springboot 整合 security(四) 方法级别权限控制 @resource,@secured,@preAuthorize

最新推荐文章于 2024-07-05 17:43:20 发布
最新推荐文章于 2024-07-05 17:43:20 发布
阅读量3.1k 收藏 2
点赞数
分类专栏: springBoot Security 文章标签: java spring spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/TT_QY/article/details/120866128
版权

在用户管理中,常常会有针对模块的权限控制,例如客户管理相关的功能只能管理员查看,管理员的操作权限只能给超级管理员等。更加精细的甚至涉及到某个接口,例如查询接口相对权限较宽松,增删改接口相对权限较严谨。

这个时候,就可以在用户登录后注入权限信息,再通过方法上的注解配置,来实现权限控制。

1,在我们的配置类上面加上开启权限控制的注解

里面有三种配置方式,只需开启一种就行,本文演示的是第三种,jsr250Enabled,使用区别在于方法上面的注解方式不一样。

@resource,@secured,@preAuthorize,使用方法大同小异

2,在登录后MyUserDetailsService里面注入权限信息

注意在设置权限的时候要在前面加上"ROLE_",不然会不起效果

Set<String> permissionSet = new HashSet<String>();
//模拟数据库获得权限列表
if ("zx".equals(user.getUsername())) {
    permissionSet = new HashSet<String>(){{add("000000");add("000001");add("000002");}};
}
if ("as".equals(user.getUsername())) {
    permissionSet = new HashSet<String>(){{add("010000");add("010001");add("010002");}};
}
if ("qw".equals(user.getUsername())) {
    permissionSet = new HashSet<String>(){{add("000000");add("000001");add("000002");add("010000");add("010001");add("010002");}};
}
//设置权限信息
userDetails.setAuthorities(new HashSet<GrantedAuthority>());
permissionSet.forEach(permission -> {
    userDetails.getAuthorities().add(new SimpleGrantedAuthority("ROLE_" + permission));
});

3,在方法上加入可允许的权限注解

管理员权限

用户权限

综合步骤2,我们可以看到,zx用户可以操作管理类里面的接口,as用户可以操作用户类里面的接口,qw用户则两个类里面的接口都可以操作。

接下来是测试环节。

我们登录zx用户

测试管理员接口,成功得到返回

测试用户接口,发现没能通过

此时已经可以做到方法级别的权限控制了,剩下的就是用户-角色,角色-权限的配置问题了。

还有,我们发现越权的返回结果不太友好,下面自定义一下越权的返回结果

package com.mu.security4.security.handle;

import com.alibaba.fastjson.JSON;
import org.springframework.security.access.AccessDeniedException;
import org.springframework.security.web.access.AccessDeniedHandler;
import org.springframework.stereotype.Component;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.HashMap;
import java.util.Map;

/**
 * 越权时调用
 */
@Component
public class MyAuthenticationAccessDeniedHandler implements AccessDeniedHandler {

    @Override
    public void handle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AccessDeniedException e) throws IOException, ServletException {

        Map<String, Object> responseData = new HashMap<>();
        responseData.put("status", 8001);
        responseData.put("msg", "无权访问");
        httpServletResponse.setContentType("application/json;charset=utf-8");
        httpServletResponse.setStatus(200);
        httpServletResponse.getWriter().write(JSON.toJSONString(responseData));
    }
}

