SpringBoot整合SpringSecurity(六)权限注解

最新推荐文章于 2023-11-22 21:50:12 发布
最新推荐文章于 2023-11-22 21:50:12 发布
阅读量1.2w 收藏 47
点赞数 8
分类专栏: SpringSecurity实战 文章标签: springboot springsecurity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32867467/article/details/95078794
版权

序言

这一篇说一下比较好用的Spring Security注解。

代码请参考 https://github.com/AutismSuperman/springsecurity-example

使用

Spring Security默认是禁用注解的,要想开启注解,要在继承WebSecurityConfigurerAdapter的类加@EnableMethodSecurity注解,并在该类中将AuthenticationManager定义为Bean。

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true,securedEnabled=true,jsr250Enabled=true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }
}

我们看到@EnableGlobalMethodSecurity 分别有prePostEnabledsecuredEnabledjsr250Enabled 三个字段,其中每个字段代码一种注解支持,默认为false,true为开启。那么我们就一一来说一下这三总注解支持。

JSR-250注解

主要注解

  • @DenyAll
  • @RolesAllowed
  • @PermitAll

这里面@DenyAll@PermitAll 相信就不用多说了 代表拒绝和通过。

@RolesAllowed 使用示例

@RolesAllowed({"USER", "ADMIN"})

代表标注的方法只要具有USER, ADMIN任意一种权限就可以访问。这里可以省略前缀ROLE_,实际的权限可能是ROLE_ADMIN

securedEnabled注解

主要注解

  • @Secured

@Secured在方法上指定安全性要求

可以使用@Secured在方法上指定安全性要求 角色/权限等 只有对应 角色/权限 的用户才可以调用这些方法。 如果有人试图调用一个方法,但是不拥有所需的 角色/权限,那会将会拒绝访问将引发异常。

@Secured使用示例

@Secured("ROLE_ADMIN")
@Secured({ "ROLE_DBA", "ROLE_ADMIN" })

还有一点就是@Secured,不支持Spring EL表达式

prePostEnabled注解

这个开启后支持Spring EL表达式 算是蛮厉害的。如果没有访问方法的权限,会抛出AccessDeniedException

主要注解

  • @PreAuthorize --适合进入方法之前验证授权

  • @PostAuthorize --检查授权方法之后才被执行

  • @PostFilter --在方法执行之后执行,而且这里可以调用方法的返回值,然后对返回值进行过滤或处理或修改并返回

  • @PreFilter --在方法执行之前执行,而且这里可以调用方法的参数,然后对参数值进行过滤或处理或修改

@PreAuthorize 使用例子

在方法执行之前执行,而且这里可以调用方法的参数,也可以得到参数值,这里利用JAVA8的参数名反射特性,如果没有JAVA8,那么也可以利用Spring Secuirty的@P标注参数,或利用Spring Data的@Param标注参数。

//无java8
@PreAuthorize("#userId == authentication.principal.userId or hasAuthority(‘ADMIN’)")
void changePassword(@P("userId") long userId ){}
//有java8
@PreAuthorize("#userId == authentication.principal.userId or hasAuthority(‘ADMIN’)")
void changePassword(long userId ){}

这里表示在changePassword方法执行之前,判断方法参数userId的值是否等于principal中保存的当前用户的userId,或者当前用户是否具有ROLE_ADMIN权限,两种符合其一,就可以访问该 方法。

@PostAuthorize 使用例子

在方法执行之后执行,而且这里可以调用方法的返回值,如果EL为false,那么该方法也已经执行完了,可能会回滚。EL变量returnObject表示返回的对象。

@PostAuthorize("returnObject.userId == authentication.principal.userId or hasPermission(returnObject, 'ADMIN')")
User getUser();

@PostFilter

在执行方法之后执行,而且这里可以调用方法的返回值,然后对返回值进行过滤或处理。EL变量returnObject表示返回的对象。只有方法返回的集合或数组类型的才可以使用。(与分页技术不兼容)

@PreFilter

EL变量filterObject表示参数,如果有多个参数,可以使用@filterTarget注解参数,只有方法是集合或数组才行(与分页技术不兼容)。

自定义匹配器

另外说一点就是@PreAuthorize@PostAuthorize 中 除了支持原有的权限表达式之外,也是可以支持自定义的。

比如

定义一个自己的权限匹配器

interface TestPermissionEvaluator {
    boolean check(Authentication authentication);
}

@Service("testPermissionEvaluator")
public class TestPermissionEvaluatorImpl implements TestPermissionEvaluator {

    public boolean check(Authentication authentication) {
        System.out.println("进入了自定义的匹配器" + authentication);
        return false;
    }
}

返回true 就是有权限 false 则是无权限 。 然后在方法中这样玩即可

@PreAuthorize("@testPermissionEvaluator.check(authentication)")
public String test0() {
	return "说明你有自定义权限";
}

