Security6.2 中的SpEL 表达式应用(权限注解使用)

已于 2024-02-20 22:22:06 修改
阅读量789 收藏 7
点赞数 19
分类专栏: springboot 文章标签: springboot security
于 2024-02-20 22:21:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_26818839/article/details/136199700
版权
文章介绍了如何在若依框架中,利用SpringSecurity的@PreAuthorize注解和自定义的CustomPermissionEvaluator,实现细粒度的权限控制,通过重写hasPermission方法来判断用户是否有特定操作权限。
摘要由CSDN通过智能技术生成

最近学习若依框架,里面的权限注解涉及到了SpEL表达式 @PreAuthorize("@ss.hasPermi('system:user:list')"),若依项目中用的是自己写的方法进行权限处理, 也可以只用security 来实现权限逻辑代码,下面写如何用security 实现。

security中  @PreAuthorize("hasPermission(Object target, Object permission)")  的hasPermission方法,是通过PermissionEvaluator实现,默认继承类是DenyAllPermissionEvaluator,所有方法返回false,所以注解后的结果只有拒绝权限;所以继承PermissionEvaluator重写hasPermission即可。

逻辑如下:

1、securityConfig文件上加入注解@EnableMethodSecurity,且引入自定义评估器:CustomPermissionEvaluator

2、编写CustomPermissionEvaluator文件

:security 6.2.1 中 EnableGlobalMethodSecurity 已弃用,改使用 EnableMethodSecurity 且prePostEnabled为ture,只需添加注解@EnableMethodSecurity 即可

package com.example.securityDemo.config;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.access.expression.method.DefaultMethodSecurityExpressionHandler;
import org.springframework.security.access.expression.method.MethodSecurityExpressionHandler;
import org.springframework.security.config.annotation.method.configuration.EnableMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.provisioning.InMemoryUserDetailsManager;
import org.springframework.security.web.SecurityFilterChain;

/**
 * @description: security配置类
 * @author: mml
 * @create: 2024/01/26
 */
@Configuration
@EnableWebSecurity
@EnableMethodSecurity
public class SecurityConfig {

    // 引入自定义评估器
    @Bean
    static MethodSecurityExpressionHandler methodSecurityExpressionHandler(CustomPermissionEvaluator permissionEvaluator) {
        DefaultMethodSecurityExpressionHandler handler = new DefaultMethodSecurityExpressionHandler();
        handler.setPermissionEvaluator(permissionEvaluator);
        return handler;
    }

    @Bean
    UserDetailsService userDetailsService(){
        UserDetails user = User.withDefaultPasswordEncoder()
                .username("mml")
                .password("123")
                .roles("USER")
                .authorities("system:user:update","system:user:list")
                .build();
        return new InMemoryUserDetailsManager(user);
    }


    /**
     * 是Spring Security 过滤器链,Spring Security 中的所有功能都是通过这个链来提供的
     * @date 2024/1/26
     */
    @Bean
    SecurityFilterChain securityFilterChain(HttpSecurity httpSecurity) throws Exception {
        // 拦截所有请求,但是不经过任何过滤器
//        return new DefaultSecurityFilterChain(new AntPathRequestMatcher("/**"));
        httpSecurity.authorizeHttpRequests(p -> p.anyRequest().authenticated())
                .csrf(c -> c.disable())
                .formLogin((form) -> form
                        .loginPage("/login")
                        .permitAll());
        return httpSecurity.build();

    }


}

自定义评估器代码

import org.springframework.security.access.PermissionEvaluator;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.stereotype.Component;
import org.springframework.util.AntPathMatcher;

import java.io.Serializable;
import java.util.Collection;

/**
 * @description: 自定义权限评估器
 * @author: mml
 * @create: 2024/02/17
 */
@Component
public class CustomPermissionEvaluator implements PermissionEvaluator {

    AntPathMatcher antPathMatcher = new AntPathMatcher();

