Springboot整合SpringSecurity 07-方法访问权限控制

最新推荐文章于 2024-05-22 16:49:19 发布
最新推荐文章于 2024-05-22 16:49:19 发布
阅读量1.1k 收藏 2
点赞数
分类专栏: Spring 文章标签: SpringSecurity 方法权限
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34988540/article/details/100813051
版权

Springboot整合SpringSecurity 07-方法访问权限控制

前面我们已经学会了SpringSecurity的权限访问控制。
但是之前的配置都是直接对请求路径的权限控制,SpringSecurity还提供了访问级别的权限控制。
必须具有相应的权限才能访问该方法。

本系列的按顺序写的,如果对于某些代码不清楚,请看下前面的几篇文章。
Springboot整合SpringSecurity 01-使用入门
Springboot整合SpringSecurity 02-使用自定义登陆页面
Springboot整合SpringSecurity 03-访问权限控制
Springboot整合SpringSecurity 04-启用登出logout功能
Springboot整合SpringSecurity 05-使用JDBC实现认证和授权
Springboot整合SpringSecurity 06-登陆扩展之自定义登陆验证逻辑
Springboot整合SpringSecurity 07-方法访问权限控制

1. 添加权限控制的方法。

/**
 * @author flw
 */
public interface MethodSecureService {

    /**
     * 任何授权了的人都可以访问
     * @return
     */
    @Secured("IS_AUTHENTICATED_ANONYMOUSLY")
    String common();
    /**
     * ROLE_ADMIN权限访问
     * @return
     */
    @Secured("ROLE_ADMIN")
    String admin();
    /**
     * ROLE_USER or ROLE_DBA 权限访问。
     * @return
     */
    @Secured({"ROLE_USER", "ROLE_DBA"})
    String user();

    /**
     * 任何授权了的人都可以访问
     * @return
     */
    @PreAuthorize("isAuthenticated()")
    String common2();
    /**
     * ROLE_ADMIN权限访问
     * @return
     */
    @PreAuthorize("hasAuthority('ROLE_ADMIN')")
    String admin2();
    /**
     * ROLE_USER && ROLE_DBA 权限访问。
     * @return
     */
    @PreAuthorize("hasAuthority('ROLE_USER') && hasAuthority('ROLE_DBA')")
    String user2();
}

上面我们提供了6个接口,分别有@Secure和@PreAuthorize注解实现的,这两种功能上其实没有太大区别。
注意:@Secured里面添加多个权限之间是或者的关系,就是有一个权限就可以。
@PreAuthorize后面我们可以用Spring-EL表达式实现且的关系如上面的user2()接口。
@PreAuthorize更多的指定权限的方法可以到SecurityExpressionRoot里面查找。

@PreAuthorize("hasAuthority('ROLE_USER')")
public interface MethodSecureService2 {

    /**
     * 类级别的控制
     * @return
     */
    String user3();

}

这些注解处理在方法上面使用外,还可以直接在类上面使用,表示整个类的方法权限控制。

@Service
public class MethodSecureServiceImpl implements MethodSecureService {

    @Override
    public String common() {
        return "common";
    }

    @Override
    public String admin() {
        return "admin";
    }

    @Override
    public String user() {
        return "user";
    }

    @Override
    public String common2() {
        return "common2";
    }

    @Override
    public String admin2() {
        return "admin2";
    }

    @Override
    public String user2() {
        return "user2";
    }
}

@Service
public class MethodSecureService2Impl implements MethodSecureService2 {

    @Override
    public String user3() {
        return "user3";
    }
}

上面是两个接口的实现类,很简单就是返回一个字符串。

2.添加请求的接口

@RequestMapping("method")
@RestController
@EnableGlobalMethodSecurity(securedEnabled = true, prePostEnabled = true)
public class MethodSecureController {

    @Autowired
    private MethodSecureService methodSecureService;
    @Autowired
    private MethodSecureService2 methodSecureService2;

    @GetMapping("common")
    public String common() {
        return methodSecureService.common();
    }
    @GetMapping("admin")
    public String admin() {
        return methodSecureService.admin();
    }
    @GetMapping("user")
    public String user() {
        return methodSecureService.user();
    }

