14.SpringSecurity-web权限方案-用户授权(注解使用)

已于 2022-09-14 17:03:36 修改
阅读量428 收藏
点赞数
分类专栏: Spring Security OAuth2.0 文章标签: java
于 2022-04-24 22:01:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Stubborn_bull/article/details/124392945
版权

@Secured

  判断是否具有角色,另外需要注意的是这里匹配的字符串需要添加前缀ROLE_;

  使用注解先要开启注解功能,在配置类或者启动类,一般在启动类上

@MapperScan({"net.master.security.app.masterspringsecurity.dao"})
@SpringBootApplication
@EnableGlobalMethodSecurity(securedEnabled=true)
public class App {

    public static void main(String[] args) {
        SpringApplication.run(App.class, args);
    }

}

  访问控制:

@GetMapping("update")
@Secured({"ROLE_role","ROLE_manager"})
public String update(){
    return "hello update ----" + new Date();
}

  角色:

List<GrantedAuthority> authorities = AuthorityUtils.commaSeparatedStringToAuthorityList("admins,ROLE_sale");

  配置:

//当前登录用户,只要具备其中一个角色就可以访问这个路径
.antMatchers("/test/index").hasAnyRole("sale","role")

  测试:当前的权限设置,允许访问/test/index,但不允许访问/test/update
在这里插入图片描述

权限调整,测试:update允许访问

List<GrantedAuthority> authorities = AuthorityUtils.commaSeparatedStringToAuthorityList("admins,ROLE_sale,ROLE_manager");

在这里插入图片描述

@PreAuthorize

  开启注解:

@EnableGlobalMethodSecurity(prePostEnabled = true)

  注解适合进入方法前的权限验证,@PreAuthorize 可以将登录用户的 roles/permissions 参数传到方法中,注意外部是双引号,里面是单引号:

@GetMapping("update")
@PreAuthorize("hasAnyAuthority('admins')")
public String update(){
    return "hello update ----" + new Date();
}

  权限:

List<GrantedAuthority> authorities = AuthorityUtils.commaSeparatedStringToAuthorityList("admins,ROLE_sale,ROLE_manager");

  测试:当前的权限设置,允许访问/test/update
在这里插入图片描述

@PostAuthorize

  先开启注解功能:

@EnableGlobalMethodSecurity(prePostEnabled = true)

  注解使用并不多,在方法执行后再进行权限验证,适合验证带有返回值的权限:

@GetMapping("update")
@PostAuthorize("hasAnyAuthority('admins')")
public String update(){
    System.out.println("update ----");
    return "hello update ----" + new Date();
}

  权限:这里的权限和访问控制的校验是不匹配的

List<GrantedAuthority> authorities = AuthorityUtils.commaSeparatedStringToAuthorityList("admin,ROLE_sale,ROLE_manager");

  测试:当权限不匹配的情况下,update方法中的输出语句能否执行

在这里插入图片描述

@PostFilter

  @PostFilter :权限验证之后对数据进行过滤,留下username 是admin1的数据

  表达式中的 filterObject 引用的是方法返回值 List 中的某一个元素

@GetMapping("getAll")
@PostAuthorize("hasAnyAuthority('admins')")
@PostFilter("filterObject.username == 'admin1'")
public List<Users> getAll(){
    List<Users> users = new ArrayList<>();
    users.add(new Users(1,"admin1","666"));
    users.add(new Users(2,"admin2","999"));
    return users;
}

  权限:

List<GrantedAuthority> authorities = AuthorityUtils.commaSeparatedStringToAuthorityList("admins,ROLE_sale,ROLE_manager");

  测试:

