从源码看Spring Security的角色和权限之区别

最新推荐文章于 2024-05-13 22:20:01 发布
最新推荐文章于 2024-05-13 22:20:01 发布
阅读量1.2w 收藏 23
点赞数 14
分类专栏: 九阳神功——Spring Boot 金刚护体——Spring Security 文章标签: spring Security 角色和权限 hasAuthority hasRole spring的ROLE_
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cauchy6317/article/details/85162225
版权

Spring Security中的角色(roles)和权限(authorities)是有区别的。笔者这篇文章将和大家一起从Spring Security源码的角度探讨其区别在何处,以及合理的使用角色和权限,让我们在使用时做到知其然且知其所以然。
项目环境:jdk1.8,Springboot 2.1.0,IntelliJ idea2018
首先我们在内存中定义几个用户。一个用户名为"cj",角色为 “USER"的用户,另一个用户名为"admin”,权限为"admin"的用户。在这里插入图片描述
当然这个方法定义在继承了WebSecurityConfigurerAdapter的自定义WebSecurityConfig类中

@Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
//        在内存中定义用户,方便测试使用
        auth
                .inMemoryAuthentication()
                .withUser("cj")
                .password(passwordEncoder().encode("123"))
                .roles("USER")
        .and()
                .withUser("admin")
                .password(passwordEncoder().encode("123"))
                .authorities("admin");
    }

然后我们写一个方法用于用户登录后获取用户信息。在一个Controller中定义如下方法:

 @RequestMapping("getInfo")
    @ResponseBody
    public Authentication getInfo(){
        Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
        return authentication;
    }

启动程序:分别使用用户名cj密码123,用户名admin密码123登录。在浏览器中通过上面定义的getInfo方法获取用户信息。
cj的authentication对象(认证信息)如下图:
在这里插入图片描述
可以很清楚的看到,这个authority字段前面多了一个“ROLE_”,程序中定义的是USER。Why?跟进源码…
在这里插入图片描述
通过阅读源码发现,Spring Security的 public User.UserBuilder roles(String… roles)方法是为了给User附上authorities信息,而且它在赋值的过程中还去判断了程序中开发者设置roles时有没有以“ROLE_”开头,有的话直接赋值。没有的话,呵呵。它自作主张的给role强行加上“ROLE_”前缀。这就是为什么我们获取cj的authentication对象时authority的值为“ROLE_USER”。至于为什么Spring Security的设计师要这样做,我还不清楚(大家谁知道可以留言一下)。
那我们在配置路径认证时的hasROLE()方法,该怎么配置呢。配置成hasRole(“ROLE_USER”)和hasRole(“USER”)都可以,why?跟进源码…
在这里插入图片描述
在判断roleSet.contains(defaultedRole)之前,Spring Security会想调用getRoleWithDefaultPrefix(prefix, role)此方法,继续跟下去。
在这里插入图片描述
Spring Security和之前在roles()方法中设定role时一样,如果没有设置ROLE_开头,强制给hasROLE()方法中的值设置前缀ROLE_,以此来达到跟之前roles()方法中设定的role匹配的目的。
接下来我们一起来看看authorities()方法中设置admin会怎样。用户名admin,密码123登录后,获取认证信息 http://localhost:9999/getInfo (自己的端口号自己定义)。
在这里插入图片描述
可以清楚的看到authority为admin。在配置hasAuthority时只能配置成hasAuthority(“admin”),这里面的源码大家自己跟进去看看。和上面分析的差不多,只是authorties()和hasAuthory()方法都没有关于前缀ROLE_的处理。
从上面的分析可以看出,roles的设定其实就是向user的authorities赋值,只不过多了一步加ROLE_的处理,在认证路径的时候同样多了这一步的处理。
所以我们该如何决定使用roles还是authorities呢,我建议是选择authorities。为什么呢,因为我们在使用数据库中的roles往user赋权限时,必须写成这样new SimpleGrantedAuthority(“ROLE_” + role),也就是和源码中一样必须强制添加前缀ROLE_,才能在使用hasRoles,然而这是不合理的。所以笔者建议使用hasAuthority()方法对路径进行权限控制,这样更有逻辑性。
不求打赏(土豪除外),点赞关注走一走鸭!
在这里插入图片描述
spring security Oauth2 交流群
在这里插入图片描述

