SpringSecurity_权限注解@PreAuthorize、@PostAuthorize

最新推荐文章于 2024-03-29 20:05:42 发布
最新推荐文章于 2024-03-29 20:05:42 发布
阅读量1.7w 收藏 4
点赞数 1
分类专栏: web授权 文章标签: PreAuthorize PostAuthorize SpringSecurity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fyedu/article/details/94300733
版权 
spring是如何实现对HTTP请求进行安全检查和资源使用授权的?
实现过程由类AbstractSecurityInterceptor在beforeInvocation方法中完成,在beforeInvocation的实现中,
首先,需要读取IoC容器中Bean的配置,在这些属性配置中配置了对HTTP请求资源的安全需求,
比如,哪个角色的用户可以接入哪些URL请求资源,具体实现逻辑见:
#与Web环境的接口FilterSecurityInterceptor extends AbstractSecurityInterceptor implements Filter

@PreAuthorize、@PostAuthorize注解实现逻辑
继承根节点:SecurityMetaSource

可以通过Spring注解声明,需要依赖类注入,实现权限灵活配置如:
@Component("securityMetadataSource")public class MySecurityMetadataSource implements FilterInvocationSecurityMetadataSource
PrePostAnnotationSecurityMetadataSource类继承关系AbstractMethodSecurityMetadataSource类继承关系package org.springframework.security.access.prepost;

import java.lang.annotation.Annotation;
import java.lang.reflect.Method;
import java.util.ArrayList;
import java.util.Collection;
import java.util.Collections;
import org.springframework.core.annotation.AnnotationUtils;
import org.springframework.security.access.ConfigAttribute;
import org.springframework.security.access.method.AbstractMethodSecurityMetadataSource;
import org.springframework.util.ClassUtils;

public class PrePostAnnotationSecurityMetadataSource extends AbstractMethodSecurityMetadataSource {
    private final PrePostInvocationAttributeFactory attributeFactory;

    public PrePostAnnotationSecurityMetadataSource(PrePostInvocationAttributeFactory attributeFactory) {
        this.attributeFactory = attributeFactory;
    }

    public Collection<ConfigAttribute> getAttributes(Method method, Class<?> targetClass) {
        if (method.getDeclaringClass() == Object.class) {
            return Collections.emptyList();
        } else {
            this.logger.trace("Looking for Pre/Post annotations for method '" + method.getName() + "' on target class '" + targetClass + "'");
            PreFilter preFilter = (PreFilter)this.findAnnotation(method, targetClass, PreFilter.class);
            PreAuthorize preAuthorize = (PreAuthorize)this.findAnnotation(method, targetClass, PreAuthorize.class);
            PostFilter postFilter = (PostFilter)this.findAnnotation(method, targetClass, PostFilter.class);
            PostAuthorize postAuthorize = (PostAuthorize)this.findAnnotation(method, targetClass, PostAuthorize.class);
            if (preFilter == null && preAuthorize == null && postFilter == null && postAuthorize == null) {
                this.logger.trace("No expression annotations found");
                return Collections.emptyList();
            } else {
                String preFilterAttribute = preFilter == null ? null : preFilter.value();
                String filterObject = preFilter == null ? null : preFilter.filterTarget();
                String preAuthorizeAttribute = preAuthorize == null ? null : preAuthorize.value();
                String postFilterAttribute = postFilter == null ? null : postFilter.value();
                String postAuthorizeAttribute = postAuthorize == null ? null : postAuthorize.value();
                ArrayList<ConfigAttribute> attrs = new ArrayList(2);
                PreInvocationAttribute pre = this.attributeFactory.createPreInvocationAttribute(preFilterAttribute, filterObject, preAuthorizeAttribute);
                if (pre != null) {
                    attrs.add(pre);
                }