    @GetMapping("common2")
    public String common2() {
        return methodSecureService.common2();
    }
    @GetMapping("admin2")
    public String admin2() {
        return methodSecureService.admin2();
    }
    @GetMapping("user2")
    public String user2() {
        return methodSecureService.user2();
    }
    @GetMapping("user3")
    public String user3() {
        return methodSecureService2.user3();
    }
}

注意:
@EnableGlobalMethodSecurity(securedEnabled = true, prePostEnabled = true)
要开启方法级别的权限控制,需要提供上面这个注解,一般我们写在Springboot启动类上面。这里为了方便,我就直接写在这个Controller里面了。
其中securedEnabled=true是如果使用的@Secure注解的话需要加上的。
prePostEnabled = true是如果使用@PreAuthorize注解的话需要加上的。

3. 启动项目开始测试。

首先我们使用user:userpwd登陆

http://localhost:10022/security/login

然后访问

http://localhost:10022/security/method/user

发现可以访问成功,
说明:@Secure后面多个权限直接的关系是OR的关系,有一个就可以实现。

接着我们访问

http://localhost:10022/security/method/user2

发现403错误。
然后我们使用dba:dbapwd的账号密码登陆再去访问上面的user2接口。
发现可以访问。
说明:@PreAuthorize可以通过&&的Spring-EL语法实现AND的关系,必须两个权限同时满足才能访问。

