springsecurity通过注解@PreAuthorize(“hasAuthority(‘xxx‘)“)实现方法级权限管理

最新推荐文章于 2024-06-05 13:58:51 发布
最新推荐文章于 2024-06-05 13:58:51 发布
阅读量1w 收藏 35
点赞数 9
分类专栏: spring boot学习 文章标签: java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39602487/article/details/118186413
版权

1. 原理

1 进入hasAuthority()方法

在这里插入图片描述

2 上面方法调用了hasAnyAuthority()方法

在这里插入图片描述

3 上面方法调用了hasAnyAuthorityName()方法

在这里插入图片描述hasAnyAuthorityName() 方法中调用了getAuthoritySet() 方法返回一个权限Set,而getAuthoritySet() 方法则调用了getAuthorities() 。这个权限Set就是由getAuthorities()返回的Collection转换而来的。
在这里插入图片描述

而我们的项目之前在SecurityUser(UserDetails的实现类)中覆写了getAuthorities() 方法

在这里插入图片描述
当我们的前端提交用户名和密码进行登录时,会调用UserDetailsServiceImpl中我们覆写的
loadUserByUsername() 方法,创建SecurityUser对象并将根据用户名查询到的权限值列表赋值到SecurityUser对象的permissionValueList成员变量中,最后返回SecurityUser对象。
在这里插入图片描述

4

这样 spring调用 getAuthorities() 就能够我们登录时得到权限列表值。 最终回到@PreAuthorize(“hasAuthority(‘xxx’)”)注解,该注解就可以根据’xxx’是否存在于getAuthorities() 来判断该登录用户是否具有访问注解修饰的方法的权限。

2 使用

在这里插入图片描述
上面注解使用在了controller层中的某一个edit方法上,@PreAuthorize(“hasAuthority(‘xxx’)”)注解根据是否存在’mpp250.edit’来判定当前登录用户是否具有访问edit方法的权限。

