springSecurity基于表达式鉴权

最新推荐文章于 2024-06-24 17:53:52 发布
最新推荐文章于 2024-06-24 17:53:52 发布
阅读量1.6k 收藏 3
点赞数 1
分类专栏: Java springboot 文章标签: springSecurity springboot 方法级别 method
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38403662/article/details/95513491
版权
本文深入探讨了如何使用Spring Security的表达式语言进行权限控制,包括URL安全表达式、自定义Bean鉴权以及方法级别的访问控制。文章通过示例详细讲解了PreAuthorize和PostAuthorize注解的使用,并提供了源码链接供读者进一步研究。
摘要由CSDN通过智能技术生成

文章目录

前言

上一篇文章已经介绍了springSecurity的使用了,本篇文章主要介绍一下使用spring EL表达式来控制授权,允许在表达式中使用复杂的布尔逻辑来控制访问的权限

常见的表达式

Spring Security可用表达式对象的基类是SecurityExpressionRoot

表达式 描述
hasRole([role]) 用户拥有指定的角色时返回true(hasRole()默认会将配置中的 role 带有 ROLE_ 前缀再和用户的角色权限 进行对比)
hasAnyRole([role1,role2]) 用户拥有任意一个指定中的角色时返回true
hasAuthority([auth]) 同hasRole()但不添加前缀 ROLE_
hasAnyAuthority([auth1,auth2]) 同hasAnyRole([auth1,auth2]),但不添加前缀 ROLE_
permitAll 永远返回true
denyAll 永远返回false
anonymous 当前用户时 anonymous(匿名、未认证)时返回true
rememberMe 当前用户时 rememberMe(记住登录) 时发挥true
authentication 当前登录用户的 authentication 对象
fullAuthticated 当前用户既不是 anonymous 也不是 rememberMe 时返回true(即正常认证登录时返回true)
hasIpAddress("192.168.1.0/24") ip匹配时返回true

如果需要移除hasRole的前缀,在security配置类中添加如下代码

	@Bean
    GrantedAuthorityDefaults grantedAuthorityDefaults(){
   
        return new GrantedAuthorityDefaults("");//remove the ROLE_ prefix
    }

URL安全表达式

http.antMatchers("/test/*").access("hasRole('ADMIN') or hasRole('USER')")
                .anyRequest().authenticated();

