5.Spring Security安全注解

未禾

已于 2024-01-26 17:20:34 修改

阅读量1.1k

点赞数

分类专栏： Spring Security 文章标签： spring 安全 java

于 2023-04-24 10:37:28 首次发布

本文链接：https://blog.csdn.net/qq_45305209/article/details/130337196

版权

Spring Security 专栏收录该内容

6 篇文章 1 订阅

订阅专栏

Spring Security安全注解（三种）

Spring Security默认是禁用注解的，要想开启注解，需要在继承WebSecurityConfigurerAdapter的类上加@EnableGlobalMethodSecurity注解，并在该类中将AuthenticationManager定义为Bean

如果要启用基于注解的方法安全性，要在配置类上使用**@EnableGlobalMethodSecurity**

①：

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.method.configuration.GlobalMethodSecurityConfiguration;

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(securedEnabled = true,jsr250Enabled = true,prePostEnabled = true)
public class MethodSecurityConfig extends GlobalMethodSecurityConfiguration {
}

②：

@Configuration
@EnableWebSecurity  // 启用Spring Security
@EnableGlobalMethodSecurity(securedEnabled = true, jsr250Enabled = true, prePostEnabled = true)  // 拦截注解
public class SecurityConfig extends WebSecurityConfigurerAdapter {
}

设置了securedEnabled = true，此时Spring将会创建一个切点，并将带有@Secured注解的方法防入切面中。同理，jsr250Enabled = true 与 prePostEnabled = true，分别表示启用@RolesAllowed与表达式驱动的注解

Controller中使用

@GetMapping(value = "/admin")
@Secured("ROLE_ADMIN")
public String admin(){
	return "admin";
}

（1）Spring Security自带注解：@Secured

当@EnableGlobalMethodSecurity(securedEnabled=true)的时候，@Secured可以使用：
功能：支持单一角色或者多个角色之间的任何一个角色，不支持spring EL表达式

@GetMapping("/helloUser")
// 拥有normal或者admin角色的用户都可以方法helloUser()方法
@Secured({"ROLE_normal","ROLE_admin"})
public String helloUser() {
	return "hello,user";
}

注意：匹配的字符串需要添加前缀“ROLE_”，如果要求，只有同时拥有admin & noremal的用户才能方法helloUser()方法，这时候@Secured就无能为力了

（2）JSR-250注解

如果选择使用@RolesAllowed的话，需要将@EnableGlobalMethodSecurity的jsr250Enabled属性设置为true，以开启此功能

注解	描述
@DenyAll	拒绝所有访问
@PermitAll	允许所有访问
@RolesAllowed	@RolesAllowed注解和@Secured注解在各个方面基本上都是一致的。唯一显著的区别在于@RolesAllowed是JSR-250定义的Java标准注解

@RequestMapping("/test")
@RolesAllowed("ROLE_ADMIN")
public String test1(){
return "test";
}

注解案例	功能说明
@RolesAllowed({“USER”, “ADMIN”})	该方法只要具有"USER", "ADMIN"任意一种权限就可以访问。这里可以省略前缀ROLE_，实际的权限可能是ROLE_ADMIN

（3）表达式驱动注解

基于表达式的注解，并可以自定义扩展，只需继承GlobalMethodSecurityConfiguration类就可以实现。当然，在该扩展类上添加注解：@EnableGlobalMethodSecurity(prePostEnabled = true)来启动这种注解支持。如果没有访问方法的权限，会抛出AccessDeniedException

当**@EnableGlobalMethodSecurity(prePostEnabled=true)**的时候，@PreAuthorize、@PostAuthorize、@PostFilter、@PreFilter可以使用

注解	描述
@PreAuthorize	在方法调用之前，基于表达式的计算结果来限制对方法的访问
@PostAuthorize	允许方法调用，但是如果表达式计算结果为false，将抛出一个安全性异常
@PostFilter	允许方法调用，但必须按照表达式来过滤方法的结果
@PreFilter	允许方法调用，但必须在进入方法之前过滤输入值

Spring的@PreAuthorize/@PostAuthorize注解更适合方法级的安全，也支持Spring表达式语言，提供了基于表达式的访问控制

@PreAuthorize（最常用）：方法进入之前

注解适合进入方法前的权限验证，@PreAuthorize可以将登录用户的roles/permissions参数传到方法中

注解案例	功能说明
@PreAuthorize(“hasRole(‘ADMIN’)”)	拥有ADMIN角色权限才能访问
@PreAuthorize(“hasRole(‘ADMIN’) AND hasRole(‘DBA’)”)	拥有ADMIN角色和DBA角色权限才能访问
@PreAuthorize(“hasAnyRole(‘ADMIN’,‘DBA’)”)	拥有ADMIN或者DBA角色均可访问

@GetMapping("/helloUser")
// 拥有normal或者admin角色的用户都可以方法helloUser()方法
@PreAuthorize("hasAnyRole('normal','admin')")
public String helloUser() {
	return "hello,user";
}

此时如果要求用户必须同时拥有normal和admin的话，那么可以这么编码：

@GetMapping("/helloUser")
@PreAuthorize("hasRole('normal') AND hasRole('admin')")
public String helloUser() {
	return "hello,user";
}

此时如果使用user/123登录的话，就无法访问helloUser()的方法了

@PostAuthorize

@PostAuthorize注解使用并不多，在方法执行后再进行权限验证，适合验证带有返回值的权限，Spring EL提供返回对象能够在表达式语言中获取返回的对象returnObject

@GetMapping("/helloUser")
@PreAuthorize("returnObject!=null && returnObject.username == authentication.name")
public User helloUser() {
	Object pricipal = SecurityContextHolder.getContext().getAuthentication().getPrincipal();
	User user;
	if("anonymousUser".equals(pricipal)) {
		user = null;
	} else {
		user = (User) pricipal;
	}
	return user;
}

@PostFilter

在方法执行之后执行，而且这里可以调用方法的返回值，然后对返回值进行过滤或处理或修改并返回。EL变量return Object表示返回的对象。只有方法返回的是集合或数组类型的才可以使用。（与分页技术不兼容）
用于指定方法筛选表达式的注释，该表达式将在调用方法后进行计算

@PostFilter通过将规则应用于列表中的每个元素，定义了用于过滤方法返回列表的规则。如果评估值为true，则该项目将保留在列表中。否则，该项目将被删除

@PreFilter

在方法执行之前执行，而且这里可以调用方法的参数，然后对参数值进行过滤或处理或修改，EL变量filterObject表示参数，如有多个参数，使用filterTarget注解参数。只有方法参数是集合或数组才行。（很少会用到，与分页技术不兼容）

@PreFilter的工作方式非常相似，但是，过滤将应用于作为输入参数传递给带注释方法的列表

未禾

关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
打赏
0
评论
5.Spring Security安全注解

Spring Security默认是禁用注解的，要想开启注解，需要在继承WebSecurityConfigurerAdapter的类上加@EnableGlobalMethodSecurity注解，并在该类中将AuthenticationManager定义为Bean如果要启用基于注解的方法安全性，要在配置类上使用**@EnableGlobalMethodSecurity**设置了securedEnabled = true，此时Spring将会创建一个切点，并将带有@Secured注解的方法防入切面中。
复制链接

扫一扫