                PostInvocationAttribute post = this.attributeFactory.createPostInvocationAttribute(postFilterAttribute, postAuthorizeAttribute);
                if (post != null) {
                    attrs.add(post);
                }

                attrs.trimToSize();
                return attrs;
            }
        }
    }

    public Collection<ConfigAttribute> getAllConfigAttributes() {
        return null;
    }

    private <A extends Annotation> A findAnnotation(Method method, Class<?> targetClass, Class<A> annotationClass) {
        Method specificMethod = ClassUtils.getMostSpecificMethod(method, targetClass);
        A annotation = AnnotationUtils.findAnnotation(specificMethod, annotationClass);
        if (annotation != null) {
            this.logger.debug(annotation + " found on specific method: " + specificMethod);
            return annotation;
        } else {
            if (specificMethod != method) {
                annotation = AnnotationUtils.findAnnotation(method, annotationClass);
                if (annotation != null) {
                    this.logger.debug(annotation + " found on: " + method);
                    return annotation;
                }
            }

            annotation = AnnotationUtils.findAnnotation(specificMethod.getDeclaringClass(), annotationClass);
            if (annotation != null) {
                this.logger.debug(annotation + " found on: " + specificMethod.getDeclaringClass().getName());
                return annotation;
            } else {
                return null;
            }
        }
    }
}

