spring security中Authority、Role的区别

最新推荐文章于 2025-03-28 13:38:14 发布
最新推荐文章于 2025-03-28 13:38:14 发布
阅读量2.5w 收藏 10
点赞数 3
分类专栏: 后台 文章标签: spring security Authority Role hasAuthority hasRole
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cngkqy/article/details/102919820
版权

最近在研究spring security时,大概研究了一下Authority、Role之间到底有什么本质的区别。

如果你使用的是hasRole方法来判断你的登录用户是否有权限访问某个接口,那么你初始化User时,放入的GrantedAuthority的字符就需要包含ROLE_前缀,参见下图红箭头:

 接口访问权限配置应该是这样:

 或者是这样:

 如果你使用的是hasAuthority,那么你初始化User时,放入的GrantedAuthority的字符就不需要包含ROLE_前缀了,参见下图红箭头:

 接口访问权限配置应该是这样:

 或者是这样:

我使用的是spring security 5.1.6版本,从源码的角度可以看出使用不同的hasAuthority、hasRole方法判断权限时的区别,其实他们最终调用的都是hasAnyAuthorityName()方法,唯一不同的就是hasRole()在调用时,传递了前缀defaultRolePrefix,这就导致了他们两者之间比较的字符产生了差异。spring security应该想代表的意思就是权限字符加了ROLE_就是角色Role,如果没有加就是一个权限Authority,大家根据自己的实际情况灵活选用就好啦,希望给大家解释清楚了~。

 

 

spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
【第1期】SpringSecurity基于角色和权限的细粒度接口权限控制
因为热爱,所以付出
12-13 1496
从零到一开发上线前后端资源平台,技术栈:Springboot+SpringSecurity+RSA+JWT+Redis+VUE
从源码看Spring Security的角色和权限之区别
cauchy6317的博客
12-21 1万+
Spring Security中的角色(roles)和权限(authorities)是有区别的。笔者这篇文章将和大家一起从Spring Security源码的角度探讨其区别在何处,以及合理的使用角色和权限,让我们在使用时做到知其然且知其所以然。 项目环境:jdk1.8,Springboot 2.1.0,IntelliJ idea2018 首先我们在内存中定义几个用户。一个用户名为"cj",角色为 ...
Spring Security访问控制Authorization
daiwuliang的博客
04-28 3139
文章目录Authorization架构用户权限Authorities前置调用处理AccessDecisionManager基于选举机制的AccessDecisionManagerRoleVoterAuthenticatedVoter其它AccessDecisionVoter后置调用处理HTTP请求访问控制 FilterSecurityInterceptor表达式访问控制规则常见的表达式方法Web ...
SpringSecurity数据权限注解
最新发布
qq_61744701的博客
03-28 210
定义bean,创建判断方法/*** 验证用户是否具备某权限* @param permission 权限字符串* @return 用户是否具备某权限*///未知使用方法,当参数传递,会被SpEL解析执行。
Spring Security 中的 hasRolehasAuthority 差异引发的思考及解决从数据库从查出来的ROLE对不上
qq1480371991的博客
06-20 935
hasRolehasAuthority的底层实现方式是类似的,功能是一样的,hasRolehasAuthority判断的都是有没有权限,区别就是hasRole对应的权限有前缀ROLE_,而hasAuthority没有。hasRolehasAuthority的工作原理都是判断角色所拥有的权限有没有对应的字段,一般角色所拥有的权限从数据库中查出来,然后封装在user类中覆写的getAuthorities方法中,如下。
Spring Security - hasRole and hasAuthority
A_bad_horse的专栏
06-14 598
Spring Security - hasRole and hasAuthority
Spring Security Granted Authority(授予权限)
疯一样的码农
11-19 690
在实现时,定义每个用户被授予的权限。这是将用户与其角色或权限关联起来的关键步骤。@Service@Override// 从数据库中获取用户和角色// 从数据库中获取用户和角色 User user = userRepository . findByUsername(username);} }// 从数据库中获取用户和角色 User user = userRepository . findByUsername(username);} }
Spring Security(十六):授权(Authorization)
人不风流枉少年
07-09 4602
一:简介 授权 就是控制url能不能访问。一个请求过来会先经过FilterSecurityInterceptor过滤器拦截,然后调用访问决定管理器AccessDecisionManager,访问决定管理器是通过访问决定投票器AccessDecisionVoter来投票的,如果投票器投通过那么这个url就可以访问,如果投票器投拒绝那么这个url就不能被访问,会抛出一个访问被拒绝的异常。 访问决定投票...
Spring security实现权限管理示例
08-31
在本文中,我们将深入探讨如何使用Spring Security实现权限管理。Spring Security是一个强大的、高度可定制的身份验证和访问控制框架,适用于Java应用程序。通过它,我们可以对用户访问资源进行精细控制,确保只有...
SpringSecurity使用教程
weixin_65019617的博客
12-15 1324
RBAC权限模型(Role-Based Access Control)即:基于角色的权限控制。这是目前最常被开发者使用 也是相对易用、通用权限模型。我们可以在自己定义expression包下,创建自己的权限校验方法,然后在@PreAuthorize注解中使用自己的方法。//获取当前用户的权限//判断用户权限集合中是否存在authority在SPEL表达式中使用 @ex相当于获取容器中bean的名字未ex的对象。然后再调用这个对象的 hasAuthority方法。
security_authority.rar
03-10
本项目"security_authority.rar"旨在演示如何将Spring SecuritySpring Boot和MySQL数据库结合,实现用户登录认证和权限控制。 首先,Spring Boot简化了Spring的应用开发过程,它提供了自动配置、内置Tomcat服务器...
Spring Security 详解
As_Yua的博客
07-31 1万+
用户认证通过后,为了避免用户的每次操作都进行认证可将用户的信息保证在会话中。会话就是系统为了保持当前用户的登录状态所提供的机制,常见的有基于session方式、基于token方式等。
Spring Security 6 授权
weixin_52019286的博客
01-25 701
认证: 证明了“你是谁”。授权: 表明了“你能干什么”可以设置某URL 必须认证后才能访问,未经认证,用户得到401访问可以设置某URL必须拥有特定权限(或属于某个角色)才能访问,不满足条件,用户会得到403响应。
SpringSecurity 细节度权限控制
OY
02-08 894
SpringSecurity 细节度权限控制 一、RoleAuthority区别 用户拥有的权限表示 roles("ADMIN","学徒","宗师") authorities("USER","MANAGER"); 给资源授予权限(角色或权限) //.antMatchers("/level1/**").hasRole("学徒") //.antMatchers("/level1/**").hasAnyRole("学徒","ADMIN")//拥有任何一个角色都可以访问 .antMatchers
Spring Security认证与授权框架
赵广陆
01-20 2561
目录1 Spring Security介绍1.1 框架介绍1.2 认证与授权实现思路2 第一个 Spring Security 项目2.1 导入依赖2.2 访问页面3 UserDetailsService 详解3.1 返回值3.2 方法参数3.3 异常4 创建spring security核心配置类5 创建认证授权相关的工具类6 创建认证授权实体类7 创建认证和授权的filter 1 Spring Security介绍 1.1 框架介绍 Spring 是一个非常流行和成功的 Java 应用开发框架。S
SpringSecurity权限与认证
xkshihaoren的博客
11-24 435
1. 默认数据库模型的认证与授权 1.1 基于内存的多用户模型 在进行测试之前,需要配置一些测试的controller,然后在SpringSecurity配置类中进行配置 在springSecurity中,存在一个默认用户user,但是在开发中肯定是不行的,所以我们要配置多个用户,引入多个用户的方式有多种,首先介绍UserDetailsService的配置方法 @Bean publ...
SpringSecurity给用户授权,一个用户能同时拥有多种身份Role,及权限鉴权注解方法hasRolehasAuthority的使用区别
质量不太好的博客
03-13 9704
SpringSecurity给用户授权,一个用户能同时拥有多种身份Role
SpringSecurity权限命名ROLE_问题
热门推荐
08-11 3万+
SpringSecurity权限命名ROLE_问题 最近在整理知识点的时候,对于SpringSecurity中的那个ROLE_真的感觉很奇怪,今天查了不少,找到一点点东西,可以丰富一些杂识哈。???? 喜欢的话,一起坚持啦!!! 一、前言: 先讲一下我的好奇点: 最近在使用Security做安全权限控制,可以看到下图,这个方法可以通过的角色是USER,但是我的表中的数据是这样的。 我就对于这个前缀ROLE_非常的好奇。(因为是许久之前的代码了,就忘记的差不多啦????狗头保命) 我做过测试如果使用@
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值