Spring Security使用授权标签和注解

最新推荐文章于 2024-09-14 11:30:39 发布
最新推荐文章于 2024-09-14 11:30:39 发布
阅读量2.2w 收藏 12
点赞数 1
文章标签: Spring Security授权 授权 JSR-250 RolesAllowed PreAuthorize
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/luenxin/article/details/50159311
版权

Spring Security的声明式安全授权有两种方式,一种是以url模式匹配的方式,另一种是方法上使用注解声明权限,这里重点说第二种。

Spring Security默认是禁用注解的,要想开启注解,需要在继承WebSecurityConfigurerAdapter的类上加@EnableGlobalMethodSecurity注解,并在该类中将AuthenticationManager定义为Bean。

@Configuration
@EnableWebSecurity
/**
 *  三种方法级权限控制
 * @author luenxin
 * 1.securedEnabled: Spring Security’s native annotation
 * 2.jsr250Enabled: standards-based and allow simple role-based constraints
 * 3.prePostEnabled: expression-based
 */
@EnableGlobalMethodSecurity(jsr250Enabled=true)
public class CasSecurityConfiguration extends WebSecurityConfigurerAdapter {

	@Autowired
	AuthenticationManager authenticationManager;
}
这样就启动了JSR-250的注解支持,我们在方法上使用注解来控制访问权限。

一、JSR-250注解

@DenyAll 拒绝所有访问

@RolesAllowed({"USER", "ADMIN"})  该方法只要具有"USER", "ADMIN"任意一种权限就可以访问。这里可以省略前缀ROLE_,实际的权限可能是ROLE_ADMIN

@PermitAll 允许所有访问

三种注解在代码的注释里已经说明了,上边说的是JSR-250注解,还有一种更强大的是prePostEnabled注解,这是一种基于表达式的注解,并可以自定义扩展,只需继承GlobalMethodSecurityConfiguration类就可以实现。当然,别忘了在该扩展类上添加注解:@EnableGlobalMethodSecurity(prePostEnabled = true)来启动这种注解支持。如果没有访问方法的权限,会抛出AccessDeniedException。

二、prePostEnabled注解

1、@PreAuthorize:在方法执行之前执行,而且这里可以调用方法的参数,也可以得到参数值,这是利用JAVA8的参数名反射特性,如果没用JAVA8,那么也可以利用Spring Security的@P标注参数,或者Spring Data的@Param标注参数。

@PreAuthorize("#userId == authentication.principal.userId or hasAuthority(‘ADMIN’)")

void changePassword(@P("userId") long userId ){  }

这里表示在changePassword方法执行之前,判断方法参数userId的值是否等于principal中保存的当前用户的userId,或者当前用户是否具有ROLE_ADMIN权限,两种符合其一,就可以访问该方法。

2、@PostAuthorize:在方法执行之后执行,而且这里可以调用方法的返回值,如果EL为false,那么该方法也已经执行完了,可能会回滚。EL变量returnObject表示返回的对象。

@PostAuthorize

User getUser("returnObject.userId == authentication.principal.userId or hasPermission(returnObject, 'ADMIN')");

3、@PostFilter:在方法执行之后执行,而且这里可以调用方法的返回值,然后对返回值进行过滤或处理或修改并返回。EL变量returnObject表示返回的对象。只有方法返回的是集合或数组类型的才可以使用。(与分页技术不兼容)

@postFilter

User getUser("hasPermission(returnObject, 'ADMIN')");

4、@PreFilter:在方法执行之前执行,而且这里可以调用方法的参数,然后对参数值进行过滤或处理或修改,EL变量filterObject表示参数,如有多个参数,使用filterTarget注解参数。只有方法参数是集合或数组才行。(很少会用到,与分页技术不兼容)




