@PreAuthorize注解

最新推荐文章于 2024-03-29 20:05:42 发布
最新推荐文章于 2024-03-29 20:05:42 发布
阅读量1k 收藏 15
点赞数 24
文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gmjian203828/article/details/136816255
版权
本文详细介绍了SpringSecurity框架中的@PreAuthorize注解,用于在方法级别进行访问控制,可通过表达式检查用户权限,支持OAuth2、HTTP请求和自定义逻辑的权限定制。
摘要由CSDN通过智能技术生成

 

  @PreAuthorize是Spring Security框架提供的注解之一,用于在方法级别进行访问控制的设置。它可以标注在Controller层或Service层的方法上,以便在方法执行之前进行权限验证。 

   当一个方法被@PreAuthorize注解标记时,Spring Security会在执行该方法之前检查当前用户是否具有指定的权限。如果用户没有所需的权限,将会抛出AccessDeniedException异常,从而阻止方法的执行。

   以下是一个使用@PreAuthorize注解的一个实例:

@PreAuthorize("#oauth2.hasScope('server') or #name.equals('demo')")
	@RequestMapping(path = "/{name}", method = RequestMethod.GET)
	public Account getAccountByName(@PathVariable String name) {
		return accountService.findByName(name);
	}

  • @PreAuthorize("#oauth2.hasScope('server') or #name.equals('demo')"): 这里使用了@PreAuthorize注解来定义方法级别的访问控制规则。表达式#oauth2.hasScope('server') or #name.equals('demo')指定了权限验证条件,要求当前OAuth2令牌拥有server范围的权限或者请求的name参数等于"demo"时才允许访问该方法。

查看@PreAuthorize的源码:

@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
@Inherited
@Documented
public @interface PreAuthorize {
    String value();
}

  • @Target({ElementType.METHOD, ElementType.TYPE}): 这个元注解表示PreAuthorize注解可以应用在方法(ElementType.METHOD)和类(ElementType.TYPE)级别上。即可以标注在方法或类上。

  • @Retention(RetentionPolicy.RUNTIME): 这个元注解指定了PreAuthorize注解的保留策略为运行时(RetentionPolicy.RUNTIME),可以在运行时通过反射机制读取到该注解的信息。

  • @Inherited: 这个元注解表示PreAuthorize注解具有继承性,如果一个父类被@PreAuthorize注解标记,那么子类将继承这个注解。

  • @Documented: 这个元注解表示PreAuthorize注解将会被Java文档工具提取并显示在生成的文档中,以便开发人员能够查看注解的说明。

  • public @interface PreAuthorize { String value(); }: 定义了PreAuthorize注解,包含一个value()方法,用于设置注解的值。在使用@PreAuthorize注解时,可以通过value()方法传入相应的权限验证表达式。

综合来看,PreAuthorize注解是一个自定义的用于方法和类级别访问控制的注解,在运行时保留,可应用在方法和类上,并且具有继承性。

@PreAuthorize注解通常用于Spring Security框架中,以定义方法级别的访问控制规则。除了在Controller层或Service层的方法上使用之外,@PreAuthorize注解还可以应用于其他地方,例如:

  1. 在Spring MVC的Controller中@PreAuthorize注解可以标注在处理请求的Controller类或方法上,用于对HTTP请求进行权限验证。

  2. 在Service层的业务方法中:如果需要对特定的业务逻辑进行细粒度的权限控制,可以将@PreAuthorize注解标注在Service层的方法上,确保只有具备相应权限的用户能够执行该方法。

  3. 在方法上覆盖类级别的安全配置:如果一个类级别上有安全配置,通过在方法上使用@PreAuthorize注解,可以对该方法的安全性进行进一步的定制,从而覆盖类级别的安全规则。

  4. 在其他自定义注解中@PreAuthorize注解可以嵌套在自定义的注解中,以实现复杂的权限验证逻辑。这样可以在自定义注解中引用@PreAuthorize的功能,实现更灵活的权限控制。