配置类先注入

再配置

本篇记录就到此结束了,如果本篇文章对您有所帮助可以点个赞,不胜感激。如果内容有不对的地方或者有侵犯权益的地方也欢迎留言联系我。

源码地址

security: springboot security 整合,简单实现

附参考博客

用户权限认证

Spring Security 403 自定义返回消息

TT_QY
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot整合Security、OAuth2实现权限控制
09-24
6. 权限控制:定义角色和权限,使用@PreAuthorize、@Secured等注解进行细粒度的访问控制。 7. 客户端管理:配置OAuth2客户端,定义客户端ID、秘钥和授权类型。 通过以上步骤,我们可以构建一个安全、可扩展的Spring...
SpringBoot - @PreAuthorize注解详解
热门推荐
记录并分享
08-21 8万+
@PreAuthorize注解会在方法执行前进行权限验证,支持Spring EL表达式。只有当@EnableGlobalMethodSecurity(prePostEnabled=true)的时候,@PreAuthorize才可以使用。
Springboot整合SpringSecurity(五)——Spring Security使用@PreAuthorize,@PostAuthorize
lyy的博客
01-12 9527
我要先吐槽一下,关于这方面的知识,网上很多博客都是直接翻译的官方文档,emmmm,里面有很多翻译不准确的地方,以及没有强调的关键地方,(好多博客都代码不全),导致我实现这个功能花了好多时间,不过还是实现了。下面就一如既往的简单粗暴的施展罗列代码大法。 第一步:准备一个实体类 package com.example.learnsecurity.learnsecurity.enti...
SpringSecurity中@PreAuthorize(“hasRole(‘ROLE_USER‘)“) 不起作用的原因
最新发布
weixin_44263023的博客
07-05 532
PreAuthorize(“hasRole(‘ROLE_USER’)”) 不起作用的原因可能确实是用户信息中没有包含正确的角色信息,但也可能由其他几个因素导致。
Spring Security Resource Server的使用
huan的学习记录
07-17 2489
一、背景 在前一节我们学习了 Spring Authorization Server的使用,此处我们简单的记录下 Spring 资源服务器的使用。 二、需求 资源服务器提供2个资源 ,userInfo 和 hello。 userInfo:资源是受保护的资源,需要user.userInfo权限才可以访问。 hello:资源是公开资源,不要权限即可访问。 三、分析 1、如何验证资源服务器中访问的令牌是有效的? 此处只考虑JWT的令牌。 令牌是授权服务器颁发的,且进行了签名操作,因此资源服务器对令牌的验证,就
SpringSecurity(二十)---OAuth2:实现资源服务器(上)资源服务器搭建以及直接调用授权服务器模式
学习不止境的博客
12-01 3285
本章将讨论如何使用Spring Security实现一个资源服务器,资源服务器是管理用户资源的组件。另外,学习本章有个前提,需要先把前面搭建授权服务器的相关文章先给阅读,否则可能后面出现的授权服务器相关代码不知道个所以然。就OAuth2而言,它代表了我们要保护的后端(端点),就像前几章保护的其他应用程序是一样的。为了允许客户端访问资源,资源服务器需要一个有效的访问令牌。客户端会从授权服务器获得访问令牌,并通过将该令牌添加到HTTP请求头信息来使用该令牌调用资源服务器上的资源。
spring boot+spring security配置访问服务器静态资源
m0_47576928的博客
07-26 876
有时候想把一些静态资源放在服务器本地,不在默认的静态资源路径里,前台无法访问,所以我们需要进行配置: 1. 重写WebMvcConfigurationSupport import org.springframework.context.annotation.Configuration; import org.springframework.web.servlet.config.annotation.ResourceHandlerRegistry; import org.springframework.
springboot-springsecurity权限控制的万能后台管理系统
09-26
4. **安全拦截**:使用SpringSecurity的`@Secured`或`@PreAuthorize`注解,可以指定只有拥有特定权限的用户才能访问特定的控制方法。 5. **登录注销**:提供统一的登录和注销接口,用户登录后,SpringSecurity会...
SpringBoot+Vue前后端分离,使用SpringSecurity完美处理权限问题的解决方法
08-28
SpringBoot+Vue前后端分离,使用SpringSecurity完美处理权限问题的解决方法 SpringBoot+Vue前后端分离项目中,如何使用SpringSecurity来处理权限问题是许多开发者面临的挑战。本文将从整体架构、数据库设计、权限...
SpringBoot2.6整合SpringSecurity+JWT
01-11
3. **权限控制**:利用Spring Security的`@PreAuthorize`或`@Secured`注解进行细粒度的权限控制。 以上就是SpringBoot 2.6整合Spring Security和JWT的基本流程和关键知识点。实际开发中,可能还需要根据具体需求...
SpringSecurity权限控制实现原理解析
08-24
在上面的代码中,@PreAuthorize 注解标识了控制器的访问权限,例如 ROLE_ADMIN 和 ROLE_PRODUCT。 在 SpringSecurity 中,还可以使用 Secured 注解来标识控制器的访问权限,例如: ```java @Controller @...
Spring Security OAuth2-资源模块配置
u013008898的博客
09-26 1593