//注解开启权限
@EnableResourceServer
@EnableGlobalMethodSecurity
SecurityContextHolder作为全局缓存,从上下文获取授权信息
Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
Collection<? extends GrantedAuthority> authorities = authentication.getAuthorities();
上面权限列表初始化由具体实现类实现:
public class User implements UserDetails, CredentialsContainer {
    ...
    private final Set<GrantedAuthority> authorities;
    ...
    //authorities权限列表
    public User(String username, String password, Collection<? extends GrantedAuthority> authorities) {
        this(username, password, true, true, true, true, authorities);
    }
fyedu
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【若依】@PreAuthorize
weixin_45995287的博客
12-01 7092
Spring Security提供了Spring EL表达式,允许我们在定义接口访问的方法上面添加注解,来控制访问权限来源于若依官方文档,记一下帮助记忆!
若依框架基于@PreAuthorize注解权限控制
weixin_49561506的博客
01-28 8288
介绍了Java注解的使用与定义以及对若依框架的权限控制进行解析
Spring Boot中使用自定义注解+AOP实现权限校验
最新发布
weixin_46757028的博客
03-29 1896
Inherited这里的 @Language(“SpEL”)是为了在接口使用@PreAuthorize(“@ss.hasPermi(‘system:notice:list’)”)时其中的SpEL表达式高亮,可有可无。//todo 鉴权逻辑ss名字是若依起的(SpringSecurity缩写),我们可以自定义,相同的在接口上使用注解时名字也要换成自己的@Component@Aspect@Autowired//拿到方法的签名,也可以理解为是方法的元数据try {// 获取方法签名。
@PerAuthorize用作授权的使用方法
qq_42507357的博客
08-14 1万+
@PerAuthorizr 这个注解我相信很多不使用SpringSecurity的小伙伴都不是很了解。 使用他的初衷是最近需要做一个对授权的客户做判断,让他买了哪些模块的代码才能使用哪些模块的代码,需要进行一波模块过滤。 @PreAuthorize是可以用来控制一个方法或类是否能够被调用的,通俗一点就是看看你有没有权利用被注解的东西。怎么用呢?直接上代码吧。 /** * 获取部门列表 */ @PreAuthorize("@ac.hasPermi('dept:list')"
ruoyi-vue版本(四)@PreAuthorize 注解在若依里面的作用,springsecurity 框架相关的配置
一天不写代码难受的博客
01-17 3244
ruoyi
@PreAuthorize 权限控制的原理
05-19 3563
@PreAuthorize 注解,顾名思义是进入方法前的权限验证,@PreAuthorize 声明这个方法所需要的权限表达式,例如:@PreAuthorize("hasAuthority('sys:dept:delete')"), 根据这个注解所需要的权限,再和当前登录的用户角色所拥有的权限对比,如果用户的角色权限集Set中有这个权限,则放行;没有,拒绝 跟进hasAuthority方法: 但是,问题来了,这个用户的角色权限Set,是什么时候存入的,其流程如下: 相关代码: ...
SpringSecurity_day03.pdf
05-09
SpringSecurity_day03.pdf
SpringSecurity_day02.pdf
05-09
SpringSecurity_day02.pdf
Spring Security实现RBAC权限管理_RBAC_spring_spring security_springclou
09-24
在企业应用中,认证和授权是非常重要的一部分内容,业界最出名...由于Spring Boot非常的流行,选择Spring Security做认证和授权的 人越来越多,今天我们就来看看用Spring 和 Spring Security如何实现基于RBAC的权限管理
Spring注解@Resource和@Autowired区别对比详解
08-25
主要介绍了Spring注解@Resource和@Autowired区别对比详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
关于Spring注解@Async引发其他注解失效的解决
08-27
Spring @Async 注解引发其他注解失效的解决 Spring 框架提供了多种注解来帮助开发者简化代码,例如 @Async 用于异步执行方法、@Transaction 用于事务管理等。但是,在使用这些注解时,可能会遇到一些问题,例如 @...
学习笔记【Spring Security快速入门】
qq_53273362的博客
01-28 181
Spring Security Web应用的安全性包括 用户认证(Authentication) 和 用户授权(Authorization) 两个部分,这两点也是SpringSecurity重要核心功能。 通俗点说: 用户认证就是系统认为用户是否登录 用户授权就是系统判断用户是否有权限去做某些事 SpringSecurity特点 和Spring无缝整合 全面的权限控制 专门为Web开发而设计 重量级 Shiro特点 轻量级 好处:不局限于Web环境,可以脱离Web环境使用 缺陷:Web环境下一些特
@PreAuthorize@PostAuthorize、@PreFilter、@PostFilter的区别与用法
m0_46190243的博客
07-16 2072
一,区别 Spring Security中定义了四个支持使用表达式的注解,分别是    @PreAuthorize@PostAuthorize,@PreFilter,@PostFilter:   其中前两者可以用来在方法调用前或者调用后进行权限检查,后两者可以用来对集合类型的参数或者返回值进行过滤。   要使它们的定义能够对我们的方法的调用产生影响我们需要设置global-method-security元素的pre-post-annotations=”enabled”,默认为disabled。 二,用法
springboot+Security
zsx18273117003的博客
06-17 732
项目背景:JDK1.8,springboot2.1.4 一、创建一个简单的maven工程 二、pom文件引入jar包依赖 <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent<...
Spring Security详解(四)认证之鉴权
热门推荐
Jagger的博客
06-22 2万+
4 鉴权 从Spring Security的过滤器链中,我们已经发现位于最后的FilterSecurityInterceptor是用来进行权限认证的,这一节将详细分析Spring Security是如何进行权限认证的。 4.1 FilterSecurityInterceptor 源码分析: public class FilterSecurityInterceptor exten...
SpringSecurity使用@PreAuthorize@PostAuthorize实现Web系统权限认证
u011930054的博客
07-17 4738
SpringSecurity可以使用@PreAuthorize@PostAuthorize进行访问控制,下面进行说明。 项目使用Springboot2.3.3+SpringSecurtiy+Mbatis实现。 首先先引入pom.xml <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artif
SpringSecurity再了解
weixin_45802793的博客
08-20 183
一.security了解 安全方面的主要区域是**“认证"和"授权”**(或者访问控制) Web应用的安全性包括用户认证(Authentication)和用户授权(Authrization)两个部分 (1)用户认证是是否能够登录 (2)用户授权是指是否有权限去做某些事情 二、创建SpringSecurity项目 需要导入依赖包 <dependency> <groupId>org.springframework.boot</groupId&g
Shrio + Spring Boot配置与使用
一名小码农的博客
11-05 322
文章目录一、概述1. Shiro介绍2. 基本功能3. 架构二、SpringBoot 集成 Shiro1. 引入依赖2. Shiro 中常见类(1)常见类(2)常见异常3. 通过Shiro认证账号1. 自定义 Realm 类2. ShiroConfigRBAC认证授权流程 一、概述 1. Shiro介绍 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应
关于@PreAuthorize注解的使用场景
weixin_45822542的博客
02-17 1950
PreAuthorize注解使用场景
@PreAuthorize@PostAuthorize 注解实现权限验证 示例
06-10
好的,下面是一个简单的示例: ```java @RestController ...需要注意的是,上述示例中使用了 Spring Security 框架进行权限验证,因此您需要先了解 Spring Security 的相关知识才能理解代码的含义。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值