Spring security中基于权限访问与控制

最新推荐文章于 2022-08-04 10:48:12 发布
最新推荐文章于 2022-08-04 10:48:12 发布
阅读量216 收藏
点赞数
分类专栏: spring-security 文章标签: spring spring security java springboot spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/godkzz/article/details/120009974
版权

一、hasAuthority

如果当前的主体具有指定的权限,则返回true,否则返回false

1.在配置类设置权限

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private UserDetailsService userDetailsService;

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService).passwordEncoder(password());
    }


    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.formLogin() //自定义编写的登录页面
            .loginPage("/login.html")//登录页面设置
            .loginProcessingUrl("/user/login")//登录后访问路径
            .defaultSuccessUrl("/test/index")//登录成功后跳转路径
            .and().authorizeRequests()
                .antMatchers("/","/user/login").permitAll()//设置哪些路径可以直接访问,不需要认证
                .antMatchers("/test/index").hasAuthority("admins")//只有具有admins权限可以访问这个路径
                .anyRequest().authenticated()//除上面外的所有请求全部需要鉴权认证
                .and().csrf().disable();//关闭csrf防护
    }

    @Bean
    PasswordEncoder password()
    {
        return new BCryptPasswordEncoder();
    }

}

2.把返回的User对象设置权限 

@Service("userDetailsService")
public class MyUserDetailsService implements UserDetailsService {
    @Override
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
        List<GrantedAuthority> auths = AuthorityUtils.commaSeparatedStringToAuthorityList("admins");
        return new User("tom",new BCryptPasswordEncoder().encode("123456"),auths);
    }
}

 

二、hasAnyAuthority

如果当前主体包含给定的权限列表(逗号分割)则返回true

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.formLogin() //自定义编写的登录页面
            .loginPage("/login.html")//登录页面设置
            .loginProcessingUrl("/user/login")//登录后访问路径
            .defaultSuccessUrl("/test/index")//登录成功后跳转路径
            .and().authorizeRequests()
                .antMatchers("/","/user/login").permitAll()//设置哪些路径可以直接访问,不需要认证
                .antMatchers("/test/index").hasAnyAuthority("admins,manager")//具有admins和manager权限可以访问这个路径
                .anyRequest().authenticated()//除上面外的所有请求全部需要鉴权认证
                .and().csrf().disable();//关闭csrf防护
    }

 

@Service("userDetailsService")
public class MyUserDetailsService implements UserDetailsService {
    @Override
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
        List<GrantedAuthority> auths = AuthorityUtils.commaSeparatedStringToAuthorityList("admins,manager");
        return new User("tom",new BCryptPasswordEncoder().encode("123456"),auths);
    }
}

三、hasRole

1.在配置类设置角色

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private UserDetailsService userDetailsService;

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService).passwordEncoder(password());
    }


    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.formLogin() //自定义编写的登录页面
            .loginPage("/login.html")//登录页面设置
            .loginProcessingUrl("/user/login")//登录后访问路径
            .defaultSuccessUrl("/test/index")//登录成功后跳转路径
            .and().authorizeRequests()
                .antMatchers("/","/user/login").permitAll()//设置哪些路径可以直接访问,不需要认证
                .antMatchers("/test/index").hasRole("sale")//具有ROLE_sale的角色可以访问这个路径
                .anyRequest().authenticated()//除上面外的所有请求全部需要鉴权认证
                .and().csrf().disable();//关闭csrf防护
    }

    @Bean
    PasswordEncoder password()
    {
        return new BCryptPasswordEncoder();
    }

}

2.这里注意的是hasRole与hasAuthority的区别是角色名字前要加上"ROLE_"

@Service("userDetailsService")
public class MyUserDetailsService implements UserDetailsService {
    @Override
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
        List<GrantedAuthority> auths = AuthorityUtils.commaSeparatedStringToAuthorityList("ROLE_sale");
        return new User("tom",new BCryptPasswordEncoder().encode("123456"),auths);
    }
}

 

四、hasAnyRole

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private UserDetailsService userDetailsService;

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService).passwordEncoder(password());
    }


    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.formLogin() //自定义编写的登录页面
            .loginPage("/login.html")//登录页面设置
            .loginProcessingUrl("/user/login")//登录后访问路径
            .defaultSuccessUrl("/test/index")//登录成功后跳转路径
            .and().authorizeRequests()
                .antMatchers("/","/user/login").permitAll()//设置哪些路径可以直接访问,不需要认证
                .antMatchers("/test/index").hasAnyRole("sale,master")//具有ROLE_sale,ROLE_master的角色可以访问这个路径
                .anyRequest().authenticated()//除上面外的所有请求全部需要鉴权认证
                .and().csrf().disable();//关闭csrf防护
    }

