基于角色得后台权限管理系统设计(七、spring security 之请求鉴权(详解)

最新推荐文章于 2024-02-14 16:08:52 发布
最新推荐文章于 2024-02-14 16:08:52 发布
阅读量883 收藏 1
点赞数
分类专栏: security 文章标签: security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a807719447/article/details/95022506
版权

讲了这么多篇幅,现在开始讲大家最关心得问题,那么当认证通过后,过滤器走完了之后,怎么拦截用户得请求呢?网络上应该可以搜索到大量得  这种方式得拦截,但是我们总不能预先知道有什么角色什么权限都去改这里得代码吧,这点security 当然也考虑得很周全。这种方式只能配置一些固定得权限。

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .mvcMatchers("/data/*").hasRole("ADMIN")
                .mvcMatchers("/admin/*").hasRole("ADMIN")
                .mvcMatchers("/user/*").hasRole("USER")
                .anyRequest()
                .authenticated()
        ;
        //注意认证失败处理在这里配置
        http.formLogin().failureHandler(authenticationFailureHandler).permitAll();
        //权限校验失败处理在这配置
        http.exceptionHandling()
                .accessDeniedHandler(accessDeniedHandler);
    }

下面进入正文:

security提供了几个注解

1、@Secured

2、@PreAuthorize

3、@PostAuthorize

以上三个注解需搭配@EnableGlobalMethodSecurity(...)注解使用

我们可以看下这个注解下面有什么不难发现这里面得值都是false,想要使用什么就设置为true就行了。

@PreAuthorize、@PostAuthorize这两个注解 设置@EnableGlobalMethodSecurity(prePostEnabled=true)。

@Secured 这个注解设置@EnableGlobalMethodSecurity(securedEnabled=true)。

public @interface EnableGlobalMethodSecurity {
    boolean prePostEnabled() default false;
    boolean securedEnabled() default false;
    boolean jsr250Enabled() default false;
    boolean proxyTargetClass() default false;
    AdviceMode mode() default AdviceMode.PROXY;
    int order() default 2147483647;
}

这样以后只需要在你得方法上注解上相关得权限即可,如下:

    @RequestMapping(value = "/user/getUser",method = RequestMethod.GET)
    @PreAuthorize("hasAuthority('user:getUser')")
    public Result getUser(){
        Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
        JSONObject jsonObject=new JSONObject();
        jsonObject.put("authentication",authentication);
        return Result.success(jsonObject);
    }

强烈推荐与url相关得写法,类似下面这种,这样就可以把权限细粒度得控制到url上。如果是多系统权限集中管理得 还可以在上系统唯一标识。这样在后台配置权限时只需要配置url就行了,这个权限入库就可以直接根据url进行转换了。

