Spring Security权限管理相关配置加注解

最新推荐文章于 2024-05-06 14:37:39 发布
最新推荐文章于 2024-05-06 14:37:39 发布
阅读量1.8k 收藏
点赞数
分类专栏: 权限框架 文章标签: spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fenglixiong123/article/details/71692411
版权 
<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xmlns:security="http://www.springframework.org/schema/security"
       xmlns:beans="http://www.springframework.org/schema/beans"
       xsi:schemaLocation="http://www.springframework.org/schema/beans
       http://www.springframework.org/schema/beans/spring-beans.xsd
       http://www.springframework.org/schema/security
       http://www.springframework.org/schema/security/spring-security.xsd">

       <!--当有请求道来的时候,Spring Security框架开始检查要访问的资源是否有权访问,
       如果当前登录用户无权或者当前根本就没有用户登录,则Spring Securtiy 框架就自动产生一个 登录页面。-->
       <security:http security="none" pattern="/statics/**" />
       <security:http security="none" pattern="/public/**"/>
       <security:http security="none" pattern="/login*"/>
       <security:http security="none" pattern="/maxSessionError*"/>
       <security:http security="none" pattern="/forbidden*"/>
       <!--这表示,我们要保护应用程序中的所有URL,只有拥有 ROLE_USER角色的用户才能访问。-->
       <security:http use-expressions="true">
              <!--所有url都要被拦截然后进行判断-->
              <security:intercept-url pattern="/**" access="isAuthenticated()"/>
              <!-- 不过滤用户请求登陆url 、用户登陆失败跳转url 、用户登陆成功请求url-->

              <!-- 退出登录-->

              <!--对登录页面不进行拦截,加*的原因是此请求可以有参数-->
              <!--<security:intercept-url pattern="/test/" filters="none"></security:intercept-url>-->
              <!--<http>元素是 所有web相关的命名空间功能的上级元素。<intercept-url>元素定义了 pattern,用来匹配进入的请求URL,上面的表示拦截根,以及根子目录下的所有的路径。
              access属性定义了请求匹配了指定模式时的需求。使用默认的配置, 这个一般是一个逗号分隔的角色队列,一个用户中的一个必须被允许访问请求。 前缀“ROLE_”表示的是一个用户应该拥有的权限比对。-->
              <!--拦截所有的请求但是这个角色可以随意访问-->
              <!--对登录页面不进行拦截-->
              <!--<security:intercept-url pattern="/login.jsp*" filters="none"/>-->
              <!--&lt;!&ndash;管理员界面必须管理员才能登录&ndash;&gt;-->
              <!--<security:intercept-url pattern="/admin.jsp*" access="ROLE_ADMIN"/>-->
              <!--&lt;!&ndash;首页必须都能访问&ndash;&gt;-->
              <!--<security:intercept-url pattern="/index.jsp*" access="ROLE_ADMIN,ROLE_USE"/>-->
              <!--&lt;!&ndash;用户角色经过认证之后都可以访问&ndash;&gt;-->
              <!--<security:intercept-url pattern="/**" access="ROLE_USER"/>-->

              <security:form-login login-page="/login"
                                   default-target-url="/home"
                                   authentication-failure-url="/login"
                                   authentication-success-handler-ref="loginSuccessHandler"/>
              <!--登出成功处理-->
              <security:logout invalidate-session="true" delete-cookies="true" success-handler-ref="logoutSuccessHandler"/>
              <!--访问受限制-->
              <security:access-denied-handler error-page="/forbidden"/>
              <!--会话管理配置,登录失效-->
              <security:session-management session-fixation-protection="newSession" invalid-session-url="/sessionTimeOut.htm">
                     <!--配置单点登录,注意web.xml也要相应的配置监听器-->
                     <security:concurrency-control max-sessions="1" error-if-maximum-exceeded="false" expired-url="/maxSessionError.htm"/>
              </security:session-management>
              <!--增加一个filter但是不能修改默认的filter-->
              <security:custom-filter ref="myFilter" before="FILTER_SECURITY_INTERCEPTOR"/>
       </security:http>