    @Override
    public boolean hasPermission(Authentication authentication, Object targetDomainObject, Object permission) {
        // 获取当前用户的角色
        Collection<? extends GrantedAuthority> authorities = authentication.getAuthorities();
        for (GrantedAuthority authority : authorities) {
            // 权限判断
            if (antPathMatcher.match(authority.getAuthority(), (String) permission)){
                // 说明有权限
                return true;
            }
        }
        return false;
    }

    @Override
    public boolean hasPermission(Authentication authentication, Serializable targetId, String targetType, Object permission) {
        return false;
    }
}

接口层:

@RestController
public class UserController {

    @RequestMapping("/list")
    @PreAuthorize("hasPermission('/list','system:user:list')")
    public String list() {
        return "get list ";
    }

    @RequestMapping("/add")
    @PreAuthorize("hasPermission('/add','system:user:add')")
    public String add() {
        return "post add ";
    }
}

可以使用postman测试

测试结果如下:

list-有权限

add 方法-没有权限

security参考链接:方法安全 :: Spring Security

慢慢来_
关注
  • 19
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springsecurity6配置二
程序猿的傻白甜
11-24 725
一、springsecurity6自定义认证异常处理器。二、JWT认证过滤器配置。
如何使用SpEL表达式实现动态分表查询
08-25
SpEL(Spring Expression Language)是Spring框架提供的一种表达式语言,用于在Java应用程序实现动态计算和表达式计算。SpEL提供了强大的表达式语言,可以在Java应用程序实现复杂的逻辑计算和数据处理。 使用...
java evaluator 需要引用哪个类_java – 为什么我的自定义PermissionEvaluator没有被调用?...
weixin_31570865的博客
03-06 271
我正在努力使用我的Spring Security配置,到目前为止我无法使其工作.我不知道为什么我的自定义PermissionEvaluator没有被调用,我的@PreAuthorize注释使用hasPermission表达式被忽略.我正在使用Spring 4.2.4和Spring security 4.1.0她是我的代码:网络安全配置@Configuration@EnableWebSecurity...
Spring Security 常用的 SpEL 表达式
最新发布
2401_85480529的博客
06-05 207
可以是一个权限字符串,也可以是一个 SpEL 表达式,用于动态计算权限。:要求用户进行完全认证,即不允许使用 Remember-Me 记住我功能。:检查当前用户是否是通过 Remember-Me 记住我功能进行认证的。:检查当前用户是否具有给定权限列表的任何一个权限。:检查当前用户是否具有给定角色列表的任何一个角色。:拒绝所有用户访问,即不允许任何用户访问。:允许所有用户访问,即无需任何权限。:检查当前用户是否已经进行了认证。:检查当前用户是否具有指定权限。:检查当前用户是否是匿名用户。
Security6:查看授予的权限
weixin_34247155的博客
11-28 103
在SQL Server的安全体系权限分为服务器级别(Server-Level)和数据库级别(Database-Level),用户的权限分为两种形式,分别是直接授予的权限,以及由于加入角色而获得的权限。在安全体系,授予权限涉及到有三种对象,分别是权限Permission)、安全主体(Principal)和安全对象(Securable),授予权限的...
快速学习安全框架 Springsecurity最新版(6.2)--用户授权模块
qq_55272229的博客
02-22 1692
