史上最简单的Spring Security教程(十二):@PreAuthorize注解实现权限控制

最新推荐文章于 2024-05-06 09:25:44 发布
最新推荐文章于 2024-05-06 09:25:44 发布
阅读量2.9w 收藏 169
点赞数 32
分类专栏: Web安全 日积月累
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liuminglei1987/article/details/107413061
版权

 

我们前面讲的所有的例子,都是没有权限控制的,也就是只要登录就可以访问任何资源,不需要其它的权限。但是,现实生活中肯定不是这样。

比如你是普通员工,只能查看自己的工作记录;而部门经理作为领导,则可以查看整个部门员工的工作记录;再如企业老板,作为最大的权限拥有者,可以查看整个公司员工的工作记录。这就是所谓的权限控制,不同角色拥有的不同资源

而 Spring Security 框架最大的功用就在于此。当然,实现权限控制体系非常复杂,我们一步一步来,本次先讲一个如何通过注解实现权限控制需求。

Spring Security 配置类开启权限控制注解,即 @EnableGlobalMethodSecurity(prePostEnabled = true)

@EnableGlobalMethodSecurity(prePostEnabled = true)
@EnableWebSecurity
@Configuration
public class SpringSecurityConfiguration extends WebSecurityConfigurerAdapter {
    ......
}

在需要进行权限控制的 controller 方法上添加权限控制注解 @PreAuthorize

@PreAuthorize("hasRole('User')")
@RequestMapping("/index")
public String index() {
    return "/user/index";
}

这里解释一下 @PreAuthorize 注解的参数含义。先来看一下其注释:

从注释可以看到,value (可省略)属性是 Spring-EL 表达式类型的字符串。其值可参考类 SecurityExpressionRoot,这是Spring Security 框架封装的专门针对 Spring Security 框架本身的 Spring—EL表达式解析类。

分别介绍以下其中值选项。

  • hasRole,对应 public final boolean hasRole(String role) 方法,含义为必须含有某角色(非ROLE_开头),如有多个的话,必须同时具有这些角色,才可访问对应资源。

  • hasAnyRole,对应 public final boolean hasAnyRole(String... roles) 方法,含义为只具有有某一角色(多多个角色的话,具有任意一个即可),即可访问对应资源。

  • hasAuthority,对应 public final boolean hasAuthority(String authority) 方法,含义同 hasRole,不同点在于这是权限,而不是角色,区别就在于权限往往带有前缀(如默认的ROLE_)而角色只有标识

  • hasAnyAuthority,对应 public final boolean hasAnyAuthority(String... authorities) 方法,含义同 hasAnyRole,不同点在于这是权限,而不是角色,区别就在于权限往往带有前缀(如默认的ROLE_)而角色只有标识

  • permitAll,对应 public final boolean permitAll() 方法,含义为允许所有人(可无任何权限)访问

  • denyAll,对应 public final boolean denyAll() 方法,含义为不允许任何(即使有最大权限)访问

  • isAnonymous,对应 public final boolean isAnonymous() 方法,含义为可匿名(不登录)访问

  • isAuthenticated,对应 public final boolean isAuthenticated() 方法,含义为身份证认证后访问

  • isRememberMe,对应 public final boolean isRememberMe() 方法,含义为记住我用户操作访问

  • isFullyAuthenticated,对应 public final boolean isFullyAuthenticated() 方法,含义为非匿名且非记住我用户允许访问

设计者可选取适当的控制方式和级别进行控制,也可以事先定义好角色、权限等权限体系,供开发者使用。

接下来,启动系统,访问一下用户首页,看一下系统作何反应。

果不其然,系统跳转到了403无权限页面(由于我们没有默认的403页面,也没有自定义403错误页面,所以系统展示报错信息页面)。于此同时,控制台也报了不允许访问的错误。

下面我们在配置文件中,给默认用户添加角色:User。

spring:
  security:
    user:
      name: zhangsan
      password: 123456
      roles:
        - User

 

再次启动系统,刷新一下页面,登录后,成功显示了用户个人中心页面。

至此,用注解实现权限控制完成。

其它详细源码,请参考文末源码链接,可自行下载后阅读。

 

源码

 

github

 

https://github.com/liuminglei/SpringSecurityLearning/tree/master/12

 

gitee

 

https://gitee.com/xbd521/SpringSecurityLearning/tree/master/12

 