       <!--配置认证管理:定义role_user-->
       <!--验证配置,认证管理器,实现用户认证的入口,主要实现UserDetailsService接口即可 -->
       <!--通过MyUserDetailService拿到用户信息后,authenticationManager对比用户的密码(即验证用户),然后这个AuthenticationProcessingFilter拦截器就过咯。-->
       <security:authentication-manager alias="authenticationManager">
              <!--如果用户名为user,密码为user的用户成功登录了,它的角色是ROLE_USER ,那么他可以访问规定的资源。-->
              <security:authentication-provider user-service-ref="userInfoProvider">
                     <!--密码采用md5加密方法,admin加密之后21232f297a57a5a743894a0e4a801fc3-->
                     <security:password-encoder hash="md5" base64="true"/>
                     <!--<security:user-service>-->
                            <!--<security:user name="user" password="21232f297a57a5a743894a0e4a801fc3" authorities="ROLE_USER" />-->
                     <!--</security:user-service>-->
              </security:authentication-provider>
       </security:authentication-manager>

       <!--一个自定义的filter,必须包含authenticationManager,accessDecisionManager,securityMetadataSource三个属性,我们的所有控制将在这三个类中实现-->
       <beans:bean id="myFilter" class="com.flx.base.filter.MyFilterSecurityInterceptor">
              <beans:property name="authenticationManager" ref="authenticationManager"/>
              <beans:property name="accessDecisionManager" ref="accessDecisionManager"/>
              <beans:property name="securityMetadataSource" ref="securityMetadataSource"/>
       </beans:bean>

       <!--在这个类中,你就可以从数据库中读入用户的密码,角色信息,是否锁定,账号是否过期等 -->
       <beans:bean id="userInfoProvider" class="com.flx.base.security.secuser.service.impl.UserInfoServiceImpl"/>

       <!--资源源数据定义,将所有的资源和权限对应关系建立起来,即定义某一资源可以被哪些角色访问 -->
       <beans:bean id="securityMetadataSource" class="com.flx.base.filter.MySecurityMetadataSource"/>

       <!--访问决策器,决定某个用户具有的角色,是否有足够的权限去访问某个资源 -->
       <beans:bean id="accessDecisionManager" class="com.flx.base.filter.MyAccessDesisionmanager"/>


       <!--登录成功-->
       <bean id="loginSuccessHandler" class="com.flx.base.handler.MyLoginSuccessHandler"/>
       <!--登出成功-->
       <bean id="logoutSuccessHandler" class="com.flx.base.handler.MyLogoutSuccessHandler"/>
       <!--登录失败-->
       <bean id="loginFailHandler" class="com.flx.base.handler.MyLoginFailHandler"/>

