SpringSecurity入门使用——资源授权

最新推荐文章于 2024-04-07 22:08:08 发布
最新推荐文章于 2024-04-07 22:08:08 发布
阅读量1.7k 收藏 2
点赞数
分类专栏: SpringSecurity 文章标签: spring boot 后端 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a_lllk/article/details/109598653
版权

上一篇大概陈述了一下关于SpringSecurity的用户登录,从使用不同的方式进行用户登录做了一个简单的介绍。在开头我也曾提到过,SpringSecurity主要有两大功能,第一个就是用户登录,第二个就是资源授权。这篇就来大概描述一下资源授权的整个过程。

一.实现configure(HttpSecurity http)方法

在配置类中重写configure(HttpSecurity http)方法,注意参数是HTTPSecurity,在这里做一个最简单的登录成功失败Url配置。

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.formLogin()
                .successForwardUrl("/success")
                .failureForwardUrl("/fail");
    }

在Controller中新增以下几个方法,登录成功进入“home”页面,该页面有三个a标签,分别指向“admin”,“manager”,“worker”页面,在template目录下新建,home.html,fail.html,admin.html,manager.html,worker.html,子页面有跳转到home页面的连接。


   @PostMapping("/success")
    public String success(){
        return "home";
    }
    @PostMapping("/fail")
    public String fail(){
        return "fail";
    }
    @GetMapping("/admin")
    public String admin(){
        return "admin";
    }
    @GetMapping("/manager")
    public String manager(){
        return "manager";
    }
    @GetMapping("/worker")
    public String worker(){
        return "worker";
    }

    @GetMapping("/home")
    public String home(){
        return "home";
    }

运行代码,随便登录一个账号,发现只要用户名和密码输入正确,都可以访问Home页面中的任意链接。下面就对页面开始授权,只能登录账号访问已授权的页面,未授权的禁止访问。

二 方法

1.hasAuthority 方法

如果当前的主体具有指定的权限,则返回 true,否则返回 false.

在configure(HTTPSecurity http)方法中加上这句,这句话的意思就是访问“/admin”接口的用户必须拥有"admin"权限,访问“manager”的用户必须拥有“manager”权限。

        http.authorizeRequests()
                .antMatchers("/admin").hasAuthority("admin")
                .antMatchers("/manager").hasAuthority("manager")
                .antMatchers("/worker").hasAuthority("worker")
                .anyRequest() // 其他请求
                .authenticated();

当前数据库记录:

重新启动项目,发现name为“zhangsan”的用户只能访问“admin.html”,访问其他页面会报403,也就是没有当前权限。

2.hasAnyAuthority

如果当前的主体有任何提供的角色(给定的作为一个逗号分隔的字符串列表)的话,返回 true.

根据我们数据库的配置,name为“zhangsan”的用户可以访问既可以“admin.html”,也可以访问“manager.html”和“worker.htm”页面。若表示拥有多个权限,可以使用hasAnyAuthority()。

 http.authorizeRequests()
                .antMatchers("/admin").hasAnyAuthority("admin")
                .antMatchers("/manager").hasAnyAuthority("admin,manager")
                .antMatchers("/worker").hasAnyAuthority("admin,manager,worker")
                .anyRequest() // 其他请求
                .authenticated();

重启项目,发现zhangsan可以访问任意页面,lisi只能访问非admin页面,wangwu只能访问worker页面。

3.hasRole

如果用户具备给定角色就允许访问,否则出现 403。

        http.authorizeRequests()
                .antMatchers("/admin").hasRole("admin")
                .anyRequest() // 其他请求
                .authenticated();

然后我用"zhangsan"用户登录,发现跳转到了home页面,然后去访问“admin”链接时,却报了403.

查看hasRole源码发现,在权限名称的前面加了个"ROLE_",因为我在数据库中只写了指定的权限名称,没有在加"ROLE_"前缀,所以默认会没有权限访问。这个问题可以在数据库name前加上“ROLE_”,也可以修改读取权限方法,在权限名前加上“ROLE_”关键字即可。

修改读取权限集合方法,在name钱都加上“ROLE_”


    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        List<GrantedAuthority> list = new ArrayList<>(roles.size());
        for (SysRole role : roles) {
            list.add(new SimpleGrantedAuthority("ROLE_"+role.getName()));
        }
        return list;
    }

重启项目,访问admin.html页面成功。

4.hasAnyRole

和hasAnyAuthority()用法相似,这里就不做演示了。只需要在权限间使用逗号隔开就可以了。

三.注解

1.@Secured

作用:用在接口上,用来判断接口是否具有某种角色。另外需要注意的是这里匹配的字符串需要添加前缀“ROLE_“。多个角色可用逗号隔开。

首先需要开启注解,在启动类中加上@EnableGlobalMethodSecurity(securedEnabled=true)