 

回复以下关键字,获取更多资源

 

SpringCloud进阶之路 | Java 基础 | 微服务 | JAVA WEB | JAVA 进阶 | JAVA 面试 | MK 精讲

 

 

 

笔者开通了个人微信公众号【银河架构师】,分享工作、生活过程中的心得体会,填坑指南,技术感悟等内容,会比博客提前更新,欢迎订阅。

 

银河架构师
关注
  • 32
    点赞
  • 169
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
专栏目录
SpringSecurity权限控制实现原理解析
08-24
主要介绍了SpringSecurity权限控制实现原理解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring 4.0新功能:@Conditional注解详细介绍
08-29
Spring Boot的强大之处在于使用了Spring 4框架的新特性:@Conditional注释,此注释使得只有在特定条件满足...下面这篇文章主要给大家介绍了关于Spring4.0中新功能:@Conditional注解的相关资料,需要的朋友可以参考下。
详细分析SpringSecurity中的@PreAuthorize注解
码农研究僧的博客
01-27 6136
在Java中,`@PreAuthorize` 是Spring Security框架中的一个注解,用于在方法调用之前对用户的权限进行验证。 允许在方法级别定义访问控制规则,确保只有满足指定条件的用户才能调用该方法 这个注解通常与Spring的AOP(面向切面编程)结合使用,推荐阅读: Spring框架从入门到学精(全) java框架 零基础从入门到精通的学习路线 附开源项目面经等(超全)
Spring Security基础教程:从入门到实战
最新发布
Yaml4的博客
05-06 1192
无论你选择以何种方式进行身份验证--是使用 Spring Security 提供的机制和提供商,还是与容器或其他非 Spring Security 身份验证机构集成--你都会发现授权服务可以以一致而简单的方式在你的应用程序中使用。在上面的示例中,都是基于配置文件进行用户的配置角色的设置,都是静态的信息,而实际工作中,都是需要从数据库中进行查询的。当环境中引入上面的依赖后,默认情况会对所有的请求都进行拦截,同时启动服务时会输出随机密码,而用户则默认是"user"。推荐订阅精彩专栏 👇🏻 避免错过下次更新。
【若依】@PreAuthorize
weixin_45995287的博客
12-01 7141
Spring Security提供了Spring EL表达式,允许我们在定义接口访问的方法上面添加注解,来控制访问权限来源于若依官方文档,记一下帮助记忆!
若依框架基于@PreAuthorize注解权限控制
weixin_49561506的博客
01-28 8327
介绍了Java注解的使用与定义以及对若依框架的权限控制进行解析
@PerAuthorize用作授权的使用方法
热门推荐
qq_42507357的博客
08-14 1万+
@PerAuthorizr 这个注解我相信很多不使用SpringSecurity的小伙伴都不是很了解。 使用他的初衷是最近需要做一个对授权的客户做判断,让他买了哪些模块的代码才能使用哪些模块的代码,需要进行一波模块过滤。 @PreAuthorize是可以用来控制一个方法或类是否能够被调用的,通俗一点就是看看你有没有权利用被注解的东西。怎么用呢?直接上代码吧。 /** * 获取部门列表 */ @PreAuthorize("@ac.hasPermi('dept:list')"
ruoyi-vue版本(四)@PreAuthorize 注解在若依里面的作用,springsecurity 框架相关的配置
一天不写代码难受的博客
01-17 3257
ruoyi
@PreAuthorize 权限控制的原理
05-19 3566
@PreAuthorize 注解,顾名思义是进入方法前的权限验证,@PreAuthorize 声明这个方法所需要的权限表达式,例如:@PreAuthorize("hasAuthority('sys:dept:delete')"), 根据这个注解所需要的权限,再和当前登录的用户角色所拥有的权限对比,如果用户的角色权限集Set中有这个权限,则放行;没有,拒绝 跟进hasAuthority方法: 但是,问题来了,这个用户的角色权限Set,是什么时候存入的,其流程如下: 相关代码: ...
Spring Boot 通过AOP和自定义注解实现权限控制的方法
08-25
Spring Boot 通过 AOP 和自定义注解实现权限控制的方法 在本文中,我们将探讨如何使用 Spring Boot 通过 Aspect-Oriented Programming(AOP)和自定义注解实现权限控制权限控制是任何应用程序的重要组件,它...
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解权限验证
08-26
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解权限验证,可根据注解的格式不同,做到角色权限控制,角色加资源权限控制等,粒度比较细化。 @PreAuthorize("hasAnyRole('ADMIN','USER')"):具有admin或...