上一节Springsecurity 用户认证Springsecurity 拥有强大的认证和授权功能并且非常灵活,,一来说我们都i有以下需求可以帮助应用程序实现以下两种常见的授权需求:用户-权限-资源:例如张三的权限是添加用户、查看用户列表,李四的权限是查看用户列表用户-角色-权限-资源:例如 张三是角色是管理员、李四的角色是普通用户,管理员能做所有操作,普通用户只能查看信息“Auth” 表示 “授权” Authorization“O” 是 Open 的简称,表示 “开放”连在一起就表示。
快速学习springsecurity最新版 (版本6.2)---用户认证
qq_55272229的博客
02-21 2138
​是 Spring 家族的一个安全管理框架。目前比较主流的是另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富,但是shiro并不简便,这里轻量级安全框架更推荐国产安全框架satokensatoken官网​ 一般大型的项目都是使用来做安全框架。这些安全框架主要的内容包含以下功能模块​ 一般Web应用的需要进行认证和授权。​认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户比如:购买东西前需要登录 ,预约前需要登录认证个人信息​。
Spring spel表达式使用方法示例
08-29
Spring spel表达式是一种功能强大且灵活的表达式语言,它允许开发者在Spring应用程序使用表达式来实现复杂的逻辑操作。 Spring spel表达式可以用于引用bean、调用方法、计算表达式的值、正则表达式的匹配、集合的...
Spring组件开发模式支持SPEL表达式
08-26
Spring框架作为Java企业级应用程序的主流框架,提供了强大的组件开发模式,支持SPEL(Spring Expression Language)表达式,使得开发者能够更加灵活地使用表达式来实现业务逻辑。本文将详细介绍Spring组件开发模式...
Spring_SpEl表达式使用用例
09-13
Spring允许在配置使用SpEL表达式作为占位符,如`@Value("#{systemProperties['java.version']}")`,这将注入Java版本号到bean的属性。 7. **T()和P()函数** `T()`函数用于引入类型,如`T(java.util.Date)`...
Spring实战之Bean定义SpEL表达式语言支持操作示例
08-25
主要介绍了Spring实战之Bean定义SpEL表达式语言支持操作,结合实例形式分析了Bean定义SpEL表达式语言操作步骤与实现技巧,需要的朋友可以参考下
spring 权限PermissionEvaluator
Alice_whj的博客
03-18 2936
Spring Security——基于表达式权限控制 Spring Security允许我们在定义URL访问或方法访问所应有的权限使用Spring EL表达式,在定义所需的访问权限时如果对应的表达式返回结果为true则表示拥有对应的权限,反之则无。 通过表达式控制方法权限 Spring Security定义了四个支持使用表达式注解,分别是@PreAuthorize、@PostAuthor...
新版Spring Security6.2架构 (一)
喝醉的鱼博客
12-09 3670
新版Springsecurity6.2架构介绍
Spring Security
g474928663的博客
09-20 182
<title>登录</title><style></style>
新版Spring Security6.2架构 (三) - Authorization
喝醉的鱼博客
12-11 2285
新版Spring security 6.2,官网文档Authorization翻译和一点点个人修改
新版Spring Security6.2案例 - Basic HTTP Authentication
喝醉的鱼博客
12-13 2070
新版Sprint security 6.2,翻译官网basic http authentication以及小案例
新版Spring Security6.2架构 (二) - Authentication
喝醉的鱼博客
12-10 1745
Spring Security 6.2新版本架构,翻译官网文档和个人理解
新版Spring Security6.2案例 - Authentication用户名密码
喝醉的鱼博客
12-12 3999
新版Spring Security6.2案例 - Authentication用户名密码表单登录
spEl表达式可以使用静态属性吗
06-08
是的,SpEL表达式可以使用静态属性。你可以使用T()操作符来访问任何类的静态属性或方法。T()操作符后面跟随的是类名,然后使用.来访问静态属性或方法。例如,你可以使用以下方式来获取Math类的PI常量: ``` #{T(java.lang.Math).PI} ``` 在这个表达式,T()操作符表示访问一个类,后面的java.lang.Math表示要访问的类,然后使用.操作符来访问该类的PI常量。 你还可以使用常量类来访问静态属性。例如,如果你有一个名为com.example.Constants的常量类,并且该类具有一个名为MY_CONSTANT的静态属性,则可以使用以下方式来访问该属性: ``` #{T(com.example.Constants).MY_CONSTANT} ``` 在这个表达式,T()操作符表示访问一个类,后面的com.example.Constants表示要访问的常量类,然后使用.操作符来访问该类的MY_CONSTANT属性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值