Spring Security的使用(访问权限控制)

最新推荐文章于 2024-07-30 22:32:08 发布
最新推荐文章于 2024-07-30 22:32:08 发布
阅读量3k 收藏 4
点赞数
文章标签: Spring Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42514129/article/details/83340975
版权
访问权限控制
粗粒度:对一个功能的访问进行控制
细粒度:对该功能下的数据显示进行控制

注意:权限控制,需要在spring-mvc.xml中配置,否则会导致失效
<aop:aspectj-autoproxy proxy-target-class="true"></aop:aspectj-autoproxy>


<!---------------------------------方法/类权限控制------------------------------------->
jsr-250权限控制的使用:
第一步:导入依赖
   <dependency>
            <groupId>javax.annotation</groupId>
            <artifactId>jsr250-api</artifactId>
            <version>1.0</version>
   </dependency>
第二步:编写spring-security.xml,开启jsr-250注解的使用
<security:global-method-security jsr250-annotations="enabled"/>
第三步:在需要权限控制的类或方法上使用@RolesAllowed("ADMIN"),来控制访问所需要的角色,可以省略"ROLE_",开启表达式的使用, @RolesAlloewd("ADMIN")依然这么写

secured权限控制的使用:
第一步:编写spring-security.xml,开启secured注解的使用
<security:global-mathod-security secured-annotations="enable"/>
第三步:在需要权限控制的类或方法上使用@Secured("ROLE_ADMIN"),来控制访问所需要的角色,不能省略"ROLE_",
开启表达式的使用, @Secured("ROLE_ADMIN")依然这么写