Vue 动态路由的实现Springsecurity 按钮级别的权限控制
10-16
主要介绍了Vue 动态路由的实现以及 Springsecurity 按钮级别的权限控制的相关知识,本文通过实例代码给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
SpringSecurity安全框架学习——@PreAuthorize实现原理
笔落墨成&博客
11-23 3721
Spring Security 预处理实现原理
SpringSecurity使用@PreAuthorize、@PostAuthorize实现Web系统权限认证
u011930054的博客
07-17 4745
SpringSecurity可以使用@PreAuthorize和@PostAuthorize进行访问控制,下面进行说明。 项目使用Springboot2.3.3+SpringSecurtiy+Mbatis实现。 首先先引入pom.xml <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artif
基于SpringSecurity的@PreAuthorize实现自定义权限校验方法
小王博客基地
08-15 5584
在我们一般的web系统中必不可少的就是权限的配置,也有经典的RBAC权限模型,是基于角色的权限控制。这是目前最常被开发者使用也是相对易用、通用权限模型。当然已经实现权限的校验,但是不够灵活,我们可以自己写一下校验条件,从而更加的灵活!很多开源框架中也是用的比较多,小编看了一下若依是自己写了一个注解实现的,pig是使用来实现自己的校验方式,小编以pig框架的为例。这样就完成了自定义校验,具体的校验可以自己在配置里进行修改,当然也可以自己写一个注解来进行自定义校验,可以参考若依的注解!...
说一下Spring Security中@PermitAll和@PreAuthorize的使用
qq_55754838的博客
11-25 1988
本文主要来自于看Java开源项目,方便理解开源项目的代码是怎么实现的,加深自己的基本功。
spring security学习笔记(二)--授权
bjjx123456的博客
10-01 549
例:只有这个user在其对应的role对应的menu表中的perms字段(权限字段)中有sys:student:operation才可以访问。我们知道springboot中有全局异常处理器,当发生异常后会如果没在controller层,service层或者dao层进行处理会向上抛出给全局异常处理器,从而统一返回结果。SpringSecurity也有异常处理机制,我们还希望在认证失败或者是授权失败的情况下也能和我们的接口一样返回相同结构的json,这样可以让前端能对响应进行统一的处理。
SpringSecurity注解@PreAuthorize(“@ss.hasPermi(‘system:config:list‘)“)实现流程
zouyang920的博客
04-07 5873
实现思路就是使用SpringSecurity框架,开启权限校验@EnableGlobalMethodSecurity注解,第二步自动校验规则的方法hasPermi()方法,逻辑自己实现,第三步就可以使用@PreAuthorize注解,被此注解标注的方法就是走你hasPermi()方法的逻辑,返回布尔值,从来决定是否有权限访问。参考链接。
关于@PreAuthorize注解的使用场景
weixin_45822542的博客
02-17 1967
PreAuthorize注解使用场景
@PreAuthorize
09-07
`@PreAuthorize` 是 Spring Security 框架中的一个注解,用于在方法级别上进行访问控制权限验证。通过在方法上添加 `@PreAuthorize` 注解,可以指定一系列的权限表达式,只有符合这些表达式的用户才能够访问该方法。该注解通常与 `@Controller` 或 `@Service` 注解一起使用。 例如,下面的代码展示了一个使用了 `@PreAuthorize` 注解的示例: ```java @RestController public class MyController { @PreAuthorize("hasRole('ROLE_ADMIN')") @GetMapping("/admin") public String adminOnly() { return "Only admins can access this endpoint"; } @PreAuthorize("hasAnyRole('ROLE_ADMIN', 'ROLE_USER')") @GetMapping("/user") public String userOnly() { return "Both admins and users can access this endpoint"; } } ``` 在上述示例中,`adminOnly()` 方法只允许具有 "ROLE_ADMIN" 角色的用户访问,而 `userOnly()` 方法允许具有 "ROLE_ADMIN" 或 "ROLE_USER" 角色的用户访问。 注意:`@PreAuthorize` 注解需要与 Spring Security 配置一起使用才能生效。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值