在这里插入图片描述

@PreFilter

  @PreFilter: 进入控制器之前对数据进行过滤

@PostMapping("save")
@PreAuthorize("hasAnyAuthority('admins')")
@PreFilter(value = "filterObject.username == 'admin1'")
public String save(@RequestBody List<Users> users){
    return JSON.toJSONString(users);
}
九宫格输入法
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity---web
tianynnb的博客
07-28 1008
1. SpringSecurity 特点: 和 Spring 无缝整合。 全面的权限控制。 专门为 Web 开发而设计。 旧版本不能脱离 Web 环境使用。 新版本对整个框架进行了分层抽取,分成了核心模块和 Web 模块。单独引入核心模块就可以脱离 Web 环境。 重量级 1.1Shiro特点 轻量级。Shiro 主张的理念是把复杂的事情变简单。针对对性能有更高要求的互联网应用有更好表现。 通用性。 好处:不局限于 Web 环境,可以脱离 Web 环境使用。 缺陷:在 Web 环境下一些特定的
spring-security-project.zip- Spring Security实现RBAC权限模型demo
02-09
Spring Security 是一个强大...总结来说,"spring-security-project.zip"提供了一个使用Spring Security实现RBAC权限模型的实例,涵盖了认证、授权、角色和权限的管理,是学习和理解Spring Security安全框架的好材料。
Spring Security基本配置(登录,注销,权限,记住我,注解
dyk
07-20 3010
Spring Security简介SpringSecurity 特点:ShiroSpringSecurity 入门案例controller访问 简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。 于安全方面的两个主要区域是“认证”和“授权”(或者访问控制),一般来说,Web 应用的安全性包括用户认证(Authenticatio
Spring Security Web安全性解决方案
最新发布
HideonHacker的博客
04-11 687
Spring 是一个非常流行和成功的 Java 应用开发框架。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。Spring Security 是通过加入自定义过滤器的方式,对访问请求进行认证和鉴权,核心过滤器就是认证过滤器和鉴权过滤器。
SpringSecurityWeb权限方案
YSecret_Y的博客
01-22 3166
SpringSecurity 一、基本概要 1、认证和授权 1、认证:用户是否登录 2、授权用户是否有权利去做别的东西 2、特点 全面的权限控制 为web开发设计 旧版本不能脱离Web环境 新版本对整个框架进行分层抽取,分层核心模块和web模块。单独引入核心模块就尅脱离Web环境 重量级 (依赖于很多组件和依赖) 3、和Shiro 相比 1、shiro更轻量、更灵活 2、SpringSecurity功能比Shiro更强大,可以做单点登录 二、入门案例 1、创建springboot工程 springb
Spring Security_web权限方案_笔记
weixin_43206491的博客
05-18 751
Spring Security 简介 基于Spring 框架,提供了一套Web 应用安全性的完整解决方案。 关于安全方面的主要两个区域是 “认证” 和 “授权” (或者访问控制),一般来说,Web应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分,这两点是 Spirng Security 重要核心功能。 用户认证:**就是系统认为用户是否能登录。**验证某个用户是否为系统中的合法体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统
Spring Security】[Web开发]权限方案
懂得一千零一种,赋予你失败的方法!
08-24 324
文章目录Web 权限方案一、认证 - 登陆方式一:编写配置文件 - application.properties方式二:编写配置类方式三:自定义编写实现类 - 数据库总结二、实现数据库认证完成用户登陆2.1 添加pom.xml依赖配置2.2 配置数据库信息2.3 创建数据库表对应实体类2.4 创建 UsersMapper2.5 自定义编写实现类进行认证2.6 编写配置类2.7 测试总结三、自定义用户登录界面3.1 引入登陆界面3.2 配置登陆认证、成功跳转等指定路径3.3 测试总结四、基于角色或权限进行.
spring-security-jwt-demo.zip
11-19
