从源码看Spring Security的角色和权限之区别

最新推荐文章于 2024-05-13 22:20:01 发布
最新推荐文章于 2024-05-13 22:20:01 发布
阅读量1.2w 收藏 23
点赞数 14
分类专栏: 九阳神功——Spring Boot 金刚护体——Spring Security 文章标签: spring Security 角色和权限 hasAuthority hasRole spring的ROLE_
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cauchy6317/article/details/85162225
版权

Spring Security中的角色(roles)和权限(authorities)是有区别的。笔者这篇文章将和大家一起从Spring Security源码的角度探讨其区别在何处,以及合理的使用角色和权限,让我们在使用时做到知其然且知其所以然。
项目环境:jdk1.8,Springboot 2.1.0,IntelliJ idea2018
首先我们在内存中定义几个用户。一个用户名为"cj",角色为 “USER"的用户,另一个用户名为"admin”,权限为"admin"的用户。在这里插入图片描述
当然这个方法定义在继承了WebSecurityConfigurerAdapter的自定义WebSecurityConfig类中

@Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
//        在内存中定义用户,方便测试使用
        auth
                .inMemoryAuthentication()
                .withUser("cj")
                .password(passwordEncoder().encode("123"))
                .roles("USER")
        .and()
                .withUser("admin")
                .password(passwordEncoder().encode("123"))
                .authorities("admin");
    }

然后我们写一个方法用于用户登录后获取用户信息。在一个Controller中定义如下方法:

 @RequestMapping("getInfo")
    @ResponseBody
    public Authentication getInfo(){
        Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
        return authentication;
    }

启动程序:分别使用用户名cj密码123,用户名admin密码123登录。在浏览器中通过上面定义的getInfo方法获取用户信息。
cj的authentication对象(认证信息)如下图:
在这里插入图片描述
可以很清楚的看到,这个authority字段前面多了一个“ROLE_”,程序中定义的是USER。Why?跟进源码…
在这里插入图片描述
通过阅读源码发现,Spring Security的 public User.UserBuilder roles(String… roles)方法是为了给User附上authorities信息,而且它在赋值的过程中还去判断了程序中开发者设置roles时有没有以“ROLE_”开头,有的话直接赋值。没有的话,呵呵。它自作主张的给role强行加上“ROLE_”前缀。这就是为什么我们获取cj的authentication对象时authority的值为“ROLE_USER”。至于为什么Spring Security的设计师要这样做,我还不清楚(大家谁知道可以留言一下)。
那我们在配置路径认证时的hasROLE()方法,该怎么配置呢。配置成hasRole(“ROLE_USER”)和hasRole(“USER”)都可以,why?跟进源码…
在这里插入图片描述
在判断roleSet.contains(defaultedRole)之前,Spring Security会想调用getRoleWithDefaultPrefix(prefix, role)此方法,继续跟下去。
在这里插入图片描述
Spring Security和之前在roles()方法中设定role时一样,如果没有设置ROLE_开头,强制给hasROLE()方法中的值设置前缀ROLE_,以此来达到跟之前roles()方法中设定的role匹配的目的。
接下来我们一起来看看authorities()方法中设置admin会怎样。用户名admin,密码123登录后,获取认证信息 http://localhost:9999/getInfo (自己的端口号自己定义)。
在这里插入图片描述
可以清楚的看到authority为admin。在配置hasAuthority时只能配置成hasAuthority(“admin”),这里面的源码大家自己跟进去看看。和上面分析的差不多,只是authorties()和hasAuthory()方法都没有关于前缀ROLE_的处理。
从上面的分析可以看出,roles的设定其实就是向user的authorities赋值,只不过多了一步加ROLE_的处理,在认证路径的时候同样多了这一步的处理。
所以我们该如何决定使用roles还是authorities呢,我建议是选择authorities。为什么呢,因为我们在使用数据库中的roles往user赋权限时,必须写成这样new SimpleGrantedAuthority(“ROLE_” + role),也就是和源码中一样必须强制添加前缀ROLE_,才能在使用hasRoles,然而这是不合理的。所以笔者建议使用hasAuthority()方法对路径进行权限控制,这样更有逻辑性。
不求打赏(土豪除外),点赞关注走一走鸭!
在这里插入图片描述
spring security Oauth2 交流群
在这里插入图片描述

