Spring Security 中的 hasRole 和 hasAuthority 差异引发的思考及解决从数据库从查出来的ROLE对不上

最新推荐文章于 2024-04-07 22:08:08 发布
最新推荐文章于 2024-04-07 22:08:08 发布
阅读量704 收藏
点赞数 1
文章标签: spring boot maven java intellij-idea
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq1480371991/article/details/131306830
版权

参考Spring Security 4 中的 hasRole 和 hasAuthority 差异引发的思考_10Alexander01的博客-CSDN博客

        hasRole和 hasAuthority的底层实现方式是类似的,功能是一样的,hasRole和hasAuthority判断的都是有没有权限,区别就是hasRole对应的权限有前缀ROLE_,而hasAuthority没有。

        hasRole和hasAuthority的工作原理都是判断角色所拥有的权限有没有对应的字段,一般角色所拥有的权限从数据库中查出来,然后封装在user类中覆写的getAuthorities方法中,如下

@Override
public Collection<? extends GrantedAuthority> getAuthorities() {
    if(!ObjectUtils.isEmpty(this.authorities) && !ObjectUtils.isEmpty(this.roles)){
        Collection<GrantedAuthority> authoritylist = new ArrayList<GrantedAuthority>();
        for (Authority authority:this.authorities
        ) {
            if(!ObjectUtils.isEmpty(authority)){
                SimpleGrantedAuthority simpleGrantedAuthority = new SimpleGrantedAuthority(authority.getAuthorityName());
                authoritylist.add(simpleGrantedAuthority);
            }
        }
        for (String role : this.roles) {
            if(!ObjectUtils.isEmpty(role)){
                SimpleGrantedAuthority simpleGrantedAuthority = new SimpleGrantedAuthority(role);
                authoritylist.add(simpleGrantedAuthority);
            }
        }
        return authoritylist;
    }else{
        return null;
    }

