security安全表达式介绍

最新推荐文章于 2024-06-05 13:58:51 发布
最新推荐文章于 2024-06-05 13:58:51 发布
阅读量1k 收藏 2
点赞数
分类专栏: 核心知识点 Spring Security 文章标签: 安全 web安全 系统安全 安全架构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31960623/article/details/120991051
版权

本文来说下security安全表达式

文章目录

概述

让我们开始看安全表达式

  • 有角色,有任何角色
  • hasAuthority , hasAnyAuthority
  • 全部允许,全部拒绝
  • isAnonymous , isRememberMe , isAuthenticated , isFullyAuthenticated
  • 主体,认证
  • 拥有权限

现在让我们详细介绍其中的每一个。

hasRole, hasAnyRole

让我们看一下这个例子:

@Override
protected void configure(final HttpSecurity http) throws Exception {
    ...
    .antMatchers("/auth/admin/*").hasRole("ADMIN")
    .antMatchers("/auth/*").hasAnyRole("ADMIN","USER")
    ...
}

在此示例中,我们指定对以/auth/开头的所有链接的访问权限仅限于以角色USER或角色ADMIN登录的用户。此外,要访问以/auth/admin/开头的链接,我们需要在系统中具有ADMIN角色。

hasAuthority, hasAnyAuthority

Spring 中的角色和权限是相似的。

主要区别在于,角色具有特殊的语义——从 Spring Security 4 开始,任何与角色相关的方法都会自动添加“ ROLE_ ”前缀(如果它还没有)。

所以hasAuthority(‘ROLE_ADMIN’)类似于hasRole(‘ADMIN’)因为’ ROLE_ '前缀是自动添加的。

但是使用权限的好处是我们根本不必使用ROLE_前缀

这是我们定义具有特定权限的用户的快速示例:

@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {

    auth.inMemoryAuthentication()
      .withUser("user1").password(encoder().encode("user1Pass"))
      .authorities("USER")
      .and().withUser("admin").password(encoder().encode("adminPass"))
      .authorities("ADMIN");
}

然后我们当然可以使用这些权限表达式:

@Override
protected void configure(final HttpSecurity http) throws Exception {
    ...
    .antMatchers("/auth/admin/*").hasAuthority("ADMIN")
    .antMatchers("/auth/*").hasAnyAuthority("ADMIN", "USER")
    ...
}

正如我们所看到的 - 我们在这里根本没有提到角色。此外,从 Spring 5 开始,我们需要一个 PasswordEncoder bean:

@Bean
public PasswordEncoder passwordEncoder() {
    return new BCryptPasswordEncoder();
}

全部允许,全部拒绝

这两个注释也很简单。我们可能会允许访问我们服务中的某些 URL,或者我们可能会拒绝访问。

让我们看一下这个例子:

...
.antMatchers("/*").permitAll()
...

使用此配置,我们将授权所有用户(匿名和登录)访问以“/”开头的页面(例如,我们的主页)。

我们还可以拒绝访问我们的整个 URL 空间:

...
.antMatchers("/*").denyAll()
...

isAnonymous, isRememberMe, isAuthenticated, isFullyAuthenticated

在本小节中,我们关注与用户登录状态相关的表达式。让我们从没有登录我们页面的用户开始。通过在 Java 配置中指定以下内容,我们允许所有未经授权的用户访问我们的主页:

...
.antMatchers("/*").anonymous()
...

如果我们想保护每个使用它的人都需要登录的网站,我们需要使用isAuthenticated()方法:

...
.antMatchers("/*").authenticated()
...

此外,我们还有两个额外的表达式,isRememberMe()和isFullyAuthenticated()。通过使用 cookie,Spring 启用了记住我的功能,因此无需每次都登录系统。您可以在此处阅读有关“记住我”的更多信息。

为了向仅通过记住我功能登录的用户提供访问权限,我们可以使用:

...
.antMatchers("/*").rememberMe()
...

最后,即使用户已经登录,我们服务的某些部分也要求用户再次进行身份验证。例如,用户想要更改设置或付款信息;在系统的更敏感区域要求手动身份验证当然是一种很好的做法。

为此,我们可以指定isFullyAuthenticated(),如果用户不是匿名用户或记住我的用户,则返回true:

...
.antMatchers("/*").fullyAuthenticated()
...