异常处理

然后呢异常处理类跟之前一样

@Component
@Slf4j
public class AccessDeniedAuthenticationHandler implements AccessDeniedHandler {
    private final ObjectMapper objectMapper;

    public AccessDeniedAuthenticationHandler(ObjectMapper objectMapper) {
        this.objectMapper = objectMapper;
    }

    @Override
    public void handle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AccessDeniedException e) throws IOException {
        log.info("没有权限");
        httpServletResponse.setStatus(HttpStatus.INTERNAL_SERVER_ERROR.value());
        httpServletResponse.setContentType("application/json;charset=UTF-8");
        httpServletResponse.getWriter().write(objectMapper.writeValueAsString(e.getMessage()));
    }

}

然后在WebSecurityConfig 中的 configure 中配置即可

http.anyRequest()
    .authenticated()
    .and().exceptionHandling()
    .accessDeniedHandler(accessDeniedAuthenticationHandler);

下一篇我们就来说一下SpringSecurity 这个权限校验是一个怎样的流程。

本博文是基于springboot2.x 和security 5 如果有什么不对的请在下方留言。

MelancholyCat
关注
  • 8
    点赞
  • 47
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解权限验证
08-26
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解权限验证,可根据注解的格式不同,做到角色权限控制,角色加资源权限控制等,粒度比较细化。 @PreAuthorize("hasAnyRole('ADMIN','USER')"):具有admin或user角色的用户可以访问。 @PreAuthorize("hasRole('ADMIN') and hasRole('USER')"):具有admin和user角色的用户可以访问 文章地址:https://blog.csdn.net/fuu123f/article/details/108233463
SpringBoot3】Spring Security 常用注解
不积跬步无以至千里,不积小流无以成江海。一个喜欢学习分享的程序员
02-19 1275
Spring Security 6 的常用注解包括以下几种,通过这些注解可以更加方便的控制资源权限。 - `@Secured` :方法执行前检查,直接判断有没有对应的角色 - `@PreAuthorize`:方法执行前检查,根据SpEL表达式执行结果判断是否授权 - `@PostAuthorize`:方法执行后检查,根据SpEL表达式执行结果判断是否授权
SpringSecurity注解讲解
上善若泪
09-08 547
test:是一个注册在Spring容器中的Bean,对应的类是 cn.test.PermissionService;是类中定义的方法;当Spring EL 表达式返回TRUE,则权限校验通过;
Spring Security
wang2963973852的博客
02-09 874
Spring提供了安全验证框架Spring Security Spring Security是基于spring的应用程序提供声明式安全保护的安全性框架,它提供了完整的安全性解决方案,能够在web请求级别和方法调用级别处理身份证验证和授权.它充分使用了依赖注入和面向切面的技术 Spring security主要是从两个方面解决安全性问题: web请求级别、方法调用级别
spring security 注解的使用
希望有志同道合的的朋友可以互相学习!
03-28 604
spring security安全管理框架中,主要注解有 @EnableGlobalMethodSecurity @Secured (角色认证) @PreAuthorize(访问方法之前进行 权限或角色 认证) @PostAuthorize(访问方法之后进行 权限或角色 认证) @PreFilter @PostFilter
Spring——Security安全框架之注解使用
专注写bug
02-23 5284
文章目录前言本次测试注解介绍注解使用@Secured@PreAuthorize@PostAuthorize@PostFilter@PreFilter代码下载 前言 之前security中,针对配置项进行了相关的配置和测试。 但是这些都是基于在security.config.MyConfig#configure(org.springframework.security.config.annotation.web.builders.HttpSecurity)中进行对应请求的权限限制。 如果是多个请求,各个有
SpringBoot使用SpringSecurity(二)_使用注解以及更细粒度权限控制
DreamsArchitects的博客
11-10 1272
学习SpringSecurity第二集一、密码加密启动类注入BCryptPasswordEncoder业务类SpringSecurityConfig二、开启SpringSecurity注解三、更细粒度权限控制_授权数据库建表数据访问层业务层业务层实现类创建MyPermissionEvaluatorImpl实现PermissionEvaluator接口将自定义的MyPermissionEvaluatorImpl注入SpringSecurityConfig配置类application.ymlController
狂神说SpringBoot18:集成SpringSecurity
热门推荐
狂神说
03-29 1万+
狂神说SpringBoot系列连载课程,通俗易懂,基于SpringBoot2.2.5版本,欢迎各位狂粉转发关注学习。未经作者授权,禁止转载SpringSecurity安全简介在 Web ...
SpringBoot3 + SpringSecurity6 前后端分离
一起加油吧!
11-22 2571
SpringBoot3 + SpringSecurity6 前后端分离,自定义token过滤器,自定义处理器,静态资源放行。