- 授权管理:Spring Security可以根据JWT中的角色信息,决定用户对哪些资源有访问权限。 4. 示例项目"spring-security-jwt-demo": "spring-security-jwt-demo"是一个实战项目,它演示了如何在Spring Boot应用中...
spring-security-demo.zip
08-10
Spring Security 是一个强大的、高度可定制的身份验证和访问控制框架,广泛用于构建安全的Java Web应用程序。本示例"spring-security-demo.zip"很可能是为了演示如何在Spring Boot应用中集成和配置Spring Security。...
Spring-Security-Demo-master.zip
07-15
6. **权限控制**:Spring Security的访问控制可以通过定义访问规则(如`@Secured`或`@PreAuthorize`注解)来实现。它可以基于URL、方法或者自定义的权限进行细粒度的控制。在示例中,可能会有角色(Role)和权限...
spring-web-3.0.6.release.jar.zip
03-17
Spring SecuritySpring生态系统的一部分,它可以与Spring Web紧密结合,提供身份验证、授权、会话管理等功能,确保Web应用的安全性。 总结,Spring Web 3.0.6.RELEASE作为一个成熟的Web框架,为开发者提供了丰富...
SpringSecurity之一:web快速了解
铃萌的博客
05-01 786
SpringSecurity之二:web自定义用户登录_auth.userdetailsservice-CSDN博客。
SpringSecurity(二)- SpringSecurity Web权限方案
及时当勉励,岁月不待人
09-22 809
SpringSecurity(二)- SpringSecurity Web权限方案
4、security之自定义数据源
程序三两行
07-20 453
spring security 内存认证和自定义数据源认证
SpringBoot的Spring Security用户授权和认证
qq_43880100的博客
10-14 2311
SpringBoot的Spring Security用户授权和认证
SpringSecurity用户授权
酷小亚
09-30 593
SpringSecurity用户授权 1、在配置类实现相关的配置 2、创建相关页面和controller 3、基于角色或权限进行访问控制 4、自定义403没有权限访问的页面
Spring Security 5.7.0弃用 WebSecurityConfigurerAdapter
热门推荐
OLinOne的博客
11-29 1万+
Spring Security 5.7.0版本开始弃用 WebSecurityConfigurerAdapter 类,本篇文章参考Spring 博客文章介绍了如何在 5.7.0 版本之后正确使用Spring Security授权和认证等方式。
SpringSecurity安全框架通俗详解与使用示例
某位奇思妙想的IT人员
05-28 2938
有关Spring Security的原理介绍和使用详解,结合相关实例进行解释,通俗易懂。
springboot 3.0 webapi集成 spring-security-oauth2
08-09
Spring Boot是一个开源的Java开发框架,用于构建独立的、可扩展的、基于Spring的应用程序。Spring Security是一个为Java应用程序提供身份认证和授权的框架,它提供了许多安全功能,如用户认证、角色管理和资源访问控制。OAuth2是一种用于授权的开放标准,它允许应用程序通过第三方身份验证服务器来获取访问令牌,以便访问受保护的资源。 要集成Spring Security OAuth2到Spring Boot 3.0的Web API中,需要以下步骤: 1. 添加依赖:在项目的pom.xml文件中添加Spring Security OAuth2的依赖。例如,可以添加以下依赖项: ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-oauth2-client</artifactId> </dependency> ``` 2. 配置Spring Security:创建一个配置类,扩展`WebSecurityConfigurerAdapter`,并重写`configure`方法来配置Spring Security。你可以定义用户认证方式和角色管理等配置。 3. 配置OAuth2:创建一个配置类,扩展`WebSecurityConfigurerAdapter`,并重写`configure`方法。在方法中配置OAuth2的相关信息,如认证服务器URL、客户端ID、客户端密码等。 4. 创建资源服务器:创建一个类,注解为`@RestController`,用于提供Web API接口。在方法上使用`@PreAuthorize`注解定义接口的访问权限。 通过以上步骤,你可以将Spring Boot 3.0的Web API和Spring Security OAuth2集成起来。这样,你的应用程序将具有身份认证、角色管理和资源访问控制的功能,并可以使用OAuth2来授权访问受保护的资源。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值