SpringCloud-Secruity入门开发(授权的两种方式)

最新推荐文章于 2023-03-15 22:41:44 发布
最新推荐文章于 2023-03-15 22:41:44 发布
阅读量320 收藏 2
点赞数
分类专栏: spring secruity SpringCloud SpringBoot 文章标签: spring spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/if_icanfly/article/details/107561053
版权

本篇主要简单介绍一下secruity的两种授权方式:

一种是基于url的授权,也称web授权。

另一种是基于方法的授权。

web授权(根据url进行授权)

在Secruity的配置文件中有如下的代码 

package com.nlx.config;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

@Configuration
public class MyWebSecruityConfig extends WebSecurityConfigurerAdapter{

	@Override
	protected void configure(HttpSecurity http) throws Exception {
			http
				// 关闭csrf
				.csrf().disable()
				.authorizeRequests()
				// 添加权限
				.antMatchers("/insert").hasAuthority("p1")
				.antMatchers("/delete").hasAuthority("p2")
				// 其他不匹配上面的验证规则的请求都需要被验证
				.anyRequest().authenticated()
				// permitAll()无条件允许访问
				// 开启session管理
				// .and().sessionManagement()
				.and().logout()
				// 基本认证
				// .and().httpBasic();
				// 表单认证
				.and().formLogin();
	}
	 
	@Bean
	PasswordEncoder passwordEncoder() {
		//secriuty默认对密码进行了BCrypt加密
		return new BCryptPasswordEncoder();
	}
}

在configure(HttpSecurity http)方法里面.antMatchers("/insert").hasAuthority("p1")即是授权。授权条件越是具体的要放在越上面。对不同的url可以进行不同的授权。但是一般情况下我们都不使用这种方式进行授权。项目越大,url越多,这种授权越难以管理。

 

基于方法的授权(prePostEnabled)

基于方法的授权在实际开发中使用比较广泛
具体实现如下:
1.在secruity的配置类上加上注解@EnableGlobalMethodSecurity(prePostEnabled = true)这里的注解括号里面的额内容表示启用springsecruity前/后注解

 2.在需要权限的方法或者类上添加权限注解@PreAuthorize("hasAuthority('p1')")

package com.nlx.controller;

import org.springframework.security.access.prepost.PreAuthorize;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
@PreAuthorize("hasAuthority('p1')")
public class TestController {

	@RequestMapping("/insert")
	public String testInsert() {
		return "Insert Success";
	}
	
	@RequestMapping("/delete")
	public String testDelete() {
		return "Delete Success";
	}
	
	@RequestMapping("/query")
	public String testQuery() {
		return "Query Success";
	}
	
	@RequestMapping("/update")
	public String testUpdate() {
		return "Update Success";
	}
}

将@PreAuthorize("hasAuthority('p1')")加在类上相当于给这个类的所有方法都加了这个注解,只有拥有p1权限才能执行该类下的方法。
如果将注解加在方法上则只对该方法有效。

 

关于授权注解:

@PreAuthorize("hasAuthority('p1')")
表示具备某种权限才能进入
@PreAuthorize("hasRole('ROLE_insert')")
表示属于某种角色才能进入
@PostAuthorize 该注解使用不多,在方法执行后再进行权限验证。 适合验证带有返回值的权限。

 

