Springboot+SpringSecurity实现权限控制(四、授权)

最新推荐文章于 2024-07-02 14:58:37 发布
最新推荐文章于 2024-07-02 14:58:37 发布
阅读量1k 收藏 4
点赞数 1
分类专栏: SpringSecurity 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46137358/article/details/114581357
版权
本文介绍了如何在SpringBoot应用中结合SpringSecurity实现授权控制。内容包括放行策略,如静态资源和特定后缀的放行;权限判断,如hasAuthority和hasAnyAuthority的使用;角色判断,如hasRole和hasAnyRole的区别;根据IP匹配的授权;以及基于注解的访问控制,启用@Secured、@PreAuthorize和@PostAuthorize等。并给出了相关的配置和测试案例。
摘要由CSDN通过智能技术生成

授权

放行

之前写道过的http.authorizeRequests()就是授权的

前后端不分离的情况下:

有些页面需要放行,否则会被拦截,例如:登录页面login.html

.antMatchers("/login.html").permitAll();

在很多项目中经常需要放行所有的静态资源

.antMatchers("/js/**","/css/**").permitAll();

还有一种放行是根据后缀名

.antMatchers("/**/*.css").permitAll();

规则如下:

  • ? :匹配一个字符

  • *:匹配0个或多个字符

  • **:匹配0个或多个目录

regexMatchers也可以放行,他与antMatchers的区别在于前者使用的是正则表达式进行放行的,对我而言更喜欢后者

例如: 放行以jpg为后缀名的图片

.regexMatchers(".+[.]jpg").permitAll();

也有HTTP请求方式参数形式

.regexMatchers(HttpMethod.POST,".+[.]jpg").permitAll();

mvcMatchers用于加前缀

可以配置yml给所有路径加前缀

spring:
 mvc:
   servlet:
	path: /xxxx

也可以用mvcMatchers

.mvcMatchers("/image/**").servletPath("/****").permitAll();

权限判断

添加权限有三种方式

  • http添加权限

  • 注解添加权限

  • 动态权限

这次学习的是自己添加权限

hasAuthority: 增加一个权限

hasAnyAuthority: 增加一个或多个权限

不管是hasAuthority还是hasAnyAuthority都可以给页面或者方法添加权限,给页面添加权限即跳转之前先判断是否有权限。好比如有钥匙就能开门,钥匙不匹配开不了门

 http.authorizeRequests()
            .antMatchers("/home.html").hasAuthority("admin")
       		.antMatchers("/home").hasAnyAuthority("admin","home");