cauchy6317
关注
  • 14
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
专栏目录
SpringBoot集成Spring Security实现角色继承【完整码+数据库】
02-16
在本文中,我们将深入探讨如何在SpringBoot项目中集成Spring Security来实现角色继承,并提供一个完整的码示例。这将特别适用于初学者和开发者,帮助他们更好地理解Spring Security的安全特性。 首先,让我们理解...
码,重新审视Spring Security中的角色(roles)是怎么回事
江成军的专栏
01-27 1752
在网上看见不少的博客、技术文章,发现大家对于Spring Security中的角色(roles)存在较大的误解,最大的误解就是没有搞清楚其中角色权限的差别(好多人在学习Spring Security时,是不是对于到底加不加“ROLE_”前缀有点犯蒙),有时候觉得在进行权限控制时用权限名称或者用角色名称都差不多(大家这种感觉是对的,如果简单应用确实差不太多)。 我们在进行角色权限控...
SpringBoot——安全管理(二)
qq_43070052的博客
02-28 4118
基于数据库的认证一、设计数据表 在真实项目中,用户的基本信息以及角色等都存储在数据库中,因此需要从数据库中获取数据进行认证。 一、设计数据表 首先需要设计一个基本的用户角色表。一共三张表,分别是用户表、角色表以及用户角色关联表。 角色名有一个默认的前缀“ROLE_” ...
68篇干货,手把手教你通关 Spring Security
最新发布
2401_84048290的博客
05-13 811
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数Java工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。因此收集整理了一份《2024年Java开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
SpringSecurity实现角色权限控制(SpringBoot+SpringSecurity+JWT)
lans_g的博客
05-14 6632
通过springboot整合jwt和security,以用户名/密码的方式进行认证和授权。认证通过jwt+数据库的,授权这里使用了两种方式,分别是SpringSecurity自带的hasRole方法+SecurityConfig和 我们自定义的permission+@PreAuthorize注解。用来存储和获取当前线程关联的 SecurityContext 对象的类。
后端进阶之路——浅谈Spring Security用户、角色权限和访问规则(三)
Why_does_it_work的博客
08-04 3899
通过定义用户、角色权限和访问规则 可以在SpringSecurity中实现灵活的访问控制和权限管理。可以使用内存方式或数据库方式定义用户,设置用户名、密码和角色等信息。角色可以用来组织和控制权限,可以将一组权限赋予特定角色,并将角色分配给用户。权限是指用户可以执行的特定操作或访问的资,可以细化到每个功能或数据级别。可以使用Ant风格的路径匹配规则或表达式语言编写更复杂的访问规则,以限制用户对特定路径或功能的访问权限。 通过定义这些元素,可以确保系统的安全性和可靠性。
Spring Security 中分离角色权限
allway2的博客
09-21 1202
但是 Spring Security 参考文档中的示例倾向于将授予的权限视为角色,甚至 hasRole() 和 hasAnyRole() 谓词也引导我们直接使用角色,由于已经给出的原因,这充其量是一个值得怀疑的做法。该规则并不完美——我们可能会决定不存在“一般论坛的阅读权限”之类的东西(也就是说,访问权限存在于逐个论坛的基础上)——但显然它更加灵活,尤其是如果我们可以在代码本身之外建立角色权限之间的关系。因此,作为一般规则,与基于角色的规则相比,更喜欢基于权限的规则。图 1 将角色权限分开的用户模式。
SpringSecurity
weixin_45701868的博客
07-08 1305
SpringSecurity
基于Spring Security的细粒度权限管理系统设计
03-28
这是一个基于Spring Security框架的细粒度权限管理系统,使用Java语言开发,同时包含JavaScript、CSS、HTML等多种编程语言。该项目共包含2447个文件,其中主要文件类型包括JavaScript、PNG图片、CSS、HTML、JAR包、...
SpringBoot集成Spring Security实现权限控制【完整码+数据库】
02-16
SpringBoot集成Spring Security是现代Java应用中常见的安全框架组合,它们为开发者提供了强大的权限管理和访问控制功能。Spring Security是一个全面的、高度可配置的安全框架,它涵盖了认证、授权以及会话管理等多个...
话说Spring Security权限管理(码详解)
08-31
权限管理是Spring Security的核心功能之一,它确保只有具有相应权限的用户才能访问特定的资或执行特定的操作。在Spring Security中,权限管理的实现涉及到多个组件,如`AccessDecisionManager`、`...
