denyAll() {       
	return "DenyAll";   
}

然后我们通过单元测试对其进行测试,代码如下:

@Test   
@WithMockUser(username = "javaboy")   
void denyAllTest01() {      
 helloService.denyAll();  
  }

在单元测试过程中,就会抛出异常。

2.7 @PermitAll

@PermitAll 也是 JSR-250 提供的方法注解,看名字就知道这是允许所有访问:

@PermitAll   
public String permitAll() {     
  return "PermitAll";  
   }

然后我们通过单元测试对其进行测试,代码如下:

@Test   
@WithMockUser(username = "javaboy")   
void permitAllTest01() {       
	String s = helloService.permitAll();      
	assertNotNull(s);      
	assertEquals("PermitAll", s);  
   }

2.8 @RolesAllowed

@RolesAllowed 也是 JSR-250 提供的注解,可以添加在方法上或者类上,当添加在类上时,表示该注解对类中的所有方法生效;如果类上和方法上都有该注解,并且起冲突,则以方法上的注解为准。我们来看一个简单的案例:

@RolesAllowed({"ADMIN","USER"})   
public String rolesAllowed() {       
	return "RolesAllowed";  
 }

这个表示访问 rolesAllowed 方法需要具备 ADMIN 或者 USER 角色,然后我们通过单元测试对其进行测试,代码如下:

@Test   
@WithMockUser(roles = "ADMIN")   
void rolesAllowedTest01() {      
	 String s = helloService.rolesAllowed();       
	 assertNotNull(s);       
	 assertEquals("RolesAllowed", s); 
   }

