Spring security 权限控制

最新推荐文章于 2022-03-29 09:25:10 发布
最新推荐文章于 2022-03-29 09:25:10 发布
阅读量320 收藏
点赞数
分类专栏: Spring  security 框架 文章标签: Spring  security  权限控制
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38620956/article/details/102131422
版权

方法级别权限控制

1.jsr250

   1.需要坐标 

        <dependency>
            <groupId>javax.annotation</groupId>
            <artifactId>jsr250-api</artifactId>
            <version>1.0</version>
        </dependency>

 2.在配置文件spring-security.xml 中开启 注解  默认是关闭的

<security:global-method-security jsr250-annotations="enabled"/>

3.在控制器中 添加注解 @RolesAllowed("ADMIN")   可以写多个角色       可以省略       只有 有admin角色的用户才能访问

@Controller
@RequestMapping("/user")
public class UserController {

    @RequestMapping("/findAll.do")
    @RolesAllowed("ADMIN")                只有 有admin角色的用户才能访问
    public ModelAndView findAll() {
        ModelAndView mv = new ModelAndView();
        List<UserInfo> list=iUserService.findAll();
        mv.addObject("userList",list);
        mv.setViewName("user-list");
        return mv;
    }
}

@PermitAll    表示允许所有的角色进行访问,也就是说不进行权限控制
@DenyAll      是和PermitAll相反的,表示无论什么角色都不能访问

  4.权限不足时 前端会报 403 权限不足的错误 可以在web.xml配置 错误页面      将页面放在webapp下

  <error-page>
    <error-code>403</error-code>
    <location>/403.jsp</location>
  </error-page>

2.Secured注解

  是Spring 自带的注解 不需要再导入包了

 在spring-security.xml配置文件 开启注解 功能

 <security:global-method-security secured-annotations="enabled"/>
     @RequestMapping("/findAll.do")
//    @RolesAllowed("ADMIN")
    @Secured("ROLE_ADMIN")
    public ModelAndView findAll() {
        ModelAndView mv = new ModelAndView();
        List<UserInfo> list=iUserService.findAll();
        mv.addObject("userList",list);
        mv.setViewName("user-list");
        return mv;
    }

 与jsr250区别是   必须写配置文件中声明的  拦截角色名称   

<security:http auto-config="true" use-expressions="false">
        <!-- 配置具体的拦截的规则 pattern="请求路径的规则" access="访问系统的人,必须有ROLE_USER的角色" -->
        <security:intercept-url pattern="/**" access="ROLE_USER,ROLE_ADMIN"/>

        <!-- 定义跳转的具体的页面 -->
        <security:form-login
                login-page="/login.jsp"
                login-processing-url="/login.do"
                default-target-url="/index.jsp"
                authentication-failure-url="/failer.jsp"
                authentication-success-forward-url="/pages/main.jsp"
        />

        <!-- 关闭跨域请求 -->
        <security:csrf disabled="true"/>
        <security:logout invalidate-session="true" logout-url="/logout.do" logout-success-url="/login.jsp" />

    </security:http>

Secured注解 支持spl表达式

  需要在  spring-security.xml 开启功能

 <security:global-method-security pre-post-annotations="enabled"/>

   "hasRole('ROLE_ADMIN')"     只有ROLE_ADMIN 角色的用户 才能查询所有

 @RequestMapping("/findAll.do")
//    @RolesAllowed("ADMIN")
//    @Secured("ROLE_ADMIN")
    @PreAuthorize("hasRole('ROLE_ADMIN')")            
    public ModelAndView findAll() {
        ModelAndView mv = new ModelAndView();
        List<UserInfo> list=iUserService.findAll();
        mv.addObject("userList",list);
        mv.setViewName("user-list");
        return mv;
    }

  "authentication.principal.username == 'wyc'"    只有用户名为wyc 的用户才能使用save方法

    @RequestMapping("/save.do")
    @PreAuthorize("authentication.principal.username == 'wyc'")
    public String saveUser(UserInfo userInfo) {
        iUserService.save(userInfo);
        return "redirect:findAll.do";
    }

表达式

描述

hasRole([role])

当前用户是否拥有指定角色。

hasAnyRole([role1,role2])

