spring-security 方法访问限制,权限控制

最新推荐文章于 2024-07-04 09:14:32 发布
最新推荐文章于 2024-07-04 09:14:32 发布
阅读量2k 收藏 3
点赞数 3
分类专栏: spring-security ssm_Enterprise项目 文章标签: security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43220949/article/details/107565556
版权
本文详细介绍了Spring Security进行权限控制的各种方式,包括在`spring-security.xml`中配置拦截URL,启用JSR-250注解,使用`@RolesAllowed`,`@PermitAll`,`@DenyAll`,`@Secured`以及表达式控制的注解。同时讲解了如何在页面端利用Spring Security的标签库进行权限判断。
摘要由CSDN通过智能技术生成

如果权限不足,不能访问某个方法或者页面,会报403错误。

不同方式,方法/页面

  • 在spring-secrity.xml中直接配置

       <security:intercept-url pattern="/user/**" access="ROLE_ADMIN,ROLE_admin"/>

        <security:intercept-url pattern="/role/**" access="ROLE_ADMIN,ROLE_admin"/>
        <security:intercept-url pattern="/**" access="ROLE_USER,ROLE_use,ROLE_ADMIN,ROLE_admin"/>

 security:intercept-url是从上往下继续执行,如果上边的pattern通过,下面更精细的pattern不会执行

比如:如果是    
        <security:intercept-url pattern="/**" access="ROLE_USER,ROLE_use,ROLE_ADMIN,ROLE_admin"/>

       <security:intercept-url pattern="/role/**" access="ROLE_ADMIN,ROLE_admin"/>

下面第二条"/role/**"的限制,就完全没有作用,非admin角色也可以访问该方法

 

  • JSR-250

  1. 在spring-security开启开启JSR-250

<!--在spring-security.xml中开启jsr250注解,security -->
   <security:global-method-security jsr250-annotations="enabled"/> 

    2.注解,加在方法名上

  • @RolesAllowed表示访问对应方法时所应该具有的角色

        @RolesAllowed({"USER", "ADMIN"}) 该方法只要具有"USER", "ADMIN"任意一种权限就可以访问。这里可以省
略前缀ROLE_,实际的权限可能是ROLE_ADMIN

  • @PermitAll表示允许所有的角色进行访问,也就是说不进行权限控制
  • @DenyAll是和PermitAll相反的,表示无论什么角色都不能访问

 

   //只允许有"ROLE_USER",或者"ROLE_user" 的角色访问
    @RolesAllowed({"USER","user"})
    @RequestMapping("/findAll")
    ModelAndView findAll(){
    //方法体...
    }

 

