Spring Security服务器端方法级权限控制

最新推荐文章于 2024-07-03 10:24:54 发布
最新推荐文章于 2024-07-03 10:24:54 发布
阅读量432 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39182939/article/details/104587291
版权
在服务器端我们可以通过 Spring security 提供的注解对方法来进行权限控制(主要有3种方式)。 Spring Security 在方法的权限控制上
支持 三种类型 的注解, JSR-250注解 @Secured注解 支持表达式的注解 ,这三种注解默认都是没有启用的,需要单独通过global-method-security 元素的对应属性进行启用。
 

1.JSR-250注解介绍

(1)spring-security.xml中添加注解的开启:

<security:global-method-security jsr250-annotations="enabled">
</security:global-method-security>

(2)在pom.xml中导入相关的依赖:

<dependency>
    <groupId>javax.annotation</groupId>
    <artifactId>jsr250-api</artifactId>
    <version>1.0</version>
</dependency>

(3)在ProductController的方法上设置:

//查询全部产品
@RequestMapping("/findAll.do")
@RolesAllowed("ADMIN")//只有具有admin权限的用户登录才可以查看全部产品,如果这个用户没有admin的权限,点击页面会出现403权限不足的信息,因此要配置友好的页面见(4)
public ModelAndView findAll() throws Exception {
    ModelAndView mv = new ModelAndView();
    List<Product> ps = productService.findAll();
    mv.addObject("productList", ps);
    mv.setViewName("product-list1");
    return mv;

}

补充:

对于JSR-250注解来说,在controller中@RolesAllowed("ADMIN"),可以省略前面的ROLE_,但是在@Secured注解中就不可以省略。
 
(4)在web.xml中配置: 
<error-page>
  <error-code>403</error-code>
  <location>/403.jsp</location>
</error-page>
 
 

2.@Secured注解介绍

 

@Secured注解是spring security默认提供的,因此不需要在web。xml中导入依赖。

 

 

3.支持表达式的注解介绍

 

只有用户名是tom的用户可以进行用户的添加,其他任何角色都不行,只有权限有admin的角色可以进行查询所有用户。

 