Spring Security角色继承分析
08-25
Spring Security 角色继承分析是 Spring Security 框架中的一项重要功能,它允许开发者定义角色之间的继承关系,从而实现权限的继承和复用。今天,我们将深入探讨 Spring Security 角色继承分析的原理和实现方式。 ...
Spring Security 权限控制
Desiy的博客
03-11 603
目录1.权限组1.1.实现功能1.2.测试 1.权限组 之前用户可以通过用户角色表和用户表进行关联,进而分配用户不同的角色,也可以通过菜单角色与菜单表进行关联,进而分配不同的角色,可以拥有不同的菜单权限。那权限组模块主要就是进行用户角色的相关操作,包括角色里面所关联的菜单。所以出了角色的相关操作(增加角色,删除角色,修改角色等等),还可以对菜单进行操作(查询、更新角色所拥有的菜单)。 1.1.实现功能 需要注意的是Spring Security用的角色都是以ROLE_开头的所以我们需要判断一下添加的角
springboot-security 功能体验
你可真逗了的博客
01-15 241
文章目录一、security简介二、功能体验1. 默认登录验证2.自定义登录验证 一、security简介 Spring Security是一个专注于为Java应用程序提供身份验证和授权的框架 二、功能体验 1. 默认登录验证 创建springboot工程,本人版本 2.2.2.RELEASE 引入security 依赖包 <dependency> <gro...
SpringSecurity权限命名ROLE_前缀问题
weixin_61329726的博客
11-29 572
先讲一下我的好奇点:最近在使用Security做安全权限控制,可以看到下图,这个方法可以通过的角色是USER,但是我的表中的数据是这样的。return "权限 user";我就对于这个前缀ROLE_非常的好奇。(因为是许久之前的代码了,就忘记的差不多啦🐕狗头保命)我做过测试如果使用@PreAuthorize("hasAnyRole('USER')")此注解的话:总之得拼出ROLE_USER数据库上的那个权限or角色的字段必须为ROLE_USER,
2535-springsecurity系列--关于授权角色“ROLE”前缀的问题
zzxx1994617的博客
07-24 6605
版本信息 &lt;parent&gt; &lt;groupId&gt;org.springframework.boot&lt;/groupId&gt; &lt;artifactId&gt;spring-boot-starter-parent&lt;/artifactId&gt; &lt;version&gt;1.5.14.RELEASE&lt;/version&gt
springsecurity自定义角色权限授权
qq_57517269的博客
03-27 3341
security自定义角色权限 通过注解标记controller的方式与config配置的方式过于繁琐。这样每写一个接口都要去写这个注解,关键还要记相对应的权限,根本不符合当前的开发。 //注解方式 @PreAuthorize("hasAuthority('test')") public RespBean test(){ .... } @Override protected void configure(HttpSecurity http)
Spring Security中授予权限角色
allway2的博客
11-20 1648
当然,这是一种非常简单的方法,可以在开发过程中与一些初步测试用户一起开始运行 - 而不是您应该在生产中处理数据的方式。重点是 - 我们保留了我们在代码中使用的权限Spring 安全框架没有就我们应该如何使用这个概念提供任何指导,所以选择完全是特定于实现的。这是一种更高层次的角色方法,使它们成为更面向业务的概念,而不是以实施为中心的概念。现在我们更好地理解了核心概念,让我们谈谈在应用程序启动时创建一些设置数据。前缀是可配置的,但解释如何做到这一点超出了本文的范围。这样的表达式,我们以粗粒度的方式限制访问。
SpringSecurity学习笔记
baidu_40492134的博客
01-13 213
SpringSecurity学习笔记
[] - 2022-07-10 Spring Security 实现动态权限菜单方案(附码).pdf
12-11
互联网资讯,技术简介,IT、AI技术,人工智能互联网资讯,技术简介,IT、AI技术,人工智能互联网资讯,技术简介,IT、AI技术,人工智能互联网资讯,技术简介,IT、AI技术,人工智能互联网资讯,技术简介,IT、AI技术,人工智能互联网资讯,技术简介,IT、AI技术,人工智能互联网资讯,技术简介,IT、AI技术,人工智能互联网资讯,技术简介,IT、AI技术,人工智能互联网资讯,技术简介,IT、AI技术,人工智能互联网资讯,技术简介,IT、AI技术,人工智能互联网资讯,技术简介,IT、AI技术,人工智能互联网资讯,技术简介,IT、AI技术,人工智能互联网资讯,技术简介,IT、AI技术,人工智能互联网资讯,技术简介,IT、AI技术,人工智能

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值