这里我们定义了 /test/ URL的范围,只有拥有 ADMINUSER 权限的用户可以访问 /test/ 匹配的URL

在Web 安全表达式中引用Bean自定义鉴权

http.antMatchers("/test/*").access("hasRole('ADMIN
最低0.47元/天 解锁文章
jamesluozhiwei
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 13
    评论
专栏目录
Spring Security基于表达式的访问控制
koflance的博客
03-30 2863
概述相比较以前使用配置属性(configuration attributes)或access-decision voters,Spring Security 3.0提供了基于EL表达式的访问控制(authorization mechanism)。该表达式可以用于web和method访问控制(access control)。Security提供的EL表达式root object是SecurityExp
SpringSecurity(十二)----基于表达式的访问控制
Apple_Andy的博客
10-10 278
1.access()方法使用 1)使用理由 之前学习的登录用户权限判断实际上底层实现都是调用access(表达式),我们可以通过access()实现和hasAuthority,hasRole等的权限控制完成相同的功能。 public ExpressionUrlAuthorizationConfigurer<H>.ExpressionInterceptUrlRegistry hasAuthority(String authority) { return this.acce
SpringSecurity】认证与鉴权框架SpringSecurity——授权
最新发布
低调做人,低调编码,神码都是浮云
06-24 1183
认证与鉴权框架SpringSecurity——授权
Spring Security 基于表达式的权限控制
weixin_34072637的博客
08-08 231
2019独角兽企业重金招聘Python工程师标准>>> ...
Spring Security-基于表达式的访问控制和基于注解的访问控制
Q54665642ljf的博客
08-04 327
Spring Security-基于表达式的访问控制和基于注解的访问控制
使用SpringSecurity3实现RBAC权限管理
novelly的专栏
02-13 1173
1、 What? 什么是权限管理?         具体可参见百度:http://baike.baidu.com/view/2108713.htm     名词备注:     数据级权限:百科内的权限管理一文解释的比较不错,但其中的“数据级权限”有的人看来会觉得有点摸不着头脑。数据级权限,即表示权限与特定数据有联系的权限,比方说,某用户只能创建100个用户。这个100,就
springsecurity源码(鉴权有缺陷)
05-20
这通常基于角色或表达式式语言(如Spring EL)进行。 3. **可能的鉴权缺陷**: - **不完整的权限检查**:如果在配置Spring Security时,没有对所有需要保护的资源进行适当的访问控制,攻击者可能能够绕过安全限制...
spring security方法鉴权使用示范项目
03-01
首先,Spring Security 提供了基于注解的方法安全特性,这允许我们在方法级别定义哪些用户或者角色可以访问该方法。通过使用 `@Secured` 或者 `@PreAuthorize` 和 `@PostAuthorize` 注解,我们可以声明性地指定访问...
SpringSecurity之JWT实现token认证和授权.zip
08-09
为了控制资源的访问权限,Spring Security提供了一种基于注解的权限表达式系统。我们可以使用@PreAuthorize、@PostAuthorize、@Secured等注解来定义哪些方法需要特定的角色或权限才能访问。此外,还可以使用...
SpringSecurityDemo.zip
09-17
在“SpringSecurityDemo.zip”这个项目中,我们看到一个示例应用,它演示了如何使用SpringSecurity实现多种登录认证方式,并结合Web鉴权方法鉴权来确保系统的安全性。 首先,SpringSecurity 提供了灵活的身份验证...
SpringSecurity表达式
yanshendeyinji的博客
10-20 320
1前提配置: 或xml方式 2web安全表达式 (1) hasRole, hasAnyRole (2) hasAuthority, hasAnyAuthority (3)permitAll, denyAll (4) isAnonymous, isRememberMe, isAuthenticated, isFullyAuthenticated (5) principal, authentication (6) hasPermission 3这些表达式负责定义对应用程序中特定URL或方法的访问控制或授权
SpringBoot2.0实战 | 第三十章:整合SpringSecurity之基于SpEL表达式实现动态方法鉴权
死牛胖子的技术随笔
03-23 876
在前面的文章中,我们已经实现了对登录操作,实现数据库鉴权,对当前登录用户的登录状态实现了权限控制。 第二十四章:整合SpringSecurity之最简登录及方法鉴权 第二十五章:整合SpringSecurity之使用数据库实现登录鉴权 用户登录成功后,会加载当前用户的角色至内存,至于哪个角色可以访问哪些方法,则是通过 SpringSecurity 提供的方法鉴权来实现。 通过 @EnableG...
springboot + spring security + token + rbac 角色权限验证(前后端分离)
奔波儿灞07的博客
07-16 3802
前言:最近做项目的时候,需要角色和权限的认证,前后端分离,查阅一番资料后,网上的大多都不符合项目的使用标准,于是自己个博客跟大家分享一番,有什么欠缺的地方留言讨论 文章目录: 首先需要了解Spring Security的过滤链和认证流程 其次了解流程之后需要根据项目的需求做一些认证的变动(不过大体是一样的) 建立数据库脚本,引用security的配置,开始愉快的代码了 代码放Gi...
SpringSecurity实现登录和权限【真~前后端分离】
小道仙的后宫
02-24 1866
