Springboot整合SpringSecurity 07-方法访问权限控制

最新推荐文章于 2024-08-01 10:59:34 发布
最新推荐文章于 2024-08-01 10:59:34 发布
阅读量1.1k 收藏 2
点赞数
分类专栏: Spring 文章标签: SpringSecurity 方法权限
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34988540/article/details/100813051
版权

Springboot整合SpringSecurity 07-方法访问权限控制

前面我们已经学会了SpringSecurity的权限访问控制。
但是之前的配置都是直接对请求路径的权限控制,SpringSecurity还提供了访问级别的权限控制。
必须具有相应的权限才能访问该方法。

本系列的按顺序写的,如果对于某些代码不清楚,请看下前面的几篇文章。
Springboot整合SpringSecurity 01-使用入门
Springboot整合SpringSecurity 02-使用自定义登陆页面
Springboot整合SpringSecurity 03-访问权限控制
Springboot整合SpringSecurity 04-启用登出logout功能
Springboot整合SpringSecurity 05-使用JDBC实现认证和授权
Springboot整合SpringSecurity 06-登陆扩展之自定义登陆验证逻辑
Springboot整合SpringSecurity 07-方法访问权限控制

1. 添加权限控制的方法。

/**
 * @author flw
 */
public interface MethodSecureService {

    /**
     * 任何授权了的人都可以访问
     * @return
     */
    @Secured("IS_AUTHENTICATED_ANONYMOUSLY")
    String common();
    /**
     * ROLE_ADMIN权限访问
     * @return
     */
    @Secured("ROLE_ADMIN")
    String admin();
    /**
     * ROLE_USER or ROLE_DBA 权限访问。
     * @return
     */
    @Secured({"ROLE_USER", "ROLE_DBA"})
    String user();

    /**
     * 任何授权了的人都可以访问
     * @return
     */
    @PreAuthorize("isAuthenticated()")
    String common2();
    /**
     * ROLE_ADMIN权限访问
     * @return
     */
    @PreAuthorize("hasAuthority('ROLE_ADMIN')")
    String admin2();
    /**
     * ROLE_USER && ROLE_DBA 权限访问。
     * @return
     */
    @PreAuthorize("hasAuthority('ROLE_USER') && hasAuthority('ROLE_DBA')")
    String user2();
}

上面我们提供了6个接口,分别有@Secure和@PreAuthorize注解实现的,这两种功能上其实没有太大区别。
注意:@Secured里面添加多个权限之间是或者的关系,就是有一个权限就可以。
@PreAuthorize后面我们可以用Spring-EL表达式实现且的关系如上面的user2()接口。
@PreAuthorize更多的指定权限的方法可以到SecurityExpressionRoot里面查找。

@PreAuthorize("hasAuthority('ROLE_USER')")
public interface MethodSecureService2 {

    /**
     * 类级别的控制
     * @return
     */
    String user3();

}

这些注解处理在方法上面使用外,还可以直接在类上面使用,表示整个类的方法权限控制。

@Service
public class MethodSecureServiceImpl implements MethodSecureService {

    @Override
    public String common() {
        return "common";
    }

    @Override
    public String admin() {
        return "admin";
    }

    @Override
    public String user() {
        return "user";
    }

    @Override
    public String common2() {
        return "common2";
    }

    @Override
    public String admin2() {
        return "admin2";
    }

    @Override
    public String user2() {
        return "user2";
    }
}

@Service
public class MethodSecureService2Impl implements MethodSecureService2 {

    @Override
    public String user3() {
        return "user3";
    }
}

上面是两个接口的实现类,很简单就是返回一个字符串。

2.添加请求的接口

@RequestMapping("method")
@RestController
@EnableGlobalMethodSecurity(securedEnabled = true, prePostEnabled = true)
public class MethodSecureController {

    @Autowired
    private MethodSecureService methodSecureService;
    @Autowired
    private MethodSecureService2 methodSecureService2;

    @GetMapping("common")
    public String common() {
        return methodSecureService.common();
    }
    @GetMapping("admin")
    public String admin() {
        return methodSecureService.admin();
    }
    @GetMapping("user")
    public String user() {
        return methodSecureService.user();
    }