if_icanfly
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Cloud系列 Spring Cloud OAuth2授权码模式(authorization code)
ssaiwey的博客
06-22 1992
OAuth 2 有四种授权模式,分别是授权码模式(authorization code)、简化模式(implicit)、密码模式(resource owner password credentials)、客户端模式(client credentials),具体 OAuth2 是什么,可以参考这篇文章(http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html) 实现统一认证功能 本篇先介绍密码模式实现的单点登录,下一篇再继续说授权码模式 ...
SpringCloud-Secruity入门开发(用户以及权限硬编码篇)
if_icanfly的博客
07-24 235
一.项目的创建 1.eclipse安装sts 使用springtools插件来创建springboot项目.eclipse安装sts插件方法也很简单. 菜单栏找到help->eclipse Marketplace wiazrd 安装过程会很慢,有时候甚至会太慢导致失败,如果tool4安装不成功,那就安装上面的tool3的也可以.(这里能搜出来的插件版本应该都是跟eclipse的版本是能对上的) 2.创建springboot项目 file->new->other->找到s
SpringCloud 微服务认证授权方案(图文版)
石杉的架构笔记
05-22 3802
文章来源:https://sourl.cn/SSnEDe目录前言微服务授权面临哪些问题微服务常见认证方案解释前言前面我们讨论的是SpringSecurity基础部分内容,接下来我们来探讨一下SpringCloud 集成 SpringSecurity和Oauth实现微服务认证授权方案微服务(分布式)项目常见认证方案1.微服务授权面临哪些问题在微服务架构下有很多的服务,每个微...
Spring Cloud下基于OAUTH2认证授权的实现示例
08-27
主要介绍了Spring Cloud下基于OAUTH2认证授权的实现示例,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
SpringCloud(八):API网关整合OAuth2认证授权服务
03-27
SpringCloud(八):API网关整合OAuth2认证授权服务。
springboot-secruity.zip
01-30
Spring Security测试所需的文件,可用于spring security入门的学习测试,本文档来自于狂神说java系列课程秦疆老师的课堂测验所用,感谢秦疆老师java全栈开发的教导。本文件只用于测试无其他用途
Spring Secruity 项目中用到的包整理
03-21
3. `org.springframework.web.servlet-3.0.5.RELEASE.jar`: 提供了Spring MVC的实现,使得Web应用的开发变得简单。Spring Security可以与Spring MVC紧密集成,通过Filter链来拦截HTTP请求,进行身份验证和授权。 4....
spring security 3.x session-management 会话管理失效
08-03
Spring Security 3.x 提供了两种防护策略:会话重置和会话迁移。 - **会话重置**:当用户成功登录后,系统创建一个新的会话ID并替换旧的,防止攻击者利用已知的会话ID进行攻击。 - **会话迁移**:允许用户在不中断...
Python-EmailEnum搜索主流网站并告诉您是否注册了电子邮件
08-10
这个工具在网络安全、信息secruity和隐私保护的背景下非常有用,它可以帮助用户了解自己的邮箱是否被用于不同的在线服务,从而评估可能的数据泄露风险。 Email-Enum是用Python编程语言编写的,这表明它利用了Python...
springsecurity学习笔记
qq_36450081的博客
06-25 154
注解 ## @EnableWebSecurity: 开启springsecurity注解服务 ## @EnableGlobalMethodSecurity 1. 相当于Spring MVC传统xml配置的<global-method-security> 2. @EnableGlobalMethodSecurity用来启用基于annotation如@Security, @PreAuthorize,@RolesAllowed的服务层安全机制 3. @EnableGlobalMethodSecu
SpringBoot整合Spring Secruity的基本用法和数据库动态权限配置
YOUNGljx的博客
05-02 375
文章目录SpringBoot 安全管理之 Spring Security基本配置基于数据库的认证,动态权限配置 SpringBoot 安全管理之 Spring Security SpringBoot的自动化配置安全管理使用Spring Security比Shiro更适用 基本配置 基本用法,引入依赖,项目中的所有资源会默认的被保护起来 <dependency> <...
04-方法授权-方法授权实现
minihuabei的博客