定义一个接口,只能由“admin”权限的人才能够进入,进入接口后返回一个字符串。

    @Secured("ROLE_admin")
    @GetMapping("secured_admin")
    @ResponseBody
    public String securedAdmin() {
        return "Secured Admin";
    }

登录“admin”账号,访问该接口,页面打印后台返回的字符串。

使用其它账号提示没有权限。

2.@PreAuthorize

作用:进入方法前的验证用户是否具有某种权限。

在启动类中加上@EnableGlobalMethodSecurity(prePostEnabled = true)开启注解。

定义一个方法,具有“manager”权限的人才能进入该方法。

    @PreAuthorize("hasAnyRole('manager')")
    @GetMapping("pre_authorize")
    @ResponseBody
    public String preAuthorize() {
        return "PreAuthorize Manager";
    }

测试结果略。 

3.@PostAuthorize

作用:在方法执行后进行权限验证。

在启动类中加入@EnableGlobalMethodSecurity(prePostEnabled= true)开启注解。

定义一个方法,只有具有“admin”权限的人才能进入,然后在该方法中做一个打印语句。

    @PostAuthorize("hasAnyRole('admin')")
    @GetMapping("post_authorize")
    @ResponseBody
    public String PostAuthorize() {
        System.out.println("entry method");
        return "PostAuthorize Admin";
    }

登录没有“admin”权限的账号,尝试进入该方法,页面报403没有权限,查看idea控制台发现,打印语句执行。由此可以证明该注解是先进入方法,执行完成后才会验证是否拥有权限。

4.@PostFilter

作用:权限验证之后对数据进行过滤

定义一个方法,返回一个User对象list,然后对该List进行数据过滤,只返回name为"admin"的对象。

定义User对象

@Data
@Builder
@AllArgsConstructor
@NoArgsConstructor
public class User {
    private Long id;
    private String name;
    private String roleName;
}

定义方法,构造List,在里面添加三条数据。在方法上使用@PostFilter注解,仅返回name为“admin”的数据。

    @Secured("ROLE_admin")
    @GetMapping("post_filter")
    @PostFilter("filterObject.name == 'admin'")
    @ResponseBody
    public List<User> postFilter() {
        ArrayList<User> list = new ArrayList<>(3);
        list.add(new User(1L, "admin", "admin"));
        list.add(new User(2L, "manager", "manager"));
        list.add(new User(3L, "worker", "worker"));
        return list;
    }

调用该方法,返回结果如下:

5.@PreFilter

作用:进入控制器之前对数据进行过滤。

往后台传一个list,并返回id为偶数的对象,过滤id为基数的对象。

定义一个接口,并使用@PreFilter过滤对象id。将过滤后的id在控制台打印。

    @Secured("ROLE_admin")
    @GetMapping("pre_filter")
    @PreFilter("filterObject.id%2==0")
    @ResponseBody
    public List<User> preFilter(@RequestBody List<User> list) {
        list.forEach(e -> System.out.println(e.getId()));
        return list;
    }

使用PostMan进行方法调用,传入一个对象list,里面有四个对象,id分别为1,2,3,4。 

控制台打印结果:

后台返回数据:

a_lllk
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity基础——权限管理
Java圈全能架构师的博客
01-28 464
一、基础 官网地址:spring.io/projects/spring-security Spring Security是一个功能强大,可高度定制的认证与授权的框架;重点处理认证和授权2个功能 1.1)认证 就是判断一个用户身份是否合法的过程,用户访问系统资源时系统要求验证用户的身份信息,根据认证的结果来进行后一步的操作;认证是为了保证系统的隐私数据与资源; 1.2)授权 授权是用户通过认证后,根据用户的权益来控制用户可以访问资源的过程;授权是为了更细粒度地对隐私数据进行划分,授权是发生在认证通
权限控制——SpringSecurity应用
m0_50916733的博客
02-04 269
权限控制——SpringSecurity应用 认证:系统提供的用于识别用户身份的功能,通常提供用户名和密码进行登录其实就是在进行认证,认证的目的是让系统知道你是谁。 授权:用户认证成功后,需要为用户授权,其实就是指定当前用户可以操作哪些功能。 本文章内容即对后台系统进行权限控制,其本质就是对用户进行认证和授权
全套Spring Security入门到项目实战课程
03-21
Spring Security框架介绍 Spring Security认证与授权机制 Spring Security安全性解决方案 Spring Security权限控制实现 Spring Security与Web应用安全 Spring Security用户认证流程 Spring Security用户授权管理 Spring SecuritySpring集成 Spring Security最佳实践 Spring Security安全漏洞与防范
Spring Security Oauth2.0认证授权专题
06-19
Spring boot+Spring Security Oauth2.0,Sprint cloud+Spring Security Oauth2集成。四种认证方式。附带有代码,和案例,案例,还有视频链接。我保证看完就回,如果视频链接失效,评论回复我,我单独再给你一份。
Spring Security——10,其他权限校验方法
最新发布
weixin_42858422的博客
04-07 404
hasAuthority方法实际是执行到了SecurityExpressionRoot的hasAuthority,大家只要断点调试既可知道它内部的校验原理。这里我们先不急着去介绍这些方法,我们先去理解hasAuthority的原理,然后再去学习其他方法你就更。hasAnyAuthority方法可以传入多个权限,只有用户有其中任意一个权限都可以访问对应资源。并且我们也可以选择定义校验方法,实现我们自己的校验逻辑。hasRole要求有对应的角色才可以访问,但是它内部会把我们传入的参数拼接上。
spring security用户权限项目
12-19
基于spring mvc mybatis spring security 和jquery easy-ui的用户权限管理项目。
浅谈spring security入门
08-18
主要介绍了浅谈spring security入门,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
详解使用Spring Security OAuth 实现OAuth 2.0 授权
08-28
本篇文章主要介绍了详解使用Spring Security OAuth 实现OAuth 2.0 授权,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Spring SecurityhasAnyAuthority和hasAuthority的区别
weixin_46533227的博客
05-29 1759
hasAuthority可以与其他表达式结合使用,例如hasAuthority('ROLE_ADMIN') and hasIpAddress('192.168.1.0/24'),表示用户需要同时拥有"ROLE_ADMIN"权限和来自IP地址为"192.168.1.0/24"的请求才能访问被保护的资源hasAnyAuthority可以判断多个权限,用逗号分隔,例如"ROLE_USER, ROLE_ADMIN",只要用户拥有其中一个权限即可访问被保护的资源。如果用户拥有其中一个权限,就可以访问该方法。
[SpringSecurity]web权限方案_用户授权_基于权限访问控制_基于角色访问控制_hasAuthority和hasAnyAuthority_hasRole和hasAnyRole
m0_51955470的博客
02-28 2368
基于角色或权限进行访问控制 hasAuthority 方法 如果当前的主体具有指定的权限,则返回 true,否则返回 false 在配置类设置当前访问地址有哪些 @Override protected void configure(HttpSecurity http) throws Exception { http.formLogin() //自定义自己编写的登陆页面 .loginPage("/login.html") //登陆页面设
Spring Security 学习笔记
PengK_aha的博客
03-20 6346
一、基本原理 二、两个重要接口 三、web权限认证方式 3.1设置登录的用户名和密码 3.1.1 第一种方式:通过配置文件 3.1.2 第二种方式:通过配置类 1.新建SecurityConfig 配置类,继承 WebSecurityConfigurerAdapter 2.重写 configure(AuthenticationManagerBuilder auth)方法 package c...
Spring——Security安全框架之权限限定
专注写bug
02-22 2021
文章目录前言基于角色或权限进行访问控制hasAuthority 方法(单个权限)测试hasAnyAuthority 方法(多个权限)测试hasRole 方法(一个权限)测试异常测试hasAnyRole 方法(多个)测试loadUserByUsername中传递多个权限代码下载 前言 上一篇博客Security安全框架针对请求追加限制中,针对 部分请求 增加了 登录验证 。 只要是登录成功,就能访问被限制的请求。 但是,这种模式肯定是不够用的。 比如:淘宝商品页面。商家可以修改商品价格,但顾客只能看和购
SpringSecurity学习
weixin_57128596的博客
02-26 5143
目录 基于尚硅谷web学习 Security配置: 两个核心接口UserDetailsService与PasswordEncoder: 2.PasswordEncoder 给密码加密 Web项目权限控制方案 (11条消息) SpringSecurity回顾_Fairy要carry的博客-CSDN博客 configure(AuthenticationManagerBuilder auth): configure(HttpSecurity http) 注解(对于处理请求方法的) 用户注销:.
springsecurity入门代码资源
08-02