    @Bean
    PasswordEncoder password()
    {
        return new BCryptPasswordEncoder();
    }

}
@Service("userDetailsService")
public class MyUserDetailsService implements UserDetailsService {
    @Override
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
        List<GrantedAuthority> auths = AuthorityUtils.commaSeparatedStringToAuthorityList("ROLE_sale,ROLE_master");
        return new User("tom",new BCryptPasswordEncoder().encode("123456"),auths);
    }
}

godkzz
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
权限框架SpringSecurity(一)——自定义登录
m0_67402564的博客
07-31 1797
提供的默认表单登录页面有点简单,如果想使用自己的登录页该怎么办?继续关注类,继续重写它的和@Override}@Override.and().and()}用来配置忽略掉的URL地址,一般对于静态文件采用此操作and方法表示结束当前标签,上下文回到,开启新一轮的配置formLogin表示开启表单登录loginPage指定自定义登录页面permitAll表示登录相关的页面/接口不要被拦截关闭csrf当自定义了登录页面为时,也会自动注册一个接口,这个接口是POST项目的时,POST为。...
Spring Security 使用、实现权限访问控制
猫吻鱼的博客
10-18 3357
文章目录一、简介:二、简单搭建1. 前期准备2. 通过配置类方式配置 `DelegatingFilterProxy`:3. 配置Security配置类 -> 继承 WebSecurityConfigurerAdapter:注:三、用户认证方式 : configure(AuthenticationManagerBuilder auth) 详解四、configure(HttpSecurity h...
spring security简单的权限访问控制
花&败
07-18 414
1、在pom.xml文件引入数据库的依赖 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http:/
Spring——Security安全框架之权限限定
专注写bug
02-22 2055
文章目录前言基于角色或权限进行访问控制hasAuthority 方法(单个权限)测试hasAnyAuthority 方法(多个权限)测试hasRole 方法(一个权限)测试异常测试hasAnyRole 方法(多个)测试loadUserByUsername传递多个权限代码下载 前言 上一篇博客Security安全框架针对请求追加限制,针对 部分请求 增加了 登录验证 。 只要是登录成功,就能访问限制的请求。 但是,这种模式肯定是不够用的。 比如:淘宝商品页面。商家可以修改商品价格,但顾客只能看和购
Spring Security概述及web权限方案
Oasis
12-08 288
一、概述 Spring Security基于Spring框架,提供了一套Web应用安全性的完整解决方案。一般来说,Web应用的安全性包括用户认证和用户授权两个部分,这两点也是Spring Security的重要核心功能。 (1)用户认证:验证某个用户是否为系统的合法主体,也就是说用户能否访问改系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。通俗点说就是系统认为用户是否能登陆。 (2)用户授权:要争某个用户是否有权限执行某个操作。在一个
SpringSecurity权限控制实现原理解析
08-24
SpringSecurity ,还可以使用 Secured 注解来标识控制器的访问权限,例如: ```java @Controller @RequestMapping("/product") @Secured({"ROLE_ADMIN","ROLE_PRODUCT"}) public class ProductController { @...
SpringSecurity+OAuth2+JWT分布式权限控制.zip
07-23
本项目“SpringSecurity+OAuth2+JWT分布式权限控制”旨在提供一个完整的解决方案,帮助开发者构建安全的、基于微服务的分布式应用程序。 Spring Security 是一个强大的和高度可定制的身份验证和授权框架,适用于...
SpringBoot集成Spring Security实现权限控制【完整源码+数据库】
最新发布
02-16
SpringBoot集成Spring Security是现代Java应用常见的安全框架组合,它们为开发者提供了强大的权限管理和访问控制功能。Spring Security是一个全面的、高度可配置的安全框架,它涵盖了认证、授权以及会话管理等多个...
SpringBoot整合权限控制SpringSecurity.docx
12-10