    @GetMapping("common2")
    public String common2() {
        return methodSecureService.common2();
    }
    @GetMapping("admin2")
    public String admin2() {
        return methodSecureService.admin2();
    }
    @GetMapping("user2")
    public String user2() {
        return methodSecureService.user2();
    }
    @GetMapping("user3")
    public String user3() {
        return methodSecureService2.user3();
    }
}

注意:
@EnableGlobalMethodSecurity(securedEnabled = true, prePostEnabled = true)
要开启方法级别的权限控制,需要提供上面这个注解,一般我们写在Springboot启动类上面。这里为了方便,我就直接写在这个Controller里面了。
其中securedEnabled=true是如果使用的@Secure注解的话需要加上的。
prePostEnabled = true是如果使用@PreAuthorize注解的话需要加上的。

3. 启动项目开始测试。

首先我们使用user:userpwd登陆

http://localhost:10022/security/login

然后访问

http://localhost:10022/security/method/user

发现可以访问成功,
说明:@Secure后面多个权限直接的关系是OR的关系,有一个就可以实现。

接着我们访问

http://localhost:10022/security/method/user2

发现403错误。
然后我们使用dba:dbapwd的账号密码登陆再去访问上面的user2接口。
发现可以访问。
说明:@PreAuthorize可以通过&&的Spring-EL语法实现AND的关系,必须两个权限同时满足才能访问。

