SpringSecurity配置及注解说明

最新推荐文章于 2024-04-28 16:42:19 发布
最新推荐文章于 2024-04-28 16:42:19 发布
阅读量1.1k 收藏 5
点赞数
分类专栏: Spring Security 文章标签: java 开发语言 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/magicproblem/article/details/120959182
版权

一、配置准备

1、引入相关pom.xml
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
            <version>2.0.4.RELEASE</version>
        </dependency>
2、实现UserDetailsService,自定义赋予角色权限
//1、实现UserDetailsService接口
@Service("userDetailsService")
public class MyUserDetailsService implements UserDetailsService {
    //实现了mybatis-plus的BaseMapper
    @Autowired
    UsersMapper usersMapper;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        //2、在其中实现方法中写入用户的验证逻辑
        //权限不能为空,一般是从数据库中读
        //当用通过角色判断是否可以访问该页面时则需要给角色的名前+‘ROLE_’
        List<GrantedAuthority> auths = AuthorityUtils.commaSeparatedStringToAuthorityList("admin2,admin,manager,ROLE_admin");
		//Users是自定义的实体类
        QueryWrapper<Users> wrapper = new QueryWrapper<>();
        //条件
        wrapper.eq("username",username);
        //从数据库中查询用户
        Users users = usersMapper.selectOne(wrapper);

        if(users == null){
            throw new UsernameNotFoundException("用户名未找到");
        }

        return new User(users.getUsername(),new BCryptPasswordEncoder().encode(users.getPassword()),auths);
    }
}
3、SpringSecurity基础配置
@Configuration
@ComponentScan("com.security.securitydemo.entity")
public class SecurityConfigTest extends WebSecurityConfigurerAdapter {

    @Autowired
    private UserDetailsService userDetailsService;

    //1、配置数据源
    @Autowired
    private DataSource dataSource;
    //配置PersistentTokenRepository,该类用于配置token数据的处理方式
    //1、JdbcTokenRepositoryImpl 将token数据持久化(通过数据保存token)
    //2、InMemoryTokenRepositoryImpl 将token数据存在内存中
    @Bean
    public PersistentTokenRepository persistentTokenRepository(){
        JdbcTokenRepositoryImpl jdbcTokenRepository = new JdbcTokenRepositoryImpl();
        //配置数据源
        jdbcTokenRepository.setDataSource(dataSource);
        //自动生成存储token的表
        //jdbcTokenRepository.setCreateTableOnStartup(true);
        return jdbcTokenRepository;
    }

    public void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService).passwordEncoder(encoder());
    }
     /**
     * 配置页面访问权限及登录退出页面跳转,可根据自己的情况进行配置
     * @param httpSecurity
     * @throws Exception
     */
    public void configure(HttpSecurity httpSecurity) throws Exception {
//        httpSecurity.exceptionHandling().accessDeniedPage("/403");   /* 配置没有权限访问条状自定义页面 */
        //用户登录
        httpSecurity.formLogin()    /* 自定义自己编写的登录界面 */
                .loginPage("/login")   /* 登录页面设置 */
                .loginProcessingUrl("/user/login")  /* 登录访问路径 */
                .defaultSuccessUrl("/success")    /* 登陆成功后跳转路径 */
                .failureForwardUrl("/fail").permitAll()     /* 登陆失败跳转页面 */
                //权限设置
                .and().authorizeRequests()  /* 指定哪些url可以访问,那些不能访问 */
                .antMatchers("/test/index","/user/login").permitAll()    /* 设置那些路径不需要认证可以访问 */
                .antMatchers("/test/hello").hasAnyRole("admin")   /* 跟具已有角色判断是否可以访问这个页面 */
//                .antMatchers("/test/hello").hasRole("manager")     /* 跟具已有角色判断是否可以访问这个页面 */
//                .antMatchers("/test/hello").hasAnyAuthority("admin","manager") /* 只要有拥有其中一个权限即可访问这个页面 */
//                .antMatchers("/test/hello").hasAuthority("admin")    /* 当前用户登录只有具有admin权限才可以访问这个路径 */
                .anyRequest().authenticated()   /* 所有请求都可以访问 */
                //token配置
                .and().rememberMe().tokenRepository(persistentTokenRepository())    /* 2、设置PersistentTokenRepository */
                .tokenValiditySeconds(60)   /* 设置有效时长,单位秒 */
                .userDetailsService(userDetailsService);
                //.and().csrf().disable();     /* 关闭csrf防护 */
        //用户注销
        httpSecurity.logout()
                .logoutUrl("/logout")   /* 注销访问路劲 */
                .logoutSuccessUrl("/test/index").permitAll();   /* 注销成功跳转路径 */