整合这个SpringSecurity花了我好几天的时间,也让我很头疼。 倒不是因为它很难,只是我搜索到的前后端分离验证,多多少少都有些问题。 下面我就把我完整的代码贡献出来、避免后面的人也走坑。 1、阐述几个问题 这里有几个问题需要表达一下,当然你也可以直接跳到第二步开始。 1-1、什么是SpringSecurity      它本质就是一个过滤器,然后...
SpringSecurity总结
m0_47612445的博客
03-16 730
SpringSecurity Spring Security简介 解决的两个核心问题:认证和授权 默认存在IOC AOP 基于配置(配置类中配置权限基本操作) SpringSecurity自定义登录 1.API对象 UserDetailsService:loadUserByUserName UserDetails(登录用户信息):用户名、密码、权限 PasswordEncoder:encode、matches 2.自定义登录前后端 后端: 1.实现UserDetailsService接口:需要自定 义
Spring Security介绍(四)权限校验
w_t_y_y的博客
02-29 977
(1)自定义拦截器或者AOP校验:对需要鉴权的接口做拦截,用户的权限从SecurityContextHolder中获取,接口访问权限可以通过自定义Annotation注入,具体参照。用户认证+授权后,就可以进行接口权限控制。思路是拿用户(已授予的)权限与接口所需权限进行比较,不包含则视为无权。和shiro类似,sercurity也提供了注解式权限校验。
spingsecurity中haspermission用法以及配置自定义PermissionEvaluator
热门推荐
xmj_0422的博客
08-13 1万+
一、原理剖析 先看一段官方文档对haspermission的描述(文档链接:https://docs.spring.io/spring-security/site/docs/5.2.7.BUILD-SNAPSHOT/reference/htmlsingle/#el-permission-evaluator) 开头的意思是haspermission的注解会委托给PermissionEvaluator接口,而这个接口默认实现是DenyAllPermissionEvaluator(源码如下) 这个类的两个
SpringSecurity接口资源鉴权
09-06
### 回答1: Spring Security是一个用于为Java应用程序提供身份认证和访问控制的安全框架。 在Spring Security中,接口资源的访问权限通常是通过在接口上使用注解来实现的。 例如,使用`@PreAuthorize`注解可以在接口调用之前进行权限验证,只有当认证用户具有指定权限时,才能访问该接口。 例如: ``` @PreAuthorize("hasAuthority('ROLE_ADMIN')") @GetMapping("/api/admin/users") public List<User> getAllUsers() { // implementation } ``` 在这个例子中,只有具有`ROLE_ADMIN`角色的用户才能访问`/api/admin/users`接口。 ### 回答2: Spring Security是一个功能强大的开源框架,主要用于实现应用程序的身份认证和授权功能。其中,接口资源鉴权Spring Security的一个重要功能。 Spring Security提供了丰富的API和配置选项,可以灵活地定义接口资源的访问权限。下面是使用Spring Security进行接口资源鉴权的一般步骤: 1. 引入Spring Security依赖:在项目的配置文件中添加Spring Security的依赖项,以便使用Spring Security相关的类和接口。 2. 配置SecurityConfig类:创建一个SecurityConfig类并继承自WebSecurityConfigurerAdapter,用于配置鉴权相关的信息。在该类中可以定义认证方式、授权规则等。 3. 实现UserDetailsService接口:创建一个类实现UserDetailsService接口,并重loadUserByUsername方法来自定义用户的认证方式。在该方法中可以根据用户名从数据库或其他数据源中获取用户的详细信息,并返回一个UserDetails对象。 4. 定义授权规则:通过SecurityConfig类的configure方法,使用antMatchers等方法来定义接口的访问权限。可以根据URL、请求方法等多个条件来进行配置,如将某些接口限制为只有管理员角色可以访问。 5. 启用Spring Security:在项目的配置文件中启用Spring Security,可以通过注解@EnableWebSecurity来启用Spring Security功能。 通过以上步骤的配置,Spring Security会在请求接口时对用户进行身份认证,并根据配置的授权规则判断用户是否有访问该接口的权限。如果用户没有权限,则会返回相应的错误信息或跳转到指定的页面。 总结来说,Spring Security的接口资源鉴权功能可以通过配置SecurityConfig类和实现UserDetailsService接口来自定义认证和授权规则,从而保证应用程序的接口访问权限的安全性。 ### 回答3: Spring Security是一个用于处理认证和授权的框架,接口资源鉴权是其中的一个重要功能。 首先,Spring Security提供了一种灵活的方式去定义和管理用户的认证信息。它支持多种认证方式,包括基于表单、基于HTTP Basic Auth、基于JSON Web Token(JWT)等。用户在访问接口资源前,需要进行身份认证,通过用户名密码等信息进行验证。 其次,Spring Security还提供了一套丰富的授权机制,可以细粒度地控制用户对接口资源的访问权限。可以通过注解、配置文件或者自定义实现的方式,来定义接口资源的访问规则。例如,可以在控制器的方法上添加`@PreAuthorize`注解,指定需要具备的角色或权限才能访问该接口。 在接口资源鉴权过程中,Spring Security还提供了一些常用的特性,例如CSRF(跨站请求伪造)防护、Session管理,以及日志记录等。这些功能可以帮助开发者更好地保护接口资源的安全性和完整性。 总结来说,Spring Security接口资源鉴权是通过认证和授权来保护接口资源的安全性。它提供了灵活的认证方式和丰富的授权机制,可以根据应用的需求进行定制化配置。通过使用Spring Security,我们能够更好地确保接口资源只被合法用户访问,并保护用户数据的安全。
评论 13
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值