spring-security实现方法级别、页面端的权限控制

最新推荐文章于 2024-05-22 16:49:19 发布
最新推荐文章于 2024-05-22 16:49:19 发布
阅读量857 收藏 2
点赞数
分类专栏: 黑马SSM实战权限管理(首选新手练手项目) 文章标签: spring java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45441466/article/details/109558624
版权

spring-security实现方法级别、页面端的权限控制(结合黑马SSM实现权限管理项目)

 

目录

spring-security实现方法级别、页面端的权限控制(结合黑马SSM实现权限管理项目)

1.方法级别权限控制

   1.JSR-250注解使用

   2.Secured注解使用

   3.基于表达式操作

2.页面端权限控制

 

1.方法级别权限控制

   1.JSR-250注解使用

  • 导入JSR-250 maven坐标
<dependency>
    <groupId>javax.annotation</groupId>
    <artifactId>jsr250-api</artifactId>
    <version>1.0</version>
</dependency>
  • 在spring-security.xml中开启
<security:global-method-security jsr250-annotations="enabled"/>
  • 在指定的方法上使用

  • 在web.xml中配置错误页面,并创建403.jsp页面

  • 启动项目,测试!

 

   2.Secured注解使用

  • 在spring-security.xml中开启secured的注解使用  (不用导入依赖)
    <!--开启使用secured注解-->
    <security:global-method-security secured-annotations="enabled"/>
  • 在指定的方法上使用

注意事项:在使用JSR-250注解时,ROLE_ 前缀可省略,而在使用@Secured是不能省略前缀的!!

 

   3.基于表达式操作

  • 在spring-security.xml中开启表达式注解的使用
    <!--开启使用pre-post注解-->
    <security:global-method-security pre-post-annotations="enabled"/>
  • 在方法上使用(可以使用SPEL表达式)

 

 

 Spring Security允许我们在定义URL访问或方法访问所应有的权限时使用Spring EL表达式,在定义所需的访问权限时如果对应的表达式返回结果为true则表示拥有对应的权限,反之则无。Spring Security可用表达式对象的基类是SecurityExpressionRoot,其为我们提供了如下在使用Spring EL表达式对URL或方法进行权限控制时通用的内置表达式。

表达式

描述

hasRole([role])

当前用户是否拥有指定角色。

hasAnyRole([role1,role2])

多个角色是一个以逗号进行分隔的字符串。如果当前用户拥有指定角色中的任意一个则返回true。

hasAuthority([auth])

等同于hasRole

hasAnyAuthority([auth1,auth2])

等同于hasAnyRole

Principle

代表当前用户的principle对象

authentication

直接从SecurityContext获取的当前Authentication对象

permitAll

总是返回true,表示允许所有的

denyAll

总是返回false,表示拒绝所有的

isAnonymous()

当前用户是否是一个匿名用户

isRememberMe()

表示当前用户是否是通过Remember-Me自动登录的

isAuthenticated()

表示当前用户是否已经登录认证成功了。

isFullyAuthenticated()

如果当前用户既不是一个匿名用户,同时又不是通过Remember-Me自动登录的,则返回true。 

 

spel表达式参考:https://www.cnblogs.com/lukelook/p/11169666.html

 

2.页面端权限控制

  • 导入maven坐标
 <dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-taglibs</artifactId>
    <version>${spring.security.version}</version>
</dependency>
  • 在jsp页面导入
<%@ taglib prefix="security" uri="http://www.springframework.org/security/tags" %>
  • 在页面上使用

authentication  :  可以获取当前正在操作的用户信息

可参考我另一篇播客:https://blog.csdn.net/qq_45441466/article/details/109558443

 

authorize :用于控制页面上某些标签是否可以显示

eg:只有ROLE_ADMIN角色才能显示用户管理

在spring-security.xml中也需要修改:

将是否使用SPEL表达式改为 true ,并且access 改为spel表达式

此时测试没有角色ROLE_ADMIN的用户,是没有用户管理这一栏的!

 

若你不想改use-expressions 和 access,可以在spring-security.xml中添加:

<bean id="webexpressionHandler" class="org.springframework.security.web.access.expression.DefaultWebSecurityExpressionHandler"/>

 