    }
    
    @Bean
    public PasswordEncoder encoder(){
        return new BCryptPasswordEncoder();
    }
}
4、写好自己的登录页面及登录接口
@Controller
public class LoginController {
    @RequestMapping("/login")
    public String login(){
        return "login";
    }
    @RequestMapping("/success")
    public String success(){
        return "success";
    }
    @RequestMapping("/fail")
    public String fail(){
        return "fail";
    }
    @RequestMapping("/logout")
    public String logout(){
        return "login";
    }
}
5、写好用于测试的接口
@Controller
@RequestMapping("/test")
@EnableGlobalMethodSecurity(securedEnabled=true,prePostEnabled=true,jsr250Enabled = true)        /* 开启security注解 */
public class TestController {
    /**
     * @Secured 验证是否有其中一个角色,有才能调用该方法
     * @return
     */
    @Secured({"ROLE_manage","ROLE_admin"})  /* 只要拥有manage或admin其中一个角色就可以使用这个方法 */
    @RequestMapping("testSecured")
    @ResponseBody
    public String testSecured(){
        System.out.println("testSecured.....");
        return "testSecured ok";
    }

    /**
     * @RolesAllowed 验证是否有其中角色
     * 该注解需要开启jsr250Enabled
     * @return
     */
    @RolesAllowed({"ROLE_manage","ROLE_admin"})
    @RequestMapping("testRolesAllowed")
    @ResponseBody
    public String testRolesAllowed() {
        System.out.println("testRolesAllowed.....");
        return "testRolesAllowed ok";
    }

    /**
     * @PreAuthorize 在方法执行前进行权限验证
     * 在其中还可以使用其他的验证防范例如hasRole等
     * 这里是验证当前用户是否有admin权限
     * @return
     */
    @RequestMapping("testPreAuthorize")
    @ResponseBody
    @PreAuthorize("hasAnyAuthority('admin')")   /* 在方法调用之前验证是否有admin权限,没有则无法调用该方法 */
    public String testPreAuthorize(){
        System.out.println("PreAuthorize......");
        return "PreAuthorize ok";
    }

    /**
     * @PostAuthorize 在方法执行后再进行权限验证
     * 可以使用内置的表达式returnObject表示方法的返回值
     * @return
     */
    @PostAuthorize("returnObject.equals('PostAuthorize ok')")   /* 在方法执行后再进行权限验证,适合验证带有返回值的权限 */
    @RequestMapping("testPostAuthorize")
    @ResponseBody
    public String testPostAuthorize(){
        System.out.println("PostAuthorize......");
        return "PostAuthorize ok";
    }

    /**
     * @PostFilter 过滤返回的结果
     * 这里指的是只返回username为zhangsan的内容
     * @return
     */
    @PreAuthorize("hasAnyAuthority('admin')")
    @PostFilter("filterObject.username == 'zhansan'")    /* 如果有权限满足条件则过滤响应结果 */
    @ResponseBody
    @RequestMapping("testPostFilter")
    public List<Users> testPostFilter(){
        List<Users> list = new ArrayList<>();
        list.add(new Users(1,"zhansan","123"));
        list.add(new Users(2,"lisi","123"));
        System.out.println(list);
        return list;    //[{"id":1,"username":"zhansan","password":"123"}]
    }

    /**
     * @PreFilter 过滤的是传进来的参数
     * 这里指传进来Users列表中Users的id>2才能被传进来
     * @param list1
     * @return
     */
    @RequestMapping("testPreFilter")
    @PreAuthorize("hasAnyAuthority('admin')")
    @PreFilter(value = "filterObject.id %2 == 0")   /* 满足条件,对于参数数据进行过滤处理 */
    @ResponseBody
    public List<Users> testPreFilter(List<Users> list1){
        List<Users> list2 = new ArrayList<>();
        list2.add(new Users(10,"十","12345"));
        list1.addAll(list2);
        return list1;
    }
}