Spring-Security 6.x版本入门讲解
Always_WHD的博客
08-17 1148
简单介绍了SpringSecurity的原理和执行流程,并给出简单的配置样例。
springboot+security+mybatis+redis+jwt,鉴权框架搭建
06-22
本项目集成了springboot+security+mybatis+redis+jwt用于学习security鉴权功能,其中有...项目搭建已经比较成熟,能够直接进行使用,通过代码可以学习security权限配置,菜单权限注解权限等 有学习SPI机制的学习
基于SpringBootSpring Security,JWT,Vue & Element 的前后端分离权限管理系统.zip
最新发布
04-24
2,使编码变得简单,SpringBoot采用 JavaConfig的方式对Spring进行配置,并且提供了大量的注解,极大的提高了工作效率,比如@Configuration和@bean注解结合,基于@Configuration完成类扫描,基于@bean注解把返回值...
spring boot 实践学习案例,与其它组件整合
09-18
- Spring Boot 权限认证,包括 Apache Shiro、Spring Security - springboot-cloud - Spring Cloud 入门,包括 Eureka(服务注册与发现)、Config(配置中心)、Hystrix(断路器)、Bus(消息总线) 等
基于Dubbo实现的SOA分布式(没有实现分布式事务)-SpringBoot整合各种组件的JavaWeb脚手架+源代码+文档
11-29
- 在Controller中使用@PreAuthorize等注解需要在spring-web配置文件中扫描security包下的类 6. 引用application.properties中的属性的方式:@ConfigurationProperties(prefix = "spring.mail") + @Component + ...
Spring Security中的注解
qq_44188658的博客
08-10 280
Spring Security中的注解: @Configuration //相当于Spring的xml配置文件,在这个类方法的返回值是java对象,这些对象存放在spring容器中 @EnableWebSecurity //表示启用SpringSecurity安全框架的功能 @EnableGlobalMethodSecurity(prePostEnabled = true) //启用方法级别的认证 @Bean //把当前类的对象放到容器中 ...
5.Spring Security安全注解
相互学习 共同进步
04-24 881
Spring Security默认是禁用注解的,要想开启注解,需要在继承WebSecurityConfigurerAdapter的类上加@EnableGlobalMethodSecurity注解,并在该类中将AuthenticationManager定义为Bean如果要启用基于注解的方法安全性,要在配置类上使用**@EnableGlobalMethodSecurity**设置了securedEnabled = true,此时Spring将会创建一个切点,并将带有@Secured注解的方法防入切面中。
SpringBoot - @EnableGlobalMethodSecurity注解详解
记录并分享
08-03 2642
使用@EnableGlobalMethodSecurity注解,用于开启Spring环境的方法级安全,如果实现该方案需要在添加了@Configuration注解的类上再添加@EnableGlobalMethodSecurity注解即可,通常是继承WebSecurityConfigurerAdapter基类,使用自定义的处理器或者过滤器,实现符合业务场景的访问控制。......
SpringSecurity系列之授权与注解
kenewstar的博客
01-29 3729
SpringSecurity用户授权与权限注解的使用
springboot整合springsecurity
05-11
Spring Security 是一个企业级安全框架,它提供了一系列的安全服务和基于标准的安全注解,帮助开发者在应用程序中实现身份认证和权限控制等功能。Spring Boot 是一个快速构建应用程序的框架,它提供了对 Spring 框架的自动配置,简化了项目的搭建和开发。将 Spring SecuritySpring Boot 结合使用,可以很方便地实现安全认证和授权功能。 下面是 Spring Boot 整合 Spring Security 的步骤: 1. 在 pom.xml 文件中添加 Spring Security 依赖: ``` <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> ``` 2. 创建一个 Security 配置类,用于配置 Spring Security 的相关参数,如安全拦截规则、用户认证方式等。可以继承 WebSecurityConfigurerAdapter 类,重写 configure 方法来实现配置。 ``` @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/admin/**").hasRole("ADMIN") .antMatchers("/user/**").hasRole("USER") .anyRequest().authenticated() .and() .formLogin() .and() .httpBasic(); } @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.inMemoryAuthentication() .withUser("admin").password("{noop}admin123").roles("ADMIN") .and() .withUser("user").password("{noop}user123").roles("USER"); } } ``` 3. 在配置类中配置用户认证方式。可以使用内存认证、数据库认证或者 LDAP 认证等方式进行用户认证。 4. 配置安全拦截规则。可以通过 antMatchers 方法来设置 URL 的安全拦截规则,如 /admin/** 需要 ADMIN 角色才能访问,/user/** 需要 USER 角色才能访问。 5. 配置登录页面。可以通过 formLogin 方法来配置登录页面的 URL,如 /login。用户输入正确的用户名和密码后,会跳转到登录成功页面。 6. 配置 HTTP Basic 认证。可以通过 httpBasic 方法来开启 HTTP Basic 认证,这样客户端可以使用用户名和密码来访问受保护的资源。 通过上述步骤,就可以将 Spring Security 集成到 Spring Boot 应用程序中,实现安全认证和授权功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值