}

Ovo?
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Spring Security使用数据库认证及用户密码加密和解密功能
08-24
主要介绍了Spring Security使用数据库认证及用户密码加密和解密,本文通过代码与截图的形式给大家介绍的非常详细,对大家的工作或学习具有一定的参考借鉴价值,需要的朋友可以参考下
Spring Security 4 hasRolehasAuthority 差异引发思考
Specif1c的博客
05-14 2653
前言: 在使用 Spring Security 的时候我们必然会使用到如下两种访问权限配置的一种: 第一种: http.authorizeRequests() .antMatchers("/root/**").hasAuthority("root") .antMatchers("/admin/**").hasAuthority("admin") .anyRequest().authenticated() 第二种: http.authorizeReq
Spring Security——10,其他权限校验方法
最新发布
weixin_42858422的博客
04-07 389
hasAuthority方法实际是执行到了SecurityExpressionRoot的hasAuthority,大家只要断点调试既可知道它内部的校验原理。这里我们先不急着去介绍这些方法,我们先去理解hasAuthority的原理,然后再去学习其他方法你就更。hasAnyAuthority方法可以传入多个权限,只有用户有其任意一个权限都可以访问对应资源。并且我们也可以选择定义校验方法,实现我们自己的校验逻辑。hasRole要求有对应的角色才可以访问,但是它内部会把我们传入的参数拼接上。
角色权限管理系统.doc
12-23
课程设计做的一个权限管理小系统实验报告,希望能够帮到大家。不足之处请大家多提意见~!
其它权限校验方法
Leon_Jinhai_Sun的博客
06-08 871
权限
Spring cloud Oauth2@PreAuthorize安全表达式hasRole、hasAnyRolehasAuthority区别
灰太狼
12-21 7230
使用授权时可以使用注解进行权限控制,比较常用的有hasRole,hasAnyRolehasAuthority 。 通过添加角色授权码: List<SysRole> sysRoleList = sysRoleService.listByUserId(userInfo.getId()); List<SimpleGrantedAuthority> authorities = new ArrayList<>(); sysRole..
SpringSecurity给用户授权,一个用户能同时拥有多种身份Role,及权限鉴权注解方法hasRolehasAuthority的使用区别
质量不太好的博客
03-13 9196
SpringSecurity给用户授权,一个用户能同时拥有多种身份Role
Spring Security 学习笔记
PengK_aha的博客
03-20 6314
一、基本原理 二、两个重要接口 三、web权限认证方式 3.1设置登录的用户名和密码 3.1.1 第一种方式:通过配置文件 3.1.2 第二种方式:通过配置类 1.新建SecurityConfig 配置类,继承 WebSecurityConfigurerAdapter 2.重写 configure(AuthenticationManagerBuilder auth)方法 package c...
SpringBoot整合SpringSecurity系列(8)-角色权限控制
TianXinCoord的博客
04-22 2812
文章目录一、角色权限判断二、内置权限判断2.1 hasAuthority(String)2.2 hasAnyAuthority(String ...)2.3 hasRole(String)2.4 hasAnyRole(String ...)2.5 hasIpAddress(String) 一、角色权限判断 除了内置权限控制外,Spring Security 还支持很多其他权限控制,这些方法一般都用于用户已经被认证后,判断用户是否具有特定的权限 例如登录微信之后,是否有权限发红包、发朋友圈等,后面的操作是
SpringBoot Security Oauth2角色及权限鉴权注解方法hasRolehasAuthority的使用区别
ipifei的博客
09-06 6993
SpringBoot Security Oauth2角色及权限鉴权注解方法hasRolehasAuthority的使用区别
hasRole hasAuthority 的区别与小坑
weixin_43763403的博客
05-12 2103
这两个方法本质上没什么区别只不过hasRole自动的将前面加上了ROLE_这个字符串,导致做权限判断的时候需要加上ROLE_。下面贴个代码理解理解。 //这里加上了ROLE_ 如果这里没加那么就变成了 user 权限和ROLE_user 权限做判断了 //这里是new 一个授权类型的对象 GrantedAuthority grantedAuthority1 = new SimpleGrantedAuthority("ROLE_user"); //我这里做判断的时候没加 ROLE_ 但是 hasRole
Spring Security 安全实例-数据库简单应用(用户从数据库获取)
03-24
Spring Security 安全实例-数据库简单应用(用户从数据库获取) 把简单的Spring Security实例的配置文件的用户信息放到数据库,从数据库调用用户信息的实现实例
Spring security基于数据库账户密码认证
08-24
主要介绍了Spring security基于数据库账户密码认证,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring Security 安全实例-数据库应用(用户从数据库获取) 2
03-24
Spring Security 安全实例-数据库应用(用户从数据库获取) 添加了从数据库获取用户信息、角色信息、用户权限信息
基于SpringbootSpring security的校园疫情防控系统源码+数据库.zip
11-29
基于SpringbootSpring security的校园疫情防控系统源码+数据库.zip基于SpringbootSpring security的校园疫情防控系统源码+数据库.zip基于SpringbootSpring security的校园疫情防控系统源码+数据库.zip基于...
spring-security关于hasRole的坑
fhzmWJ的博客
12-22 4747
.access(“hasRole(‘ROLE_USER’)”)如果用.hasRole(“ROLE_USER”)会报错。 org.springframework.beans.factory.BeanCreationException: Error creating bean with name ‘springSecurityFilterChain’ defined in class path resource [org/springframework/security/config/annotation/we
Spring-Security@PreAuthorize("hasAuthority('')")源码分析
热门推荐
cloud的博客
07-02 4万+
Spring-Security@PreAuthorize(“hasAuthority(’’)”)源码分析 @PreAuthorize(“hasAuthority(‘xxx’)”)用来鉴别当前登录用户所拥有的角色是否有xxx权限访问该接口。 点进去看看security是如何来鉴权的。 这里authority即为我们传入的权限,比如prod:create,接下来再看this.hasAnyAutho...
shiro授权过程
jasnet_u的博客
03-25 1368
一、授权的核心概念 授权,也就是权限认证或访问控制,即在应用控制谁能访问哪些资源 授权的核心要素: 1 用户,在shiro代表访问系统的任何客户端,即subject 2 角色,是权限的集合,或字符串值表示的一种能力。 3 权限,即操作资源的权利。比如访问某个页面,以及对某功能模块的添加、修改、删除、查看的权利 (http://shiro.apache.org/authorization.ht...
Spring SecurityhasAnyAuthority和hasAuthority的区别
weixin_46533227的博客
05-29 1654
hasAuthority可以与其他表达式结合使用,例如hasAuthority('ROLE_ADMIN') and hasIpAddress('192.168.1.0/24'),表示用户需要同时拥有"ROLE_ADMIN"权限和来自IP地址为"192.168.1.0/24"的请求才能访问被保护的资源。hasAnyAuthority可以判断多个权限,用逗号分隔,例如"ROLE_USER, ROLE_ADMIN",只要用户拥有其一个权限即可访问被保护的资源。如果用户拥有其一个权限,就可以访问该方法。
spring securityhasAuthority怎么进行实现
06-10
Spring Security,使用hasAuthority进行授权判断时,需要进行以下实现步骤: 1. 在Spring Security的配置文件配置授权信息: ``` @Configuration @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/admin/**").hasAuthority("ROLE_ADMIN") .antMatchers("/user/**").hasAuthority("ROLE_USER") .anyRequest().authenticated() .and() .formLogin().permitAll() .and().logout().permitAll(); } @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.inMemoryAuthentication() .withUser("admin").password("{noop}admin").authorities("ROLE_ADMIN") .and() .withUser("user").password("{noop}user").authorities("ROLE_USER"); } } ``` 在上述代码,我们通过`hasAuthority`方法来指定访问URL需要的权限,例如`/admin/**`需要`ROLE_ADMIN`权限,`/user/**`需要`ROLE_USER`权限。 2. 在认证过程为用户分配角色: 在上述代码,我们通过`AuthenticationManagerBuilder`的`inMemoryAuthentication`方法来定义了两个用户,并为他们分别分配了不同的角色。在实际应用,我们可以使用不同的认证方式来为用户分配角色,例如数据库认证、LDAP认证等方式。 以上就是使用`hasAuthority`进行授权判断的简单实现方式。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值