其他的几个接口可以自行测试,这里就不一一介绍了。

枫林晚丶
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot2.0集成Security控制访问权限(最简单的连接数据的验证)
小石潭记丶
06-06 770
1.目录结构 2.pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://ma
SpringBootSecurity学习(06)网页版登录方法级别的权限
Blues的专栏
09-29 942
用户授 前面讨论过,Web应用的安全管理,主要包括两个方面的内容,一个是用户身份的认证,即用户登录的设计,二是用户授,即一个用户在一个应用系统中能够执行哪些操作的权限管理。前面介绍了登录,下面简单介绍一下用户授。用户拥有的权限是根据用户的角色来决定的,并且security中,用户的权限可以控制方法级别。 方法级别的权限控制 每个url的访问都是定义在controller方法上面的,因此需要...
springboot整合security实现权限控制
最新发布
Amour恋空的博客
05-22 1289
Spring Security 的前身是 Acegi Security ,是。Spring Security 为基于J2EE企业应用软件提供了全面安全服务。特别是使用领先的J2EE解决方案-Spring框架开发的企业软件项目。人们使用Spring Security有很多种原因,不过通常吸引他们的是在J2EE Servlet规范或EJB规范中找不到典型企业应用场景的解决方案。特别要指出的是他们不能再WAR 或 EAR 级别进行移植。
Spring Boot添加Spring Security权限
u011277123的博客
03-22 3093
从很小就坏 2017-02-19 21:52 先参考《用Spring Boot搭建Web应用》搭建WEB项目,在WEB项目基础上按以下步骤操作 整合Spring Security添加依赖 在pom.xml中添加配置 Spring Security配置 通过@EnableWebSecurity注解开启Spring Security的功能 继承WebSe
Spring Boot整合Spring Security实现权限控制
一行代码敲一天
12-06 745
学习Spring Security过后进行梳理和总结。 Spring Security介绍 ​ Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。由于它是Spring生态系统中的一员,因此它伴随着整个Spring生态系统不断修正、升级,在spring boot项目中加入spring security更是十分简单,使用Spring...
如何在 Spring Security 中自定义权限表达式
江南一点雨的专栏
07-11 2231
在前面的文章中,松哥已经和小伙伴们聊了 Spring Security 中的权限表达式了,还没看过的小伙伴们可以先看下,本文将在前文的基础上继续完善:经过上篇文章的学习,小伙伴们已经知道了,在 Spring Security 中,@PreAuthorize、@PostAuthorize 等注解都是支持 SpEL 表达式的。在 SpEL 表达式中,如果上来就直接写要执行的方法名,那么就说明这个方法是 RootObject 对象中的方法,如果要执行其他对象的方法,那么还需要写上对象的名字,例如如下两个例子: 上
SpringBoot集成Spring Security实现权限控制【完整源码+数据库】
02-16
SpringBoot集成Spring Security是现代Java应用中常见的安全框架组合,它们为开发者提供了强大的权限管理和访问控制功能。Spring Security是一个全面的、高度可配置的安全框架,它涵盖了认证、授以及会话管理等多个...
SpringBoot整合权限控制SpringSecurity.docx
12-10
总结来说,SpringBoot整合SpringSecurity提供了全面的权限控制,而Element UI的多标签页组件则优化了前端用户界面,使得在后台管理系统中可以轻松地在多个功能页面之间切换。这种结合使用的方式不仅提升了系统的安全...
springboot - 2.7.3版本 - (九)整合security
10-12
Spring Security允许你在控制方法使用`@PreAuthorize`或`@PostAuthorize`注解,使用SpEL表达式定义访问规则: ```java @GetMapping("/users") @PreAuthorize("hasRole('ADMIN')") public List<User> getUsers()...
SpringBoot--- SpringSecurity进行注销权限控制的配置方法
08-24
SpringBoot--- SpringSecurity 进行注销权限控制的配置方法 SpringBoot 是一个基于 Java 的框架,提供了大量的配置选项和功能,而 SpringSecurity 是一个基于 Spring 的安全框架,提供了身份验证、授、加密等功能...
SpringBoot+SpringSecurity整合(实现了登录认证和权限验证)完整案例,基于IDEA项目
02-16
SpringBoot+SpringSecurity整合示例代码,实现了从数据库中获取信息进行登录认证和权限认证。 本项目为idea工程,请用idea2019导入(老版应该也可以)。 本项目用户信息所需sql文件,在工程的resources文件夹下,...
SpringBoot快速设置拦截器并实现权限验证的方法
08-28
本篇文章主要介绍了SpringBoot快速设置拦截器并实现权限验证的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
springboot权限管理
03-26
一般系统都会有多个角色,不同角色可访问的系统功能不同,通过给用户分配不同角色,决定用户可访问的系统功能。
Spring Boot通过注解实现Restful接口权限控制
Happywzy~的博客
10-29 3326
创建一个注解AuthToken,所有使用这个注解的方法,均要通过权限验证才能访问。 @Target({ElementType.METHOD}) @Retention(RetentionPolicy.RUNTIME) @Documented public @interface AuthToken { /** * 是否只能管理员权限才能访问,默认所有用户都可以访问 */ ...
springboot 实现权限管理(一)
iijik55的博客
08-02 4948
若token失效则返回失效,token未失效进行权限查看(token及权限信息等常用个人信息采用Redis进行缓存),有权限放行,无权限拦截;(2)用户访问登录URL,则无需拦截,判断用户、密码,进行缓存个人信息(查询关系数据库的用户角色、权限信息后进行缓存),并返回token给用户作为下次登录凭证;(2)分类资源(对应相应的权限),一般可以有数据权限、操作权限访问权限等,表现为对URL(URI)的访问控制;在关系数据库中,由于原子性(第一规范),因此需要两张关联表进行管理用户和角色,角色和权限。...
Spring Security(16)——基于表达式的权限控制
dotedy的博客
10-16 1888
EL表达式hasPermissionPreFilterPreAuthorizeSpring Security  基于表达式的权限控制 目录 1.1      通过表达式控制URL权限 1.2      通过表达式控制方法权限 1.2.1     使用@PreAuthorize和@PostAuthorize进行访问控制 1.2.2     使用@PreFilter和@Post
Springboot简单授,限制访问
weixin_58696998的博客
