hasAuthority和hasRole区别

于 2024-02-06 15:29:45 发布
阅读量831 收藏 22
点赞数 23
文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hfssss/article/details/136046034
版权

项目场景:

想要实现菜单的动态展示,不同角色权限看到的菜单不同

之前一直想实现root角色下,可以看到所有的level,user角色下只能看到level1。
sec:authorize=“hasAuthority(‘root’)”
sec:authorize=“hasRole(‘root’)”

问题描述

动态菜单不生效

在实现过程中发现,页面总是什么都不显示。(此时的可能只有一种,就是html中的sec:authorize="hasRole('root')"未生效),但是在页面上已经能看到,获取到的权限是库里的root

<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.thymeleaf.org"
      xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity6">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1, maximum-scale=1">
    <title>首页</title>
    <!--semantic-ui-->
    <link href="https://cdn.bootcss.com/semantic-ui/2.4.1/semantic.min.css" rel="stylesheet">
    <link th:href="@{/css/qinstyle.css}" rel="stylesheet">
</head>

<body>

<!--主容器-->
<div class="ui container">

    <div class="ui segment" id="index-header-nav" th:fragment="nav-menu">
        <div class="ui secondary menu">
            <a class="item"  th:href="@{/index}">首页</a>

            <!--登录注销-->
            <div class="right menu">
                <!--!isAuthenticated()如果未登录-->
                <div sec:authorize="!isAuthenticated()">
                    <a class="item" th:href="@{/toLoginPage}">
                        <i class="address card icon"></i> 登录
                    </a>
                </div>


                <!--如果已登录:用户名,注销-->
                <div sec:authorize="isAuthenticated()">
                    <a class="item">
                        用户名:<span sec:authentication="name"> </span>
<!--                        principal.authorities获得用户的权限-->
                        角色:<span sec:authentication="principal.authorities"> </span>
                    </a>
                </div>
                <div sec:authorize="isAuthenticated()">
<!--                    如果想改成post,需要改成表单form才行-->
                    <a class="item" th:href="@{/logout}">
                        <i class="sign-out icon"></i> 注销
                    </a>
                </div>

                <!--已登录
                <a th:href="@{/usr/toUserCenter}">
                    <i class="address card icon"></i> admin
                </a>
                -->
            </div>
        </div>
    </div>

    <div class="ui segment" style="text-align: center">
        <h3>Spring Security Study by 秦疆</h3>
    </div>

    <div>
        <br>
        <div class="ui three column stackable grid">
            <!--菜单根据用户的角色动态的实现-->
            <div class="column" sec:authorize="hasRole('root')">
                <div class="ui raised segment">
                    <div class="ui">
                        <div class="content">
                            <h5 class="content">Level 1</h5>
                            <hr>
                            <div><a th:href="@{/level1/1}"><i class="bullhorn icon"></i> Level-1-1</a></div>
                            <div><a th:href="@{/level1/2}"><i class="bullhorn icon"></i> Level-1-2</a></div>
                            <div><a th:href="@{/level1/3}"><i class="bullhorn icon"></i> Level-1-3</a></div>
                        </div>
                    </div>
                </div>
            </div>

            <div class="column" sec:authorize="hasRole('root')">
                <div class="ui raised segment">
                    <div class="ui">
                        <div class="content">
                            <h5 class="content">Level 2</h5>
                            <hr>
                            <div><a th:href="@{/level2/1}"><i class="bullhorn icon"></i> Level-2-1</a></div>
                            <div><a th:href="@{/level2/2}"><i class="bullhorn icon"></i> Level-2-2</a></div>
                            <div><a th:href="@{/level2/3}"><i class="bullhorn icon"></i> Level-2-3</a></div>
                        </div>
                    </div>
                </div>
            </div>

            <div class="column" sec:authorize="hasRole('root')">
            <div class="ui raised segment">
                    <div class="ui">
                        <div class="content">
                            <h5 class="content">Level 3</h5>
                            <hr>
                            <div><a th:href="@{/level3/1}"><i class="bullhorn icon"></i> Level-3-1</a></div>
                            <div><a th:href="@{/level3/2}"><i class="bullhorn icon"></i> Level-3-2</a></div>
                            <div><a th:href="@{/level3/3}"><i class="bullhorn icon"></i> Level-3-3</a></div>
                        </div>
                    </div>
                </div>
            </div>

