@PreAuthorize、@PostAuthorize、@PreFilter、@PostFilter的区别与用法

最新推荐文章于 2024-04-26 14:15:48 发布
最新推荐文章于 2024-04-26 14:15:48 发布
阅读量2k 收藏 7
点赞数 5
文章标签: spring oauth java
原文链接:https://blog.csdn.net/weixin_39220472/article/details/80873268
版权
一,区别

Spring Security中定义了四个支持使用表达式的注解,分别是
   @PreAuthorize,@PostAuthorize,@PreFilter,@PostFilter:
  其中前两者可以用来在方法调用前或者调用后进行权限检查,后两者可以用来对集合类型的参数或者返回值进行过滤。
  要使它们的定义能够对我们的方法的调用产生影响我们需要设置global-method-security元素的pre-post-annotations=”enabled”,默认为disabled。

二,用法

在资源服务器中的config类中使用注解:

@Configuration //声明为配置类的bean
@EnableResourceServer //开启资源服务
@EnableOAuth2Client //开启OAuth2Client客户端
@EnableConfigurationProperties //开启读取配置文件的功能
//开启全局方法调用权限验证
// 当@EnableGlobalMethodSecurity(prePostEnabled=true)的时候,@PreAuthorize @PostAuthorize才可以使用
@EnableGlobalMethodSecurity(prePostEnabled = true)
  2.1 @PreAuthorize用法

@PreAuthorize可以用来控制一个方法是否能够被调用。例:

@Service
public class UserServiceImpl implements UserService {
   @PreAuthorize("hasRole('ROLE_ADMIN')")
   public void addUser(User user) {
      System.out.println("addUser................" + user);
   }
   @PreAuthorize("hasRole('ROLE_USER') or hasRole('ROLE_ADMIN')")
   public User find(int id) {
      System.out.println("find user by id............." + id);
      return null;
   }
}

  在上面的代码中我们定义了只有拥有角色ROLE_ADMIN的用户才能访问adduser()方法,而访问find()方法需要有ROLE_USER角色或ROLE_ADMIN角色。
  那注解的值怎么定义?可以参考类:

org.springframework.security.access.expression.SecurityExpressionOperations.class
  另外,还可以使用表示式
public class UserServiceImpl implements UserService {
   /**
    * 限制只能查询Id小于10的用户
   */
   @PreAuthorize("#id<10")
   public User find(int id) {
      System.out.println("find user by id........." + id);
      return null;
   }
   /**
    * 限制只能查询自己的信息
    */
   @PreAuthorize("principal.username.equals(#username)")
   public User find(String username) {
      System.out.println("find user by username......" + username);
      return null;
   }
   /**
    * 限制只能新增用户名称为abc的用户
    */
   @PreAuthorize("#user.name.equals('abc')")
   public void add(User user) {
      System.out.println("addUser............" + user);
   }
}

  在上面代码中我们定义了调用find(int id)方法时,只允许参数id小于10的调用;调用find(String username)时只允许username为当前用户的用户名;定义了调用add()方法时只有当参数user的name为abc时才可以调用。

  2.2 @PostAuthorize用法

  有时候可能你会想在方法调用完之后进行权限检查,这种情况比较少,但是如果你有的话,Spring Security也为我们提供了支持,通过@PostAuthorize可以达到这一效果。使用@PostAuthorize时我们可以使用内置的表达式returnObject表示方法的返回值。

下面这一段示例代码:

@PostAuthorize("returnObject.id%2==0")
   public User find(int id) {
      User user = new User();
      user.setId(id);
      return user;
   }

  上面这一段代码表示将在方法find()调用完成后进行权限检查,如果返回值的id是偶数则表示校验通过,否则表示校验失败,将抛出AccessDeniedException。需要注意的是@PostAuthorize是在方法调用完成后进行权限检查,它不能控制方法是否能被调用,只能在方法调用完成后检查权限决定是否要抛出AccessDeniedException。

  2.3 @PreFilter和@PostFilter的用法

  使用@PreFilter和@PostFilter可以对集合类型的参数或返回值进行过滤。使用@PreFilter和@PostFilter时,Spring Security将移除使对应表达式的结果为false的元素。

 @PostFilter("filterObject.id%2==0")
  public List<User> findAll() {
      List<User> userList = new ArrayList<User>();
      User user;
      for (int i=0; i<10; i++) {
         user = new User();
         user.setId(i);
         userList.add(user);
      }
      return userList;
   }

  上述代码表示将对返回结果中id不为偶数的user进行移除。filterObject是使用@PreFilter和@PostFilter时的一个内置表达式,表示集合中的当前对象。当@PreFilter标注的方法拥有多个集合类型的参数时,需要通过@PreFilter的filterTarget属性指定当前@PreFilter是针对哪个参数进行过滤的。
  如下面代码就通过filterTarget指定了当前@PreFilter是用来过滤参数ids的。


