SpringSecurity给用户授权,一个用户能同时拥有多种身份Role,及权限鉴权注解方法hasRole及hasAuthority的使用区别

已于 2022-03-16 18:33:09 修改
阅读量9.3k 收藏 13
点赞数 8
分类专栏: 次要的个人笔记 文章标签: spring java
于 2022-03-13 13:34:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46085118/article/details/123458181
版权

文章目录

1、SpringSecurity一般分为两个重点

1.1 认证
1.2 授权,role

2、实际上用户存在一般就等于认证成功,认证成功之后就存在授权的问题

3、一个用户可以有多个身份

比如说系统存在两个身份,管理员和普通用户,实际上你可以给同一个用户让它拥有两个身份,比如root用户既是管理员又是普通用户

4、看图

在这里插入图片描述
在这里插入图片描述
在上面这张图中,登录的用户被授予了,admin,ROLE_sale两个身份,也就是说验证通过的用户既是admin又是ROLE_sale,admin无法访问需要admins权限的方法。联系到现实生活中,就像是你的老师,他既是老师又是家里的父亲,一个用户往往有多种身份,而每个身份对应着一定的权限。

5、hasRole及hasAuthority的使用区别

身份不加ROLE_前缀

身份ADMIN能通过的权限
@PreAuthorize("hasRole('ADMIN')")               //不允许
@PreAuthorize("hasAuthority('ADMIN')")          //允许
@PreAuthorize("hasRole('ROLE_ADMIN')")          //不允许
@PreAuthorize("hasAuthority('ROLE_ADMIN')")     //不允许

身份加ROLE_前缀的好处,可以通过hasRole授权

身份ROLE_ADMIN能通过的权限
@PreAuthorize("hasRole('ROLE_ADMIN')")           //允许
@PreAuthorize("hasAuthority('ROLE_ADMIN')")      //允许
@PreAuthorize("hasRole('ADMIN')")                //允许
@PreAuthorize("hasAuthority('ADMIN')")           //不允许

总结:hasAuthority能通过的身份必须字符串完全一模一样,而hasRole能通过的身份必须前缀带有ROLE_,同时可以通过两种字符串,一是带有前缀ROLE_,二是不带前缀ROLE_。

6、SpringSecurity常用的注解

6.1 @EnableGlobalMethodSecurity(securedEnabled=true,prePostEnabled = true)

securedEnabled 确定安全注解 [@Secured] 是否启用
prePostEnabled 确定 前置注解[@PreAuthorize,@PostAuthorize,…] 是否启用

6.2 @Secured

是专门用于判断是否具有角色的。能写在方法或类上,参数要以 ROLE_开头

6.3 @PreAuthorize

表示访问方法或类在执行之前先判断权限,大多情况下都是使用这个注解,注解的参数和access()方法参数取值相同,都是权限表达式。

6.4 @PostAuthorize

表示方法或类执行结束后判断权限,此注解很少被使用到。

6.5@PreFilter(filterTarget=“ids”, value=“filterObject%2==0”)

对传入参数进行过滤,为true才通过,filterTarget指定传入方法参数的变量名ids,对ids进行过滤,为true才通过

6.6@PostFilter(“filterObject.username == ‘admin1’”)

对返回结果进行过滤,为true才通过

7、SpringSecurity设置自动登录

自定义登录页面的表单直接添加下面这行即可,但是name一定要为remember-me,这个是框架的默认值,不然无法识别

<input type="checkbox" name="remember-me" title="记住密码"/><br/>

参考文档:

北风toto
关注
  • 8
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
spring-security关于hasRole的坑
fhzmWJ的博客
12-22 4798
.access(“hasRole(‘ROLE_USER’)”)如果用.hasRole(“ROLE_USER”)会报错。 org.springframework.beans.factory.BeanCreationException: Error creating bean with name ‘springSecurityFilterChain’ defined in class path resource [org/springframework/security/config/annotation/we
SpringSecurity动态加载用户角色权限实现登录及鉴权功能
08-25
主要介绍了SpringSecurity动态加载用户角色权限实现登录及鉴权功能,很多朋友感觉这个功能很难,今天小编通过实例代码给大家讲解,需要的朋友可以参考下
Spring Security 中的 hasRolehasAuthority 差异引发的思考及解决从数据库从查出来的ROLE对不上
qq1480371991的博客
06-20 797
hasRolehasAuthority的底层实现方式是类似的,功能是一样的,hasRolehasAuthority判断的都是有没有权限区别就是hasRole对应的权限有前缀ROLE_,而hasAuthority没有。hasRolehasAuthority的工作原理都是判断角色所拥有权限有没有对应的字段,一般角色所拥有权限从数据库中查出来,然后封装在user类中覆写的getAuthorities方法中,如下。
SpringSecurity中@PreAuthorize(“hasRole(‘ROLE_USER‘)“) 不起作用的原因
最新发布
weixin_44263023的博客
07-05 580
PreAuthorize(“hasRole(‘ROLE_USER’)”) 不起作用的原因可能确实是用户信息中没有包含正确的角色信息,但也可能由其他几个因素导致。
Spring Security 4 中的 hasRolehasAuthority 差异引发的思考
Specif1c的博客
05-14 2912
前言: 在使用 Spring Security 的时候我们必然会使用到如下两种访问权限配置中的一种: 第一种: http.authorizeRequests() .antMatchers("/root/**").hasAuthority("root") .antMatchers("/admin/**").hasAuthority("admin") .anyRequest().authenticated() 第二种: http.authorizeReq
SpringBoot整合SpringSecurity系列(8)-角色权限控制
TianXinCoord的博客
04-22 2836
文章目录一、角色权限判断二、内置权限判断2.1 hasAuthority(String)2.2 hasAnyAuthority(String ...)2.3 hasRole(String)2.4 hasAnyRole(String ...)2.5 hasIpAddress(String) 一、角色权限判断 除了内置权限控制外,Spring Security 中还支持很多其他权限控制,这些方法一般都用于用户已经被认证后,判断用户是否具有特定的权限 例如登录微信之后,是否有权限发红包、发朋友圈等,后面的操作是
SpringBoot Security Oauth2角色及权限鉴权注解方法hasRolehasAuthority使用区别
ipifei的博客
09-06 7258
SpringBoot Security Oauth2角色及权限鉴权注解方法hasRolehasAuthority使用区别
Spring Security - hasRole and hasAuthority
A_bad_horse的专栏
06-14 405
Spring Security - hasRole and hasAuthority
Spring security用户URL权限FilterSecurityInterceptor使用解析
08-25
Spring Security框架中,`FilterSecurityInterceptor`是一个关键组件,用于控制用户对应用程序不同URL的访问权限。这个拦截器在用户发起HTTP请求时介入,基于预定义的安全策略判断用户是否被授权访问请求的资源。...
Spring Security 自动踢掉前一个登录用户的实现代码
08-19
Spring Security 自动踢掉前一个登录用户的实现代码 Spring Security一个功能强大且流行的 Java 认证和授权框架,提供了许多实用的功能来保护 Web 应用程序。今天,我们将探讨如何使用 Spring Security 实现自动...
Spring Security 强制退出指定用户方法
08-27
Spring Security一个功能强大且广泛使用身份验证和授权框架,它提供了许多实用的功能来保护我们的应用程序。但是,在某些情况下,我们需要强制退出指定的用户,例如,某个用户违反了社区规则,或者某个用户的...
Java课程实验 Spring Security 实现用户认证和授权管理
07-07
要在Spring Boot中实现用户认证和授权管理,你可以使用Spring Security框架。Spring Security提供了一套强大的功能来处理用户身份验证和授权,以下是一些常见的步骤: 1.添加Spring Security依赖: 在项目的 pom.xml...