        </div>
    </div>

</div>


<script th:src="@{/js/jquery-3.1.1.min.js}"></script>
<script th:src="@{/js/semantic.min.js}"></script>

</body>
</html>

原因分析:

就是因为不了解hasRole和hasAuthority的底层源码逻辑。代码中设置的hasRole(‘root’),check时候是ROLE_root,而数据库中存的是root,因此无法生效

hasRole及hasAuthority的使用区别
身份不加ROLE_前缀

身份ADMIN能通过的权限 @PreAuthorize(“hasRole(‘ADMIN’)”) //不允许
@PreAuthorize(“hasAuthority(‘ADMIN’)”) //允许
@PreAuthorize(“hasRole(‘ROLE_ADMIN’)”) //不允许
@PreAuthorize(“hasAuthority(‘ROLE_ADMIN’)”) //不允许

身份加ROLE_前缀的好处,可以通过hasRole授权

身份ROLE_ADMIN能通过的权限 @PreAuthorize(“hasRole(‘ROLE_ADMIN’)”) //允许
@PreAuthorize(“hasAuthority(‘ROLE_ADMIN’)”) //允许
@PreAuthorize(“hasRole(‘ADMIN’)”) //允许
@PreAuthorize(“hasAuthority(‘ADMIN’)”) //不允许

总结:hasAuthority能通过的身份必须字符串完全一模一样,而hasRole能通过的身份必须前缀带有ROLE_,同时可以通过两种字符串,一是带有前缀ROLE_,二是不带前缀ROLE_。

二者的源码分析:

		public AuthorizationManagerRequestMatcherRegistry hasAuthority(String authority) {
			return access(withRoleHierarchy(AuthorityAuthorizationManager.hasAuthority(authority)));
		}



	private String rolePrefix = "ROLE_";
	
		public AuthorizationManagerRequestMatcherRegistry hasRole(String role) {
			return access(withRoleHierarchy(AuthorityAuthorizationManager
				.hasAnyRole(AuthorizeHttpRequestsConfigurer.this.rolePrefix, new String[] { role })));
		}



	public static <T> AuthorityAuthorizationManager<T> hasAnyRole(String rolePrefix, String[] roles) {
		Assert.notNull(rolePrefix, "rolePrefix cannot be null");
		Assert.notEmpty(roles, "roles cannot be empty");
		Assert.noNullElements(roles, "roles cannot contain null values");
		return hasAnyAuthority(toNamedRolesArray(rolePrefix, roles));
	}


	private static String[] toNamedRolesArray(String rolePrefix, String[] roles) {
		String[] result = new String[roles.length];
		for (int i = 0; i < roles.length; i++) {
			String role = roles[i];
			Assert.isTrue(rolePrefix.isEmpty() || !role.startsWith(rolePrefix), () -> role + " should not start with "
					+ rolePrefix + " since " + rolePrefix
					+ " is automatically prepended when using hasAnyRole. Consider using hasAnyAuthority instead.");
			result[i] = rolePrefix + role;
		}
		return result;
	}


	/**
	 * Creates an instance of {@link AuthorityAuthorizationManager} with the provided
	 * authorities.
	 * @param authorities the authorities to check for
	 * @param <T> the type of object being authorized
	 * @return the new instance
	 */
	public static <T> AuthorityAuthorizationManager<T> hasAnyAuthority(String... authorities) {
		Assert.notEmpty(authorities, "authorities cannot be empty");
		Assert.noNullElements(authorities, "authorities cannot contain null values");
		return new AuthorityAuthorizationManager<>(authorities);
	}

能看到,当使用hasRole()的时候,会给传入的字符串加上ROLE_前缀。这就要求,不管在代码中有没有设置带前缀的,数据库中都需要带ROLE_前缀

解决方案:

将代码中设置成hasAuthority

springsecurityConfig中

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity httpSecurity) throws Exception {
        //首页所有人都可以访问,功能页只有有权限的人才能访问
        httpSecurity
                .authorizeHttpRequests((requests) -> requests
                                .requestMatchers("/","/index").permitAll()
                                .requestMatchers("/toLogin","/toLoginPage").permitAll()
                        //hasAuthority判断的时候,数据库里和设置的需要一模一样的
                                .requestMatchers("/level1/**","/level2/**","/level3/**").hasAuthority("root")
                                .requestMatchers("/level2/**").hasAuthority("user")
                                //对静态资源的过滤
                                .requestMatchers("/css/**","/js/**","/views/**").permitAll()
                                .anyRequest().authenticated()
                        //没有权限默认回到登陆页面,也可以不传参数,默认是login.html页面
                ).formLogin(form -> form.loginPage("/toLoginPage")
                //处理前端跳转页面,要跟form表单里的action相同
                //不配置会走自己设置的controller
                        .loginProcessingUrl("/toLogin")
                //配置了不管是什么url,认证完成都会走/success
//                        .successForwardUrl("/success")
                        .passwordParameter("pwd")
                        .usernameParameter("username"))
                .csrf(csrf -> csrf.disable());
        return httpSecurity.build();
    }

<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.thymeleaf.org"
      xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity6">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1, maximum-scale=1">
    <title>首页</title>
    <!--semantic-ui-->
    <link href="https://cdn.bootcss.com/semantic-ui/2.4.1/semantic.min.css" rel="stylesheet">
    <link th:href="@{/css/qinstyle.css}" rel="stylesheet">
</head>

<body>

<!--主容器-->
<div class="ui container">

    <div class="ui segment" id="index-header-nav" th:fragment="nav-menu">
        <div class="ui secondary menu">
            <a class="item"  th:href="@{/index}">首页</a>

            <!--登录注销-->
            <div class="right menu">
                <!--!isAuthenticated()如果未登录-->
                <div sec:authorize="!isAuthenticated()">
                    <a class="item" th:href="@{/toLoginPage}">
                        <i class="address card icon"></i> 登录
                    </a>
                </div>


                <!--如果已登录:用户名,注销-->
                <div sec:authorize="isAuthenticated()">
                    <a class="item">
                        用户名:<span sec:authentication="name"> </span>
<!--                        principal.authorities获得用户的权限-->
                        角色:<span sec:authentication="principal.authorities"> </span>
                    </a>
                </div>
                <div sec:authorize="isAuthenticated()">
<!--                    如果想改成post,需要改成表单form才行-->
                    <a class="item" th:href="@{/logout}">
                        <i class="sign-out icon"></i> 注销
                    </a>
                </div>

                <!--已登录
                <a th:href="@{/usr/toUserCenter}">
                    <i class="address card icon"></i> admin
                </a>
                -->
            </div>
        </div>
    </div>

    <div class="ui segment" style="text-align: center">
        <h3>Spring Security Study by 秦疆</h3>
    </div>

    <div>
        <br>
        <div class="ui three column stackable grid">
            <!--菜单根据用户的角色动态的实现-->
            <div class="column" sec:authorize="hasAnyAuthority('root','user')">
                <div class="ui raised segment">
                    <div class="ui">
                        <div class="content">
                            <h5 class="content">Level 1</h5>
                            <hr>
                            <div><a th:href="@{/level1/1}"><i class="bullhorn icon"></i> Level-1-1</a></div>
                            <div><a th:href="@{/level1/2}"><i class="bullhorn icon"></i> Level-1-2</a></div>
                            <div><a th:href="@{/level1/3}"><i class="bullhorn icon"></i> Level-1-3</a></div>
                        </div>
                    </div>
                </div>
            </div>

            <div class="column" sec:authorize="hasAuthority('root')">
                <div class="ui raised segment">
                    <div class="ui">
                        <div class="content">
                            <h5 class="content">Level 2</h5>
                            <hr>
                            <div><a th:href="@{/level2/1}"><i class="bullhorn icon"></i> Level-2-1</a></div>
                            <div><a th:href="@{/level2/2}"><i class="bullhorn icon"></i> Level-2-2</a></div>
                            <div><a th:href="@{/level2/3}"><i class="bullhorn icon"></i> Level-2-3</a></div>
                        </div>
                    </div>
                </div>
            </div>