执纯
关注
  • 24
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Security-@PreAuthorize 权限注解分析
西京刀客
09-18 2万+
@PreAuthorize @PreAuthorize
Spring security实现权限管理示例
08-31
此外,Spring Security还提供了丰富的API和注解,如`@Secured`和`@PreAuthorize`,用于在方法级别控制访问权限。这使得我们可以根据具体业务需求,轻松地在控制器层或服务层添加访问控制。 总结来说,Spring ...
Spring Security 之方法级的权限管控 @PreAuthorize 使用详解
LoveSummer
01-22 1万+
默认情况下, Spring Security 并不启用方法级的安全管控. 启用方法级的管控后, 可以针对不同的方法通过注解设置不同的访问条件.Spring Security 支持三种方法级注解, 分别是 JSR-205 注解 /@Secured 注解 / prePostEnabled 注解. 这些注解不仅可以直接加 controller 方法上, 也可以注解 Service 或 DAO 类中的方法.
利用@PreAuthorize注解自定义权限校验
m0_37541228的博客
04-01 7546
有没有办法在@Preauthorize块中创建更具表现力的语句?这是我发现自己重复的一个例子,因为@Preauthorize不是非常聪明的开箱即用。 @RequestMapping(value = "{id}", method = RequestMethod.DELETE) public void deleteGame(@PathVariable int id, @ModelAttribute User authenticatingUser) { Game currentGame = ga.
基于SpringSecurity的@PreAuthorize实现自定义权限校验方法
小王博客基地
08-15 5663
在我们一般的web系统中必不可少的就是权限的配置,也有经典的RBAC权限模型,是基于角色的权限控制。这是目前最常被开发者使用也是相对易用、通用权限模型。当然已经实现了权限的校验,但是不够灵活,我们可以自己写一下校验条件,从而更加的灵活!很多开源框架中也是用的比较多,小编看了一下若依是自己写了一个注解实现的,pig是使用来实现自己的校验方式,小编以pig框架的为例。这样就完成了自定义校验,具体的校验可以自己在配置里进行修改,当然也可以自己写一个注解来进行自定义校验,可以参考若依的注解!...
SpringSecurity:@PreAuthorize如何实现自定义权限校验方法
2301_76607156的博客
05-05 1305
在我们一般的web系统中必不可少的就是权限的配置,也有经典的RBAC权限模型,是基于角色的权限控制。这是目前最常被开发者使用也是相对易用、通用权限模型。当然已经实现了权限的校验,但是不够灵活,我们可以自己写一下校验条件,从而更加的灵活!很多开源框架中也是用的比较多,小编看了一下若依是自己写了一个注解实现的,pig是使用来实现自己的校验方式,小编以pig框架的为例。这样就完成了自定义校验,具体的校验可以自己在配置里进行修改,当然也可以自己写一个注解来进行自定义校验,可以参考若依的注解
Security基于注解的用户授权.zip
12-16
2. **开启方法安全**: 需要在配置类中通过`@EnableGlobalMethodSecurity`注解启用方法安全,如`@EnableGlobalMethodSecurity(prePostEnabled = true)`,这将激活`@PreAuthorize`和`@PostAuthorize`注解。 3. **映射...
spring-security注解开发
10-29
2. **@Configuration** 和 **@EnableGlobalMethodSecurity**:这两个注解一起用于启用方法安全,允许我们在服务层的方法上添加安全注解,如@PreAuthorize和@PostAuthorize,实现细粒度的访问控制。 3. **@Secured**...
java token验证和注解方式放行
08-28
在Java中,我们可以使用Spring Security框架的注解,如`@Secured`, `@PreAuthorize`, 或 `@PostAuthorize`,来定义哪些方法需要用户验证,哪些方法允许匿名访问。例如,`@Secured("ROLE_USER")`表示只有具有"USER...
SpringBoot AOP各种注解、自定义注解、鉴权使用案例(免费下载)
02-24
`@PreAuthorize`和`@PostAuthorize`是Spring Security提供的注解,它们可以在方法执行前后进行权限检查: ```java @PreAuthorize("hasRole('ADMIN')") public void deleteUser(Long id) { // 删除用户逻辑 } ``` 这...
详细分析SpringSecurity中的@PreAuthorize注解
码农研究僧的博客
01-27 8074
在Java中,`@PreAuthorize` 是Spring Security框架中的一个注解,用于在方法调用之前对用户的权限进行验证。 允许在方法级别定义访问控制规则,确保只有满足指定条件的用户才能调用该方法 这个注解通常与Spring的AOP(面向切面编程)结合使用,推荐阅读: Spring框架从入门到学精(全) java框架 零基础从入门到精通的学习路线 附开源项目面经等(超全)
SpringBoot - @PreAuthorize注解详解
热门推荐
记录并分享
08-21 8万+
@PreAuthorize注解会在方法执行前进行权限验证,支持Spring EL表达式。只有当@EnableGlobalMethodSecurity(prePostEnabled=true)的时候,@PreAuthorize才可以使用。
Spring Boot中使用自定义注解+AOP实现权限校验
最新发布
weixin_46757028的博客
03-29 2045
Inherited这里的 @Language(“SpEL”)是为了在接口使用@PreAuthorize(“@ss.hasPermi(‘system:notice:list’)”)时其中的SpEL表达式高亮,可有可无。//todo 鉴权逻辑ss名字是若依起的(SpringSecurity缩写),我们可以自定义,相同的在接口上使用注解时名字也要换成自己的@Component@Aspect@Autowired//拿到方法的签名,也可以理解为是方法的元数据try {// 获取方法签名。
#6解析@PreAuthorize以及其中的Spel
weixin_42718399的博客
01-12 2087
#6解析@PreAuthorize以及其中的Spel
Java注解的解释——@PreAuthorize
dingliqiang4的博客
07-14 6003
【代码】Java注解的解释——@PreAuthorize
【若依】@PreAuthorize
weixin_45995287的博客
12-01 7416
Spring Security提供了Spring EL表达式,允许我们在定义接口访问的方法上面添加注解,来控制访问权限来源于若依官方文档,记一下帮助记忆!
若依框架基于@PreAuthorize注解的权限控制
weixin_49561506的博客
01-28 8592
介绍了Java注解的使用与定义以及对若依框架的权限控制进行解析
@PerAuthorize用作授权的使用方法
qq_42507357的博客
08-14 1万+
@PerAuthorizr 这个注解我相信很多不使用SpringSecurity的小伙伴都不是很了解。 使用他的初衷是最近需要做一个对授权的客户做判断,让他买了哪些模块的代码才能使用哪些模块的代码,需要进行一波模块过滤。 @PreAuthorize是可以用来控制一个方法或类是否能够被调用的,通俗一点就是看看你有没有权利用被注解的东西。怎么用呢?直接上代码吧。 /** * 获取部门列表 */ @PreAuthorize("@ac.hasPermi('dept:list')"
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值