SpringSecurity授权

最新推荐文章于 2024-06-23 11:39:51 发布
最新推荐文章于 2024-06-23 11:39:51 发布
阅读量599 收藏 2
点赞数
分类专栏: SpringSecurity 文章标签: spring web SpringSecurity 权限校验 授权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/afjaklsdflka/article/details/118417418
版权

SpringSecurity授权

简介

上一篇博客讲述了SpringSecurity的用户认证,用户认证的目的是让系统知道是谁在访问系统。而这篇博客主要讲述SpringSecurity的另一个功能鉴权,也就是权限控制,目的是你能在系统做什么。

SpringSecurity 授权

内置权限表达式

SpringSecurity使用Spring EL来支持,主要用于web访问和方法安全上,可以通过表达式判断是否具有访问权限,下面是SpringSecurity常用的内置表达式
在这里插入图片描述
在这里插入图片描述

URL安全表达式

1、设置url访问权限

// 设置/user/** 访问需要ADMIN角色
http.authorizeRequests().antMatchers("/user/**").hasRole("ADMIN");
// 设置/user/** 访问需要PRODUCT角色和IP地址为127.0.0.1
.hasAnyRole("PRODUCT,ADMIN")
http.authorizeRequests().antMatchers("/product/**")
.access("hasAnyRole('ADMIN,PRODUCT') and
hasIpAddress('127.0.0.1')");
// 设置自定义权限不足信息.
http.exceptionHandling().accessDeniedHandler(accessDeniedHandler);

2、自定义权限不足类

/**
* 自定义权限不足信息
*/
@Component
public class MyAccessDeniedHandler implements AccessDeniedHandler {
@Override
public void handle(HttpServletRequest httpServletRequest,
HttpServletResponse resp, AccessDeniedException e) throws IOException,
ServletException {
resp.setStatus(HttpServletResponse.SC_FORBIDDEN);
resp.setContentType("text/html;charset=UTF-8");
resp.getWriter().write("权限不足,请联系管理员!");
}
}

3、设置用户权限信息

// 先声明一个权限集合, 因为构造方法里面不能传入null
Collection<GrantedAuthority> authorities = new ArrayList<>();
if ("admin".equalsIgnoreCase(user.getUsername())) {
authorities.add(new SimpleGrantedAuthority("ROLE_ADMIN"));
} else {
authorities.add(new SimpleGrantedAuthority("ROLE_PRODUCT"));
}

在web安全表达式引用自定义Bean授权

1、自定义授权bean

/**
* 自定义授权类
*/
@Component
public class MyAuthorizationService {
/**
* 检查用户是否有对应的访问权限
*
* @param authentication 登录用户
* @param request 请求对象
* @return
*/
public boolean check(Authentication authentication, HttpServletRequest
request) {
User user = (User) authentication.getPrincipal();
// 获取用户所有权限
Collection<GrantedAuthority> authorities = user.getAuthorities();
// 获取用户名
String username = user.getUsername();
// 如果用户名为admin,则不需要认证
if (username.equalsIgnoreCase("admin")) {
return true;
} else {
// 循环用户的权限, 判断是否有ROLE_ADMIN权限, 有返回true
for (GrantedAuthority authority : authorities) {
String role = authority.getAuthority();
if ("ROLE_ADMIN".equals(role)) {
return true;
}
}
}
return false;
}
}

2、配置类

//使用自定义Bean授权
http.authorizeRequests().antMatchers("/user/**").
access("@myAuthorizationService.check(authentication,request)");

3、携带变量配置

/**
* 检查用户是否有对应的访问权限
*
* @param authentication 登录用户
* @param request 请求对象
* @param id 参数ID
* @return
*/
public boolean check(Authentication authentication, HttpServletRequest
request, Integer id) {
if (id > 10) {
return false;
}
return true;
}

4、配置

//使用自定义Bean授权,并携带路径参数
http.authorizeRequests().antMatchers("/user/delete/{id}").
access("@myAuthorizationService.check(authentication,request,#id)");