在本文,我们将探讨如何在SpringBoot项目整合SpringSecurity实现权限控制,并结合前端Element UI的多标签页(Tabs)组件,提供更加高效的用户体验。SpringBoot是一个流行的Java开发框架,它简化了Spring应用的...
spring security权限控制
10-15
Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架,用于保护基于Java的应用程序。在本文,我们将深入探讨Spring Security如何实现权限控制,并通过一个名为"springsecuritydemo4"的示例项目来...
Spring Security动态权限配置
qq_42219004的博客
04-28 1550
Spring Security动态权限配置 如图所示:Hr代表用户,具有多种角色,不同的角色有访问不同菜单的权限,根据用户的角色动态的显示其访问菜单的权限。 数据库设计: 首先配置FilterInvocationSecurityMetadataSource,监听用户的请求,获取请求地址url所需的角色,如果url不存在返回ROLE_LOGIN作为标记。 /** * 这个类的功能,根据用户传来...
SpringSecurity登录流程详解
weixin_43132031的博客
08-04 4851
本文重点解析了SpringSecurity在登录过程的详细流程,以及整体总结
手把手教你如何使用Spring Security(下):访问控制
技术分享,读书笔记,面试宝典,算法积累,应有尽有~
05-12 2395
Spring Security是一个功能强大且高度可定制的身份认证和访问控制框架,它是保护基于spring应用程序的事实标准。本篇就来说说使用Spring Security进行请求的访问控制
SpringSecurity授权(访问控制
wyy的博客
10-30 5639
一、 访问控制url匹配 在前面讲解了认证所有常用配置,主要是对httpSecurity.formLogin()进行操作。而在配置类httphttpSecurity.authorizeRequests()主要是对url进行控制,也就是我们所说的授权(访问控制)。httpSecurity.authorizeRequests()也支持连缀写法,可以有很多url匹配规则和很多权限控制方法。这些内容进行各种组合就形成了Spring Security的授权。 在所有匹配规则取所有规则的交集。配置顺序影响了之
Spring Security 如何细化权限粒度?
江南一点雨的专栏
09-16 3898
有小伙伴表示微人事(https://github.com/lenve/vhr)的权限粒度不够细。不过松哥想说的是,技术都是相通的,明白了 vhr 权限管理的原理,在此基础上就可以去细化权限管理粒度,细化过程和还是用的 vhr 用的技术,只不过设计层面重新规划而已。 当然今天我想说的并不是这个话题,主要是想和大家聊一聊 Spring Security 权限管理粒度细化的问题。因为这个问题会涉及到不同的权限管理模型,今天和小伙伴们聊一聊~ 1.权限管理模型 要想将细化权限粒度,我们不可避免会涉及到一些权限
基于Spring Security和 JWT的权限系统设计
weixin_34235105的博客
03-14 401
写在前面 关于 Spring Security Web系统的认证和权限模块也算是一个系统的基础设施了,几乎任何的互联网服务都会涉及到这方面的要求。在Java EE领域,成熟的安全框架解决方案一般有 Apache Shiro、Spring Security等两种技术选型。Apache Shiro简单易用也算是一大优势,但其功能还是远不如 Spring Security强大。Spring Sec...
基于Spring Security实现权限管理系统
热门推荐
要坚持,要认真。
11-06 7万+
基于Spring Security实现权限管理系统 稍微复杂一点的后台系统都会涉及到用户权限管理。何谓用户权限?我的理解就是,权限就是对数据(系统的实体类)和数据可进行的操作(增删查改)的集管理。要构建一个可用的权限管理系统,涉及到三个核心类:一个是用户User,一个是角色Role,最后是权限Permission。接下来本文将介绍如何基于Spring Security 4.0一步一步构建起一个接...
三、SpringSecurity 动态权限访问控制
时间海绵
05-25 6219
在先前文章我们搭建了SpringSecurity项目,并且讲解了自定义登录方式需要做哪些工作,如果你感兴趣可以前往博客阅读文章以及代码,在本文将继续讲解如何实现动态权限控制
SpringSecurity基于表单的认证(上)
weixin_43090405的博客
10-10 3887
SpringSecurity基于表单的认证(上) 核心功能 认证 授权 攻击防护 ##SpringSecurity基本原理 使用众多的拦截器对url拦截,以此来管理权限。 小案例 添加依赖以后,权限就会起作用,对所有url进行拦截,需要进行用户身份认证,填写用户名和密码,用户名默认user,密码会出现在控制台 Using default security password: f2e5...
Spring Security入门:配置与权限控制详解
Spring Security,首先要设置一个过滤器(`springSecurityFilterChain`)来控制所有对项目的访问。在`web.xml`文件,添加以下代码配置该过滤器: ```xml <filter-name>springSecurityFilterChain ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值