hello大家好,这里是X,今天这篇博文带来的是SpringBoot安全管理:SpringSecurity,讲到安全管理,不得不说几乎所有的大型项目开发必备之一,而且有了它,对项目的安全也起到了非常大的效果,可以说是项目搭建的必备内容之一 最常见的情况莫过于:我这个项目有普通用户和VIP用户,他们所具有的权限肯定是不一样的(出现的页面也可能不同),那么我怎么做到这一点呢?有人可能会回答:过滤器。当然,过滤器那肯定行,但是如果说我现在有4、5个不同的角色,他们的内容和权限都不一样,这个时候,写过滤器分别过滤不同的请求,那估计是一件令人头疼的事 这个时候SpringSecurity闪亮登场 可以结合https://blog.csdn.net/Xmumu_/article/details/126114780?spm=1001.2014.3001.5501这篇文章一起学习!
SpringSecurity学习笔记
成熟的标题
10-12 455
Spring Security 项目搭建使用流程 1. 搭建项目 创建好springboot框架 在pom文件导入springsecurity框架的依赖包 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 编写
Spring Security自定义资源权限规则
Leon_Jinhai_Sun的博客
05-04 661
/index 公共资源 /hello .... 受保护资源 权限管理 在项目中添加如下配置就可以实现对资源权限规则设定: @Configuration public class WebSecurityConfigurer extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.a..
spring-security--基础--4.4--案例:资源权限访问
zhou920786312的博客
10-28 389
参考手册 https://www.springcloud.cc/spring-security-zhcn.html 七、资源权限访问案例 7.1、 授权 调用accessDecisionManager进行授权决策 方式 web授权 通过url拦截进行授权 拦截器为FilterSecurityInterceptor 方法授权 通过方法拦截进行授权 拦截器为MethodSecurityInterceptor 同时通过web授权和方法授权 先执行web授权,再执行方法授权,最后决策通过则
Spring Security基于角色或权限进行访问控制以及403页面自定义
花&败
07-18 456
1、hasAuthority 方法 如果当前的主体具有指定的权限,则返回 true,否则返回 false 重新启动,测试: 修改MyUserDetailsService: 测试: 2、hasAnyAuthority 方法 如果当前的主体有任何提供的角色(给定的作为一个逗号分隔的字符串列表)的话,返回 true. 3、hasRole 方法 如果用户具备给定角色就允许访问,否则出现 403。 如果当前主体具有指定的角色,则返回 tr...
security安全表达式介绍
wh柒八九的博客
10-27 932
本文来说下security中常见的概念,在学习security的时候,可能觉得security上手比较难,一个关键的原因就是security中有比较多的概念,增加了理解上的难度。再加上RBAC等权限控制,进一步提高了security框架的门槛。 ...
springsecurity入门
09-13
Spring Security是一个用于身份验证和授权的框架,在Spring项目中提供了一套强大的安全性解决方案。以下是你入门Spring Security的步骤: 1. 添加Spring Security依赖:在你的项目中,通过Maven或Gradle添加Spring Security的依赖。例如,在Maven中,你可以添加以下依赖: ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> ``` 2. 配置Spring Security:创建一个配置类来配置Spring Security。这个配置类需要继承`WebSecurityConfigurerAdapter`类,并覆盖`configure`方法。例如,你可以创建一个类叫做`SecurityConfig`: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/public/**").permitAll() // 允许公共访问的URL .anyRequest().authenticated() // 其他URL需要身份验证 .and() .formLogin() // 启用表单登录 .loginPage("/login") // 自定义登录页面URL .permitAll() .and() .logout() // 启用注销 .permitAll(); } } ``` 上述配置中,我们定义了哪些URL是公开访问的,哪些URL需要身份验证,以及自定义了登录和注销的相关配置。 3. 创建用户服务:在上面的配置类中,你需要定义一个用户服务来获取用户的身份验证信息。这可以通过实现`UserDetailsService`接口来完成。你可以创建一个类叫做`UserService`来实现这个接口,并重写`loadUserByUsername`方法: ```java @Service public class UserService implements UserDetailsService { @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { // 从数据库或其他数据源中获取用户信息 // 然后返回一个实现了UserDetails接口的类,代表用户的身份验证信息 // 例如,你可以使用Spring Security提供的User类 return User.builder() .username(username) .password("password") .roles("USER") .build(); } } ``` 上述代码中,我们简单地返回了一个固定的用户信息,实际应用中你需要从数据库或其他数据源中获取真实的用户信息。 4. 配置密码编码器:为了安全起见,你需要对用户密码进行编码。在上述的配置类中,通过重写`configure`方法来配置密码编码器。例如: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private UserService userService; @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userService).passwordEncoder(passwordEncoder()); } // 其他配置... } ``` 上述代码中,我们使用了`BCryptPasswordEncoder`来对密码进行编码。 这些是入门Spring Security的基本步骤。当你完成了上述配置后,你的应用程序将需要进行身份验证,并且可以通过URL保护来限制访问。你可以根据需要进一步自定义和扩展Spring Security的功能。希望这能帮助到你!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值