二、注解说明

在使用springsecurity注解之前需要在类上开启springsecurity的注解

@EnableGlobalMethodSecurity(securedEnabled=true,prePostEnabled=true,jsr250Enabled = true)        /* 开启security注解 */

权限均参照以上我在MyUserDetailsService中配置的权限,及以上在接口配置的注解

List<GrantedAuthority> auths = AuthorityUtils.commaSeparatedStringToAuthorityList("admin2,admin,manager,ROLE_admin");
1、@Secured

验证是否有其中的一个角色,有才能调用该接口
注意:在使用该接口前必须在 @EnableGlobalMethodSecurity 注解中添加securedEnabled=true才能使该注解生效

@Secured({"ROLE_manage","ROLE_admin"})

演示效果
在这里插入图片描述

2、@RolesAllowed

类似于@Secured 验证是否有其中的一个角色,有才能调用该接口
注意:该注解需要开启jsr250Enabled

@RolesAllowed({"ROLE_manage","ROLE_admin"})

演示效果
在这里插入图片描述

3、@PreAuthorize

注意:该注解需要开启prePostEnabled=true
在方法执行前进行权限验证,主要是配合以下的验证方法对用户进行权限验证
hasRole(“manager”)、hasAnyAuthority(“admin”,“manager”)、hasAuthority(“admin”)、hasAnyRole(“admin”)

@PreAuthorize("hasAnyAuthority('admin')")

演示效果
在这里插入图片描述

4、@PostAuthorize

注意:该注解需要开启prePostEnabled=true
在方法执行后对返回值进行权限验证
可以使用内置的表达式returnObject表示方法的返回值

以下演示返回值均是之前代码的返回值,这里的返回值是PostAuthorize ok

@PostAuthorize("returnObject.equals('PostAuthorize ok')")

演示效果
在这里插入图片描述

@PostAuthorize("returnObject.equals('PostAuthorize no')")

演示效果(该页面为自定义的403无权限提示页面)
在这里插入图片描述

5、@PostFilter

过滤返回的结果
filterObject是执行过滤操作的内置对象。

@PostFilter("filterObject.username == 'zhansan'") 	//这里指的是只返回username为zhangsan的内容

演示效果
返回全部内容如下所示

    public List<Users> testPostFilter(){
        List<Users> list = new ArrayList<>();
        list.add(new Users(1,"zhansan","123"));
        list.add(new Users(2,"lisi","123"));
        System.out.println(list);
        return list;    //[{"id":1,"username":"zhansan","password":"123"}]
    }