Method安全表达式

针对方法级别的安全控制,SpringSecurity提供了四种注解方式,分别是@PreAuthorize、@PostAuthorize、@PreFilter 、@PostFilter

1、开启方法级别的注解配置

/**
* Security配置类
*/
@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)//开启注解支持
public class SecurityConfiguration extends WebSecurityConfigurerAdapte

2、在方法上使用

@PreAuthorize
在进入方法前进行权限校验

@RequestMapping("/findAll")
@PreAuthorize("hasRole('ADMIN')")//需要ADMIN权限
public String findAll(Model model)

@PostAuthorize
在方法执行后进行权限校验,适合校验有返回值的方法,根据返回信息进行校验

/**
* 根据ID查询用户
*
* @return
*/
@GetMapping("/{id}")
@ResponseBody
@PostAuthorize("returnObject.username==
authentication.principal.username")//判断查询用户信息是否是当前登录用户信息.否则没有
权限
public User getById(@PathVariable Integer id)

其中returnObject代表return 返回值

@PreFilter
对集合类型的参数进行过滤,将不符合条件的参数剔除

/**
* 商品删除-多选删除
*
* @return
*/
@GetMapping("/delByIds")
@PreFilter(filterTarget = "ids", value = "filterObject%2==0")//剔除参数为
基数的值
public String delByIds(@RequestParam(value = "id") List<Integer> ids)

@PostFilter
对集合类型的返回值进行过滤,剔除不符合要求的元素

/**
* 查询所有用户-返回json数据
*
* @return
*/
@RequestMapping("/findAllTOJson")
@ResponseBody
@PostFilter("filterObject.id%2==0")//剔除返回值ID为偶数的值
public List<User> findAllTOJson()

基于数据库的RBAC数据模型的权限控制

RABC简介

RABC权限模型既基于角色的权限控制
用户:系统接口访问的操作者
权限:能够访问接口或进行某些操作的资格
角色:具有一类相同操作权限的总称

关联关系

在这里插入图片描述

表结构

在这里插入图片描述

实施

1、动态查询数据库中用户的权限

public interface PermissionMapper extends BaseMapper<Permission> {
/**
* 根据用户ID查询权限
* *
* @param id
* @return
*/
@Select("SELECT p.* FROM t_permission p,t_role_permission rp,t_role
r,t_user_role ur,t_user u " +
"WHERE p.id = rp.PID AND rp.RID = r.id AND r.id = ur.RID AND
ur.UID = u.id AND u.id =#{id}")
List<Permission> findByUserId(Integer id);
}

2、给登录用户授权

// 先声明一个权限集合, 因为构造方法里面不能传入null
Collection<GrantedAuthority> authorities = new ArrayList<>();
// 查询用户对应所有权限
List<Permission> permissions = permissionService.findByUserId(user.getId());
for (Permission permission : permissions) {
// 授权
authorities.add(new
SimpleGrantedAuthority(permission.getPermissionTag()));
}

3、设置访问权限

// 查询数据库所有权限列表
List<Permission> permissions = permissionService.list();
for (Permission permission : permissions) {
//添加请求权限
http.authorizeRequests().
antMatchers(permission.getPermissionUrl()).hasAuthority(permission.getPermi
ssionTag());
}

页面标签的权限控制

在jsp页面或者是thymeleaf模板页面,我们可以使用SpringSecurity提供的权限标签来进行权限控制,首先要引入thymeleaf-extras-springsecurity依赖

标签介绍
判断用户是否已经登陆认证,引号内的参数必须是isAuthenticated()。
sec:authorize=“isAuthenticated()”
获得当前用户的用户名,引号内的参数必须是name。
sec:authentication=“name”
判断当前用户是否拥有指定的权限。引号内的参数为权限的名称。
sec:authorize=“hasRole(‘role’)”
1、在pom文件中引入依赖

<!--添加thymeleaf为SpringSecurity提供的标签 依赖 -->
<dependency>
<groupId>org.thymeleaf.extras</groupId>
<artifactId>thymeleaf-extras-springsecurity5</artifactId>
<version>3.0.4.RELEASE</version>
</dependency>