   @PreFilter(filterTarget="ids", value="filterObject%2==0")
   public void delete(List<Integer> ids, List<String> usernames) {
      ...
   }
LONGDEAN_
关注
  • 5
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
underscore.prefilter:在调用它们之前预过滤方法的下划线助手
06-25
下划线.prefilter 这个库是 Underscore 的扩展,它允许在执行主方法之前包装条件方法,如果为真,则调用后续方法。特征防止函数被无意调用。依赖关系underscore.js (>= 1.5.0)节点 var _ = require ( 'underscore' )...
jQuery选择器源码解读(四):tokenize方法的Expr.preFilter
10-24
主要介绍了jQuery选择器源码解读(四):tokenize方法的Expr.preFilter,本文用详细的注释解读了tokenize方法的Expr.preFilter的实现源码,需要的朋友可以参考下
spring security中@PreAuthorize、@PostAuthorize、@PreFilter和@PostFilter四者的区别
热门推荐
灰太狼
07-01 13万+
spring security中可以通过表达式控制方法权限: Spring Security中定义了四个支持使用表达式的注解,分别是@PreAuthorize、@PostAuthorize、@PreFilter和@PostFilter。其中前两者可以用来在方法调用前或者调用后进行权限检查,后两者可以用来对集合类型的参数或者返回值进行过滤。要使它们的定义能够对我们的方法的调用产生影响我们需要设置g...
Method Security
qq_40800349的博客
04-08 304
 支持表达式的注解       Spring Security中定义了四个支持使用表达式的注解,分别是@PreAuthorize、@PostAuthorize、@PreFilter和@PostFilter。其中前两者可以用来在方法调用前或者调用后进行权限检查,后两者可以用来对集合类型的参数或者返回值进行过滤。要使它们的定义能够对我们的方法的调用产生影响我们需要设置global-method-sec...
Spring Security中@PermitAll与@PreAuthorize的详解
最新发布
一勺菠萝丶的博客
04-26 855
在使用Spring Security构建安全的应用程序时,经常会涉及到对特定API或方法的访问控制。这时,@PermitAll和这两个注解就发挥了重要作用。本文将详细解释这两个注解的使用方法和它们之间的区别,使即便是初学者也能理解并正确应用它们。
SpringSecurity使用@PreAuthorize、@PostAuthorize实现Web系统权限认证
u011930054的博客
07-17 4758
SpringSecurity可以使用@PreAuthorize和@PostAuthorize进行访问控制,下面进行说明。 项目使用Springboot2.3.3+SpringSecurtiy+Mbatis实现。 首先先引入pom.xml <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artif
Security注解:@PreAuthorize,@PostAuthorize, @Secured
京北游戏官方
12-04 2万+
一、注解式方法级安全开启 需要在WebSecuirtyConfig添加配置: @Configuration @EnableWebSecurity //启用Spring Security. ////会拦截注解了@PreAuthrize注解的配置. @EnableGlobalMethodSecurity(prePostEnabled=true) public class WebSecurit...
SpringSecurity(二): @Secured、@PreAuthorize、@PostAuthorize、@PostFilter、@PreFilter注解说明
qq_39198749的博客
11-11 1224
1. SpringSecurity注解说明 1.1 @Secured 判断是否具有角色,注意这里匹配的字符串需要添加前缀“ROLE_” 先要开启注解功能 @EnableGlobalMethodSecurity(securedEnabled = true) 在控制器方法上添加注解 @Secured({"ROLE_read"}) @RequestMapping(value = "/testSecured") @ResponseBody public String tes
An Efficient Method for Prefilter Computation for Reduced-State Equalization
04-01
of a suitable FIR or IIR prefilter. In this paper, we present an approach for FIR prefilter computation, which is quite robust and requires an only moderate computational complexity. The prefilter ...
hdr-prefilter-texture:导出PMREMGenerator生成的纹理
05-07
在 THREE 中使用 HDR 需要经过 PMREMGenerator 处理才能使用,并且在小程序 WebGL 环境下有部分机型在前后切换页面会偶现生成出错误的纹理(见),该项目的功能是导出PMREMGenerator生成产物到 PNG,再利用 PNG 无损...
SpringSecurity 3.0.1.RELEASE.CHM
03-21
访问控制使用 @PreAuthorize 和 @PostAuthorize 15.3.1.2. 过滤使用 @PreFilter 和 @PostFilter V. 高级话题 16. 领域对象安全(ACLs) 16.1. 概述 16.2. 关键概念 16.3. 开始 17. 预认证场景 17.1. 预认证...