cauchy6317
关注
  • 14
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
专栏目录
源码,重新审视Spring Security中的角色(roles)是怎么回事
江成军的专栏
01-27 1752
在网上看见不少的博客、技术文章,发现大家对于Spring Security中的角色(roles)存在较大的误解,最大的误解就是没有搞清楚其中角色权限的差别(好多人在学习Spring Security时,是不是对于到底加不加“ROLE_”前缀有点犯蒙),有时候觉得在进行权限控制时用权限名称或者用角色名称都差不多(大家这种感觉是对的,如果简单应用确实差不太多)。 我们在进行角色权限控...
Spring Security 权限控制
Desiy的博客
03-11 603
目录1.权限组1.1.实现功能1.2.测试 1.权限组 之前用户可以通过用户角色表和用户表进行关联,进而分配用户不同的角色,也可以通过菜单角色与菜单表进行关联,进而分配不同的角色,可以拥有不同的菜单权限。那权限组模块主要就是进行用户角色的相关操作,包括角色里面所关联的菜单。所以出了角色的相关操作(增加角色,删除角色,修改角色等等),还可以对菜单进行操作(查询、更新角色所拥有的菜单)。 1.1.实现功能 需要注意的是Spring Security用的角色都是以ROLE_开头的所以我们需要判断一下添加的角
68篇干货,手把手教你通关 Spring Security
最新发布
2401_84048290的博客
05-13 811
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数Java工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。因此收集整理了一份《2024年Java开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
2535-springsecurity系列--关于授权角色“ROLE”前缀的问题
zzxx1994617的博客
07-24 6605
版本信息 <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId> <version>1.5.14.RELEASE</version&gt
SpringSecurity学习笔记
baidu_40492134的博客
01-13 213
SpringSecurity学习笔记
Spring Security(十六):授权(Authorization)
人不风流枉少年
07-09 4437
一:简介 授权 就是控制url能不能访问。一个请求过来会先经过FilterSecurityInterceptor过滤器拦截,然后调用访问决定管理器AccessDecisionManager,访问决定管理器是通过访问决定投票器AccessDecisionVoter来投票的,如果投票器投通过那么这个url就可以访问,如果投票器投拒绝那么这个url就不能被访问,会抛出一个访问被拒绝的异常。 访问决定投票...
springsecurity角色管理
健康平安的活着的专栏
09-11 666
一 查询角色权限 角色权限表:
SpringBoot集成Spring Security实现角色继承【完整源码+数据库】
02-16
在本文中,我们将深入探讨如何在SpringBoot项目中集成Spring Security来实现角色继承,并提供一个完整的源码示例。这将特别适用于初学者和开发者,帮助他们更好地理解Spring Security的安全特性。 首先,让我们理解...
基于Spring Security的细粒度权限管理系统设计源码
03-28
这是一个基于Spring Security框架的细粒度权限管理系统,使用Java语言开发,同时包含JavaScript、CSS、HTML等多种编程语言。该项目共包含2447个文件,其中主要文件类型包括JavaScript、PNG图片、CSS、HTML、JAR包、...
SpringBoot集成Spring Security实现权限控制【完整源码+数据库】
02-16
SpringBoot集成Spring Security是现代Java应用中常见的安全框架组合,它们为开发者提供了强大的权限管理和访问控制功能。Spring Security是一个全面的、高度可配置的安全框架,它涵盖了认证、授权以及会话管理等多个...
话说Spring Security权限管理(源码详解)
08-31
权限管理是Spring Security的核心功能之一,它确保只有具有相应权限的用户才能访问特定的资源或执行特定的操作。在Spring Security中,权限管理的实现涉及到多个组件,如`AccessDecisionManager`、`...
Spring Security角色继承分析
08-25
Spring Security 角色继承分析是 Spring Security 框架中的一项重要功能,它允许开发者定义角色之间的继承关系,从而实现权限的继承和复用。今天,我们将深入探讨 Spring Security 角色继承分析的原理和实现方式。 ...
SpringSecurity创建角色和设置权限
JayVergil的博客
12-06 6357
一.创建角色在之前创建完项目后,可以在SpringSecurityConfig类中重写configure方法并进行自定义创建角色 public class SpringSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(AuthenticationM...
SpringBoot整合SpringSecurity实现权限控制(四):角色管理
我的博客
09-22 6004
系列文章目录 《SpringBoot整合SpringSecurity实现权限控制(一):实现原理》 《SpringBoot整合SpringSecurity实现权限控制(二):权限数据基本模型设计》 《SpringBoot整合SpringSecurity实现权限控制(三):前端动态装载路由与菜单》 本文目录一、前言 一、前言 ...
SpringSecurity - 用户动态授权 及 动态角色权限
小毕超博客
01-09 1万+
一、SpringSecurity 动态授权 上篇文章我们介绍了SpringSecurity的动态认证,上篇文章就说了SpringSecurity 的两大主要功能就是认证和授权,既然认证以及学习了,那本篇文章一起学习了SpringSecurity 的动态授权。 上篇文章地址:https://blog.csdn.net/qq_43692950/article/details/122393435 二、SpringSecurity 授权 我们接着上篇文章的项目继续修改,上篇文章中有说到我们WebSecurity
史诗级的SpringSecurity的认证授权的相关概念及流程讲解!!!
qq_44723773的博客
11-11 8486
Web应用的开发,安全是至关重要的,选择使用SpringSecurity是目前来说较为正确的选择。SpringSecurity框架起源于2003年年底acegi系统,起因是 Spring开发者邮件列表中的一个问题,有人提问是否考虑提供一个基于Spring的安全实现。基于SpringBoot+MP+Redis+Vue实现的前后端分离的权限管理系统Spring 是非常流行和成功的 Java 应用开发框架,而Spring Security 正是其中的一员。
springSecurity。用户 - 角色 - 权限
wdw66666的博客
04-07 157
用户:就是当前浏览器登录的用户 角色:校验账号密码后,按配置给用户分配角色 权限角色拥有权限。用户本身没有权限,当给用户赋予了角色后,用户才拥有权限
13.Spring security权限管理
热门推荐
EdSheeran的博客
04-14 1万+
文章目录*权限管理**13.1什么是权限管理**13.2Spring security权限管理策略**13.3核心概念**13.3.1角色权限**13.3.2角色继承**13.3.3两种处理器**13.3.4前置处理器**投票器**决策器**13.3.5后置处理器**13.3.6权限元数据**`ConfigAttribute`**`SecurityMetadataSource`**13.3.7权限表达式**`SecurityExpressionRoot`**`WebSecurityExpressionRo
SpringSecurity项目如何实现角色包含关系(角色继承)
console的博客
05-09 502
近期在阅读 Spring Security 官方文档时发现关于 `Hierarchical Roles`的介绍
[] - 2022-07-10 Spring Security 实现动态权限菜单方案(附源码).pdf
12-11
本文档详细介绍了如何使用Spring Security实现动态权限菜单方案,特别是在一个典型的互联网或IT项目中,权限管理是至关重要的组成部分。作者结合自己多年的经验,分享了基于Spring Security权限管理实践,包括但不...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值