SpringBoot - @EnableGlobalMethodSecurity注解详解

已于 2022-08-11 17:43:09 修改
阅读量2.8k 收藏 13
点赞数 1
分类专栏: SpringBoot 文章标签: spring boot java
于 2022-08-03 15:56:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/goodjava2007/article/details/126132505
版权

写在前面

使用@EnableGlobalMethodSecurity注解,用于开启Spring环境的方法级安全,如果使用该方案,则需要在添加了@Configuration注解的自定义的配置类上再添加@EnableGlobalMethodSecurity注解即可。这个自定义的配置类通常是需要继承WebSecurityConfigurerAdapter基类,自定义处理器或者过滤器,来实现符合业务场景的安全访问控制。

如何使用

1. 继承WebSecurityConfigurerAdapter基类
@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)
public class MySecurityConfig extends WebSecurityConfigurerAdapter {
}
2. 配置URL的访问权限
@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)
public class MySecurityConfig extends WebSecurityConfigurerAdapter {
    
    ...

    /**
     * anyRequest          |   匹配所有请求路径
     * access              |   SpringEl表达式结果为true时可以访问
     * anonymous           |   匿名可以访问
     * denyAll             |   用户不能访问
     * fullyAuthenticated  |   用户完全认证可以访问(非remember-me下自动登录)
     * hasAnyAuthority     |   如果有参数,参数表示权限,则其中任何一个权限可以访问
     * hasAnyRole          |   如果有参数,参数表示角色,则其中任何一个角色可以访问
     * hasAuthority        |   如果有参数,参数表示权限,则其权限可以访问
     * hasIpAddress        |   如果有参数,参数表示IP地址,如果用户IP和参数匹配,则可以访问
     * hasRole             |   如果有参数,参数表示角色,则其角色可以访问
     * permitAll           |   用户可以任意访问
     * rememberMe          |   允许通过remember-me登录的用户访问
     * authenticated       |   用户登录后可访问
     */
    @Override
    protected void configure(HttpSecurity httpSecurity) throws Exception {
        // 注解标记允许匿名访问的url
        ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry registry = httpSecurity.authorizeRequests();
        permitAllUrl.getUrls().forEach(url -> registry.antMatchers(url).permitAll());

        httpSecurity
                // CSRF禁用,因为不使用session
                .csrf().disable()
                // 认证失败处理类
                .exceptionHandling().authenticationEntryPoint(unauthorizedHandler).and()
                // 基于token,所以不需要session
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and()
                // 过滤请求
                .authorizeRequests()
                // 对于登录login 注册register 验证码captchaImage 允许匿名访问
                .antMatchers("/login", "/register", "/captchaImage").anonymous()
                // 静态资源,可匿名访问
                .antMatchers(HttpMethod.GET, "/", "/*.html", "/**/*.html", "/**/*.css", "/**/*.js", "/profile/**").permitAll()
                .antMatchers("/swagger-ui.html", "/swagger-resources/**", "/webjars/**", "/*/api-docs", "/druid/**").permitAll()
                // 除上面外的所有请求全部需要鉴权认证
                .anyRequest().authenticated()
                .and()
                .headers().frameOptions().disable();
        // 添加自定义的登出处理器
        httpSecurity.logout().logoutUrl("/logout").logoutSuccessHandler(logoutSuccessHandler);
        // 在UsernamePasswordAuthenticationFilter之前添加自定义的JWT过滤器
        httpSecurity.addFilterBefore(authenticationTokenFilter, UsernamePasswordAuthenticationFilter.class);
        // 在自定义的JWT过滤器前添加跨域过滤器
        httpSecurity.addFilterBefore(corsFilter, JwtAuthenticationTokenFilter.class);
        // 在用户登出过滤器前添加跨域过滤器
        httpSecurity.addFilterBefore(corsFilter, LogoutFilter.class);
    }
	
	...
}

注解扩展

1. 注解说明

A. prePostEnabled = true:会开启 @PreAuthorize 和 @PostAuthorize 两个注解。
@PreAuthorize注解会在方法执行前进行验证,支持Spring EL表达式;
@PostAuthorize 注解会在方法执行后进行验证,不经常使用, 适用于验证带有返回值的权限。Spring EL提供了returnObject,用于能够在表达式语言中获取返回的对象信息;
B. securedEnabled = true:会开启@Secured 注解,用来定义业务方法的安全配置,在调用的接口或方法上使用该注解。在需要安全控制(一般使用角色或者权限进行控制)的方法上指定@Secured,达到只有具备那些角色/权限的用户才可以访问该方法。指定角色时必须以ROLE_开头,不可省略;不支持Spring EL表达式;如果想要使用@Secured注解指定"AND"条件,即调用deleteAll方法需同时拥有ADMIN和DBA角色的用户时,@Secured便不能实现,只能使用@PreAuthorize/@PostAuthorize注解。