SpringCloud中的Zuul的工作原理(四大过滤器链的执行流程pre、routing、post、error)
m0_56245143的博客
05-11 718
首先的zuul的底层是通过各种的Filter来实现的,zuul中的filter按照执行顺序分为了“pre”前置("custom"自定义一般是前置),"routing"路由,“post"后置,以及"error"异常Filter组成的,当各种Filter出现了异常,请求会跳转到"error filter”,然后再经过"post filter"最后返回结果。
用户授权中@Secured,@PreAuthorize,@PostAuthorize,@PreFilter,@PostFilter这五个注解的使用
xzy的博客
01-22 3295
文章目录用户授权中@Secured,@PreAuthorize,@PostAuthorize,@PreFilter,@PostFilter这五个注解的使用首选掌握几个英文单词的意思在哪里使用?给Spring Security开启注解@Secured注解@PreAuthorize注解(访问方法之前进行权限认证)@PostAuthorize注解(访问方法之后进行权限认证)@PostFilter注解@PreFilter注解 用户授权中@Secured,@PreAuthorize,@PostAuthorize,@P
Springboot整合SpringSecurity(五)——Spring Security使用@PreAuthorize,@PostAuthorize
lyy的博客
01-12 9517
我要先吐槽一下,关于这方面的知识,网上很多博客都是直接翻译的官方文档,emmmm,里面有很多翻译不准确的地方,以及没有强调的关键地方,(好多博客都代码不全),导致我实现这个功能花了好多时间,不过还是实现了。下面就一如既往的简单粗暴的施展罗列代码大法。 第一步:准备一个实体类 package com.example.learnsecurity.learnsecurity.enti...
SpringSecurity_权限注解@PreAuthorize、@PostAuthorize
fyedu的专栏
06-30 1万+
spring是如何实现对HTTP请求进行安全检查和资源使用授权的? 实现过程由类AbstractSecurityInterceptor在beforeInvocation方法中完成,在beforeInvocation的实现中, 首先,需要读取IoC容器中Bean的配置,在这些属性配置中配置了对HTTP请求资源的安全需求, 比如,哪个角色的用户可以接入哪些URL请求资源,具体实现逻辑见: #与Web...
Spring Security 4 使用@PreAuthorize,@PostAuthorize, @Secured, EL实现方法安全(带源码)
明明如月的技术博客
05-06 5万+
【相关已翻译的本系列其他文章,点击分类里面的spring security 4】 上一篇:Spring Security 4 整合Hibernate 实现持久化登录验证(带源码) 原文地址:http://websystique.com/spring-security/spring-security-4-method-security-using-preauthorize-postaut
postfilter,@PostFilter和@PreFilter如何工作
weixin_42279592的博客
01-17 608
Being new to spring annotations, I need a clarification for the below code.@PostFilter("hasPermission(filterObject, 'READ') or hasRole('ROLE_ADMIN')")public List getUsers(String orderByInsertionDate,I...
@PreAuthorize、@PostAuthorize、@PreFilter、@PostFilter注解的用法
Gakooon的博客
08-04 2281
@PreAuthorize、@PostAuthorize、@PreFilter、@PostFilter注解的用法 Spring Security中定义了四个支持使用表达式的注解,分别是   @PreAuthorize,@PostAuthorize,@PreFilter,@PostFilter:  其中前两者可以用来在方法调用前或者调用后进行权限检查,后两者可以用来对集合类型的参数或者返回值进行过滤。  要使它们的定义能够对我们的方法的调用产生影响我们需要设置global-method-security元素的
Spring Security——基于表达式的权限控制
LJYYYY的博客
08-14 315
文章目录一、通过表达式控制URL权限二、 通过表达式控制方法权限 一、通过表达式控制URL权限 二、 通过表达式控制方法权限 Spring Security中定义了四个支持使用表达式的注解,分别是@PreAuthorize、@PostAuthorize、@PreFilter和@PostFilter。其中前两者可以用来在方法调用前或者调用后进行权限检查,后两者可以用来对集合类型的参数或者返回值进行过滤。 这四个注解默认不生效 需要在securityconfuig加上: 1.@PreAuthori.
实现一个@PreAuthorize
03-09
@PreAuthorizeSpring Security 中的注解,用于在方法执行前进行权限验证。具体实现方式是在方法上添加 @PreAuthorize 注解,并指定需要验证的权限表达式。例如: @PreAuthorize("hasRole('ROLE_ADMIN')") public void delete(User user) { // 删除用户 } 这个方法只有在当前用户拥有 ROLE_ADMIN 角色时才能执行。如果当前用户没有该角色,则会抛出 AccessDeniedException 异常。 需要注意的是,@PreAuthorize 注解只能用于方法上,不能用于类上。如果需要对整个类进行权限验证,可以使用 @PreFilter 或 @PostFilter 注解。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值