【自学Spring Security】之@PreAuthorize与自动装配冲突的问题

最新推荐文章于 2024-01-27 07:00:00 发布
最新推荐文章于 2024-01-27 07:00:00 发布
阅读量2.5k 收藏
点赞数
分类专栏: SSH 文章标签: java 测试 前端 ViewUI
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/leman_zk/article/details/84164786
版权

     今天我想给我的方法调用加上权限管理,比如说index.jsp上有三个链接

<p><a href="users/add.do">add</a></p>
<p><a href="users/dell.do">dell</a></p>
<p><a href="users/list.do">list</a></p>

     具有ROLE_USER的用户只能访问第一个链接,具有ROLE_ADMIN的用户可以访问所有链接,如果想通过路径来进行权限控制,则必须将所有请求地址全部罗列出来,那个工作量就大了。

     进入正题,先写一个控制器,我的程序是基于Spring MVC的,所以就写一个POJO类,奖赏Controller注解完成。

@Controller
@RequestMapping("/users")
public class UserController
{
    @Autowired
    protected UserService userService;

    @RequestMapping("/add")
    public ModelAndView add()
    {
        ModelAndView modelAndView=new ModelAndView("result");
        userService.addUser();
        modelAndView.addObject("message","add成功");
        return modelAndView;
    }

    @RequestMapping("/dell")
    public ModelAndView del()
    {
        ModelAndView modelAndView=new ModelAndView("result");
        userService.delUser();
        modelAndView.addObject("message","del成功");
        return modelAndView;
    }

    @RequestMapping("/list")
    public ModelAndView list()
    {
        ModelAndView modelAndView=new ModelAndView("result");
        List<String> users=userService.listUser();
        System.out.println("size="+users.size());
        modelAndView.addObject("users",users);
        return modelAndView;
    }
}

    UserService接口定义如下:

public interface UserService
{
    @PreAuthorize("hasRole('ROLE_USER')")
    public void addUser();

    @PreAuthorize("hasRole('ROLE_ADMIN')")
    public void delUser();

    @PreAuthorize("hasRole('ROLE_ADMIN')")
    @PostFilter("filterObject.length()<5")
    public List<String> listUser();
}

    UserService接口的实现类:

@Component("userService")
public class UserServiceImpl implements UserService
{
    @Override
    public void addUser()
    {
        System.out.println("add user...");
    }

    @Override
    public void delUser()
    {
        System.out.println("del user...");
    }

    @Override
    public List<String> listUser()
    {
        System.out.println("list user");
        List<String> list=new LinkedList<String>();
        list.add("zhangsan");
        list.add("lisi");
        list.add("wangwu");
        return list;
    }
}

   编写一个结果返回页面result.jsp

<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<%@taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core" %>
<html>
<head>
    <title></title>
</head>
<body>
<h2>${message}</h2>
<hr>
<c:forEach var="name" items="${users}">${name}<br></c:forEach>
</body>
</html>
 

    测试程序发现不管具有ROLE_USER的用户也可以访问del和list方法,真实百思不得其解,没办法只有查看Spring Security自带的示例程序,费了很大劲才在网上搜索到contact的源代码,发现service层Spring没有使用注解,而是在配置文件中配置bean元素,于是把@Component去掉,添加一个bean