2、在html中声明使用

<html xmlns:th="http://www.thymeleaf.org"
xmlns:sec="http://www.thymeleaf.org/extras/spring-security">

3、标签使用

<div class="leftnav">
<div class="leftnav-title">
<div sec:authorize="isAuthenticated()">
<span sec:authentication="name"></span>
<img src="images/y.jpg" class="radius-circle rotate-hover"
height="50" alt=""/></div>
</div>
<div sec:authorize="hasAuthority('user:findAll')">
<h2><span class="icon-user"></span>系统管理</h2>
<ul style="display:block">
<li><a href="/user/findAll" target="right"><span class="icon-caretright"></span>用户管理</a></li>
<li><a href="javascript:void(0)" onclick="toCors()" target="right">
<span
class="icon-caret-right"></span>跨域测试</a></li>
</ul>
</div>
<div sec:authorize="hasAuthority('product:findAll')">
<h2><span class="icon-pencil-square-o"></span>数据管理</h2>
<ul>
<li><a href="/product/findAll" target="right"><span class="iconcaret-right"></span>商品管理</a></li>
</ul>
</div>
</div>
Is A Old HaiYun
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Spring Boot+Spring Security:标签sec:authorize的使用 - 第18篇
悟纤学院
03-13 2万+
需求缘起 在访问/index页面,user用户不应该能够看到admin page的链接,针对这个问题可以通过sec:authorize标签进行控制。 一、标签sec:authorize的使用 1.1 引入依赖 在pom.xml文件中添加依赖: <dependency> <groupId>org.th...
SpringSecurity授权
qq_40750315的博客
11-16 180
    上篇文章写了一个SpringSecurity简单的认证,这次说一下授权怎么操作。     所谓授权,其实就是在一些系统里面,特别是公司的内部管理系统,很多操作不是说每个人都能去做的,而是需要判断一下,操作人是否具有某操作的权限,如果具有该权限才能继续,否则直接告知:你不具备该权限。     那么SpringSecurity是怎么做的呢?具体操作步骤如下: 数据库的准备工作:准备好u
spring_secrity
StrutsFamily的专栏
02-13 1574
Spring Security入门篇——标签sec:authorize的使用 Security框架可以精确控制页面的一个按钮、链接,它在页面上权限的控制实际上是通过它提供的标签来做到的 Security共有三类标签authorize  authentication   accesscontrollist  ,第三个标签不在这里研究 前提:项目需要引用spring-secu
sec:authorize的使用
chouxi8731的博客
09-03 6126
1、在.html页面引入spring security的命名空间 <html lang="en" xmlns="http://www.w3.org/1999/xhtml" xmlns:th="http://www.thymeleaf.org" xmlns:sec="http:...
(新)Spring Security如何实现授权(实战篇)
最新发布
weixin_55772633的博客
06-23 1074
例如一个学校图书馆的管理系统,如果是普通学生登录就能看到借书还书相关的功能,不可能让他看到并且去使用添加书籍信息,删除书籍信息等功能。但是如果是一个图书馆管理员的账号登录了,应该就能看到并使用添加书籍信息,删除书籍信息等功能。总结起来就是。这就是权限系统要去实现的效果。我们不能只依赖前端去判断用户的权限来选择显示哪些菜单哪些按钮。因为如果只是这样,如果有人知道了对应功能的接口地址就可以不通过前端,直接去发送请求来实现相关功能操作。
安全控制Spring Security
码农@攻城狮
12-15 504
Spring Security是为基于Spring的应用程序提供声明式安全保护的安全性框架。Spring Security提供了完整的安全性解决方案,它能够在web请求级别和方法调用级别处理身份认证和授权。充分利用了依赖注入(DI)和面向切面(AOP)的技术。
SpringSecurity
ZgqJavaCSDN的博客
12-17 911