  • 常用标签

程序猿二鍋頭
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于 spring-security 实现 RBAC 权限模型-hello-security.zip
01-30
本项目 "基于 spring-security 实现 RBAC 权限模型-hello-security.zip" 提供了一个基础示例,帮助开发者了解如何在 Spring 应用程序中实施基于角色的访问控制(Role-Based Access Control,简称 RBAC)模型。...
Spring Security权限框架】SpringBoot整合Spring Security实现权限控制
weixin_45618869的博客
07-21 3875
SpringSecurity框架【详解】
SpringSecurity权限控制
qq_61544409的博客
03-21 6770
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。 正如你可能知道的关于安全方面的两个核心功能是“认证”和“授权”,一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分,这两点也是 SpringSecurity 重要核心功
springboot整合security实现权限控制
最新发布
Amour恋空的博客
05-22 1226
Spring Security 的前身是 Acegi Security ,是。Spring Security 为基于J2EE企业应用软件提供了全面安全服务。特别是使用领先的J2EE解决方案-Spring框架开发的企业软件项目。人们使用Spring Security有很多种原因,不过通常吸引他们的是在J2EE Servlet规范或EJB规范中找不到典型企业应用场景的解决方案。特别要指出的是他们不能再WAR 或 EAR 级别进行移植。
Spring Security 权限控制
m0_48922996的博客
07-16 8438
项目版本BootSecurity官网文档在前面的文章中,所有的接口只需要登录就能访问。并没有对每个接口进行权限限制。在正式的系统中,一个用户会拥有一个或者多个角色,而不同的角色会拥有不同的接口权限。如果要实现这些功能,需要重写中的。HttpSecurity用于构建一个安全过滤器链SecurityFilterChain,可以通过它来进行自定义安全访问策略。@Bean}@Override.and()}@Overridehttp.authorizeRequests()//开启配置。...
Spring Security权限控制
m0_56409614的博客
03-20 2336
该文章为学习Spring Security(权限控制)的一点基础知识
Spring security权限管理
weixin_47072986的博客
04-02 3823
Spring Security是一个高度自定义的安全框架。利用Spring IoC/DI和AOP功能,为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。​ 使用Spring Secruity的原因有很多,但大部分都是发现了javaEE的Servlet规范或EJB规范中的安全功能缺乏典型企业应用场景。同时认识到他们在WAR或EAR级别无法移植。因此如果你更换服务器环境,还有大量工作去重新配置你的应用程序。
spring-security-demo.zip
08-10
Spring Security 是一个强大的、高度可定制的身份验证和访问控制框架,广泛用于构建安全的Java Web应用程序。本示例"spring-security-demo.zip"很可能是为了演示如何在Spring Boot应用中集成和配置Spring Security。...
Spring security实现权限管理示例
08-31
此外,Spring Security还提供了丰富的API和注解,如`@Secured`和`@PreAuthorize`,用于在方法级别控制访问权限。这使得我们可以根据具体业务需求,轻松地在控制器层或服务层添加访问控制。 总结来说,Spring ...
spring-security3入门教程.doc
09-04
在实际应用中,你可能还需要配置权限表达式(`expression-based access control`),使用 `@Secured` 或 `@PreAuthorize` 注解来控制方法级别的访问权限。此外,Spring Security 提供了丰富的过滤器和组件,如 `...
Spring Boot 结合 Security 实现用户登录和权限控制
04-02
在本文中,我们将深入探讨如何使用Spring Boot与Spring Security整合,以实现在Web应用程序中的用户登录功能以及基于角色的权限控制Spring Boot以其简洁的配置和开箱即用的特性,使得开发人员能够快速构建应用,而...
狂神spring-security静态资源.zip
10-07
学习Spring Security时,通常会通过创建一个简单的Web应用,逐步实现登录注册、角色权限控制、记住我功能等,来加深理解。压缩包中的"security"可能包含这些实战案例的代码和文档。 总的来说,"狂神spring-...
spring-security3.1.4 完整的jar包
09-15
5. **spring-security-acl-3.1.4.RELEASE.jar**:权限访问控制层提供了一种细粒度的访问控制机制,允许对对象级别权限进行管理,如控制对数据库记录的读写权限。 6. **spring-security-crypto-3.1.4.RELEASE.jar*...
renren-security轻量级权限管理系统3.2最新完整版的开发文档
12-05
开发者可以根据需要,参考文档中的步骤,自定义错误页面,配置日志级别,以及实现多语言支持。 总的来说,`renren-security 3.2`的开发文档是一份全面且深入的指南,无论你是初学者还是经验丰富的开发者,都能从中...
spring-security-core-2.0.6.RELEASE
07-14
Spring Security 2.0.6.RELEASE是该框架的一个稳定版本,它提供了强大的安全特性,包括基于角色的访问控制(RBAC)、HTTP基本认证、表单登录、CSRF防护以及URL级别的访问控制。这一版本支持Spring 2.x系列,为当时的...
SpringSecurity--权限管理架构介绍
qq_53868937的博客
07-13 1745
也有很多公司选择⾃定义权限,即⾃⼰开发权限管理。但是⼀个系统的安全,不仅 仅是登录和权限控制这么简单,我们还要考虑种各样可能存在的⽹络政击以及防彻 策略,从这个⻆度来说,开发者自己实现安全管理也并⾮是⼀件容易的事情,只有 ⼤公司才有⾜够的⼈⼒物⼒去⽀持这件事情。
SpringSecurity实现角色权限控制SpringBoot+SpringSecurity+JWT)
lans_g的博客
05-14 6674
通过springboot整合jwt和security,以用户名/密码的方式进行认证和授权。认证通过jwt+数据库的,授权这里使用了两种方式,分别是SpringSecurity自带的hasRole方法+SecurityConfig和 我们自定义的permission+@PreAuthorize注解。用来存储和获取当前线程关联的 SecurityContext 对象的类。
Spring Security进行权限控制
geejkse_seff的博客
08-02 1099
先自我介绍一下,小编13年上师交大毕业,曾经在小公司待过,去过华为OPPO等大厂,18年进入阿里,直到现在。因此我收集了一份《java开发全套学习资料》送给大家,初衷也很简单,就是希望帮助到想自学又不知道该从何学起的朋友,同时减轻大家的负担。springsecurity中在用户同步提交表单时设置了一个隐藏的token,不但会对用户提交的信息进行核实,还会对token进行核实,在异步提交的时候则需要自行在前端加入token提交。在用户提交表单时,不法网站可能窃取用户提交的信息进行提交从而造成安全问题。...
权限控制springsecurity
09-07
Spring Security 是一个用于身份验证和授权的强大框架,它可以帮助我们实现权限控制。下面是一些关于权限控制的常见问题和解答: 1. 如何配置 Spring Security实现权限控制Spring Security 提供了一套基于...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值