_respect__
关注
  • 9
    点赞
  • 35
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security-@PreAuthorize 权限注解分析
西京刀客
09-18 2万+
@PreAuthorize @PreAuthorize
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证
08-26
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证,可根据注解的格式不同,做到角色权限控制,角色加资源权限控制等,粒度比较细化。 @PreAuthorize("hasAnyRole('ADMIN','USER')"):具有admin或user角色的用户可以访问。 @PreAuthorize("hasRole('ADMIN') and hasRole('USER')"):具有admin和user角色的用户可以访问 文章地址:https://blog.csdn.net/fuu123f/article/details/108233463
Spring security实现权限管理示例
08-31
主要介绍了Spring security实现权限管理示例,这里整理了详细的代码,具有一定的参考价值,感兴趣的小伙伴们可以参考一下。
Spring Security 常用的 SpEL 表达式
最新发布
2401_85480529的博客
06-05 210
可以是一个权限字符串,也可以是一个 SpEL 表达式,用于动态计算权限。:要求用户进行完全认证,即不允许使用 Remember-Me 记住我功能。:检查当前用户是否是通过 Remember-Me 记住我功能进行认证的。:检查当前用户是否具有给定权限列表中的任何一个权限。:检查当前用户是否具有给定角色列表中的任何一个角色。:拒绝所有用户访问,即不允许任何用户访问。:允许所有用户访问,即无需任何权限。:检查当前用户是否已经进行了认证。:检查当前用户是否具有指定权限。:检查当前用户是否是匿名用户。
Spring-Security@PreAuthorize("hasAuthority('')")源码分析
热门推荐
cloud的博客
07-02 4万+
Spring-Security@PreAuthorize(“hasAuthority(’’)”)源码分析 @PreAuthorize(“hasAuthority(‘xxx’)”)用来鉴别当前登录用户所拥有的角色是否有xxx权限访问该接口。 点进去看看security是如何来鉴权的。 这里authority即为我们传入的权限,比如prod:create,接下来再看this.hasAnyAutho...
基于springboot+springSecurity+jwt实现的基于token的权限管理
02-24
这是一个使用了springboot+springSecurity+jwt实现的基于token的权限管理的一个demo
详细分析SpringSecurity中的@PreAuthorize注解
码农研究僧的博客
01-27 7689
Java中,`@PreAuthorize` 是Spring Security框架中的一个注解,用于在方法调用之前对用户的权限进行验证。 允许在方法别定义访问控制规则,确保只有满足指定条件的用户才能调用该方法 这个注解通常与Spring的AOP(面向切面编程)结合使用,推荐阅读: Spring框架从入门到学精(全) java框架 零基础从入门到精通的学习路线 附开源项目面经等(超全)
Spring-Security@PreAuthorize(“hasAuthority(‘‘)“)源码分析
z69183787的专栏
12-28 1194
Spring-Security@PreAuthorize(“hasAuthority(’’)”)源码分析@PreAuthorize(“hasAuthority(‘xxx’)”)用来鉴别当前登录用户所拥有的角色是否有xxx权限访问该接口。SpringBoot Security Oauth2角色及权限鉴权注解方法hasRole及hasAuthority的使用区别_控制器中定义的权限字符,如:@preauthorize(`@ss.hasrole('admin')`-CSDN博客。
其它权限校验方法
Leon_Jinhai_Sun的博客
06-08 909
权限
基于SpringSecurity的@PreAuthorize实现自定义权限校验方法
小王博客基地
08-15 5641
在我们一般的web系统中必不可少的就是权限的配置,也有经典的RBAC权限模型,是基于角色的权限控制。这是目前最常被开发者使用也是相对易用、通用权限模型。当然已经实现了权限的校验,但是不够灵活,我们可以自己写一下校验条件,从而更加的灵活!很多开源框架中也是用的比较多,小编看了一下若依是自己写了一个注解实现的,pig是使用来实现自己的校验方式,小编以pig框架的为例。这样就完成了自定义校验,具体的校验可以自己在配置里进行修改,当然也可以自己写一个注解来进行自定义校验,可以参考若依的注解!...
spring security学习笔记(二)--授权
bjjx123456的博客
10-01 570
例:只有这个user在其对应的role对应的menu表中的perms字段(权限字段)中有sys:student:operation才可以访问。我们知道springboot中有全局异常处理器,当发生异常后会如果没在controller层,service层或者dao层进行处理会向上抛出给全局异常处理器,从而统一返回结果。SpringSecurity也有异常处理机制,我们还希望在认证失败或者是授权失败的情况下也能和我们的接口一样返回相同结构的json,这样可以让前端能对响应进行统一的处理。
SpringBoot2.0 整合 SpringSecurity 框架实现用户权限安全管理方法
08-25
Spring Boot 2.0 整合 Spring Security 框架实现用户权限安全管理】 Spring Security 是一个强大的安全框架,专为基于Spring的应用程序提供声明式的安全访问控制。它通过Spring的依赖注入(DI)和面向切面编程...
Spring Boot 通过AOP和自定义注解实现权限控制的方法
08-25
Spring Boot 通过 AOP 和自定义注解实现权限控制的方法 在本文中,我们将探讨如何使用 Spring Boot 通过 Aspect-Oriented Programming(AOP)和自定义注解实现权限控制。权限控制是任何应用程序的重要组件,它...
SpringSecurity @PreAuthorize注解引用yml变量
AdamShyly的博客
03-01 510
这是原本在Controller层配置的角色权限注解,可以看到角色控制符(0,1,2)都是固定写死的,可读性较差,若数据库中的role字段内容更新不易于维护代码。所以可以通过@environment.getProperty()注解方法来引用.yml配置文件中的自定义变量,实现动态更新。原方法修改为以下内容。
@PreAuthorize 权限控制的原理
05-19 3589
@PreAuthorize 注解,顾名思义是进入方法前的权限验证,@PreAuthorize 声明这个方法所需要的权限表达式,例如:@PreAuthorize("hasAuthority('sys:dept:delete')"), 根据这个注解所需要的权限,再和当前登录的用户角色所拥有的权限对比,如果用户的角色权限集Set中有这个权限,则放行;没有,拒绝 跟进hasAuthority方法: 但是,问题来了,这个用户的角色权限Set,是什么时候存入的,其流程如下: 相关代码: ...
springsecurity开启方法的授权源码分析
python15397的博客
02-28 1470
至于 @PreAuthorize 注解的拦截器是如何生效的那就要靠 @EnableMethodSecurity 注解,因为该注解中导入了 @Import({MethodSecuritySelector.class}) 并接入到了IOC容器,因此只需要看 MethodSecuritySelector 类具体是怎么处理方法的认证的即可。使用了方法权限注解开启了方法的权限鉴定之后,就可以使用如下注解直接在控制器上使用方法的权限鉴定了。处理器,其中的这部分源码解释可以看出如何使用表达式的过程。
SpringBoot Security Oauth2角色及权限鉴权注解方法hasRole及hasAuthority的使用区别
ipifei的博客
09-06 7197
SpringBoot Security Oauth2角色及权限鉴权注解方法hasRole及hasAuthority的使用区别
SpringSecurity:@PreAuthorize如何实现自定义权限校验方法
2301_76607156的博客
05-05 1284
在我们一般的web系统中必不可少的就是权限的配置,也有经典的RBAC权限模型,是基于角色的权限控制。这是目前最常被开发者使用也是相对易用、通用权限模型。当然已经实现了权限的校验,但是不够灵活,我们可以自己写一下校验条件,从而更加的灵活!很多开源框架中也是用的比较多,小编看了一下若依是自己写了一个注解实现的,pig是使用来实现自己的校验方式,小编以pig框架的为例。这样就完成了自定义校验,具体的校验可以自己在配置里进行修改,当然也可以自己写一个注解来进行自定义校验,可以参考若依的注解
SpringSecurity授权逻辑实现
weixin_57801340的博客
07-22 387
修改授权配置类 在权限配置类上添加启用全局方法访问控制注解 这个配置类是配置Spring-Security的, prePostEnabled= true表示启动权限管理功能 定义资源Controller package com.cy.jt.security.controller; /** * 可以将这里的Controller看成是系统内部的一个资源对象,我们 * 要求访问此对象中的方法时需要进行权限检查. */ @RestController public class Resourc.
springsecurity @PreAuthorize
09-24
@PreAuthorize注解Spring Security框架提供的一种权限控制注解。它可以用于方法别的权限控制,即在方法执行前对用户角色进行验证。通过在方法上使用@PreAuthorize注解,可以根据需要对用户的角色、权限进行限制,只有满足条件的用户才能执行该方法。 @PreAuthorize注解的工作原理是,当一个方法上使用了该注解时,在方法执行之前,Spring Security会通过配置的权限控制规则对用户进行验证,只有验证通过的用户才能继续执行方法,否则将抛出AccessDeniedException异常。 该注解中的value属性是一个Spring-EL表达式类型的字符串,用于指定权限控制规则。可以在表达式中使用Spring Security框架封装的专门针对Spring Security框架本身的Spring-EL表达式解析类SecurityExpressionRoot中定义的方法和属性。通过使用这些方法和属性,可以灵活地定义权限控制规则。 举个例子,假设我们有一个方法需要验证用户是否具有ROLE_ADMIN角色才能执行,可以在方法上添加@PreAuthorize注解,并设置value属性为"hasRole('ROLE_ADMIN')"。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值