配置资源服务器 创建一个类继承 ResourceServerConfigurerAdapter 并添加相关注解: @Configuration @EnableResourceServer:资源服务器 @EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true, jsr250Enabled = true):全局方法拦截 package com.kejin.oauth2.resource.config; impor
Spring Security 中的ResourceServerConfigurerAdapter配置会覆盖WebSecurityConfigurerAdapter
gangsijay888的博客
08-13 3万+
Spring Security 中的ResourceServerConfigurerAdapter配置会覆盖WebSecurityConfigurerAdapter protected void configure(HttpSecurity http) 中的配置会以ResourceServerConfigurerAdapter为准。   package com.two.oauthserver...
Spring Security 学习笔记(七)--资源服务
SuperArc1999的博客
01-15 531
6.2.7资源服务测试 6.2.7.1资源服务器配置 添加@EnableResourceServer注解到一个@Configuration配置类上,并且使用ResourceConfigurer这个配置对象来进行配置(可以选择继承自ResourceServerConfigurerAdapter类[或实现ResourceServerConfigurer接口]然后覆写其中的方法,参数就是这个对象的实例),下面是一些可以配置的属性: tokenServices:ResourceServerTokenServi
springboot+Security
zsx18273117003的博客
06-17 739
项目背景:JDK1.8,springboot2.1.4 一、创建一个简单的maven工程 二、pom文件引入jar包依赖 <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent<...
Springboot-权限注解
LifeBackwards的专栏
03-03 3408
权限注解作用在Controller的方法上,作用是调用者是否有权限调用该接口。(本文代码参考若依项目) 1.权限示例 1.数据权限示例 // 符合system:user:list权限要求 @PreAuthorize(hasPermi = "system:user:list") @GetMapping("/list") public TableDataInfo list(SysUser user) { startPage(); List<SysUser> list
Spring BootSpring Security权限认证@PreAuthorize注解失效
江枫暮雪的博客
07-29 5236
Spring BootSpring Security权限认证@PreAuthorize注解失效 根据我的经历,一共有三种情况。如果谁还遇到其他情况可以提出来。 第一种情况。 就是网上大量出现的。没有添加**@EnableGlobalMethodSecurity**注解。 ...
15.Spring Boot 使用Spring security
编码语言Codelang
01-03 3万+
玩转Spring Boot 使用Spring security Spring BootSpring Security在一起开发非常简单,充分体现了自动装配的强大,Spring SecuritySpring Boot官方推荐使用的安全框架。配置简单,功能强大。接下来将说说Spring Boot使用Spring security进行安全控制
SpringBootSpringSecurity权限注解在方法上进行权限认证多种方式
拱卒的博客
10-18 942
前言 Spring Security支持方法级别权限控制。在此机制上,我们可以在任意层的任意方法上加入权限注解,加入注解的方法将自动被Spring Security保护起来,仅仅允许特定的用户访问,从而还到权限控制的目的, 当然如果现有的权限注解不满足我们也可以...
@PreAuthorize、@PostAuthorize、@Secured使用方法
04-23
@PreAuthorize、@PostAuthorize、@SecuredSpring Security 提供的注解,用于控制方法或者类的访问权限。其中 @PreAuthorize 和 @PostAuthorize 注解是基于表达式的权限控制,用于在方法执行前后进行权限的验证。而 @Secured 注解是基于角色的权限控制,用于在方法执行前验证用户是否具有指定的角色。 具体使用方法如下: 1. @PreAuthorize:用于在方法执行前进行权限验证。示例代码如下: @PreAuthorize("hasRole('ADMIN')") public void delete(String id) { // ... } 这段代码表示只有具有 ADMIN 角色的用户才能执行 delete 方法。 2. @PostAuthorize:用于在方法执行后进行权限验证。示例代码如下: @PostAuthorize("hasPermission(returnObject, 'READ')") public Object getById(String id) { // ... } 这段代码表示在 getById 方法执行后,会对返回的结果进行权限验证,只有具有 READ 权限的用户才能访问。 3. @Secured:用于基于角色的权限控制。示例代码如下: @Secured("ROLE_ADMIN") public void save(User user) { // ... } 这段代码表示只有具有 ROLE_ADMIN 角色的用户才能执行 save 方法。 注意:在使用 @PreAuthorize 和 @PostAuthorize 注解时,需要在配置类中添加 @EnableGlobalMethodSecurity 注解,开启方法级别的安全控制
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值