在这里插入图片描述

6、@PreFilter

过滤的是传进来的参数
filterObject是执行过滤操作的内置对象。

后续补充。。。。。

magicproblem
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring-boot mybaits spring security redis整合
05-14
主要功能如下: ===== 1、数据库 ====== Druid数据库连接池,监控数据库访问性能,详细统计SQL的执行性能,这对于线上分析数据库访问性能有帮助。 数据库密码加密。 2、持久层 ====== mybatis持久化,PageHelper分页。Transtraction注解Jta事务。 3、MVC ====== 基于spring mvc注解。Exception统一管理。 spring security权限管理。 aop日志记录。 4、调度 ====== Spring task, 可以查询已经注册的任务。立即执行一次任务。 5、缓存和Session =========== 注解redis缓存数据,Spring-session和redis实现分布式session同步(建议按功能模块划分系统)。 6、日志 =========== logback打印日志,业务日志和调试日志分开打印。同时基于时间和文件大小分割日志文件。 9、项目构建 =========== mybatis generator生成mybatis映射文件。 请先安装eclipse mybatis-generator插件。 10、其它 =========== >####说明:启动项目前请安装Redis,并启动服务,系统中均使用默认配置。 打war包:(dev、test、prod)指定配置文件 mvn clean package -Dmaven.test.skip=true -P test
SpringSecurity入门、注解配置
qq_45889221的博客
04-19 503
SpringSecurity Web安全方面的两个主要区域“用户认证(Authentication)”,“用户授权(Authorization)” 1、SpringSecurity特点: 和spring无缝整合 全面的权限控制 专门为web开发而设计 旧版本不能脱离web环境使用 新版本对整个框架进行了分层抽取,分成了核心模块和web模块,单独引入核心模块就可以脱离web环境 重量级 2、Shiro特点 轻量级,针对对性能有更高要求的互联网应用有更好的表现 通用性 好处:不局限与web环境 缺
五分钟带你玩转SpringSecurity(四)配置全解析,Java小程序开发实例
jixuczy的博客
03-22 915
外链图片转存中…(img-XTj0xCIw-1711097525180)]
Spring——Security安全框架之注解使用
专注写bug
02-23 5279
文章目录前言本次测试注解介绍注解使用@Secured@PreAuthorize@PostAuthorize@PostFilter@PreFilter代码下载 前言 之前security中,针对配置项进行了相关的配置和测试。 但是这些都是基于在security.config.MyConfig#configure(org.springframework.security.config.annotation.web.builders.HttpSecurity)中进行对应请求的权限限制。 如果是多个请求,各个有
SpringSecurity注解讲解
上善若泪
09-08 541
test:是一个注册在Spring容器中的Bean,对应的类是 cn.test.PermissionService;是类中定义的方法;当Spring EL 表达式返回TRUE,则权限校验通过;
Spring Security
wang2963973852的博客
02-09 874
Spring提供了安全验证框架Spring Security Spring Security是基于spring的应用程序提供声明式安全保护的安全性框架,它提供了完整的安全性解决方案,能够在web请求级别和方法调用级别处理身份证验证和授权.它充分使用了依赖注入和面向切面的技术 Spring security主要是从两个方面解决安全性问题: web请求级别、方法调用级别
5.Spring Security安全注解
相互学习 共同进步
04-24 863
Spring Security默认是禁用注解的,要想开启注解,需要在继承WebSecurityConfigurerAdapter的类上加@EnableGlobalMethodSecurity注解,并在该类中将AuthenticationManager定义为Bean如果要启用基于注解的方法安全性,要在配置类上使用**@EnableGlobalMethodSecurity**设置了securedEnabled = true,此时Spring将会创建一个切点,并将带有@Secured注解的方法防入切面中。
SpringBoot3】Spring Security 常用注解
不积跬步无以至千里,不积小流无以成江海。一个喜欢学习分享的程序员
02-19 1267
Spring Security 6 的常用注解包括以下几种,通过这些注解可以更加方便的控制资源权限。 - `@Secured` :方法执行前检查,直接判断有没有对应的角色 - `@PreAuthorize`:方法执行前检查,根据SpEL表达式执行结果判断是否授权 - `@PostAuthorize`:方法执行后检查,根据SpEL表达式执行结果判断是否授权
SpringSecurity常见注解的使用
Kk_Chosen1的博客
08-21 1542
方法级别的权限认证,只有被该注解指定的角色才能访问该方法使用该注解需要开启注解功能,在配置类或者启动类上添加在controller方法上添加@Secured注解此时如果不是这两个角色其中之一访问请求将被拒绝。
springsecurity的各种注解详解
lzh657083979的博客
02-17 3411
@Configuration和@Bean@Configuration写在类上,相当于把这个类声明了一个xml文件,然后用@Bean来声明方法。方法一般返回的都是类的实例。意思是相当于xml文件中声明的bean。 参考链接:http://blog.csdn.net/vvhesj/article/details/47661001@EnableGlobalMethodSecurity参考链接:http:
spring security 权限(注解)
ProGram_BlackCat的博客
05-14 4873
写在前边整理的知识点都是从其他博客中来,如有侵权,立删! 参考:https://blog.csdn.net/qq_32867467/article/details/103097190 正题: Spring Security 默认是禁用注解的,要想开启注解,要在继承 WebSecurityConfigurerAdapter 的类加 @EnableMethodSecurity 注解,并在该类中将 AuthenticationManager 定义为 Bean。 @Configuration @EnableWeb
Spring security实现登陆和权限角色控制
01-21
 1、spring版本:4.3.2.RELEASE+spring security 版本:4.1.2.RELEASE(其它不做说明)  2、所展示内容全部用注解配置  3、springmvc已经配置好,不作说明  4、会涉及到springmvc,spel,el的东西,不熟悉的同学...
基于Springboot+Mybatis+ SpringMvc+springsecrity+Redis完整网站后台管理系统
10-31
spring security注解式的权限管理 动态配置权限,角色和资源,权限控制到按钮粒度 采用token进行权限校验,禁用session,未登录返回401,权限不足返回403 采用redis存储token及权限信息 内置功能: 用户管理...
spring boot 实践学习案例,与其它组件整合
09-18
- Spring Boot 数据库操作,包括SpringJDBC、JPA、Mybatis注解版 & XML版、MongoDB。其中,每个版本都有其对应的多数据源解决方案。 - springboot-caches - Spring Boot 缓存,包括redis、ehcache、spring-cache...
Spring Cloud Finchley SR2全套(集成Spring Gateway)
04-18
项目说明 该项目是一个典型的由Spring Cloud管理的微服务项目,主要包括如下模块 micro-service-cloud─────────────────顶层项目 ├──cloud-service-core───────────────基础...
java方法重写(重点讲),方法重载
weixin_46281068的博客
04-27 970
一、方法重载定义:一个类中,出现多个方法的名称相同,但是它们的形参列表是不同的,那么这些方法就称为方法重载了。注意:一个类中,只要一些方法的名称相同、形参列表不同,那么它们就是方法重载了,其它的都不管(如:修饰符,返回值类型是否一样都无所谓)。形参列表不同指的是:形参的个数、类型、顺序不同,不关心形参的名称。应用场景:开发中我们经常需要为处理一类业务,提供多种解决方案,此时用方法重载来设计是很专业的。
Day25-Java基础之常用类1
m0_46053885的博客
04-27 925
同时我们发现Math类中的方法都是静态的,因此在使用的时候我们可以直接通过类名去调用。对于计算机而言,其实是没有数据类型的概念的,都是0101010101,数据类型是编程语言自己规定的,所以在实际存储的时候,先把具体的数字变成二进制,每32个bit为一组,存储在数组中。比较内存地址值一般情况下是没有意义的,我们希望比较的是对象的属性,如果两个对象的属性相同,我们认为就是同一个对象;如果我们的数据是一个浮点类型的数据,有的时候计算机并不会将这个数据完全转换成一个二进制数据,而是将这个将其转换成一个无限的。
Lambda表达式特点
weixin_57763462的博客
04-24 892
**API 设计**:Lambda 表达式鼓励使用函数式接口的设计模式,这改变了 Java 库的设计,例如 `java.util.function` 包下的一系列函数式接口。- **函数式编程**:Lambda 表达式引入了函数式编程的理念,使得 Java 更接近于函数式编程语言,如 Scala 和 Clojure。- **并发编程**:Lambda 表达式与 Java 8 新增的 Stream API 结合使用,可以简化并发编程,特别是与集合的操作相关。
Java解决最长公共前缀
最新发布
无人罪的博客
04-28 243
编写一个函数来查找字符串数组中的最长公共前缀。如果不存在公共前缀,返回空字符串""。
Spring Security文档
09-07
Spring Security文档包含了Spring Security框架的详细说明和指南。它是开发人员使用Spring Security进行应用程序安全性配置和集成的重要参考资源。在Spring Security的内部,有一个间接层被称为DelegatingFilterProxy,它通常作为一个过滤器安装在Spring Security容器中。这个间接层最后委托FilterChainProxy在Spring容器中进行注册,并且名字必须是springSecurityFilterChain。 过去,Spring Security OAuth是用于支持OAuth 2.0的库,但现在已经不推荐使用了。官方提供了一个迁移指南,以便开发人员能够使用Spring Security来支持最新的OAuth 2.0。 在使用Spring Security配置的WebSecurityConfig类中,我们可以使用@EnableWebSecurity注解来提供Spring Security的支持,并与@Configuration注解配合使用,以构建一个Spring Security配置Spring Security官方文档提供了中文版,可以作为一个专业的参考资源,帮助开发人员更好地理解和使用Spring Security框架。<span class="em">1</span><span class="em">2</span><span class="em">3</span><span class="em">4</span>

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值