多个角色是一个以逗号进行分隔的字符串。如果当前用户拥有指定角色中的任意一个则返回true。

hasAuthority([auth])

等同于hasRole

hasAnyAuthority([auth1,auth2])

等同于hasAnyRole

Principle

代表当前用户的principle对象

authentication

直接从SecurityContext获取的当前Authentication对象

permitAll

总是返回true,表示允许所有的

denyAll

总是返回false,表示拒绝所有的

isAnonymous()

当前用户是否是一个匿名用户

isRememberMe()

表示当前用户是否是通过Remember-Me自动登录的

isAuthenticated()

表示当前用户是否已经登录认证成功了。

isFullyAuthenticated()

如果当前用户既不是一个匿名用户,同时又不是通过Remember-Me自动登录的,则返回true。

3.页面端标签 控制权限

   在jsp页面中我们可以使用spring security提供的权限标签来进行权限控制      导入坐标

<dependency> 
  <groupId>org.springframework.security</groupId> 
  <artifactId>spring-security-taglibs</artifactId> 
  <version>version</version> 
</dependency>

  jsp 页面 需要导入坐标 

<%@taglib uri="http://www.springframework.org/security/tags" prefix="security"%>

  在spring-security.xml 配置文件   开启支持 jsp页面的 SpringEL表达式 功能     所以以前的 改为 EL表达式的形式

<security:http auto-config="true" use-expressions="true">      开启spring EL 表达式
        <security:intercept-url pattern="/**" access="hasAnyRole('ROLE_USER','ROLE_ADMIN')"/>

        <security:form-login
                login-page="/login.jsp"
                login-processing-url="/login.do"
                default-target-url="/index.jsp"
                authentication-failure-url="/failer.jsp"
                authentication-success-forward-url="/pages/main.jsp"
        />
        <security:csrf disabled="true"/>
        <security:logout invalidate-session="true" logout-url="/logout.do" logout-success-url="/login.jsp" />
    </security:http>

1. authentication    在jsp页面 获取当前登录用户     principal.username 获取当前用户的 用户名 显示在线

<div class="pull-left info">
    <p><security:authentication property="principal.username"/></p>
    <a href="#"><i class="fa fa-circle text-success"></i> 在线</a>
</div>

2.  authorize    控制 页面 显示标签的权限

   只有admin  角色的用户 才能  显示 被security:authorize 包裹的 标签

 <security:authorize access="hasRole('ADMIN')">
    <li id="system-setting">
        <a href="${pageContext.request.contextPath}/sysLog/findAll.do">
             <i class="fa fa-circle-o"></i> 访问日志
        </a>
    </li>
 </security:authorize>

 

