Spring Security(04)授权配置

最新推荐文章于 2024-04-19 17:43:36 发布
最新推荐文章于 2024-04-19 17:43:36 发布
阅读量795 收藏 2
点赞数 1
分类专栏: spring security 文章标签: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34279995/article/details/123242319
版权

授权

基本说明

授权指的是给用户某个操作的权限;

常见的权限的访问控制一般是 基于rpac (Role-Based Access Control)的 访问控制;

Authentication 是springsecurity 中的非常重要的接口;能够获取登录用户的信息和授权的相关信息;

而授权的信息是通过 Collection<? extends GrantedAuthority> getAuthorities(); 此方法获取

GrantedAuthority 也只有一个返回Authority 的方法是一个字符串;

public interface GrantedAuthority extends Serializable {

	
	String getAuthority();

}

这个字符串就是权限编码的信息;需要注意的是在springsecurity 中不管角色code 或权限code 都是从getAuthorities 方法获取。是不分区的,区分的标识只是看是否有 ROLE_ 这个前缀

比如 用户的授权信息是 [ “ROLE_USER”,“ROLE_ADMIN”, “user_edit”] 表示的是 具有USER 角色或ADMIN角色 权限和user_edit权限;

登录时查询权限信息

在自定义的 UserDetailService 查询用户信息的时候需要将授权信息也查询出来;

在之前章节的自定义的 MyUserDetails 是未处理授权的相关信息的,这里需要对授权信息的设置开发出来以便于设置权限和角色信息同时实现 getAuthorities 接口;

添加存储角色和权限的list

实现 getAuthorities 方法,注意角色的权限处理,需要加固定的前缀不然会当成普通的权限处理

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-nL1YgjvF-1646231858125)(C:\Users\Administrator\AppData\Roaming\Typora\typora-user-images\image-20220220221959597.png)]

在UserDetailsService 查询用户信息的时候设置权限信息

在这里给user 用户设置了user 角色和一些权限;

给admin 用户设置了admin角色和 一个权限;

当使用user用户登录后,通过打印授权信息,可以看到当前用户的授权code

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-WacjkRDx-1646231858127)(C:\Users\Administrator\AppData