角色判断

数据库有角色的的权限编码

最低0.47元/天 解锁文章
一念用户
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Spring Boot2 总结() Spring Security 动态权限配置
09-15 1084
  使用HttpSecurity配置认证授权并不是很灵活,无法实现资源和角色之间的动态调整,要实现动态配置URL权限,开发者需要自定义权限配置。(结合总结三实现) 1.数据库设计   在总结三的基础上新增一张资源表和一张角色关联表,如下图所示,资源表中定义了用户能够访问的URL模式,资源角色表定义了访问该模式的URL需要什么样的角色。 2.自定义 FilterInvocationSecurityMetadataSource   要实现动态配置权限,首先自定义一个类实现FilterInvocationS
【业务功能篇60】Springboot + Spring Security 权限管理 【终篇】
studyday1的博客
07-29 2379
我们也可以定义自己的权限校验方法,在@PreAuthorize注解中使用我们的方法。/*** 自定义权限校验方法**//*** 自定义 hasAuthority* @param authority 接口指定的访问权限限制*///获取当前用户的权限//判断集合中是否有authority使用SPEL表达式,引入自定义的权限校验。
Spring Boot 中使用 Spring Security 实现安全访问权限管理:详尽指南
最新发布
一杯梅子酱的博客
07-02 1135
为了更细致地控制安全策略,我们可以创建一个配置类,扩展。Java47 auth10 .and()12 }1314 @Bean17 }1825 .and()27 .and()29 }30}如果你希望使用自定义的登录页面,可以通过以下配置:Java2 .loginPage("/custom-login") // 自定义登录页面URL3 .loginProcessingUrl("/login") // 处理登录请求的URL。
SpringSecurity实现动态加载权限信息
qq_43960768的博客
01-04 603
SpringSecurity动态加载权限
springBoot2.2.2+springsecurity+mybatis(三)动态配置权限,简单
weixin_43119351的博客
01-13 456
数据库设计 2.自定义CustomFilterInvocationSecurityMetadaSource(获取角色信息) @Component public class CustomFilterInvocationSecurityMetadaSource implements FilterInvocationSecurityMetadataSource { AntPathMatcher ...
SpringSecurity动态配置权限
小夢書亭的博客
09-14 809
SpringSecurity动态配置权限 自定义 UserDetailsService UserDetailsService 的主要作用是,获取数据库里面的信息,然后封装成对象,我们既然需要从数据库中读取用户,那么我们就需要实现自己的 UserDetailsService ,按照我们的逻辑完成从数据库中获取信息; /** * 主要是封装从数据库获取的用户信息 * * @author yiaz * @date 2019年3月19日10:50:58 */ @Component public c
springboot集成springsecurity实现权限管理
m0_66725604的博客
03-22 1127
简介 Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它是保护基于Spring的应用程序的事实标准。 Spring Security是一个专注于为Java应用程序提供身份验证和授权的框架。与所有Spring项目一样,Spring Security的真正威力在于它可以容易地扩展以满足定制需求。 spring是非常流行和成功的Java应用开发框架,Spring Security正是Spring家族中的成员。Spring Security基于Spring框架,提供了一套We
SpringBoot+SpringSecurity整合(实现了登录认证和权限验证)完整案例,基于IDEA项目
02-16
SpringBoot+SpringSecurity整合示例代码,实现了从数据库中获取信息进行登录认证和权限认证。 本项目为idea工程,请用idea2019导入(老版应该也可以)。 本项目用户信息所需sql文件,在工程的resources文件夹下,...
springboot+ spring security实现登录认证
05-04
SpringBoot结合Spring Security实现登录认证是企业级应用开发中常见的安全框架组合,它们为Web应用程序提供了强大的安全性。本文将深入探讨这两个技术的核心概念、配置以及如何整合以实现用户登录认证功能。 ...
SpringBoot + SpringSecurity + JPA 实现用户角色权限登录认证
09-10
本项目结合了SpringBootSpringSecurity以及JPA(Java Persistence API),实现了用户角色权限的登录认证功能。以下是关于这些技术及实现过程的详细讲解。 1. **SpringBoot**:SpringBoot简化了Spring应用的初始...
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
以下是实现Spring Boot + Spring Security + JWT登录和权限认证的主要步骤: 1. **项目初始化**:创建一个新的Spring Boot项目,添加`spring-boot-starter-web`、`spring-boot-starter-security`、`spring-security...
springboot+springSecurity+jwt实现登录认证后令牌授权
09-12
在这个项目中,我们将探讨如何利用Spring Boot、Spring Security和JWT来实现登录认证后的令牌授权。 首先,让我们从Spring Boot开始。Spring Boot简化了Spring应用的初始搭建以及开发过程。通过提供默认配置,它极...
springsecurity切换部门、公司等动态配置权限
qq_53524948的博客
08-16 146
springsecurity切换部门、公司等动态配置权限
SpringBoot整合SpringSecurity实现权限控制(三):前端动态装载路由与菜单(附源码)
我的博客
09-11 3561
系列文章目录 《SpringBoot整合SpringSecurity实现权限控制(一):实现原理》 《SpringBoot整合SpringSecurity实现权限控制(二):权限数据基本模型设计》 本文目录一、前言二、数据准备三、编写后端接口 一、前言 在上篇文章中我们通过 RBAC( Role-Based Access Control:基于角色的访问控制策略)进行权限模型设计,并设计了以下表: 本章中前端将通过访问后端接口,拉取用户对应的权限数据,实现动态装载菜单。 二、数据准备 由于后
SpringSecurity授权(访问控制
wyy的博客
10-30 5690
一、 访问控制url匹配 在前面讲解了认证中所有常用配置,主要是对httpSecurity.formLogin()进行操作。而在配置类中httphttpSecurity.authorizeRequests()主要是对url进行控制,也就是我们所说的授权(访问控制)。httpSecurity.authorizeRequests()也支持连缀写法,可以有很多url匹配规则和很多权限控制方法。这些内容进行各种组合就形成了Spring Security中的授权。 在所有匹配规则中取所有规则的交集。配置顺序影响了之
SpringBoot Security Oauth2角色及权限鉴权注解方法hasRole及hasAuthority的使用区别
ipifei的博客
09-06 7258
SpringBoot Security Oauth2角色及权限鉴权注解方法hasRole及hasAuthority的使用区别
# spring-security(一)
m0_74795259的博客
12-09 3247
是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在 Spring 应用上下文中配置的 Bean,充分利用了 Spring IoC(Inversion of Control 控制反转),DI(Dependency Injection 依赖注入)和 AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。对身份验证和授权的全面且可扩展的支持防御会话固定、点击劫持,跨站请求伪造等攻击。
springSecurity+vue前后分离放行所有请求
x_u_xiang的博客
02-02 2264
问题:vue前端请求SpringSecuriry权限框架资源返回403没有权限 解决:springSecurity配置类配置所有的资源都可以放行。 import org.springframework.context.annotation.Configuration; import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder; import o
Spring Security 两种资源放行策略,千万别用错了!
Python毕设源码程序王哥
04-02 531
什么是ActiveMQ?ActiveMQ服务器宕机怎么办?丢消息怎么办?持久化消息非常慢怎么办?消息的不均匀消费怎么办?死信队列怎么办?ActiveMQ中的消息重发时间间隔和重发次数吗?
springboot+springsecurity完成认证授权
09-27
SpringBootSpringSecurity可以一起使用来完成认证和授权。在一个基于SpringBoot的...总的来说,SpringBootSpringSecurity的结合可以实现一个相对完整的认证和授权功能,能够帮助开发者快速构建安全可靠的应用程序。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

一念用户

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值