04-29 2844
思路: 1.获取请求头中token,从redis中获取当前登录对象的id 方法: request.getHeader("token") 2.通过用户id到数据库中查询当前登录对象的角色,获取到角色id 3.通过角色id关联查询当前登录对象能访问的url 返回ArrayList<power> 4.请求头中获取当前访问接口的url路径 方法:request.getRequestURI(); 5.将ArrayList遍...
springboot+spring security + mybatis 从数据库动态地配置访问权限(小案例)
怪老四的博客
03-18 1081
自定义的访问决策管理需要实现AccessDecisionManager,supports方法需要返回 true,提供支持。decide方法中,authentication代表登录用户的认证信息, configAttributes是从MyFilter中返回的根据请求路径查询的角色信息。此方法的目的就是为了决策,请求路径需要的角色信息,是否和登录用户所具备的角色信息是否匹配;如果不匹配抛出非法请求,否则return;放行。
SpringBoot+SpringSecurity实现访问权限控制案例
m0_37173810的博客
10-11 6987
本项目使用IDEA创建,Eclipse用户可以参考 一、项目目录 二、项目依赖 <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.a
SpringBoot整合SpringSecurity权限控制 详情用法
04-04
Spring Boot和Spring Security是一对好朋友,Spring Boot提供了强大的自动配置和快速开发的能力,而Spring Security则提供了完整的安全解决方案,可以实现用户认证、授、安全过滤等功能。本文将介绍如何在Spring Boot中整合Spring Security实现权限控制。 1. 添加Spring Security依赖 在pom.xml文件中添加以下依赖: ``` <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> ``` 2. 配置Spring SecuritySpring Boot中,可以通过application.properties或application.yml文件配置Spring Security。以下是一个简单的配置: ``` spring.security.user.name=admin spring.security.user.password=123456 spring.security.user.roles=ADMIN ``` 这个配置定义了一个用户名为admin,密码为123456,角色为ADMIN的用户。在实际应用中,应该将用户名和密码存储在数据库或其他安全存储中。 3. 创建SecurityConfig类 创建一个继承自WebSecurityConfigurerAdapter的SecurityConfig类,并重写configure方法: ``` @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/", "/home").permitAll() .anyRequest().authenticated() .and() .formLogin() .loginPage("/login") .permitAll() .and() .logout() .permitAll(); } @Autowired public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { auth .inMemoryAuthentication() .withUser("admin").password("{noop}123456").roles("ADMIN"); } } ``` configure方法定义了应用程序的安全策略,这里配置了所有请求都需要认证(即登录)才能访问,除了首页和登录页,这两个页面可以匿名访问。formLogin方法配置了自定义的登录页面,logout方法配置了退出登录的操作。 configureGlobal方法定义了一个内存中的用户,用户名为admin,密码为123456,角色为ADMIN。在实际应用中,应该将用户信息存储在数据库或其他安全存储中。 4. 创建登录页面 在templates目录下创建一个名为login.html的登录页面,例如: ``` <!DOCTYPE html> <html> <head> <title>Login Page</title> </head> <body> <h1>Login Page</h1> <div th:if="${param.error}"> Invalid username and password. </div> <div th:if="${param.logout}"> You have been logged out. </div> <form th:action="@{/login}" method="post"> <div> <label>Username:</label> <input type="text" name="username" /> </div> <div> <label>Password:</label> <input type="password" name="password" /> </div> <div> <button type="submit">Login</button> </div> </form> </body> </html> ``` 5. 运行应用程序 在浏览器中访问http://localhost:8080/login,输入用户名admin和密码123456,即可登录成功。如果输入错误的用户名或密码,则会提示“Invalid username and password.”。如果成功登录后再访问http://localhost:8080/home,则可以看到“Welcome home!”的欢迎消息。 6. 实现权限控制 上面的例子中只实现了登录认证,没有实现权限控制。下面介绍如何实现权限控制。 首先需要在configureGlobal方法中添加更多的用户和角色: ``` @Autowired public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { auth .inMemoryAuthentication() .withUser("admin").password("{noop}123456").roles("ADMIN") .and() .withUser("user").password("{noop}password").roles("USER"); } ``` 这里定义了一个管理员用户和一个普通用户,分别拥有ADMIN和USER两个角色。 然后在configure方法中添加更多的安全策略: ``` @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/", "/home").permitAll() .antMatchers("/admin/**").hasRole("ADMIN") .anyRequest().authenticated() .and() .formLogin() .loginPage("/login") .permitAll() .and() .logout() .permitAll(); } ``` 这里添加了一个安全策略,即/admin/**路径需要拥有ADMIN角色才能访问。 现在管理员用户可以访问/admin/**路径,而普通用户则不能访问。如果普通用户尝试访问/admin/**路径,则会提示“Access is denied”。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值