            <div class="column" sec:authorize="hasAuthority('root')">
            <div class="ui raised segment">
                    <div class="ui">
                        <div class="content">
                            <h5 class="content">Level 3</h5>
                            <hr>
                            <div><a th:href="@{/level3/1}"><i class="bullhorn icon"></i> Level-3-1</a></div>
                            <div><a th:href="@{/level3/2}"><i class="bullhorn icon"></i> Level-3-2</a></div>
                            <div><a th:href="@{/level3/3}"><i class="bullhorn icon"></i> Level-3-3</a></div>
                        </div>
                    </div>
                </div>
            </div>

        </div>
    </div>

</div>


<script th:src="@{/js/jquery-3.1.1.min.js}"></script>
<script th:src="@{/js/semantic.min.js}"></script>

</body>
</html>
hfssss
关注
hasRole hasAuthority区别与小坑
weixin_43763403的博客
05-12 2150
这两个方法本质上没什么区别只不过hasRole自动的将前面加上了ROLE_这个字符串,导致做权限判断的时候需要加上ROLE_。下面贴个代码理解理解。 //这里加上了ROLE_ 如果这里没加那么就变成了 user 权限和ROLE_user 权限做判断了 //这里是new 一个授权类型的对象 GrantedAuthority grantedAuthority1 = new SimpleGrantedAuthority("ROLE_user"); //我这里做判断的时候没加 ROLE_ 但是 hasRole
Spring cloud Oauth2中@PreAuthorize安全表达式hasRole、hasAnyRolehasAuthority区别
灰太狼
12-21 7301
使用授权时可以使用注解进行权限控制,比较常用的有hasRole,hasAnyRolehasAuthority 。 通过添加角色授权码: List<SysRole> sysRoleList = sysRoleService.listByUserId(userInfo.getId()); List<SimpleGrantedAuthority> authorities = new ArrayList<>(); sysRole..
Spring Security 中的 hasRolehasAuthority 差异引发的思考及解决从数据库从查出来的ROLE对不上
qq1480371991的博客
06-20 813
hasRolehasAuthority的底层实现方式是类似的,功能是一样的,hasRolehasAuthority判断的都是有没有权限,区别就是hasRole对应的权限有前缀ROLE_,而hasAuthority没有。hasRolehasAuthority的工作原理都是判断角色所拥有的权限有没有对应的字段,一般角色所拥有的权限从数据库中查出来,然后封装在user类中覆写的getAuthorities方法中,如下。
SpringSecurity给用户授权,一个用户能同时拥有多种身份Role,及权限鉴权注解方法hasRolehasAuthority的使用区别
质量不太好的博客
03-13 9444
SpringSecurity给用户授权,一个用户能同时拥有多种身份Role
Spring Security 4 中的 hasRolehasAuthority 差异引发的思考
Specif1c的博客
05-14 3039
前言: 在使用 Spring Security 的时候我们必然会使用到如下两种访问权限配置中的一种: 第一种: http.authorizeRequests() .antMatchers("/root/**").hasAuthority("root") .antMatchers("/admin/**").hasAuthority("admin") .anyRequest().authenticated() 第二种: http.authorizeReq
SpringSecurity常见面试题汇总(超详细回答)
热门推荐
qq_33129875的博客
03-02 1万+
SpringSecurity常见面试题汇总
hasRolehasAuthority区别吗?
最新发布
07-17
有,hasRolehasAuthority是Spring Security框架中用于权限验证的两个方法。 hasRole方法用于检查用户是否具有指定的角色。它会自动在角色名前加上"ROLE_"前缀,然后与用户的角色进行比较。例如,如果用户具有...
@PreAuthorize("hasAuthority的用法
06-07
另外,hasAuthority() 方法还可以与其他方法组合使用,例如 hasAnyAuthority() 方法可以用于指定多个权限,hasRole() 方法可以用于检查用户是否拥有指定的角色。 总的来说,@PreAuthorize("hasAuthority()") 提供了...
spring-security踩坑之旅hasRole
搬砖青年
08-12 1628
spring-boot在集成spring-security后通过@EnableGlobalMethodSecurity开启相应注解注解 在controller的具体方法上可以通过添加注解@PreAuthorize来控制权限 PreAuthorize通常使用hasRolehasAuthority来控制访问权限,但是hasRole会有一个比较坑的地方 源码如下: public final b...