  •   Secured注解

最低0.47元/天 解锁文章
或许没看到
关注
专栏目录
使用Spring Security 限制URL访问
neweastsun的专栏
02-13 2万+
使用Spring Security 限制URL访问 通常保护url方式有以下几种: 允许每个人访问的url 基于角色保护url 基于多个角色保护url 基于IP地址保护url 本文介绍如何通过spring security 实现这些功能。 指定URL 指定url最常用的方法是通过antMatcher,如果我们想保护下列url: url 访问限制 http...
第 19 章 保护方法调用
weixin_33738982的博客
07-13 150
第19章保护方法调用 这里有三种方式可以选择: 19.1.控制全局范围的方法权限 使用global-method-security和protect-point标签来管理全局范围的方法权限。 为了在spring中使用AOP,我们要为项目添加几个依赖库。<dependency> <groupId>cgl...
使用 Spring Security 实现角色和权限管理
最新发布
FireFox1997
07-04 520
Spring Security 提供了一套强大且灵活的机制来实现角色和权限的管理。本文将详细介绍如何使用 Spring Security 实现角色和权限管理,从基本概念到具体实现步骤,并提供示例代码来帮助你理解和应用这些概念。Spring Security 提供了强大的功能来处理复杂的权限控制需求,包括角色、权限的定义和分配,以及在应用程序中的细粒度访问控制。配置 Spring Security 以使用自定义的用户详细信息服务,并定义角色和权限。通常,权限是更细粒度的控制,而角色是权限的组合。
spring security permitAll不生效
日光之下的博客
06-26 5918
0 环境 系统:win10 编辑器:IDEA 1 问题描述 1 部分代码 securityConfig http http // 拦截请求,创建了FilterSecurityInterceptor拦截器 .authorizeRequests() // 允许 // "/login", // "/logout",
SpringSecurity6配置requestMatchers().permitAll() 无效问题
hardworking_boy的博客
04-29 1112
SpringSecurity6 自定义认证过滤器无效
说一下Spring Security中@PermitAll和@PreAuthorize的使用
qq_55754838的博客
11-25 2787
本文主要来自于看Java开源项目,方便理解开源项目的代码是怎么实现的,加深自己的基本功。
SpringBoot--- SpringSecurity进行注销权限控制的配置方法
08-24
SpringSecurity 中,我们可以使用权限控制限制用户的访问权限权限控制可以根据用户的角色或权限限制用户的访问权限。 为了实现权限控制,我们需要使用 SpringSecurity权限控制机制。首先,我们需要导入...
spring-Security-oauth2.zip
05-26
Spring Security OAuth2 允许开发者自定义认证和授权逻辑,例如自定义用户信息端点、令牌增强器、权限分配等。 8. **JWT令牌** 使用JSON Web Token (JWT)作为访问令牌可以减少服务器之间的通信开销,因为JWT包含...
Vue 动态路由的实现及 Springsecurity 按钮级别的权限控制
10-16
1. **自定义权限注解**:在Spring Security中,可以通过注解来控制方法访问权限。对于按钮级别的权限控制,可以创建自定义的注解。 2. **权限检查**:通过自定义的权限注解,可以在控制方法执行前检查用户是否...
spring-security实现复杂的权限管理
09-11
Spring Security 是一个强大的且高度可定制的身份验证和访问控制框架,用于保护基于Java的应用程序。在Spring Security 3.17版本中,它提供了一套完整的解决方案来处理复杂的权限管理系统,包括用户认证、授权以及...
Spring Security中@PermitAll与@PreAuthorize的详解
一勺菠萝丶的博客
04-26 1317
在使用Spring Security构建安全的应用程序时,经常会涉及到对特定API或方法访问控制。这时,@PermitAll和这两个注解就发挥了重要作用。本文将详细解释这两个注解的使用方法和它们之间的区别,使即便是初学者也能理解并正确应用它们。
spring security提供的注解对方法来进行权限控制
CxOneCom的博客
02-23 816
支持三种类型的注解: JSR-250注解; @Secured注解; 支持表达式的注解。 JSR-250注解 @RolesAllowed:表示访问对象时应该具有的角色 @PermitAll:表示允许所有的角色进行访问,不进行权限控制 @DenyAll:表示什么角色都不能进行访问 @Secured注解 注:必须加上前缀 ROLE_ 支持表达式的注解 @PreAuthorize 在方法调用之前,基于表达式的计算结果来限制方法访问 @PostAuthorize 在方法调用之后,基于表达式的计算结果来限制
想要控制权限,这八个注解你必须知道!
麦叔
08-22 1131
在讲数据权限之前,我们有必要先和大家介绍一下 Spring Security 中的权限注解,把这个捋清楚了,再去看 TienChin 项目的权限注解,你就会发现非常容易了。
为什么permitAll()不起作用,并要求在请求中提供认证对象?
小汤圆
08-17 2351
@Configuration @EnableWebSecurity public class SecurityConfiguration extends WebSecurityConfigurerAdapter { @Autowired private CustomUserDetailService userDetailsService; @Bean public PasswordEncoder passwordEncoder() { return new StandardPasswordEnc
Spring Security自定义Filter后设置permitAll()不生效
mynameiswhite的博客
08-10 2288
1.之所以设置http.authorizeRequests().antMatchers().permitAll后,请求仍会走自定义过滤器,是因为这设置的是请求不走框架的权限校验,如token啥的,而不是不走过滤器链。
springsecurity过滤指定url【.antMatchers(***).permitAll()】失效分析
热门推荐
yangfeng20的博客
07-24 1万+
springsercurity过滤指定url【antMatchers().permitAll】失效分析
Spring Security被坑笔记(一)
qq_41157202的博客
07-18 295
方法权限控制 如果开启了prePostEnabled的权限控制,那么不可以在配置文件中配置如下代码 .anyRequest().authenticated() 如果加入了,那么@PreAuthorize("permitAll()")或者匿名权限都无效 解决方法: 开启其他的注解控制 比如 jsr250Enabled = true 配合@PermitAll即可解决 ...
Spring Security6自定义放行不生效踩坑笔记@EnableWebSecurity
sosozha的博客
02-01 2937
spring6体验
Spring-Security框架详解:安全访问控制
访问控制列表(ACL)是Spring Security的另一大特色,允许对对象级别的权限进行管理,这意味着开发者可以精细控制到数据对象的访问权限Spring Security还实现了单点登录(SSO)功能,通过集成CAS(Central ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值