2. 注解使用
public interface IUserService {

    // 访问该方法需要有USER角色。注意:这里需要在角色前加一个前缀"ROLE_"
    @Secured({"ROLE_USER"})
    void updateUser(User user);

    // 访问该方法只需要有ADMIN、DBA中的任意一个角色即可。注意:这里需要在角色前加一个前缀"ROLE_"
    @Secured({"ROLE_ADMIN", "ROLE_DBA"})
    void deleteUser();
    
    // 访问该方法只需要有ADMIN、DBA、USER中的任意一个角色即可
    @PreAuthorize("hasAnyRole('ADMIN','DBA','USER')")
    List<User> findAllUsers();
    
    // 访问该方法既要有ADMIN角色,又要有DBA角色
    @PreAuthorize("hasRole('ADMIN') and hasRole('DBA')")
    void deleteAll()

    // 仅查询用户ID小于100的用户
    @PreAuthorize("#id < 100")
    User findUserById(int id);

    // 仅查询用户名为登录用户的信息
     @PreAuthorize("principal.username.equals(#username)")
    User findUserByName(String userName);

    // 仅新增用户名为ROCKY用户
    @PreAuthorize("#user.name.equals('ROCKY')")
    void addUser(User user)

    // 查询到用户信息后,再验证用户名是否为ROCKY用户
	@PostAuthorize("returnObject.name.equals('ROCKY')")
    User getUser(int id);
}
3. 过滤器注解

@PreFilter: 对集合类型的参数进行过滤,移除结果为FALSE的元素;
@PostFilter:对集合类型的返回对象进行过滤,移除结果为FALSE的元素。