SpringSecurity授权逻辑实现
weixin_57801340的博客
07-22 419
修改授权配置类 在权限配置类上添加启用全局方法访问控制注解 这个配置类是配置Spring-Security的, prePostEnabled= true表示启动权限管理功能 定义资源Controller package com.cy.jt.security.controller; /** * 可以将这里的Controller看成是系统内部的一个资源对象,我们 * 要求访问此对象中的方法时需要进行权限检查. */ @RestController public class Resourc.
thymeleaf提供的SpringSecurity标签支持
wunianisme的博客
07-10 1853
要想使用thymeleaf为SpringSecurity提供的标签属性,首先需要引入thymeleaf-extras-springsecurity4依赖支持。 <!--Spring Security和thymeleaf的整合依赖--> <dependency> <groupId>org.thymeleaf.extras</groupId> ...
Spring Security中hasAnyAuthority和hasAuthority区别
weixin_46533227的博客
05-29 2223
hasAuthority可以与其他表达式结合使用,例如hasAuthority('ROLE_ADMIN') and hasIpAddress('192.168.1.0/24'),表示用户需要同时拥有"ROLE_ADMIN"权限和来自IP地址为"192.168.1.0/24"的请求才能访问被保护的资源。hasAnyAuthority可以判断多个权限,用逗号分隔,例如"ROLE_USER, ROLE_ADMIN",只要用户拥有其中一个权限即可访问被保护的资源。如果用户拥有其中一个权限,就可以访问该方法。
springboot+mybatis+SpringSecurity 实现用户角色数据库管理(一)
05-02 318
本文使用springboot+mybatis+SpringSecurity 实现用户权限数据库管理 实现用户和角色用数据库存储,而资源(url)和权限的对应采用硬编码配置。 也就是角色可以访问的权限通过硬编码控制。角色和用户的关系通过数据库配置控制 本文用户和角色的关系是多对多的关系。 SpringSecurity 验证帐号密码 首先在usernamePasswordAuthen...
Spring-security
weixin_44962939的博客
07-16 236
hasRole: 角色授权:授权代码,在我们返回的UserDetails的Authority需要加ROLE_前缀,Controller上使用时不要加前缀; hasAuthority: 权限授权:用户自定义的权限,返回的UserDetails的Authority只要与这里匹配就可以,这里不需要加ROLE_,名称保持一至即可 另外的安全表达式还有: 表达式 说明 permitAll 永远返回true denyAll 永远返回false anonymous 当前用户是anonymous时返回true rememb
我的BUG日志(2020082601):spring security问题,hasAuthority方法无法获取权限的原因
王和平的第三个果园
08-26 1672
这里是spring security初始化用户详情信息 public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { //省略获取权限列表的代码 return new org.springframework.security.core.userdetails.User(userName, password, authList); } 然后是Controller的调用部分(注意hasAut
spring_secrity
StrutsFamily的专栏
02-13 1585
Spring Security入门篇——标签sec:authorize的使用 Security框架可以精确控制页面的一个按钮、链接,它在页面上权限的控制实际上是通过它提供的标签来做到的 Security共有三类标签authorize  authentication   accesscontrollist  ,第三个标签不在这里研究 前提:项目需要引用spring-secu
SpringBoot Security Oauth2角色及权限鉴权注解方法hasRolehasAuthority的使用区别
ipifei的博客
09-06 7361
SpringBoot Security Oauth2角色及权限鉴权注解方法hasRolehasAuthority的使用区别
Spring Security(六) Spring Security角色权限判断 及 自定义 403  处理方案
奥迪的博客
09-29 1862
一、 角色权限判断 除了之前讲解的内置权限控制。Spring Security 中还支持很多其他权限控制。这些方法一般都用于用户已经被认证后,判断用户是否具有特定的要求。 1 hasAuthority(String) 判断用户是否具有特定的权限,用户的权限是在自定义登录逻辑中创建 User 对象时指定的。 下图中 admin 就是用户的权限。admin 严格区分大小写。 在配置类中通过 hasAuthority(“admin”)设置具有 admin 权限时才能访问。 .antMatcher
sec:authorize无法生效
weixin_44371237的博客
02-03 849
sec:authorize无法生效原因是springsecurity4支持2.0.9以下的springboot,高版本需要改成springsecurity5 <dependency> <groupId>org.thymeleaf.extras</groupId> <artifactId>thymeleaf-extras-springsecurity5</artifactId> </depende
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值