08-27 181
2.3 方法授权实现 2.3.1资源服务添加授权控制 1、要想在资源服务使用方法授权,首先在资源服务配置授权控制 1)添加spring-cloud-starter-oauth2依赖。 2)拷贝授权配置类ResourceServerConfig。 3)拷贝公钥。 2.3.2方法上添加注解 通常情况下,程序员编写在资源服务的controller方法时会使用注解指定此方法的权限标识。 1、查询课程列表方法 指定查询课程列表方法需要拥有course_find_list权限。 2.3.2方法上添加注解 通常情况
Springboot-Securiry快速讲解
javaeEEse的博客
06-17 439
简介: Spring Security是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型,他可以实现强大的Web安全控制,对于安全控制,我们仅需要引入spring-boot-starter-security模块,进行少量的配置,即可实现强大的安全管理! 记住几个类: webSecurityConfigurerAdapter:自定义Security策略. AuthenticationManagerBuilder:自定义认证策略 @EnableWebSecurity:开启We
SpringSecurity入门
weixin_45264992的博客
05-20 580
SpringSecurity简单入门,新手易懂 1、要实现SpringSecurity的功能,首先我们要去继承WebSecurityConfigurerAdapter类! 2、认证。 重写configure(AuthenticationManagerBuilder auth) 方法,对用户进行认证 如:用户名=小白说Java,密码=123456,认证以此信息登陆者为vip1和vip2角色,一个用户可以认证多个角色 //用户认证 @Override protected void con
SpringCloud-Secruity入门开发(用户以及权限从数据库查)
if_icanfly的博客
07-24 166
在用户以及权限硬编码的基础上整改,将用户以及用户的权限修改成从数据库查询. 硬编码教程SpringCloud-Secruity入门开发(用户以及权限硬编码篇) 我们在
SpringCloud - Spring Cloud 之 Security服务安全机制(二十)
MinggeQingchun的博客
07-07 2136
微服务的Rest服务都是基于http请求的,因此很有可能暴露在公网上,任何人都可能调用访问,如果Rest服务有一些私密信息,就会导致信息的泄露,因此我们需要给微服务增加安全机制。如:Spring SecuritySpring Security 是 Spring Resource 社区的一个安全组件, Spring Security 为 JavaEE 企业开发提供了全面的安全防护。Spring Security 采用“安全层”的概念,使每一层都尽可能安全,连续的安全层可以达到全面的防护Spring Seeur
SpringSecurity学习(七)授权
Huathy的博客
03-15 2110
SpringSecurity:认证与授权,基于URL的权限管理、基于方法的权限管理。权限表达式、授权原理分析。授权实战——权限模型
Spring Security 简介
热门推荐
xlecho的博客
04-21 6万+
xl_echo编辑整理,欢迎转载,转载请声明文章来源。更多IT、编程案例、资料请联系QQ:1280023003 百战不败,依不自称常胜,百败不颓,依能奋力前行。——这才是真正的堪称强大!! 本文转载自:https://blog.csdn.net/u012517198/article/details/51648074 在 Web 应用开发中,安全一直是非常重要的一个方面。安全虽然属于应用...
springsecruity
最新发布
07-28
Spring Security是一个开源的身份验证和授权框架,它为Java应用程序提供了一种简单且灵活的方式来处理身份验证、授权、密码管理和会话管理等安全相关的任务。 Spring Security基于Servlet过滤器和Spring框架提供的AOP(面向切面编程)功能,可以与Spring应用程序无缝集成。 它提供了一套丰富的功能,包括: 1. 身份验证(Authentication):Spring Security支持多种身份验证方式,如基于表单的身份验证、基于HTTP基本认证、基于LDAP等。 2. 授权(Authorization):Spring Security提供了一套细粒度的授权机制,可以通过注解或配置来限制用户对特定资源的访问。 3. 密码管理:Spring Security提供了一套安全的密码管理机制,可以帮助开发更好地处理密码的存储和验证。 4. 会话管理:Spring Security支持多种会话管理方式,如基于Cookie的会话管理、基于URL重写的会话管理等。 5. 防止常见的安全攻击:Spring Security提供了对常见安全攻击的防护机制,如CSRF(跨站请求伪造)、点击劫持、会话固定攻击等。 总之,Spring Security是一个功能强大且易于使用的安全框架,可以帮助开发者轻松地集成安全功能到他们的Java应用程序中。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值