4. 内置的表达式

Spring内置的表达式

cloneme01
关注
专栏目录
SpringBoot--Spring Security(二)
fanderboy的博客
01-13 909
Spring Security 是基于 Spring 的用户认证(Authentication)和用户授权(Authorization)框架,提供了一套 Web应用安全性的完整解决方案。其中核心技术使用了 Servlet 过滤器、IOC 和 AOP 等。
推荐收藏系列:Spring boot 2.x注解Annotation大全(持续更新....)
Ccww_的博客
10-13 1455
  为了方便我们在日常开发注解的使用,本文将开发所需要的注解统一并进行归类起来,并结合用例进行解析,这样收藏起来以便日后使用。最主要本文将持续更新日常使用的注解,也可以评论中告知其他注解。 1依赖注入 1.1组件注解 @component   @component,而其余 @Controller、@Service、@Repository都组合了@component注解,主要为便于使用者Class组...
基于java config的springSecurity(四)--启用全局方法安全
01-16
实现了认证,一般都满足不了应用的需求.使用@EnableGlobalMethodSecurity来实现授权,实现用户对某个操作是否有权限的控制.详细请参考:http://blog.csdn.net/xiejx618/article/details/42739707
@EnableGlobalMethodSecurity注解详解
热门推荐
池海
03-05 4万+
作用: 当我们想要开启spring方法级安全时,只需要在任何 @Configuration实例上使用 @EnableGlobalMethodSecurity 注解就能达到此目的。同时这个注解为我们提供了prePostEnabled 、securedEnabled 和 jsr250Enabled 三种不同的机制来实现同一种功能: @Configuration @EnableWebSecurity @...
SpringSecurity中文文档(Servlet Method Security
最新发布
znjy111的博客
07-09 859
除了在请求级别进行建模授权之外,Spring Security 还支持在方法级别进行建模。然后,您可以立即使用@PreAuthorize、@PostAuthorize、@PreFilter 和@PostFilter 对任何 Spring 管理的类或方法进行注释,以授权方法调用,包括输入参数和返回值。SpringBootStarterSecurity 默认情况下不激活方法级授权。Method Security 还支持许多其他用例,包括 AspectJ 支持、自定义注释和几个配置点。
@EnableGlobalMethodSecurity 注解
weixin_32196893的博客
02-08 821
当我们想要开启spring方法级安全时,只需要在@Configuration实例上使用@EnableGlobalMethodSecurity 注解就能达到此目的。 注解参数: @EnableGlobalMethodSecurity(jsr250Enabled = true) @EnableGlobalMethodSecurity(prePostEnabled = true) 如果prePostEnabled值为true(默认为false),以下在方法上的四个注解可用: @PreAuthorize
@EnableGlobalMethodSecurity(prePostEnabled=true)
盲目的拾荒者的博客
05-24 1万+
关于@EnableGlobalMethodSecurity(prePostEnabled=true)的解释: 开启基于方法的安全认证机制,也就是说在web层的controller启用注解机制的安全确认, @ApiOperation(value = "获取用户列表", httpMethod = "GET") @GetMapping @PreAuthorize("hasAuth...
Spring Security 之 @EnableGlobalMethodSecurity 方法级安全
点滴记录
10-14 1835
默认情况下, Spring Security 并不启用方法级的安全管控. 启用方法级的管控后, 可以针对不同的方法通过注解设置不同的访问条件. @EnableGlobalMethodSecurity(prePostEnabled = true) public class SecurityConfig extends WebSecurityConfigurerAdapter {} Spring...
freelec-springboot2-webservice
03-14
SpringBoot2构建Web服务详解》 在现代的Java开发领域,SpringBoot以其简洁的配置、快速的开发体验以及强大的功能集,已经成为构建Web服务的首选框架。本资源"freelec-springboot2-webservice"深入浅出地介绍了...
SpringBoot OAuth2.0认证管理流程详解
m0_67402731的博客
07-29 1125
添加下方名片,即可获取全套学习资料哦。ExpressionBasedPreInvocationAdvice.before方法即根据定义的注解来校验是否有权限访问该接口,入下图所示,用户具备的权限包括orderDetail和orderInfo,而注解校验是否包含orderInfo权限,故校验通过。返回结果中包含state和code两个参数,state和请求中的参数一致,code表示授权码,客户端只能使用该授权码一次,该返回结果又将请求重定向到localhost8101/login。...
SpringBoot整合SpringSecurity超详细入门教程
2401_83977357的博客
04-30 677
JVM,JAVA集合,JAVA多线程并发,JAVA基础,Spring原理,微服务,Netty与RPC,网络,日志,Zookeeper,Kafka,RabbitMQ,Hbase,MongoDB,Cassandra,设计模式,负载均衡,数据库,一致性哈希,JAVA算法,数据结构,加密算法,分布式缓存,Hadoop,Spark,Storm,YARN,机器学习,云计算…跨站请求伪造。
Spring SecurityEnableGlobalMethodSecurity注解详解
Smiling Ron的博客
02-12 4066
@EnableGlobalMethodSecurity 详解 @EnableGlobalMethodSecurity(securedEnabled=true) 开启@Secured 注解过滤权限 例如:@Secured({“ROLE_EMP”})、@Secured({“ROLE_EMP”, “ROLE_ROOT”})、@Secured({“ROLE_ROOT”}) @EnableGlobalMet...
@EnableGlobalMethodSecurity三方法详解
白_的博客
06-19 3819
@EnableGlobalMethodSecurity三方法详解 要开启Spring方法级安全,在添加了@Configuration注解的类上再添加@EnableGlobalMethodSecurity注解即可 @Configuration @EnableWebSecurity @EnableGlobalMethodSecurity(prePostEnabled=true) public class WebSecurityConfig extends WebSecurityCo...
spring security 注解@EnableGlobalMethodSecurity的三种开启注解方式
江城宴的博客
05-07 8814
@EnableGlobalMethodSecuritySpring Security默认是禁用注解的,要想开启注解,需要在继承WebSecurityConfigurerAdapter的类上加@EnableGlobalMethodSecurity注解。 一、JSR-250注解@DenyAll 拒绝所有访问@RolesAllowed({"USER", "ADMIN"}) 该方法只要具有"USE...
spring security 注解@EnableGlobalMethodSecurity详解
anita9999的博客
06-14 839
1、Spring Security默认是禁用注解的,要想开启注解, 需要在继承WebSecurityConfigurerAdapter的类上加@EnableGlobalMethodSecurity注解, 来判断用户对某个控制层的方法是否具有访问权限 @Configuration @EnableWebSecurity @EnableAutoConfiguration @EnableGlobalMethodSecurity(prePostEnabled =true) public class We.
@EnableGlobalMethodSecurity详解
ywb201314的专栏
10-09 1195
注解的机制是只要其声明的角色集合(value)中包含当前用户持有的任一角色就可以访问。也就是 用户的角色集合和 @Secured 注解的角色集合要存在非空的交集。从名字就可以看出@PreAuthorize 注解会在方法执行前进行验证,而 @PostAuthorize 注解会在方法执行后进行验证。在需要安全[角色/权限等]的方法上指定 @Secured,并且只有那些角色/权限的用户才可以调用该方法。@PostFilter: 和@PreFilter 不同的是, 基于返回值相关的表达式,对返回值进行过滤。
@EnableGlobalMethodSecurity(prePostEnabled = true)对GlobalMethodSecurityConfiguration配置
qq_37390245的博客
11-02 1234
想着捞一下PrePostAnnotationSecuriityMetadataSoure怎么进去spirng里面的 并且想用这个MetadtaSoure得到全部接口权限,实现简单的swagger代理 @EnableWebSecurity(debug = true) @EnableGlobalMethodSecurity(prePostEnabled = true) public class WebSecurityConfig extends WebSecurityConfigurerAdapter { }
springboot 的@Configuration注解
08-15
- *2* [springboot @Configuration 注解详解](https://blog.csdn.net/nruuu/article/details/126798703)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

cloneme01

谢谢您的支持与鼓励!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值