SZH勿忘初心
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
爆破专栏丨Spring Security系列教程之Spring Security的四种权限控制方式
xiaoxijinger的博客
11-05 1209
原创:一一哥 前言: 在前面的章节中,一一哥 已经给大家介绍了Spring Security的很多功能,在这些众多功能中,我们知道其核心功能其实就是认证+授权。 在前面我们分别基于内存模型、基于默认的数据库模型、基于自定义数据库模型实现了认证和授权功能,但是不管哪种方式,我们对某个接口的拦截限制,都是通过编写一个SecurityConfig配置类,在该类的configure (Http Security http)方法中,通过http. authorize Requests ( ). antMatchers
SpringSecurity+OAuth2+JWT分布式权限控制.zip
07-23
本项目“SpringSecurity+OAuth2+JWT分布式权限控制”旨在提供一个完整的解决方案,帮助开发者构建安全的、基于微服务的分布式应用程序。 Spring Security 是一个强大的和高度可定制的身份验证和授权框架,适用于...
spring security 3.0配制
ystar9的博客
08-12 498
前言     南朝《述异记》中记载,晋王质上山砍柴,见二童子下棋,未看完,斧柄已烂,下山回村,闻同代人都去世了,自已还未变老。    因此发出“山中方一日,世上几千年” 的慨叹。原文寥寥几笔,读来却发人深省。     另有宋朝周敦颐在《暮春即事》中也有诗云:双双瓦雀行书案,点点杨花入砚池。闲坐小窗读周易,不知春去几多时。     上述古文或古诗中对于时间的论述最符合我现在的感受。已经整整十五...
使用 Spring Security 进行方法别的安全控制
最新发布
FireFox1997
07-03 328
除了内置的表达式,还可以创建自定义的权限表达式。// 实现自定义的权限验证逻辑 return true;} }// 实现自定义的权限验证逻辑 return true;} }// 实现自定义的权限验证逻辑 return true;} }// 实现自定义的权限验证逻辑 return true;} }// 实现自定义的权限验证逻辑 return true;} }// 实现自定义的权限验证逻辑 return true;} }
Spring Security 权限控制
铭记:
04-02 2439
Spring Security 是一个为 Java 应用程序提供身份验证和授权功能的强大框架。其中一个核心特性就是能够为特定的资源强制执行权限和访问控制规则。本文将探讨 Spring Security 权限控制的场景、使用和实现原理
Spring Security 注解方式权限控制
qq_65142821的博客
01-29 1147
Spring Security除了可以在配置文件中配置权限校验规则,还可以使用注解方式控制类 中方法的调用。例如Controller中的某个方法要求必须具有某个权限才可以访问,此时就 可以使用Spring Security框架提供的注解方式进行控制
SpringBoot+Spring Security+JWT实现RESTful Api权限控制方法
08-26
在本文中,我们将探讨如何使用Spring Boot、Spring Security和JSON Web Tokens (JWT)来实现RESTful API的权限控制Spring Boot简化了构建基于Spring的应用程序流程,而Spring Security则提供了强大的安全框架,JWT...
Spring Security单项目权限设计过程解析
08-25
在这个 demo 中,我们没有使用 JWT(JSON Web Token),而是将 token 的维护放在服务器端,以便更方便地管理过期时间。不过,在微服务认证中心的场景下,JWT 仍然是一个可行且方便的选择。 在核心代码部分,我们...
Spring Boot中使用Spring Security实现权限控制
04-15
本文将深入探讨如何在Spring Boot项目中利用Spring Security进行权限控制,并结合BCrypt加密技术来增强用户密码的安全性,同时也会提及如何使用Thymeleaf模板引擎来呈现动态安全的界面。 首先,我们需要理解Spring ...
SpringBoot + SpringSecurity + JPA 实现用户角色权限登录认证
09-10
本项目结合了SpringBoot、SpringSecurity以及JPA(Java Persistence API),实现了用户角色权限的登录认证功能。以下是关于这些技术及实现过程的详细讲解。 1. **SpringBoot**:SpringBoot简化了Spring应用的初始...
springboot整合Security、OAuth2实现权限控制
09-24
通过用户角色实现用户登录鉴权,springboot+Redis+Security+OAuth2
SpringSecurity整合SSM和SpringBoot完成方法权限控制
CDHong.it的技术分享博客
11-16 1210
权限管理,一般指根据系统设置的安全规则或者安全策略,用户可以访问而且只能访问自己被授权的资源权限管理几乎出现在任何系统里面,前提是需要有用户和密码认证的系统。
Spring Security权限控制
qq_41783386的博客
07-27 1602
spring security权限控制
SpringSecurity---细粒度的权限控制
sout
01-28 4099
第五章 细粒度权限控制 5.1 前置细节【Role和Authority的区别】 5.1.1 用户拥有的权限表示 roles("ADMIN","学徒","宗师") authorities("USER","MANAGER"); 5.1.2 给资源授予权限(角色或权限) //.antMatchers("/level1/**").hasRole("学徒") //.antMatche...
SpringSecurity: 授权和修改User配置角色和权限,修改loadUserByUsername方法,修改SpringSecurity配置类,控制Controller层接口权限,异常处理
qq_73126462的博客
01-22 1568
以用户所属角色为基础进行授权,如管理员、普通用户等,通过为用户分配角色来控制其对资源的访问权限。:以资源为基础进行授权,如 URL、方法等,通过定义资源所需的权限,来控制对该资源的访问权限Spring Security 提供了多种实现授权的机制,最常用的是使用基于注解的方式,建立起访问资源权限之间的映射关系。其中最常用的两个注解是@Secured和。@Secured注解是更早的注解,基于角色的授权比较适用,基于SpEL表达式的方式,可灵活定义所需的权限,通常用于基于资源的授权。
基于Spring Security方法权限控制笔记
weixin_43591127的博客
10-17 326
基于Spring Security方法权限控制 基于spring security方法权限控制有三种类型注解:JSR-250注解,@Secured注解和支持表达式的注解,这三种注解都是没有开启的,需要通过global-method-security元素的对应属性进行启用 它们之间的关系为 从2.0版开始,springsecurity大大改进了对向服务层方法添加安全性的支持。它提供了对JSR-250注释安全性以及框架的原始@Secured注释的支持。从3.0开始,还可以使用新的基于表达式的注释。可以
spring security控制权限的几种方法
weixin_33672109的博客
11-12 144
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62...
Spring Boot+Spring Security+JWT 实现 RESTful Api 认证 (一)
热门推荐
https://gitee.com/micai-code
09-13 9万+
摘要:用spring-boot开发RESTful API非常的方便,在生产环境中,对发布的API增加授权保护是非常必要的。现在我们来看如何利用JWT技术为API增加授权保护,保证只有获得授权的用户才能够访问API。 一:开发一个简单的API 在IDEA开发工具中新建一个maven工程,添加对应的依赖如下: <dependency> <gro...
Spring Security快速入门与前后端分离项目安全改造
Spring Security 是一款强大的Java安全框架,由Spring团队提供,用于简化企业Web应用的认证和授权管理。它在Spring Boot项目中的集成使得入门变得相对容易,因为它包含了自定义登录界面和基本的认证流程,例如通过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值