起风哥
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity动态加载用户角色权限实现登录及鉴权功能
08-25
Spring Security 动态加载用户角色权限实现登录及鉴权功能 在 Spring Security 中,动态加载用户角色权限是实现登录及鉴权功能的关键步骤。本文将详细介绍如何使用 Spring Security 实现动态加载用户角色权限,并...
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
在构建分布式系统时,Spring Cloud Gateway 作为微服务架构中的边缘服务或 API 网关,扮演着至关重要的角色。它负责路由请求到相应的微服务,并可以提供过滤器功能,如限流、熔断等。而Spring Security 则是 Java ...
基于角色后台权限管理系统设计(四、spring security 之处理器(详解
a807719447的专栏
06-26 531
从上一篇文章我们可以知道spring security 中有一整套的过滤器链对一个请求进行层层过滤。而开发者所需要做的就是配置这些过滤器的规则。那么这些过滤器内置了过滤规则之后该如何进行相应的处理呢? 虽然spring security内部都有了默认处理。但是最让人心慌的却是,你不知道他怎么处理了,或者你想自定义处理逻辑的时候,不知道该如何下手。那么spring security当然也想到了这些...
Spring Security 详解
热门推荐
qq_22075913的博客
06-06 11万+
Spring SecuritySpring家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用SpringSecurity来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。​ 一般Web应用的需要进行认证和授权。​ 而认证和授权也是SpringSecurity作为安全框架的核心功能。视频地址:​ 我们先要搭建一个简单的SpringBoot工程① 设置父工
Springboot + Spring Security 实现前后端分离登录认证及权限控制
I_am_Hutengfei的博客
09-05 10万+
Springboot + Spring Security 实现前后端分离登录认证及权限控制前言本文主要的功能文章目录一、数据库表设计建表语句初始化表数据语句二、Spring Security核心配置:WebSecurityConfig三、用户登录认证逻辑:UserDetailsService1、创建自定义UserDetailsService2、准备service和dao层方法(1)根据用户名查询...
最新Spring Boot实战项目(权限后台管理系统详解
大西瓜超帅
09-06 7243
Spring Boot实战项目 - 权限后台管理系统(1) 简介 这是一套基于spring boot 2.16、shiro、jwt、redis、swagger2、mybatis 、thymeleaf、layui 后台管理系统权限控制的方式为 RBAC。代码通熟易懂 、JWT(无状态token)过期自动刷新,数据全程 ajax 获取,封装 ajax 工具类、菜单无线层级展示,解决 layui.tree 树形组件,回显问题。 系统功能 用户管理:用户是系统操作者,该功能主要完成系统用户配置。 部门管理
springSecurity+jwt实现分布式鉴权和认证
qq_37824570的博客
03-09 3473
springSecurity+jwt实现分布式鉴权和认证
SpringSecurity框架【详解
...
03-27 8万+
SpringSecurity 文章目录SpringSecurity1、概述2、Spring Security、Apache Shiro 选择问题2.1、Shiro2.1.1、shiro的优点2.1.2、shiro的缺点2.2、Spring Security2.2.1、spring-security的优点3、快速入门3.1、装备工作4、认证4.1、登录流程校验4.2、入门案例的原理4.3、正式开始4.3.1 准备工作4.3.2、实现4.3.3、核心代码实现4.3.3.1、密码加密存储4.3.3.2、登陆接口4
Spring security + Oauth2 + Jwt认证鉴权方案
TylerGuoj的博客
05-20 5143
基础概念 用户身份认证 用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问。常见的用户身份认证表现形式有:用户名密码登录,指纹打卡等方式 用户授权 用户认证通过后去访问系统的资源,系统会判断用户是否拥有访问资源的权限,只允许访问有权限的系统资源,没有权限的资源将无法访问 http 3xx 重定向状态码 重定向状态码用来告诉浏览器客户端,它们访问的资源已被移动, Web服务器发送一个重定向状态码, 告诉客户端新的资源地址在哪。浏览器客户端会根据提供的地址,重新发送新的Reques
如何利用SpringSecurity进行认证与授权
qq_63218110的博客
02-14 4195
本篇博客主要介绍SpringSecurity框架的学习,主要包含快速入门,以及认证、授权等方面的介绍,还涉及一些简单的自定义授权校验方法。
一文学会SpringSecurity权限框架
qq_45243783的博客
11-20 1051
springsecurity权限框架实现认证授权
基于Spring Security的细粒度权限管理系统设计源码
03-28
这是一个基于Spring Security框架的细粒度权限管理系统,使用Java语言开发,同时包含JavaScript、CSS、HTML等多种编程语言。该项目共包含2447个文件,其中主要文件类型包括JavaScript、PNG图片、CSS、HTML、JAR包、...
基于SpringBoot + MyBatis + Layui的后台权限管理系统.zip
07-08
基于SpringBoot + MyBatis + Layui的后台权限管理系统。代码简洁易懂、界面美观大方,内部封装了权限管理系统常用的全部功能,可直接作为快速开发JavaWeb项目的脚手架使用。 基于SpringBoot + MyBatis + Layui的...
基于SpringBoot和SpringSecurity的RBAC后台权限管理系统设计源码
最新发布
04-19
本源码为基于SpringBoot和SpringSecurity的RBAC后台权限管理系统设计,共包含535个文件,其中js文件151个,java文件96个,gif图片76张,css文件66个,html文件52个,PNG图片22张,map文件14个,xml文件13个,svg文件...
spring security oauth2授权服务器自定义redirectUri匹配规则
a807719447的专栏
11-03 5600
spring security中授权服务器的默认匹配规则是全路径匹配 详见源码 AuthorizationEndpoint.authorize redirectResolver.resolveRedirect(redirectUriParameter, client); @RequestMapping(value = "/oauth/authorize") public ModelAndView authorize(Map<String, Object> model, @RequestPar
Spring Security所有过滤器及顺序
a807719447的专栏
09-22 5180
ChannelProcessingFilter 使用https还是http的通过过滤器 WebAsyncManagerIntegrationFilter 此过滤器使得WebAsync异步线程能够获取到当前认证信息 SecurityContextPersistenceFilter 主要控制 SecurityContext 的在一次请求中的生命周期,请求结束时清空,防止内存泄漏 HeaderWriterFilter 请求头过滤器 CorsFilter 跨域过滤器 CsrfFilter c..
解决xxl-job与springsecurity异常问题Scope ‘request‘ is not active
a807719447的专栏
03-18 4024
开发碰到了一个奇怪的异常如下 Error creating bean with name 'scopedTarget.oauth2ClientContext': Scope 'request' is not active for the current thread; consider defining a scoped proxy for this bean if you intend to refer to it from a singleton; nested exception is java.la
spring security启动流程解析(一)SecurityAutoConfiguration
a807719447的专栏
11-21 3319
springboot体系下我们一般是找 xxxAutoConfiguration,那么这里我们可以通过查找securityAutoConfiguration可以找到如下类: SecurityAutoConfiguration SecurityFilterAutoConfiguration SecurityRequestMatcherProviderAutoConfiguration ManagementWebSecurityAutoConfiguration MockMvcSecurityAutoCon
Spring Security 3.0权限管理系统设计与实践
"Spring Security 3权限管理文档" Spring Security是一个强大的和高度可定制的身份验证和...通过以上配置和设计Spring Security 3能为企业构建出一套强大而灵活的权限管理系统,确保应用程序的安全性和用户体验。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值