主体,身份验证

这些表达式允许分别从SecurityContext访问代表当前授权(或匿名)用户的主体对象和当前Authentication对象。

例如,我们可以使用principal加载用户的电子邮件、头像或登录用户可访问的任何其他数据。

和认证提供了有关的全部信息验证对象,其授予的权限一起。

hasPermission API

此表达式已记录并旨在在表达式系统和 Spring Security 的 ACL 系统之间架起桥梁,允许我们根据抽象权限指定对单个域对象的授权约束。

让我们看一个例子。我们有一项服务,允许与主编合作撰写文章,决定应该发表其他作者提出的哪篇文章。

为了允许使用此类服务​​,我们可能会创建以下具有访问控制方法的方法:

@PreAuthorize("hasPermission(#articleId, 'isEditor')")
public void acceptArticle(Article article) {}

只有经过授权的用户才能调用此方法,并且用户需要在服务中拥有isEditor权限。

wh柒八九
关注
专栏目录
SpringSecurity表达式
yanshendeyinji的博客
10-20 331
1前提配置: 或xml方式 2web安全表达式 (1) hasRole, hasAnyRole (2) hasAuthority, hasAnyAuthority (3)permitAll, denyAll (4) isAnonymous, isRememberMe, isAuthenticated, isFullyAuthenticated (5) principal, authentication (6) hasPermission 3这些表达式负责定义对应用程序中特定URL或方法的访问控制或授权
hasRole hasAuthority 的区别与小坑
weixin_43763403的博客
05-12 2151
这两个方法本质上没什么区别只不过hasRole自动的将前面加上了ROLE_这个字符串,导致做权限判断的时候需要加上ROLE_。下面贴个代码理解理解。 //这里加上了ROLE_ 如果这里没加那么就变成了 user 权限和ROLE_user 权限做判断了 //这里是new 一个授权类型的对象 GrantedAuthority grantedAuthority1 = new SimpleGrantedAuthority("ROLE_user"); //我这里做判断的时候没加 ROLE_ 但是 hasRole
Spring——Security安全框架之权限限定
专注写bug
02-22 2298
文章目录前言基于角色或权限进行访问控制hasAuthority 方法(单个权限)测试hasAnyAuthority 方法(多个权限)测试hasRole 方法(一个权限)测试异常测试hasAnyRole 方法(多个)测试loadUserByUsername中传递多个权限代码下载 前言 上一篇博客Security安全框架针对请求追加限制中,针对 部分请求 增加了 登录验证 。 只要是登录成功,就能访问被限制的请求。 但是,这种模式肯定是不够用的。 比如:淘宝商品页面。商家可以修改商品价格,但顾客只能看和购
Spring Security 中的 hasRole 和 hasAuthority 差异引发的思考及解决从数据库从查出来的ROLE对不上
qq1480371991的博客
06-20 817
hasRole和 hasAuthority的底层实现方式是类似的,功能是一样的,hasRole和hasAuthority判断的都是有没有权限,区别就是hasRole对应的权限有前缀ROLE_,而hasAuthority没有。hasRole和hasAuthority的工作原理都是判断角色所拥有的权限有没有对应的字段,一般角色所拥有的权限从数据库中查出来,然后封装在user类中覆写的getAuthorities方法中,如下。
【Spring Security安全框架学习(十二)
Jerry‘s word
09-06 1785
这个就是我们之前在filter中存入到holder当中的对象,即UsernamePasswordAuthenticationToken,可以知道这里userAuthorities拿到了我们的权限对象,最终就调用到了我们自己在LoginUser类中重写的方法里去。但是回到hasAnyAuthorityName 方法中,传进去的prefix前缀的值实际上是null,也就是说实际上并没有做一个拼接,没有前缀,最终的结果也就是原本的字符串。但是我们并不用关心它在内部的调用链路,只需要关注核心的实现代码就可以了。
SpringSecurity给用户授权,一个用户能同时拥有多种身份Role,及权限鉴权注解方法hasRole及hasAuthority的使用区别
质量不太好的博客
03-13 9449
SpringSecurity给用户授权,一个用户能同时拥有多种身份Role
springSecurity基于表达式鉴权
jamesluozhiwei的博客
07-11 1861
文章目录前言常见的表达式URL安全表达式Web 安全表达式中引用Bean自定义鉴权Method安全表达式使用method注解开启方法级别的注解配置在方法上使用注解PreAuthorizePostAuthorizePreAuthorize针对参数进行过滤源码 前言 在上一篇文章已经介绍了springSecurity的使用了,本篇文章主要介绍一下使用spring EL表达式来控制授权,允许在表达式中...
Spring Security 基于表达式的权限控制
weixin_38927257的博客
11-22 608
文章目录前言常见的表达式URL安全表达式Web安全表达式中引用beanRbacServiceImplMethod安全表达式使用method注解PreAuthorizePostAuthorizePreAuthorize 针对参数进行过滤PostFilter 针对返回结果进行过滤 前言 spring security 3.0已经可以使用spring el表达式来控制授权,允许在表达式中使用复杂的布...
Spring Security源码分析十二:Spring Security 基于表达式的权限控制
郑龙飞
01-30 975
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企
使用Spring安全表达式控制系统功能访问权限问题
08-25
【Spring 安全表达式控制访问权限】 Spring Security 自 3.0 版本开始引入了 Spring Expression Language (SPEL) 来控制系统的访问权限,使得授权逻辑变得更加灵活和强大。SPEL 是一种表达式语言,允许在运行时查询...