</beans>
花生糖葫芦侠
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
spring-security注解开发
10-29
spring实战的的嘘唏,在第九章姐的嘘唏。对书中使用注解的方式开发进行了工程的创建学习。
详解springSecurity之java配置
08-18
要使用 Java 配置 Spring Security,需要在配置类上添 @EnableWebSecurity 注解,以便开启 Spring Security 的安全功能。在配置类中,我们可以定义一个名为 UserDetailsService 的 Bean,该 Bean 负责设置账号密码...
Spring-security注解
weixin_55038914的博客
09-26 143
PreFilter/@PostFilter能够过滤方法返回的以及传入方法的集合。
Spring Security注解详解】
samsung_samsung的专栏
05-06 592
Spring Security 是一个强大的、高度可定制的身份验证和访问控制框架,广泛用于Java应用程序中以确保安全。它提供了多种注解来简化安全控制的实现,特别是在方法级别的权限控制上。
八、Spring Security注解
panchang199266的博客
05-29 421
参见spring security 注解@EnableGlobalMethodSecurity详解
Security方法注解权限访问控制及原理剖析
pscool的博客
03-27 3070
案例 引入依赖 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.or
Spring Security怎么给方法配置权限的?
bangiao的博客
06-06 1443
目前在Spring Boot中基于方法的权限管理主要是通过注解来实现,我们需要通过:开启Spring Security提供的四个权限注解,以及@PreFilter,这四个注解支持权限表达式,功能比较丰富。:开启Spring Security提供的@Secured注解,该注解不支持权限表达式。:开启JSR-250提供的注解,主要包括@DenyAll@PermitAll以及三个注解,这些注解也不支持权限表达式。:在目标方法执行之后进行权限校验。:在目标方法执行之后对方法的返回结果进行过滤。
详解spring security 配置多个AuthenticationProvider
08-30
Spring Security 配置多个 AuthenticationProvider 详解 Spring Security 是一个功能强大且灵活的安全框架,提供了多种身份验证机制和访问控制机制。在实际开发中,我们经常需要配置多个身份验证提供程序...
Spring security实现权限管理示例
08-31
总结来说,Spring Security提供了一套完整的解决方案,涵盖了用户认证、授权、会话管理等多个方面,是Java应用实现权限管理的理想选择。通过配置和编程接口,我们可以灵活地控制用户对系统资源的访问,从而保护应用...
Spring Security基本配置方法解析
08-25
配置Spring Security之前,需要先建立一个maven多模块工程,spring-security是父模块,spring-security-browser是处理浏览器相关的授权认证,最终作为demo的一个jar依赖,spring-security-core是一些授权认证的...
Spring Security XML配置模板.docx
最新发布
07-05
### Spring Security XML配置详解 #### 一、Spring Security 概述 Spring Security 是一个功能强大的安全框架,提供了声明式安全服务。它不仅能够为 Java 应用程序提供认证(Authentication)和授权...
Spring Security权限注解@PreAuthorize通俗讲解
m0_53370922的博客
05-20 5970
写在前面:后端就是后端,后端接口权限和前端可以想成没有任何关系,千万不要被所谓的路由、所谓的那些按钮、权限标识在哪个菜单下所迷惑(只要保证接口权限字符串在用户菜单权限下即可,除此之外,在哪个菜单或按钮都行)!(后端的我们就用接口测试工具测试,所以不要被前端界面的这些东西所迷惑) 图1 简单举例子说,后端有这么一个接口,图2,这个权限标识不一定非得放在图1所示的菜单下才起作用。比如admin用户拥有所有菜单的权限,那么你将test: one:testForm:list放到任何一个菜单下,用户admin都可以访
Spring Security介绍(四)权限校验
w_t_y_y的博客
02-29 839
(1)自定义拦截器或者AOP校验:对需要鉴权的接口做拦截,用户的权限从SecurityContextHolder中获取,接口访问权限可以通过自定义Annotation注入,具体参照。用户认证+授权后,就可以进行接口权限控制。思路是拿用户(已授予的)权限与接口所需权限进行比较,不包含则视为无权。和shiro类似,sercurity也提供了注解式权限校验。
SpringSecurity(十一)--配置权限以及相关限制(下)
学习不止境的博客
10-24 1639
本章我们将承接上篇文章的项目为基础学习,所以没有搭建好项目的小伙伴请先去查看上一篇文章把项目理解并且搭建好,当然大家也可以用自己的方式进行搭建学习,不用啥都按部就班,尤其是编程这块儿,具有极大的灵活性,没准你的方法才是最适合的。但是对于后面的代码,我将以上篇搭建好的代码为架构基础进行展示。
SpringSecurity(十二)---配置权限:应用限制
学习不止境的博客
10-26 1169
之前讲解了如何基于权限和角色配置访问。但是其中只应用了针对所有端点的配置。本章将介绍如何对特定的请求分组应用授权约束。在生产环境的应用程序中,不太可能对所有请求应用相同的规则。其中将具有只有某些特定用户才能调用的端点,而其他端点则可能每个用户都可以访问。根据业务需求,每个接口都有自己的自定义授权配置。 要选择应用授权配置的请求,可以使用匹配器方法。Spring Security提供了3种类型的匹配方法。首先看一个简单的示例,我们要创建一个暴露两个端点的应用程序,这两个端点是/hello和/xiao。我们希望
13.Spring security权限管理
热门推荐
EdSheeran的博客
04-14 1万+
文章目录*权限管理**13.1什么是权限管理**13.2Spring security权限管理策略**13.3核心概念**13.3.1角色与权限**13.3.2角色继承**13.3.3两种处理器**13.3.4前置处理器**投票器**决策器**13.3.5后置处理器**13.3.6权限元数据**`ConfigAttribute`**`SecurityMetadataSource`**13.3.7权限表达式**`SecurityExpressionRoot`**`WebSecurityExpressionRo
Spring Security权限管理
lflcodeplus的博客
08-11 2233
Spring security权限管理
spring-security 中使用注解进行权限的控制
weixin_44448873的博客
06-25 4801
1、使用JSR-250注解进行权限的控制 使用JSR-250注解需要配置三个方面: ①在pom.xml中要添JSR-250相关的坐标依赖 <dependency> <groupId>javax.annotation</groupId> <artifactId>jsr250-api</artifactId> ...
Spring Security权限管理实战教程
Spring security通过灵活的配置和强大的API,为开发者提供了全面的权限管理和认证解决方案。它允许开发人员专注于业务逻辑,而不需要深入理解底层的安全实现。通过以上步骤,你可以构建一个强大且安全的权限管理系统...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

花生糖葫芦侠

创作不易,请多多支持!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值