YGR1123打SD
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring security 配置 intercept-url 时需要注意的几个问题
ren_xu123的专栏
12-03 1万+
Spring Security 正则表达 Posted on March 8, 2012 by kevin By default, after you’ve added Spring Security to your Roo app with ‘security setup’, you get an example config in a applicationContext-
SpringSecurity权限控制
wunianisme的博客
04-13 1831
初识SpringSecurity 学习思路 了解SpringSecurity是什么。 查看官网简介。 简单快速阅读官方文档。 经过一段时间的学习,我们知道构建一个SpringBoot项目只需要三步: 导入maven依赖。 配置相关文件。 编写测试代码。 安全框架 在Web开发中,安全一直是一个十分重要的环节。它是一种非功能性的需求,但是对于一个系统十分重要,我们一般都会使用一些组件...
四、Spring Security使用自定义认证页面
付之一笑的专栏
08-22 561
一、 SpringSecurity使用自定义认证页面 1.1、在Spring Security主配置文件中指定认证页面配置信息 spring-security.xml <?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
SpringBoot使用security和jwt进行鉴权设计
蜂蜜柚子茶
11-13 740
一、登录成功、生成token、返回前段 二、请求头带上token访问后端接口
springboot+security实现权限管理
热门推荐
zhaoxichen_10的博客
03-21 8万+
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为...
spring security权限控制
10-15
在本文中,我们将深入探讨Spring Security如何实现权限控制,并通过一个名为"springsecuritydemo4"的示例项目来理解其核心概念。 首先,Spring Security权限控制主要涉及以下几个关键组件: 1. **认证...
SpringSecurity权限控制实现原理解析
08-24
SpringSecurity 权限控制实现原理解析 SpringSecurity 权限控制实现原理是指在应用程序中对用户的操作权限进行控制和限制,以确保应用程序的安全性和可靠性。权限控制是指在应用程序中对用户的操作权限进行控制和...
java中自定义Spring Security权限控制管理示例(实战篇)
08-31
通过以上步骤,我们就完成了Java中自定义Spring Security权限控制管理的实战示例,实现了对URL和HTTP方法的细粒度控制,满足了RESTful API的需求。这不仅提高了系统的安全性,也使得权限管理更加灵活和可扩展。
Spring Security 权限控制
03-23
Spring Security 提供了多种方式来实现权限控制,包括: 1. **表达式式访问控制 (Expression-Based Access Control)**: 使用 SpEL(Spring Expression Language)来定义访问规则,如 `@PreAuthorize("hasRole('ROLE...
Spring security 中使用 @Secured() 注解报 Access is denied错
xjh101010的专栏
06-05 2222
Spring security 中使用 @Secured(“role_admin”) 注解时,总是报org.springframework.security.AccessDeniedException: Access is denied的错 及时我用的是admin的角色去访问。 这里debug后发现,我的项目在登录时,会查询数据库中的用户角色关系表,给Authentication(注:
Spring Security源码分析十五:Spring Security 页面权限控制
weixin_34250709的博客
03-06 254
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了...
Spring Security 小记 - @Secured(), @PreAuthorize() 及 @RolesAllowed()
一个默默的人
09-18 9962
目录Spring Security 小记前言权限注解小坑 Spring Security 小记 记录一下Spring Security(版本为4) 中的 @Secured(), @PreAuthorize() 及 @RolesAllowed() 前言 Spring Security 和Shiro 可以说是安全框架的唯二选择了。 Shiro,比较简单和灵活,简单够用。而Spring Securit...
Spring Security详解(四)认证之鉴权
Jagger的博客
06-22 2万+
4 鉴权 从Spring Security的过滤器链中,我们已经发现位于最后的FilterSecurityInterceptor是用来进行权限认证的,这一节将详细分析Spring Security是如何进行权限认证的。 4.1 FilterSecurityInterceptor 源码分析: public class FilterSecurityInterceptor exten...
五、Spring Security权限控制(优医健康)
世上哪有什么岁月静好,不过是有人替你负重前行
03-29 694
文章目录1 认证和授权概念2权限模块数据模型3 Spring Security简介4 Spring Security入门案例1 工程搭建2 配置web.xml3 配置spring-security.xml4、测试5、源码分析DelegatingFilterProxyFilterChainProxy6 SpringSecurity常用过滤器介绍7 对入门案例进行改进(静态数据)8、登录调用服务层验证使用(模拟sql) 1 认证和授权概念 前面我们已经完成了编易健康后台管理系统的部分功能,例如检查项管理、检查组
Spring security权限控制
夜更深
08-04 120
1. 搭建Spring security 环境. 1) spring 项目: 导入Spring 的两个Jar包, 加入 Spring 的配置文件(注总加入 security 命名空间) 2) 加入 Spring security 的一个 Jar包 3) 在 web.xml 文件中加信相关配置 1&gt; 搭建 spring 环境 web.xml   &lt;!-- 搭建 sprin...
权限控制(认证与授权_Spring Security入门案例)
飞奔的嗨少
06-20 963
一、认证和授权概念 前面我们已经完成了健康后台管理系统的部分功能,例如检查项管理、检查组管理、套餐管理、预约设置等。接下来我们需要思考2个问题: 问题1:在生产环境下我们如果不登录后台系统就可以完成这些功能操作吗? 答案显然是否定的,要操作这些功能必须首先登录到系统才可以。 问题2:是不是所有用户,只要登录成功就都可以操作所有功能呢? 答案是否定的,并不是所有的用户都可以操作这些功能。不同的用户可能拥有不同的权限,这就需要进行授权了。 认证:系统提供的用于识别用户身份的功能,用户名、密码进行登录其实就是认证
利用spring-security解决CSRF问题
Frankenstein的博客
04-22 4万+
从配置到原理,一步步讲解如何利用Springsecurity框架来处理scrf问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值