Spring Security 表达式(Expressions) - hasRole示例
weixin_30772105的博客
05-19 947
1.概述 Spring Security使用强大的Spring Expression Language(SpEL)提供各种各样的表达式。大多数这些Security表达式是针对上下文对象(当前经过身份验证的主体)进行工作的. 这些表达式的评估由SecurityExpressionRoot执行 - 它提供了Web安全性和方法级安全性的基础。 Spring Security 3.0中引入了使用SpEL表...
Spring Security中hasAnyAuthority和hasAuthority区别
weixin_46533227的博客
05-29 1994
hasAuthority可以与其他表达式结合使用,例如hasAuthority('ROLE_ADMIN') and hasIpAddress('192.168.1.0/24'),表示用户需要同时拥有"ROLE_ADMIN"权限和来自IP地址为"192.168.1.0/24"的请求才能访问被保护的资源。hasAnyAuthority可以判断多个权限,用逗号分隔,例如"ROLE_USER, ROLE_ADMIN",只要用户拥有其中一个权限即可访问被保护的资源。如果用户拥有其中一个权限,就可以访问该方法
初学spring security(四)-----角色权限控制
m0_48631806的博客
03-25 1390
在配置类中通过hasAuthority(“admin”)设置具有admin权限时才能访问。2.hasAnyAuthority(String ...) 如果用户具备给定权限中某一个,就允许访问。// 如果用户没有"adMin","admiN"这两个权限,将被拒绝访问(区分大小写)3.hasRole(String) 如果用户具备给定角色就允许访问。否则出现403。参数取值来源于自定义登录逻辑UserDetailsService实现类中创建User对象时给User赋予的授权
hasRole hasAuthority区别与小坑
weixin_43763403的博客
05-12 2135
这两个方法本质上没什么区别只不过hasRole自动的将前面加上了ROLE_这个字符串,导致做权限判断的时候需要加上ROLE_。下面贴个代码理解理解。 //这里加上了ROLE_ 如果这里没加那么就变成了 user 权限和ROLE_user 权限做判断了 //这里是new 一个授权类型的对象 GrantedAuthority grantedAuthority1 = new SimpleGrantedAuthority("ROLE_user"); //我这里做判断的时候没加 ROLE_ 但是 hasRole
spring securirty 权限校验方法
weixin_44768962的博客
07-31 909
权限校验解析
其它权限校验方法
Leon_Jinhai_Sun的博客
06-08 926
权限
Spring Security(04)授权配置
愤怒的菜鸟博客
03-02 795
授权 基本说明 授权指的是给用户某个操作的权限; 常见的权限的访问控制一般是 基于rpac (Role-Based Access Control)的 访问控制; Authentication 是springsecurity 中的非常重要的接口;能够获取登录用户的信息和授权的相关信息; 而授权的信息是通过 Collection<? extends GrantedAuthority> getAuthorities(); 此方法获取 GrantedAuthority 也只有一个返回Authority
@PreAuthorize 多个权限控制
07-29
Spring Security 中,可以使用 `@PreAuthorize` 注解来实现多个权限控制。你可以在方法级别或者类级别使用注解。 在方法级别使用 `@PreAuthorize` 注解时,你可以使用 SpEL 表达式来定义多个权限,例如: ```java @PreAuthorize("hasAnyAuthority('ROLE_ADMIN', 'ROLE_USER')") public void someMethod() { // 方法体 } ``` 上述例子中,`someMethod()` 方法要求用户具有 "ROLE_ADMIN" 或者 "ROLE_USER" 任意一种权限才能访问。 在类级别使用 `@PreAuthorize` 注解时,你可以将多个权限定义在类级别上,并在方法级别上继续添加额外的权限要求,例如: ```java @Controller @PreAuthorize("hasRole('ROLE_ADMIN')") public class MyController { @GetMapping("/admin") @PreAuthorize("hasAnyAuthority('WRITE', 'DELETE')") public void adminMethod() { // 方法体 } } ``` 上述例子中,`MyController` 类要求用户具有 "ROLE_ADMIN" 权限才能访问类中的任何方法,而 `adminMethod()` 方法则要求用户除了具有 "ROLE_ADMIN" 权限外,还需要具有 "WRITE" 或者 "DELETE" 权限才能访问。 你可以根据自己的需求来定义多个权限控制规则,并使用 `@PreAuthorize` 注解来实现。
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值