最低0.47元/天 解锁文章
愤怒菜鸟
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring-security关于hasRole的坑
fhzmWJ的博客
12-22 4791
.access(“hasRole(‘ROLE_USER’)”)如果用.hasRole(“ROLE_USER”)会报错。 org.springframework.beans.factory.BeanCreationException: Error creating bean with name ‘springSecurityFilterChain’ defined in class path resource [org/springframework/security/config/annotation/we
SpringSecurity给用户授权,一个用户能同时拥有多种身份Role,及权限鉴权注解方法hasRole及hasAuthority的使用区别
质量不太好的博客
03-13 9335
SpringSecurity给用户授权,一个用户能同时拥有多种身份Role
初学spring security(四)-----角色权限控制
m0_48631806的博客
03-25 1306
配置类中通过hasAuthority(“admin”)设置具有admin权限时才能访问。2.hasAnyAuthority(String ...) 如果用户具备给定权限中某一个,就允许访问。// 如果用户没有"adMin","admiN"这两个权限,将被拒绝访问(区分大小写)3.hasRole(String) 如果用户具备给定角色就允许访问。否则出现403。参数取值来源于自定义登录逻辑UserDetailsService实现类中创建User对象时给User赋予的授权
spring security登录认证授权
最新发布
weixin_48164819的博客
04-19 1197
spring security登录认证授权
Spring Security 表达式(Expressions) - hasRole示例
weixin_30772105的博客
05-19 939
1.概述 Spring Security使用强大的Spring Expression Language(SpEL)提供各种各样的表达式。大多数这些Security表达式是针对上下文对象(当前经过身份验证的主体)进行工作的. 这些表达式的评估由SecurityExpressionRoot执行 - 它提供了Web安全性和方法级安全性的基础。 Spring Security 3.0中引入了使用SpEL表...
Spring Security 中的 hasRole 和 hasAuthority 差异引发的思考及解决从数据库从查出来的ROLE对不上
qq1480371991的博客
06-20 772
hasRole和 hasAuthority的底层实现方式是类似的,功能是一样的,hasRole和hasAuthority判断的都是有没有权限,区别就是hasRole对应的权限有前缀ROLE_,而hasAuthority没有。hasRole和hasAuthority的工作原理都是判断角色所拥有的权限有没有对应的字段,一般角色所拥有的权限从数据库中查出来,然后封装在user类中覆写的getAuthorities方法中,如下。
详解springSecurity之java配置
08-18
例如,以下是一个简单的默认授权配置: ```java @Configuration public static class FormLoginWebSecurityConfigurerAdapter extends WebSecurityConfigurerAdapter { @Override protected void configure...
Spring Security基本配置方法解析
08-25
Spring Security基本配置方法解析 Spring Security是一个功能强大且可...* Spring Security授权方式 * Spring Security UsersDetailsService * Spring Security RoleVoter * Spring Security UrlAccessDecisionManager
Spring security认证授权
11-30
在这个例子中,我们将深入探讨如何使用Spring Security进行认证和授权,并结合数据库操作进行动态配置。 首先,Spring Security的核心概念包括认证(Authentication)和授权(Authorization)。认证是确认用户身份...
Spring Security 控制授权的方法
08-27
使用授权方法进行授权配置Spring Security 中,每一个控制授权表达式实际上对应一个授权方法,该方法是请求的 URL 权限配置时的处理方法。例如: ``` @Override protected void configure(HttpSecurity http) ...
spring security 认证授权实现
10-14
Spring Security 是一个强大的、高度可配置的安全框架,用于Java应用程序,它提供了全面的身份验证和授权服务。在本项目中,我们关注的是如何利用Spring Security来实现用户认证和权限控制。 1. **认证流程**: - ...
看源码,重新审视Spring Security中的角色(roles)是怎么回事
江成军的专栏
01-27 1762
在网上看见不少的博客、技术文章,发现大家对于Spring Security中的角色(roles)存在较大的误解,最大的误解就是没有搞清楚其中角色和权限的差别(好多人在学习Spring Security时,是不是对于到底加不加“ROLE_”前缀有点犯蒙),有时候觉得在进行权限控制时用权限名称或者用角色名称都差不多(大家这种感觉是对的,如果简单应用确实差不太多)。 我们在进行角色权限控...
spring-security踩坑之旅hasRole
搬砖青年
08-12 1595
spring-boot在集成spring-security后通过@EnableGlobalMethodSecurity开启相应注解注解 在controller的具体方法上可以通过添加注解@PreAuthorize来控制权限 PreAuthorize通常使用hasRole和hasAuthority来控制访问权限,但是hasRole会有一个比较坑的地方 源码如下: public final b...
SpringSecurity授权
Littewood的博客
07-24 3362
SpringSecurity授权介绍
(记录) spring security 自定义多种方式登录授权(普通用户、管理员、第三方登录)
qq_28952543的博客
03-17 2566
1. 自定义token,继承 AbstractAuthenticationToken 目的:主要用于包装区别过滤条件。第2步用到。 public class WxLoginAuthenticationToken extends AbstractAuthenticationToken { private static final long serialVersionUID = 510L; private final Object principal; private Object c
Spring Security中授予权限与角色
allway2的博客
11-20 1649
当然,这是一种非常简单的方法,可以在开发过程中与一些初步测试用户一起开始运行 - 而不是您应该在生产中处理数据的方式。重点是 - 我们保留了我们在代码中使用的权限。Spring 安全框架没有就我们应该如何使用这个概念提供任何指导,所以选择完全是特定于实现的。这是一种更高层次的角色方法,使它们成为更面向业务的概念,而不是以实施为中心的概念。现在我们更好地理解了核心概念,让我们谈谈在应用程序启动时创建一些设置数据。前缀是可配置的,但解释如何做到这一点超出了本文的范围。这样的表达式,我们以粗粒度的方式限制访问。
SpringSecurity学习(七)授权
Huathy的博客
03-15 2079
SpringSecurity:认证与授权,基于URL的权限管理、基于方法的权限管理。权限表达式、授权原理分析。授权实战——权限模型
Spring Boot 之 Spring Security高级配置(权限和资源的关系)
探索er的博客
05-11 1054
Spring Security高级配置(权限和资源的关系)
SpringSecurity - 用户动态授权 及 动态角色权限
热门推荐
小毕超博客
01-09 1万+
一、SpringSecurity 动态授权 上篇文章我们介绍了SpringSecurity的动态认证,上篇文章就说了SpringSecurity 的两大主要功能就是认证和授权,既然认证以及学习了,那本篇文章一起学习了SpringSecurity 的动态授权。 上篇文章地址:https://blog.csdn.net/qq_43692950/article/details/122393435 二、SpringSecurity 授权 我们接着上篇文章的项目继续修改,上篇文章中有说到我们WebSecurity
SpringSecurity教学讲义.docx
12-04
SpringSecurity教学讲义是一份针对Spring Security 3.0的教程,它涵盖了Spring Security在Java Web开发中的重要角色。Spring Security是一个基于Spring框架的高级安全框架,它结合了AOP(面向切面编程)和Servlet...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值