攀峰者
关注
使用网关和Spring Security进行认证和授权
weixin_44976692的博客
07-16 1万+
网关是微服务架构中的一个重要组件,它充当系统的入口,负责请求的路由、负载均衡、限流、熔断、日志记录等功能。通过网关,可以实现对外部请求的统一管理和控制,提高系统的安全性和可维护性。Spring Security是一个功能强大且高度可定制的安全框架,专为Java应用提供认证和授权服务。它可以与各种身份验证机制(如LDAP、OAuth2、JWT)集成,提供全面的安全解决方案。
Spring Boot+Spring Security标签sec:authorize使用 - 第18篇
悟纤学院
03-13 2万+
需求缘起 在访问/index页面,user用户不应该能够看到admin page的链接,针对这个问题可以通过sec:authorize标签进行控制。 一、标签sec:authorize使用 1.1 引入依赖 在pom.xml文件中添加依赖: <dependency> <groupId>org.th...
springboot + security +mybatis注解方式
咕噜橙的博客
11-24 394
一,目录结构 二,创建用户实体类 与数据库内容对应 package com.example.springbootsecurityonetable.model; import lombok.Data; /** * @Author: xc * @Date: 2018/11/18 17:03 * @Description: **/ @Data public class MyUser { ...
spring security 注解_深入 Spring Boot 核心注解原理
weixin_39617497的博客
12-08 154
作 者:小毛毛来 源:Java知音广而告之:由于此订阅号换了个皮肤,系统自动取消了读者的公众号置顶。导致用户接受文章不及时。您可以打开订阅号,选择置顶公众号。重磅干活,第一时间送达!今天跟大家来探讨下SpringBoot的核心注解@SpringBootApplication以及run方法,理解下springBoot为什么不需要XML,达到零配置首先我们先来看段代码@SpringBootApplic...
30个SpringSecurity注解注解架构设计与应用详解(必须收藏)
最新发布
肖哥弹架构博客
09-14 1068
Spring Security 通过一系列注解简化了安全配置,使得开发者能够以声明式的方式实现安全控制。这些注解包括用于启用安全特性的 `@EnableWebSecurity` 和 `@EnableGlobalMethodSecurity`,以及用于方法级别的安全控制,如 `@PreAuthorize` 和 `@PostAuthorize`。此外,`@EnableOAuth2Client` 和 `@EnableOAuth2ResourceServer` 等注解支持 OAuth2 认证和资源保护。这些注解共同
Springboot +spring security,方法权限注解
weixin_40991408的博客
05-27 2496
Springboot +spring security,方法权限注解
SpringBoot - @PreAuthorize注解详解
热门推荐
记录并分享
08-21 9万+
@PreAuthorize注解会在方法执行前进行权限验证,支持Spring EL表达式。只有当@EnableGlobalMethodSecurity(prePostEnabled=true)的时候,@PreAuthorize才可以使用
spring-security 在jsp中的标签
dong_19890208的专栏
06-21 681
spring-security 在jsp中的标签
Spring security认证授权
11-30
在这个例子中,我们将深入探讨如何使用Spring Security进行认证和授权,并结合数据库操作进行动态配置。 首先,Spring Security的核心概念包括认证(Authentication)和授权(Authorization)。认证是确认用户身份...
springboot+springSecurity+jwt实现登录认证后令牌授权
09-12
Spring Security则是一个强大的安全框架,它允许我们轻松地实现用户认证和授权。而JSON Web Token(JWT)是一种高效的身份验证机制,能够使用户状态在客户端和服务器之间轻松传递。在这个项目中,我们将探讨如何利用...
Spring Security+OAuth2 精讲,打造企业级认证与授权
10-12
Spring Security和OAuth2是两个非常关键的框架,它们分别处理身份验证(Authentication)和授权(Authorization)的问题。本课程"Spring Security+OAuth2 精讲,打造企业级认证与授权"深入浅出地讲解了这两个框架的...
Spring Security OAuth2认证授权示例详解
08-25
通过以上讲解,我们可以看到Spring Security OAuth2如何帮助开发者构建安全的认证和授权系统,以及如何使用OAuth2授权协议来保护用户数据。理解这些概念和配置细节对于开发涉及用户数据交换和安全访问控制的现代Web...
Spring Security 4 安全视图片段 使用标签Spring Security 标签
明明如月的技术博客
05-05 1万+
原文地址: http://websystique.com/spring-security/spring-security-4-secure-view-layer-using-taglibs/ 【剩余文章,将尽快翻译完毕,敬请期待。 翻译by 明明如月 QQ 605283073】 本教程向你展示怎样创建安全视图层,Spring MVC web 应用中,使用Spring Security 标签
Spring Security(18)——Jsp标签
dotedy的博客
12-12 452
博客分类:  Spring Security标签authorizeauthenticationaccesscontrollist  Jsp标签          Spring Security也有对Jsp标签的支持的标签库。其中一共定义了三个标签authorize、authentication和accesscontrollist。其中authentication标签是用来代表当前
Spring Boot 与 Spring Security:核心讲解(2)
暗星涌动
06-06 1739
过滤器链是Spring Security的核心,它在请求到达应用程序之前对其进行拦截,以便进行身份验证和授权等操作。过滤器链由多个过滤器组成,每个过滤器负责一个特定的安全任务,例如身份验证、授权、会话管理等。过滤器链中的过滤器按照顺序依次执行,直到最后一个过滤器完成请求的处理。Spring Security的过滤器链包括以下几个过滤器:ChannelProcessingFilter:该过滤器用于强制使用HTTPS协议或HTTP协议,可以防止恶意攻击者通过中间人攻击窃取用户的身份验证凭据。
Spring security 2.0 标签使用
kalashnicov的专栏
10-21 115
[color=darkblue][size=medium]引入标签库: 是一个流程控制标签,能够在满足特定安全需求的条件下显示它的内容体。它有三个互斥的参数: ifAllGranted——是一个由逗号分隔的权限列表,用户必须拥有所有列出的权限时显示; ifAnyGranted——是一个由逗号分隔的权限列表,用户必须至少拥有其中的一个权限时才能显示; ifNotG...
SpringBoot中常用注解
qq_46130027的博客
03-27 1019
含义:byType方式完成自动装配,把配置好的Bean拿来用,完成属性、方法的组装。当类配置了@Transactional, 方法也配置了@Transactional, 方法的事务会覆盖类的事务配置信息。类级别的注解,这个注解告诉Spring Boot根据添加的jar依赖猜测你想如何配置Spring。用在方法的参数前面,获取请求中表单类型的key=value格式的数据。通用注解,泛指组件,当组件不好归类的时候,我们可以使用这个注解进行。用于服务层,经常标注到Service类上,需要注入DAO层。
Spring Security — 基于页面端标签控制权
sscout的博客
07-25 722
在jsp页面中我们可以使用spring security提供的权限标签来进行权限控制 导入 maven导入 <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-tagl...
Spring-Security中页面端标签控制权限的使用
wuxudong12138的博客
08-12 1599
页面端标签控制权限的使用使用步骤第一步:导入Maven依赖第二步:在jsp页面导入第三步:在页面上使用 使用步骤 第一步:导入Maven依赖 <!--页面端控制标签的依赖--> <dependency> <groupId>org.springframework.security</groupId> ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值