SPEL表达式权限控制的使用:
在spring-security.xml中开启使用SPEL表达式,
<security:http auto-config="true" use-expressions="true"></security:http>
开启SPEL表达式后,需要修改:
<security:intercept pattern="/**" access="hasRole('ROLE_ADMIN','ROLE_USER')">
<security:global-method-security pre-post-annotations="enabled"></security:global-method-security>
@PreAuthorize("authentication.principal.username == 'tom'")	//当前用户为tom才可以访问
@PreAuthorize("hasAnyRole('ROLE_ADMIN','ROLE_USER')")	//admin或者user角色都可以访问
@PreAuthorize("hasRole('ROLE_ADMIN')")		//admin角色可以访问
<!---------------------------------页面权限控制------------------------------------->
第一步:导入依赖 
    <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-taglibs</artifactId>
            <version>5.0.1.RELEASE</version>
     </dependency>
第二步:在JSP页面引入标签库
   <%@taglib prefix="security" uri="http://www.springframework.org/security/tags" %>
1.获取当前认证用户的信息
       <h1>用户名:<security:authentication property="principal.username"/></h1>
2.控制菜单栏是否显示
       	<security:authorize access="hasRole('ROLE_ADMIN')">
            	....(菜单栏)
       </security:authorize>
@Param注解
由于#{}中赋值时,如果需要赋值的数据类型是普通数据类型,那么#{}可以任意写
@Insert("insert into user values(#{username},#{password})")
public void save(@Param("username"))String username,@Param("password")String password){ ... }
此时,由于赋值不明确,会导致500,可以使用@Param注解解决参数注入问题
手动指定错误状态码的跳转页面
配置wem.xml
<error-page>
    <error-code>403</error-code>	
    <location>/403.jsp</location>
</error-page>
400:通常发生在spring自动封装前端数据异常,一般都是日期转换异常
403:通常是在使用了spring security框架后,发生的权限不足的问题
qq_42514129
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
(二)如何使用spring-security来实现用户的登录权限功能?(配合使用数据库的方式)
王伟的博客
08-19 886
如何使用spring-security来实现用户的登录功能之配合使用数据库的方式 这个图大家先熟悉一下简单的过一遍,等把步骤都写完之后,后面会总结 (一)使用spring-security之前需要做的准备(基于springMVC和dubbo的项目) 1. 需要先在maven中pom文件中引入需要的spring-security的依赖 &amp;amp;lt;project xmlns=&amp;quot;http:...
[Springboot]Springboot2.0 Actuator配置后无法访问的问题解决.
中年油腻男人的转型之路
07-30 4422
按网友的方法添加依赖和配置属性后, 仍然无法访问.最后发现是导入的依赖问题. 我导入的是spring-boot-actuator(此依赖在maven库中能找到, 所以这问题比较隐蔽). 而正确的依赖是spring-boot-starter-actuator. 在此写给和我一样粗心的小伙伴们. 学习actuator的参考文章:https://blog.csdn.net/m0_3780...
Spring Security实现用户身份验证及权限管理
最新发布
m0_67989094的博客
07-30 676
总体认证过程:1、用户使用用户名和密码进行登录。2、Spring Security 将获取到的用户名和密码封装成一个实现了 Authentication 接口的 UsernamePasswordAuthenticationToken。3、将上述产生的 token 对象传递给 AuthenticationManager 进行登录认证。
springboot security 权限不足_SpringBoot + Spring Security 简单入门
weixin_39903846的博客
11-26 161
这篇文章主要介绍了SpringBoot + Spring Security 简单入门Spring Security 基本介绍这里就不对Spring Security进行过多的介绍了,具体的可以参考 官方文档https://docs.spring.io/spring-security/site/docs/current/reference/html5/#getting我就只说下SpringSecur...
Java控制层如何细化_Spring Security 中如何细化权限粒度?
weixin_39859052的博客
03-02 173
有小伙伴表示微人事(https://github.com/lenve/vhr)...。不过松哥想说的是,技术都是相通的,明白了 vhr 中权限管理的原理,在此基础上就可以去细化权限管理粒度,细化过程和还是用的 vhr 中用的技术,只不过设计层面重新规划而已。当然今天我想说的并不是这个话题,主要是想和大家聊一聊 Spring Security权限管理粒度细化的问题。因为这个问题会涉及到不同的权限...
Spring Security如何使用URL地址进行权限控制
08-25
权限控制是指根据用户的角色和权限控制用户对资源的访问权限。例如,在一个Web应用程序中,可能存在多个用户,每个用户都有不同的角色和权限。我们可以使用Spring Security来实现权限控制,使得不同用户只能访问...
Vue 动态路由的实现及 Springsecurity 按钮级别的权限控制
10-16
1. **自定义权限注解**:在Spring Security中,可以通过注解来控制方法的访问权限。对于按钮级别的权限控制,可以创建自定义的注解。 2. **权限**:通过自定义的权限注解,可以在控制器方法执行前检用户是否...
Spring security实现登陆和权限角色控制
09-09
在这个场景中,我们将探讨如何使用Spring Security来实现登录和权限角色控制。首先,确保你正在使用Spring版本为4.3.2.RELEASE,而Spring Security版本是4.1.2.RELEASE。在开始之前,你需要对Spring MVC、SPeL...
SpringSecurity+OAuth2+JWT分布式权限控制.zip
07-23
本项目“SpringSecurity+OAuth2+JWT分布式权限控制”旨在提供一个完整的解决方案,帮助开发者构建安全的、基于微服务的分布式应用程序。 Spring Security 是一个强大的和高度可定制的身份验证和授权框架,适用于...
SpringBoot集成Spring Security实现权限控制【完整源码+数据库】
02-16
SpringBoot集成Spring Security是现代Java应用中常见的安全框架组合,它们为开发者提供了强大的权限管理和访问控制功能。Spring Security是一个全面的、高度可配置的安全框架,它涵盖了认证、授权以及会话管理等多个...
SpringSecurity配置权限:限制访问
冲出仁川,走出马德里,故事还会再继续
02-19 6377
SpringSecurity配置权限:限制访问1、概述2、基于权限和角色限制访问2.1 基于用户权限限制所有端点的访问2.1.1 项目依赖项:2.1.2 添加一个端点来测试授权配置2.1.3 声明UserDetailsService并指定用户2.1.4 应用hasAnyAuthority方法2.1.5 使用access()方法配置端点访问3、基于用户角色限制所有端点的访问3.1 为用户设置角色3.2 配置应用程序以便只接受来自管理员的请求3.3 测试3.4 使用roles()方法设置角色4、限制对所有端点的
SpringSecurity配置了登录链接无权限
ybb_ymm的专栏
01-17 1196
我们在使用SpringSecurity作为后台权限框架的时候,框架给我们提供了配置登录请求的接口,供我们配置登录链接,当我们配置了登录链接地址后,前端访问登陆请求的时候显示无权限
Spring Security_02_登录认证并授权_05_对无权限页面访问处理
毅君帅
08-17 115
当输入正确的用户名称和密码后,点击无访问权限的服务连接:创建无权限访问提示页面:在工程的类“CommonController.java”中创建无权限访问控制方法:在配置文件“spring-security.xml”配置文件中添加无权限访问配置:启动服务器并使用部分权限用户进行登录验证:点击登录按钮提交后:
Spring Boot后端: Actuator未授权访问漏洞解决
热门推荐
qq_46119575的博客
01-05 1万+
Spring Boot后端: Actuator未授权访问漏洞解决
SpringBoot--排除指定的bean--方法/实例
jcc4261的博客
10-26 4717
可以看到,上边都是用了一个注解:@ComponentScan.Filter。含义说明上边这段代码的含义:Xxx和Yyy这两个类不会作为bean加入容器(即使它们类上标注了@Component等)。
org.springframework.security.access.AccessDeniedException: 不允许访问
louis_lee7812的专栏
10-22 8056
org.springframework.security.access.AccessDeniedException: 不允许访问。原因是:@PreAuthorize 注解的异常,抛出AccessDeniedException异常,不会被accessDeniedHandler捕获,而是会被全局异常捕获。
Spring Security permitAll()不允许匿名访问
java牛牛的博客
02-07 5125
修改前 http .addFilterBefore(muiltpartFilter, ChannelProcessingFilter.class) .addFilterBefore(cf, ChannelProcessingFilter.class) .authorizeRequests() .anyRequest() ...
SpringSecurity不允许匿名(anonymous)访问Post接口(403)
secretdaixin的博客
02-09 2196
问题1:系统对外暴露接口接口路径配置了匿名访问(anonymous),Get请求可正常访问,Post请求报错403或直接跳转到登陆页。 问题2:前端传递token调用匿名接口,报错403,不传递token可正常访问
security在前后端分离开发中,拒绝访问的处理
12-23 681
前端h5+js:页面导航交给前端,数据请求全部通过js完成,静态资源的请求security全部放开 后端security + springmvc:后端接口与前端交互,有权限返回请求数据和请求状态的响应,无权限依然按照 security配置的拒绝页面返回 这里就有个问题...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值