这就是常见的方法权限注解。

好啦,今天就先和小伙伴们介绍这么多,下面文章我再和小伙伴们介绍这些注解在 TienChin 项目中的应用。

本文转自 https://mp.weixin.qq.com/s/1NlWRwiBs8dl3Lu40haz5Q,如有侵权,请联系删除。

爱写Bug的麦洛
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springAop+自定义注解实现权限管理
09-14
一个简单的采用自定义注解结合SpringAop实现方法执行的权限管理,这个demo中并没有涉及到与数据库的交互和业务代码,用户权限在登陆时采用简单的手动初始化。该demo用的jdk1.7编译,Spring4.0版本,只想通过这个demo熟悉相关技术,如有不足之处还望各位大佬多多包涵并指出。
自定义注解+AOP实现权限控制.zip
01-15
详情请查看博客:<a href='https://blog.csdn.net/byteArr/article/details/103984725'> springboot+自定义注解+AOP实现权限控制(一)和<a href='https://blog.csdn.net/byteArr/article/details/103992016'> ...
八、权限注解
Class雷
02-05 345
@RequiresAuthentication : 表示当前Subject已经通过login进行了身份验证;即Subject.isAunthentication() 返回true @RequiresUser : 表示当前Subject已经身份验证或者通过记住我登录的 @RequiresGuest : 表示当前Subject没有身份验证或者记住我登录过,即...
使用自定义注解权限控制
灰的博客
07-10 277
一,注解类 package test.annotation; import java.lang.annotation.Documented; import java.lang.annotation.ElementType; import java.lang.annotation.Retention; import java.lang.annotation.RetentionPolicy; imp...
通过注解分配权限
重燃小窗
04-08 214
@Component public class GlobalInterceptor extends HandlerInterceptorAdapter { private static Logger logger = LoggerFactory.getLogger(GlobalInterceptor.class); @Resource private UserService...
想要控制权限,这8个注解必须知道
码猿技术专栏
08-07 573
大家好,我是不才陈某~在码猿慢病云管理系统采用的是Spring Cloud 集成Spring Security OAuth2的方式实现认证、鉴权,其中涉及到的一个重要问题则是数据权限的过滤,今天就来介绍一下实现的方案。在之前的文章中曾经介绍过通过自定义的三个注解 @RequiresLogin、 @RequiresPermissions 、 @RequiresRoles 实现微服务的鉴权其实就是参考...
Spring Boot 通过AOP和自定义注解实现权限控制的方法
08-25
首先,我们需要定义一个自定义的权限注解 `VisitPermission`,它将用于标记需要验证的接口。 ```java @Target(ElementType.METHOD) @Retention(RetentionPolicy.RUNTIME) public @interface VisitPermission { / *...
SpringBoot 、Shiro、 自定义注解权限控制源码下载
04-06
这在描述中提到的"自定义注解权限控制"就是指这一功能。 MyBatis Plus则是在MyBatis的基础上扩展的一套轻量级框架,它简化了数据库的基本操作,如增删改查、条件查询等。MyBatis Plus提供了丰富的API,开发者无需...
ssm+自定义标签+自定义注解 实现权限细粒度控制
04-13
在这个项目中,开发者尝试模仿Apache Shiro框架,通过自定义标签和自定义注解来实现权限的细粒度控制,从而更好地管理和限制用户访问特定的资源。 Apache Shiro是一个强大且易用的Java安全框架,处理认证、授权、...
SpringMVC实现注解权限验证的实例
08-31
1. **定义权限注解**:首先,我们需要创建一个自定义注解,用于标记控制器方法需要的权限。例如,可以创建一个名为`@RequireRole`的注解,其中包含角色名称: ```java import java.lang.annotation.ElementType; ...
SpringBoot+拦截器+自定义注解实现权限控制
多味花生的博客
09-21 1485
一、创建自定义注解 package com.shenlan.common.annotation; import java.lang.annotation.*; /** * @author : xukun * @date : 2020/9/17 */ @Target({ElementType.METHOD}) @Retention(RetentionPolicy.RUNTIME) @Documented @Inherited public @interface RequestAuthority {
【Shiro 框架总结】6 权限注解
FullStackDeveloper0的博客
04-16 246
目录 1. 权限注解、具体实现 2. 从数据库中读取权限数据 一、简介 二、具体实现 1. 创建service 2. service交给容器管理 3. Controller中自动注入service 4. 前端 5. 测试 使用admin登录时可以正常访问,使用user登录时会报错 org.apache.shiro.authz....
Springboot-权限注解
LifeBackwards的专栏
03-03 3414
权限注解作用在Controller的方法上,作用是调用者是否有权限调用该接口。(本文代码参考若依项目) 1.权限示例 1.数据权限示例 // 符合system:user:list权限要求 @PreAuthorize(hasPermi = "system:user:list") @GetMapping("/list") public TableDataInfo list(SysUser user) { startPage(); List<SysUser> list
SpringSecurity(06)——权限注解
最新发布
peng_gx的博客
01-15 1390
SpringSecurity权限注解
自定义标签和注解实现简单的权限控制
zhuzi51的专栏
09-16 658
楔子 前一段时间看了一个水平很高的代码,使用了自定义注解和标签,实现了权限控制和表单字段的校验。此处简单模拟一下自定义注解和标签实现权限控制。 code 模式不涉及数据库查询校验,下面是模式的效果。 自定义标签 1:自定义标签 &lt;?xml version="1.0" encoding="UTF-8"?&gt; &lt;taglib versio...
Shiro学习笔记——权限注解
shen的博客
09-13 245
使用位置 可以放在Controller层的方法上,也可以放在Service层的方法上。 注解概述 @RequiresAuthenication:表示当前Subject已经通过login进行了身份验证,即Subject.isAuthenticated()返回true。 @RequiresUser:表示当前Subject已经身份验证或者通过记住我登录的。 @RequiresGuest:表示当前...
Spring Security权限注解
程序员朱永胜
03-15 2388
启用注解 @EnableGlobalMethodSecurity(prePostEnabled = true) 正常启用开启那个注解就行,下面放下我的配置 package com.fedtech.sys.provider.config.config; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.sprin
shiro注解权限控制-5个权限注解
adai1682的博客
01-25 220
RequiresAuthentication: 使用该注解标注的类,实例,方法在访问或调用时,当前Subject必须在当前session中已经过认证 RequiresGuest: 使用该注解标注的类,实例,方法在访问或调用时,当前Subject可以是“gust”身份,不需要经过认证或者在原先的session中存在记录。 Require...
shiro权限注解
安分_pingping
05-15 707
Shiro权限注解(可以用在Controller层对应的方法上/Service层对应的方法上)1》@RequiresAuthentication:表示当前Subject已经通过login进行了身份验证;即Subject.isAuthenticated()返回true。2》@RequiresUser:表示当前Subject已经身份验证或者通过记住我登录的。3》@RequiresGuest:表示当前S...
java 自定义注解控制权限
06-06
Java 自定义注解可以用于控制权限,可以通过自定义注解来对方法、类、字段等进行权限控制。下面是一个简单的例子: 定义一个自定义注解: ``` @Retention(RetentionPolicy.RUNTIME) @Target(ElementType.METHOD) ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值