目录 11. SpringSecurity 11.1 SpringSecurity简介 11.2 实验环境搭建 1、新建springboot项目 2、导入静态资源 3、controller跳转 11.3 认识SpringSecurity 1、认证和授权 2、权限控制和注销 3、记住我功能 4、定制登录页 5、完整配置代码(SecurityConfig.java) 11. SpringSecurity 11.1 SpringSecurity简介 Spring 是一个非常流行和成功
SpringSecurityFoundation
m0_59883382的博客
05-25 731
1
Spring security认证授权
11-30
在这个例子中,我们将深入探讨如何使用Spring Security进行认证和授权,并结合数据库操作进行动态配置。 首先,Spring Security的核心概念包括认证(Authentication)和授权(Authorization)。认证是确认用户身份...
Spring Security 控制授权的方法
08-27
Spring Security 控制授权的方法 Spring Security 控制授权的方法是指在 Spring Security 框架中对访问控制的实现方法,该方法通过使用授权表达式来控制访问权限。下面将详细介绍 Spring Security 控制授权的方法。...
spring security 认证授权实现
10-14
**Spring Security 认证授权实现** Spring Security 是一个强大的、高度可配置的安全框架,用于Java应用程序,它提供了全面的身份验证和授权服务。在本项目中,我们关注的是如何利用Spring Security来实现用户认证...
Spring Security in Action
11-22
Spring Security 是一个基于 Java 的安全框架,旨在提供身份验证、授权和访问控制等功能。下面是 Spring Security 的主要知识点: 一、身份验证(Authentication) 身份验证是指对用户身份的验证,以确保用户的...
Spring Security Oauth2.0认证授权专题
06-19
Spring boot+Spring Security Oauth2.0,Sprint cloud+Spring Security Oauth2集成。四种认证方式。附带有代码,和案例,案例,还有视频链接。我保证看完就回,如果视频链接失效,评论回复我,我单独再给你一份。
SpringSecurity权限控制
wunianisme的博客
04-13 1833
初识SpringSecurity 学习思路 了解SpringSecurity是什么。 查看官网简介。 简单快速阅读官方文档。 经过一段时间的学习,我们知道构建一个SpringBoot项目只需要三步: 导入maven依赖。 配置相关文件。 编写测试代码。 安全框架 在Web开发中,安全一直是一个十分重要的环节。它是一种非功能性的需求,但是对于一个系统十分重要,我们一般都会使用一些组件...
SpringSecurity页面按钮权限控制
自知的博客
08-11 2821
页面按钮权限的控制,其实就是利用RBAC1权限控制和sec:authorize标签。 一、引入pom依赖 <dependency> <groupId>org.thymeleaf.extras</groupId> <artifactId>thymeleaf-extras-springsecurity5</artifactId> </dependency> 此处使用spring-boot-starter-parent:2
SpringBoot学习之路---简单记录整合SpringSecurity实现登录认证授权
LeslieLau的博客
05-06 428
基本上每一个项目都会有用户登录的这个功能,用户需要在登录之后才能够去访问一些资源,如果没登录的话就不能访问(403)。我们可以自己编码去实现这样的业务逻辑,当然每一次都自己去编码是比较耗时的,毕竟市面上已经有现成的开源的框架可以拿来使用了(Apache的shiro与SpringSpring Security),这一篇的博客的主角就是介绍一下后者在SpringBoot中的整合配置,以及如何基本使用...
thymeleaf 配合 Spring Security 权限判断时,sec:authentication无法取到值(null)
练涛
02-25 918
以下是实例: <div sec:authorize="isAuthenticated()" class="row" > <div class="dropdown"> <a class=" dropdown-toggle" href="/u/waylau" th:href="@{'...
sec:authentication="name" 使用后页面无法显示登录名称
brucechen110的博客
04-07 1042
问题产生的原因是: springsecurity4 和 thymeleaf 的版本号不匹配导致无法显示,具体的解决方法如下: 第一步:.查看thymeleaf的版本号: 第二步:以上的thymeleaf版本2.2.5必须匹配:springsecurity5 才能使用,因此修改如下图: 第三步:重新编译打包package ...
Spring security3 sec:authorize url 根据权限控制按钮的显示
weixin_34391854的博客
07-20 430
为什么80%的码农都做不了架构师?>>> ...
springsecurity授权
09-01
- *3* [SpringSecurity授权](https://blog.csdn.net/chenxingxingxing/article/details/125813649)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值