14.SpringSecurity-web权限方案-用户授权(注解使用)

已于 2022-09-14 17:03:36 修改
阅读量427 收藏
点赞数
分类专栏: Spring Security OAuth2.0 文章标签: java
于 2022-04-24 22:01:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Stubborn_bull/article/details/124392945
版权

@Secured

  判断是否具有角色,另外需要注意的是这里匹配的字符串需要添加前缀ROLE_;

  使用注解先要开启注解功能,在配置类或者启动类,一般在启动类上

@MapperScan({"net.master.security.app.masterspringsecurity.dao"})
@SpringBootApplication
@EnableGlobalMethodSecurity(securedEnabled=true)
public class App {

    public static void main(String[] args) {
        SpringApplication.run(App.class, args);
    }

}

  访问控制:

@GetMapping("update")
@Secured({"ROLE_role","ROLE_manager"})
public String update(){
    return "hello update ----" + new Date();
}

  角色:

List<GrantedAuthority> authorities = AuthorityUtils.commaSeparatedStringToAuthorityList("admins,ROLE_sale");

  配置:

//当前登录用户,只要具备其中一个角色就可以访问这个路径
.antMatchers("/test/index").hasAnyRole("sale","role")

  测试:当前的权限设置,允许访问/test/index,但不允许访问/test/update
在这里插入图片描述

权限调整,测试:update允许访问

List<GrantedAuthority> authorities = AuthorityUtils.commaSeparatedStringToAuthorityList("admins,ROLE_sale,ROLE_manager");

在这里插入图片描述

@PreAuthorize

  开启注解:

@EnableGlobalMethodSecurity(prePostEnabled = true)

  注解适合进入方法前的权限验证,@PreAuthorize 可以将登录用户的 roles/permissions 参数传到方法中,注意外部是双引号,里面是单引号:

@GetMapping("update")
@PreAuthorize("hasAnyAuthority('admins')")
public String update(){
    return "hello update ----" + new Date();
}

  权限:

List<GrantedAuthority> authorities = AuthorityUtils.commaSeparatedStringToAuthorityList("admins,ROLE_sale,ROLE_manager");

  测试:当前的权限设置,允许访问/test/update
在这里插入图片描述

@PostAuthorize

  先开启注解功能:

@EnableGlobalMethodSecurity(prePostEnabled = true)

  注解使用并不多,在方法执行后再进行权限验证,适合验证带有返回值的权限:

@GetMapping("update")
@PostAuthorize("hasAnyAuthority('admins')")
public String update(){
    System.out.println("update ----");
    return "hello update ----" + new Date();
}

  权限:这里的权限和访问控制的校验是不匹配的

List<GrantedAuthority> authorities = AuthorityUtils.commaSeparatedStringToAuthorityList("admin,ROLE_sale,ROLE_manager");

  测试:当权限不匹配的情况下,update方法中的输出语句能否执行

在这里插入图片描述

@PostFilter

  @PostFilter :权限验证之后对数据进行过滤,留下username 是admin1的数据

  表达式中的 filterObject 引用的是方法返回值 List 中的某一个元素

@GetMapping("getAll")
@PostAuthorize("hasAnyAuthority('admins')")
@PostFilter("filterObject.username == 'admin1'")
public List<Users> getAll(){
    List<Users> users = new ArrayList<>();
    users.add(new Users(1,"admin1","666"));
    users.add(new Users(2,"admin2","999"));
    return users;
}

  权限:

List<GrantedAuthority> authorities = AuthorityUtils.commaSeparatedStringToAuthorityList("admins,ROLE_sale,ROLE_manager");

  测试:

在这里插入图片描述

@PreFilter

  @PreFilter: 进入控制器之前对数据进行过滤

@PostMapping("save")
@PreAuthorize("hasAnyAuthority('admins')")
@PreFilter(value = "filterObject.username == 'admin1'")
public String save(@RequestBody List<Users> users){
    return JSON.toJSONString(users);
}
九宫格输入法
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security Web安全性解决方案
HideonHacker的博客
04-11 674
Spring 是一个非常流行和成功的 Java 应用开发框架。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。Spring Security 是通过加入自定义过滤器的方式,对访问请求进行认证和鉴权,核心过滤器就是认证过滤器和鉴权过滤器。
SpringSecurity(二)- SpringSecurity Web权限方案
及时当勉励,岁月不待人
09-22 802
SpringSecurity(二)- SpringSecurity Web权限方案
4、security之自定义数据源
程序三两行
07-20 453
spring security 内存认证和自定义数据源认证
SpringSecurity安全框架通俗详解与使用示例
某位奇思妙想的IT人员
05-28 2835
有关Spring Security的原理介绍和使用详解,结合相关实例进行解释,通俗易懂。
SpringSecurity学习
白羊座的橙子
01-10 314
demo : 白羊座的橙子/SpringSecurityDemo 一、SpringSecurity框架简介 SpringSecurity基于Spring框架,提供了一套Web应用安全性的完整解决方案 一般来说,Web应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分,这两点也是SpringSecurity的重要核心功能 (1)用户认证:系统认为用户是否能登录。用户认证一般要求用户提供用户名和密码,系统校验用户名和密码来完成认证过程 ...
spring-security3入门教程.doc
最新发布
09-04
Spring Security 是一个强大的且高度...总的来说,Spring Security 3.x 提供了一套全面的安全解决方案,涵盖了从认证、授权到会话管理等多个方面。通过理解其核心配置和组件,开发者可以构建出符合业务需求的安全系统。
Spring Security 强制退出指定用户的方法
08-27
在 Spring Security 中,我们可以使用 `@EnableWebSecurity` 注解来启用安全功能,并使用 `WebSecurityConfigurerAdapter` 来配置安全设置。例如,我们可以使用以下代码来配置安全设置: ```java @EnableWebSecurity...
HAP框架-SpringSecurity入门手册.docx
10-02
Spring Security是一个模块化的安全解决方案,允许开发者选择要启用的功能,例如,可以仅使用它来进行身份验证,或者同时使用身份验证和授权。它通过拦截HTTP请求并在它们到达应用程序之前进行处理来实现其安全机制...
SpringSecurity权限控制实现原理解析
08-24
SpringSecurity 权限控制实现原理解析 ...SpringSecurity 权限控制实现原理是通过使用注解和配置文件来实现的,包括身份验证、授权、访问控制等。通过使用 SpringSecurity,可以确保应用程序的安全性和可靠性。
Spring security实现权限管理示例
08-31
总结来说,Spring Security提供了一套完整的解决方案,涵盖了用户认证、授权、会话管理等多个方面,是Java应用实现权限管理的理想选择。通过配置和编程接口,我们可以灵活地控制用户对系统资源的访问,从而保护应用...
SpringSecurity(二)Web安全
陈橙橙
03-10 5281
Web安全 ​ 在SpringSecurity中,认证、授权等功能都是基于过滤器来完成的。如下表: 过滤器 过滤器作用 是否默认加载 ChannelProcessingFilter 过滤请求协议,如HTTPS和HTTP 否 WebAsyncManagerIntegrationFilter 将WebAsyncManager与Spring Security上下文进行集成 是 SecurityContextPersistenceFilter 在处理请求之前,将安全信息加载导Security
Spring Security3 - MVC 整合教程 (初识Spring Security3)
Java/Android/IOS/前端/云计算
10-06 2837
博客分类:  spring3MVC教程 SpringMVCSecurityXMLJSP  下面我们将实现关于Spring Security3的一系列教程.  最终的目标是整合Spring Security + Spring3MVC  完成类似于SpringSide3中mini-web的功能.  Spring Security是什么?  引用 Spring
SpringSecurity之二:web自定义用户登录
铃萌的博客
05-01 2507
官方文档:Hello Spring Security :: Spring Security 一、认证流程 先了解下SpringSecurity认证的流程,如下图(图片来自官网): step1:用户提交请求,AbstractAuthenticationProcessingFilter会从请求信息中生成Authentication对象,Authentication对象根据AbstractAuthenticationProcessingFilter子类决定; step2:通过Authentication.
第05讲:Security之基于注解用户授权
分享日常工作技术
12-16 535
在SecurityConfig配置类上添加开启用户授权注解@EnableGlobalMethodSecurity(securedEnabled = true)将SecurityConfig配置类中的授权信息删掉即可。在需要被授权的Controller上添加授权注解
Spring Security怎么给你授权的(二)
bangiao的博客
02-03 288
目前在Spring Boot中基于方法的权限管理主要是通过注解来实现,我们需要通过:开启Spring Security提供的四个权限注解,以及@PreFilter,这四个注解支持权限表达式,功能比较丰富。:开启Spring Security提供的@Secured注解,该注解不支持权限表达式。:开启JSR-250提供的注解,主要包括@DenyAll@PermitAll以及三个注解,这些注解也不支持权限表达式。:在目标方法执行之后进行权限校验。:在目标方法执行之后对方法的返回结果进行过滤。
SpringSecurity学习(二):Web权限简单使用
m0_49499183的博客
04-15 1094
一、设置登录系统的账号密码 1、在application文件中设置 spring.security.user.name=tom spring.security.user.password=123 但是密码明文写在文档中,总归是不好的。 2、编写类实现接口 @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Ov...
SpringSecurity-基于Web的认证与权限访问
萌萌虎的博客
08-18 386
当什么也没有配置的时候,账号和密码是由 Spring Security 定义生成的。在查看认证过程源码的过程中也发现要关联UserDetailService来完成认证操作。而在实际项目中账号和密码都是从数据库中查询出来的。 所以我们要通过自定义逻辑控制认证逻辑。......
三种SpringSecurity-web用户认证权限方案
qq_41789008的博客
03-10 252
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分,这两点也是 Spring Security 重要核心功能。
springboot 3.0 webapi集成 spring-security-oauth2
08-09
Spring Security是一个为Java应用程序提供身份认证和授权的框架,它提供了许多安全功能,如用户认证、角色管理和资源访问控制。OAuth2是一种用于授权的开放标准,它允许应用程序通过第三方身份验证服务器来获取访问...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值