Spring Security--基于表达式的访问控制 access的使用
我和井盖都笑了博客
04-05 5146
文章目录    基于表达式的访问控制      1 access()方法使用      1.1 以 hasRole 和 permitAll 举例       2 使用自定义方法&n...
SpringSecurity(十一)--配置权限以及相关限制(下)
学习不止境的博客
10-24 1729
本章我们将承接上篇文章的项目为基础学习,所以没有搭建好项目的小伙伴请先去查看上一篇文章把项目理解并且搭建好,当然大家也可以用自己的方式进行搭建学习,不用啥都按部就班,尤其是编程这块儿,具有极大的灵活性,没准你的方法才是最适合的。但是对于后面的代码,我将以上篇搭建好的代码为架构基础进行展示。
今日谈谈我对Springsecurity的理解
qq_40783525的博客
05-10 1133
Springsecurity主要作用是安全访问控制,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。 其中核心功能有:应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分 如果您当前系统是一个单体应用开发且需要用户认证、和权限管理,Springsecurity简单配置就可以完成,大大的减少编码量。 基本概念: 1.什么是认证? 进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝等,下边拿微信来
Spring Security 常用的 SpEL 表达式
最新发布
2401_85480529的博客
06-05 261
可以是一个权限字符串,也可以是一个 SpEL 表达式,用于动态计算权限。:要求用户进行完全认证,即不允许使用 Remember-Me 记住我功能。:检查当前用户是否是通过 Remember-Me 记住我功能进行认证的。:检查当前用户是否具有给定权限列表中的任何一个权限。:检查当前用户是否具有给定角色列表中的任何一个角色。:拒绝所有用户访问,即不允许任何用户访问。:允许所有用户访问,即无需任何权限。:检查当前用户是否已经进行了认证。:检查当前用户是否具有指定权限。:检查当前用户是否是匿名用户。
Shiro知识总结二
木子Teng的博客
10-02 1897
Shiro知识总结二
使用Security时 @PreAuthorize("hasAuthority('***')")起效而 @PreAuthorize("hasRole('***')")不起效
爱情的错的博客
12-24 4663
在使用PreAuthorize("hasRole('***')") 时里面没有起效 我出现的错误是参数没有以ROLE_开始 加上后正常使用
Spring Security(16)——基于表达式的权限控制
dotedy的博客
10-16 1901
EL表达式hasPermissionPreFilterPreAuthorizeSpring Security  基于表达式的权限控制 目录 1.1      通过表达式控制URL权限 1.2      通过表达式控制方法权限 1.2.1     使用@PreAuthorize和@PostAuthorize进行访问控制 1.2.2     使用@PreFilter和@Post
用户授权
qq_43843037的博客
01-24 1125
用户授权 授权的方式包括 web授权和方法授权,web授权是通过 url拦截进行授权,方法授权是通过 方法拦截进行授权。他 们都会调用accessDecisionManager进行授权决策,若为web授权则拦截器为 FilterSecurityInterceptor;若为方 法授权则拦截器为MethodSecurityInterceptor。如果同时通过web授权和方法授权则先执行web授权,再执行方 法授权,最后决策通过,则允许访问资源,否则将禁止访问。 web授权 Spring Security可以通过
PreAuthorize("hasAnyAuthority
09-01
@PreAuthorize("hasAnyAuthority")是Spring Security框架中的一个注解,用于在访问接口时对当前登录用户所拥有的角色进行权限鉴定。该注解可以检查当前用户是否具有指定的权限,如果具有权限则允许访问接口,否则返回403错误。 具体的鉴权过程如下: 1. 首先,该注解会调用hasAnyAuthority方法。 2. 在hasAnyAuthority方法中,会调用hasAnyAuthorityName方法。该方法用于检查传入的权限字符串是否在当前用户的权限集合中。 3. 在hasAnyAuthorityName方法中,会调用getAuthoritySet方法。该方法用于获取当前用户所拥有的角色的所有权限。 4. 在getAuthoritySet方法中,会通过authentication.getAuthorities()方法从数据库中获取当前用户所拥有的角色的所有权限。 5. 最后,hasAnyAuthorityName方法会将传入的权限字符串与权限集合进行比对,判断是否具有该权限。 总结起来,@PreAuthorize("hasAnyAuthority")注解的作用是从数据库中查询当前登录用户的所有权限,并交给Spring Security进行管理。通过该注解可以判断指定的权限是否在当前登录用户的权限集合中,如果在则返回200,否则返回403。 需要注意的是,该注解的权限判断依赖于Spring Security框架和数据库中保存的用户权限信息。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [Spring-Security@PreAuthorize("hasAuthority('')")源码分析](https://blog.csdn.net/guoke2017/article/details/94439661)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *3* [spel-maven-plugin:Maven插件,可在构建过程中扫描您的源代码,并在PreAuthorize等注释中查找Spring ...](https://download.csdn.net/download/weixin_42110469/18852483)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值