<bean id="userService" class="com.leman.service.UserServiceImpl"/>

   试了一下,发现权限控制起作用了,这是怎么回事呢,我也没有弄明白,期待高手解答。

柠檬
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Boot下Spring Security权限认证@PreAuthorize注解失效
江枫暮雪的博客
07-29 5207
Spring Boot下Spring Security权限认证@PreAuthorize注解失效 根据我的经历,一共有三种情况。如果谁还遇到其他情况可以提出来。 第一种情况。 就是网上大量出现的。没有添加**@EnableGlobalMethodSecurity**注解。 ...
Method Security
qq_40800349的博客
04-08 308
 支持表达式的注解       Spring Security中定义了四个支持使用表达式的注解,分别是@PreAuthorize、@PostAuthorize、@PreFilter和@PostFilter。其中前两者可以用来在方法调用前或者调用后进行权限检查,后两者可以用来对集合类型的参数或者返回值进行过滤。要使它们的定义能够对我们的方法的调用产生影响我们需要设置global-method-sec...
@PreAuthorize、@PostAuthorize、@PreFilter、@PostFilter注解的用法
Gakooon的博客
08-04 2294
@PreAuthorize、@PostAuthorize、@PreFilter、@PostFilter注解的用法 Spring Security中定义了四个支持使用表达式的注解,分别是   @PreAuthorize,@PostAuthorize,@PreFilter,@PostFilter:  其中前两者可以用来在方法调用前或者调用后进行权限检查,后两者可以用来对集合类型的参数或者返回值进行过滤。  要使它们的定义能够对我们的方法的调用产生影响我们需要设置global-method-security元素的
SpringBoot Security Oauth2角色及权限鉴权注解方法hasRole及hasAuthority的使用区别
ipifei的博客
09-06 7211
SpringBoot Security Oauth2角色及权限鉴权注解方法hasRole及hasAuthority的使用区别
关于Spring Boot下Spring Security权限访问设置@PreAuthorize("hasRole('ROLE_ADMIN')")没有用
邹浩阳的专栏
08-25 7万+
承接上篇:Spring Security整合后post数据不了,403拒绝访问 前几天想要限制不同角色的访问权限,于是就直接使用:@PreAuthorize("hasRole('ROLE_ADMIN')")注解来标注一个实现类的方法上,但是其他权限依然可以访问 orz,于是我怀疑是放的位置不对,于是放在了Service接口里的方法上,也未果。于是直接放在Controller层的访问方法上,还是未果
Java注解的解释——@PreAuthorize
dingliqiang4的博客
07-14 6003
【代码】Java注解的解释——@PreAuthorize
江苏省自学考试机械制造自动化试题库.doc
11-29
【江苏省自学考试机械制造自动化试题库】包含了机械制造自动化领域的多个关键知识点,下面将逐一进行详细解释: 1. **PLC (Programmable Logic Controller)**:可编程逻辑控制器,是工业自动化控制中的核心设备,...
学习Spring-使用Typora进行整理小白可以自学,有什么问题dd我
最新发布
06-01
包括了 1、IoC 2、DI 3、bean配置 4、bean实例化 ...7、依赖自动装配 8、集合注入 9、数据源对象管理 10、加载properties文件 11、容器 12、注解开发 13、Spring整合MyBatis 14、AOP 15、Spring事务简介
浙江省1月自学考试办公自动化设备试题.doc
11-20
浙江省1月自学考试办公自动化设备试题.doc
马士兵Java自学之路-精心编辑版.pdf
11-16
马士兵Java自学之路-精心编辑版.pdf
springboot注解
weixin_46883630的博客
03-06 248
springboot权限
详细分析SpringSecurity中的@PreAuthorize注解
码农研究僧的博客
01-27 8080
Java中,`@PreAuthorize` 是Spring Security框架中的一个注解,用于在方法调用之前对用户的权限进行验证。 允许在方法级别定义访问控制规则,确保只有满足指定条件的用户才能调用该方法 这个注解通常与Spring的AOP(面向切面编程)结合使用,推荐阅读: Spring框架从入门到学精(全) java框架 零基础从入门到精通的学习路线 附开源项目面经等(超全)
关于@PreAuthorize注解的使用场景
weixin_45822542的博客
02-17 2001
PreAuthorize注解使用场景
多模块(多个启动类)本地正常,maven打包报错,通过openfeign远程调用解决模块间的冲突
weixin_42260782的博客
09-23 1021
首先项目结构如下,admin为后台框架主体、主要包含了登录、对导航菜单维护等一些基本接口,common为公共返回对象等配置,contract为合同业务模块,gateway网关模块、security登录验证授权模块,其中admin、contract、gateway包含启动类。:项目引入本地jar包,只在编译器里进行了配置而没有在Maven中进行配置,因为admin属于自己的jar包,没有在maven中配置,所以打包报错,这里网上有很多方法,后面也贴出了参考链接。在需要获取登录用户信息的地方先注入。
记一次Spring自动配置类配置冲突问题
qq_35174296的博客
12-26 914
起因 这里暂且将自动配置类称之为服务提供方,将使用这个自动配置类的称之为调用方。提供方和调用方都是依靠IDEA自动生成的SpringBoot 项目。提供方有着自己的配置参数,调用方也有着自己的配置参数,调用方使用提供方提供的组件(组件已经装配好特有的参数),问题在于组件的参数注入失效 参数注入方式 这里是为了做实验,刚开始还以为是注解的原因,所以采用了两种配置参数注入方式,以作比较 一、@Valu...
security + oauth2 @PreAuthorize 动态配置接口角色权限
chenfubiao0315的博客
03-22 1903
使用@PreAuthorize(“hasRole(‘ROLE_ADMIN’)”)配置接口角色权限时,角色是写死的,无法根据我资源授权动态配置,通过参考https://blog.csdn.net/m0_37541228/article/details/115370515?utm_medium=distribute.pc_aggpage_search_result.none-task-blog-2aggregatepagefirst_rank_ecpm_v1~rank_v31_ecpm-1-115370515.
SpringBoot - @PreAuthorize注解详解
热门推荐
记录并分享
08-21 8万+
@PreAuthorize注解会在方法执行前进行权限验证,支持Spring EL表达式。只有当@EnableGlobalMethodSecurity(prePostEnabled=true)的时候,@PreAuthorize才可以使用。
Spring Security 3.0.1 中文教程:配置与核心概念
"Spring Security中文自学教程,包括简单demo和详细配置文件,主要涵盖Spring Security-3.0.1的bug修复和文档更新。" Spring SecuritySpring生态中的一个强大安全框架,用于保护Java应用程序免受各种安全威胁。该...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值