其他的几个接口可以自行测试,这里就不一一介绍了。

枫林晚丶
关注
专栏目录
SpringBoot2.0集成Security控制访问权限(最简单的连接数据的验证)
小石潭记丶
06-06 808
1.目录结构 2.pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://ma
SpringBootSecurity学习(06)网页版登录方法级别的权限
Blues的专栏
09-29 949
用户授权 前面讨论过,Web应用的安全管理,主要包括两个方面的内容,一个是用户身份的认证,即用户登录的设计,二是用户授权,即一个用户在一个应用系统中能够执行哪些操作的权限管理。前面介绍了登录,下面简单介绍一下用户授权。用户拥有的权限是根据用户的角色来决定的,并且security中,用户的权限可以控制方法级别。 方法级别的权限控制 每个url的访问都是定义在controller方法上面的,因此需要...
springboot系列教程(二十九):springboot整合Security框架,实现用户权限管理
最新发布
weixin_43860634的博客
08-01 754
springboot系列教程(二十九):springboot整合Security框架,实现用户权限管理
Spring Boot添加Spring Security权限
u011277123的博客
03-22 3100
从很小就坏 2017-02-19 21:52 先参考《用Spring Boot搭建Web应用》搭建WEB项目,在WEB项目基础上按以下步骤操作 整合Spring Security添加依赖 在pom.xml中添加配置 Spring Security配置 通过@EnableWebSecurity注解开启Spring Security的功能 继承WebSe
Spring Boot整合Spring Security实现权限控制
一行代码敲一天
12-06 761
学习Spring Security过后进行梳理和总结。 Spring Security介绍 ​ Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。由于它是Spring生态系统中的一员,因此它伴随着整个Spring生态系统不断修正、升级,在spring boot项目中加入spring security更是十分简单,使用Spring...
如何在 Spring Security 中自定义权限表达式
江南一点雨的专栏
07-11 2292
在前面的文章中,松哥已经和小伙伴们聊了 Spring Security 中的权限表达式了,还没看过的小伙伴们可以先看下,本文将在前文的基础上继续完善:经过上篇文章的学习,小伙伴们已经知道了,在 Spring Security 中,@PreAuthorize、@PostAuthorize 等注解都是支持 SpEL 表达式的。在 SpEL 表达式中,如果上来就直接写要执行的方法名,那么就说明这个方法是 RootObject 对象中的方法,如果要执行其他对象的方法,那么还需要写上对象的名字,例如如下两个例子: 上
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
04-22
4. **整合Spring Security与OAuth2**:在Spring Boot中,我们可以使用`spring-security-oauth2-autoconfigure`库来简化OAuth2的配置。通过设置`@EnableAuthorizationServer`和`@EnableResourceServer`注解,分别启动...
SpringBoot集成Spring Security实现权限控制【完整源码+数据库】
02-16
SpringBoot集成Spring Security是现代Java应用中常见的安全框架组合,它们为开发者提供了强大的权限管理和访问控制功能。Spring Security是一个全面的、高度可配置的安全框架,它涵盖了认证、授权以及会话管理等多个...
SpringBoot+SpringSecurity整合(实现了登录认证和权限验证)完整案例,基于IDEA项目
02-16
SpringBoot+SpringSecurity整合示例代码,实现了从数据库中获取信息进行登录认证和权限认证。 本项目为idea工程,请用idea2019导入(老版应该也可以)。 本项目用户信息所需sql文件,在工程的resources文件夹下,...
springboot - 2.7.3版本 - (九)整合security
10-12
Spring Security允许你在控制方法上使用`@PreAuthorize`或`@PostAuthorize`注解,使用SpEL表达式定义访问规则: ```java @GetMapping("/users") @PreAuthorize("hasRole('ADMIN')") public List<User> getUsers()...
SpringBoot整合权限控制SpringSecurity.docx
12-10
总结来说,SpringBoot整合SpringSecurity提供了全面的权限控制,而Element UI的多标签页组件则优化了前端用户界面,使得在后台管理系统中可以轻松地在多个功能页面之间切换。这种结合使用的方式不仅提升了系统的安全...
springboot+jpa+security用户权限
11-04
springboot+jpa+mysql+security的用户权限管理代码 。
Spring Boot通过注解实现Restful接口权限控制
Happywzy~的博客
10-29 3364
创建一个注解AuthToken,所有使用这个注解的方法,均要通过权限验证才能访问。 @Target({ElementType.METHOD}) @Retention(RetentionPolicy.RUNTIME) @Documented public @interface AuthToken { /** * 是否只能管理员权限才能访问,默认所有用户都可以访问 */ ...
springboot 实现权限管理(一)
iijik55的博客
08-02 4978
若token失效则返回失效,token未失效进行权限查看(token及权限信息等常用个人信息采用Redis进行缓存),有权限放行,无权限拦截;(2)用户访问登录URL,则无需拦截,判断用户、密码,进行缓存个人信息(查询关系数据库的用户角色、权限信息后进行缓存),并返回token给用户作为下次登录凭证;(2)分类资源(对应相应的权限),一般可以有数据权限、操作权限访问权限等,表现为对URL(URI)的访问控制;在关系数据库中,由于原子性(第一规范),因此需要两张关联表进行管理用户和角色,角色和权限。...
Spring Security(16)——基于表达式的权限控制
dotedy的博客
10-16 1895
EL表达式hasPermissionPreFilterPreAuthorizeSpring Security  基于表达式的权限控制 目录 1.1      通过表达式控制URL权限 1.2      通过表达式控制方法权限 1.2.1     使用@PreAuthorize和@PostAuthorize进行访问控制 1.2.2     使用@PreFilter和@Post
springboot权限设计思路(精确到按钮级别)
大海无量的博客
08-18 2万+
参考:https://www.cnblogs.com/zhaojiatao/p/8482998.html 参考(精确到按钮级别):https://blog.csdn.net/chen42955/article/details/47423501
Spring Boot+Spring Security+JWT 实现 RESTful Api 认证 (一)
热门推荐
https://gitee.com/micai-code
09-13 9万+
摘要:用spring-boot开发RESTful API非常的方便,在生产环境中,对发布的API增加授权保护是非常必要的。现在我们来看如何利用JWT技术为API增加授权保护,保证只有获得授权的用户才能够访问API。 一:开发一个简单的API 在IDEA开发工具中新建一个maven工程,添加对应的依赖如下: <dependency> <gro...
springboot+jjwt+security完美解决restful接口无状态鉴权
梦想修补师
08-19 1万+
微服务大行其道的现在,如果我们还在用wsdl之类的提供接口,给人的感觉就会很low,虽然说不能为了炫技而炫技,但是既然restful接口已经越来越流行,必然有它的道理。 本文我们不讨论restful接口的好处,旨在解决使用restful时候的权限控制问题。 springboot本身已经提供了很好的spring security的支持,我们只需要实现(或者重写)一部分接口来实现我们的...
SpringBoot整合SpringSecurity实现角色权限管理
在Controller的方法上使用Spring Security的注解,如`@PreAuthorize`或`@Secured`,来指定哪些角色可以访问特定的API。例如: ```java @RestController public class MyController { @GetMapping("/admin") ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值