SpringBoot中使用Spring Security实现权限控制

最新推荐文章于 2024-06-07 07:46:26 发布
最新推荐文章于 2024-06-07 07:46:26 发布
阅读量824 收藏
点赞数
分类专栏: spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/s297485987/article/details/103281111
版权

https://www.jianshu.com/p/defa75b65a46

只是这里需要改下:

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/css/**", "/index").permitAll()       
                .antMatchers("/user/**").hasRole("USER")      
                .anyRequest()
                .authenticated()      
                .and()
            .formLogin()
                .and()
                .csrf().disable() //关闭CSRF
                .formLogin().loginPage("/login")
                .loginProcessingUrl("/form")
                .defaultSuccessUrl("/index") //成功登陆后跳转页面
                .failureUrl("/loginError").permitAll(); 
    }
    
}

基于注解的权限控制

需要在security配置类上加上注解@EnableGlobalMethodSecurity(prePostEnabled = true)

/**
 * 为了浏览器直接调用,使用get请求
 * @return
 */
@GetMapping("/add")
@PreAuthorize("hasAuthority('sys:user:add')")
public String addUser(){
    return "success";
}
/**
* 为了浏览器直接调用,使用get请求
*/
@GetMapping("/put")
@PreAuthorize("hasAuthority('sys:user:put')")
public String putUser(){
    return "success";
}

/**
* 为了浏览器直接调用,使用get请求
*/
@GetMapping("/get")
@PreAuthorize("hasAuthority('sys:user:get')")
public UserDao queryUser(){
    UserDao userDao=new UserDao();
    userDao.setUsername("lisi");
    userDao.setPassword(new BCryptPasswordEncoder().encode("123456"));
    userDao.setEmail("123@163.com");
    return userDao;
}

/**
* 为了浏览器直接调用,使用get请求
*/
@GetMapping("/del")
@PreAuthorize("hasAuthority('sys:user:del')")
public String delUser(){
    return "success";
}

常见的表达式
Spring Security可用表达式对象的基类是SecurityExpressionRoot。

表达式 描述
hasRole([role]) 用户拥有制定的角色时返回true (Spring security默认会带有ROLE_前缀),去除参考Remove the ROLE_
hasAnyRole([role1,role2]) 用户拥有任意一个制定的角色时返回true
hasAuthority([authority]) 等同于hasRole,但不会带有ROLE_前缀
hasAnyAuthority([auth1,auth2]) 等同于hasAnyRole
permitAll 永远返回true
denyAll 永远返回false
anonymous 当前用户是anonymous时返回true
rememberMe 当前勇士是rememberMe用户返回true
authentication 当前登录用户的authentication对象
fullAuthenticated 当前用户既不是anonymous也不是rememberMe用户时返回true
hasIpAddress(‘192.168.1.0/24’)) 请求发送的IP匹配时返回true

奔跑者runner
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot集成Spring Security实现权限控制【完整源码+数据库】
02-16
总的来说,这个项目为学习者提供了一个实际的、完整的SpringBoot集成Spring Security的示例,通过它,你可以了解如何配置和使用Spring Security进行权限控制,同时掌握如何将数据库集成到Spring Boot应用。...
SpringBoot集成Spring Security(5)——权限控制
SKT_T1_Faker的博客
11-20 1094
在第一篇,我们说过,用户<–>角色<–>权限三层,暂时不考虑权限,在这一篇,是时候把它完成了。 为了方便演示,这里的权限只是对角色赋予权限,也就是说同一个角色的用户,权限是一样的。当然了,你也可以精细化到为每一个用户设置权限,但是这不在本篇的探讨范围,有兴趣可以自己实验,原理都是一样的。 目录 一、数据准备 1.1 创建sys_permission表 1.2 ...
详解spring整合shiro权限管理与数据库设计
wxy49212的博客
10-16 1201
现在基本上所有的后台系统都逃不过权限管理这一块,这算是一个刚需了。现在我们来集成shiro来达到颗粒化权限管理,也就是从连接菜单到页面功能按钮,都进行权限都验证,从前端按钮的显示隐藏,到后台具体功能方法的权限验证。 首先要先设计好我们的数据库,先来看一张比较粗糙的数据库设计图: 具体的数据库设计代码 ? 1 2 3 4 5 6 7...
SpringBoot整合SpringScurity权限控制(菜单权限,按钮权限)以及加上SSH实现安全传输
最新发布
dzqxwzoe的博客
06-07 925
如果你在设计一个需要存储用户密码的系统,强烈建议使用 bcrypt、PBKDF2 或 Argon2 而不是MD5。这些现代算法提供了更高级别的安全保障,可以帮助你的系统抵御当前的威胁,如暴力破解和彩虹表攻击。选择正确的密码存储策略是保护用户数据安全的关键一步。
探索SpringBoot Authority:一个灵活的权限管理解决方案
gitblog_00051的博客
03-27 435
探索SpringBoot Authority:一个灵活的权限管理解决方案 项目地址:https://gitcode.com/qzw1210/springboot_authority SpringBoot Authority 是一个基于Spring Boot的权限管理系统框架,旨在简化和优化Web应用的身份验证与授权流程。该项目的设计目标是提供一套简单易用、可扩展性强的工具集,让开发者能够更专注于...
Spring Boot实现简单的用户权限管理(超详细版)
热门推荐
Veggie的博客
08-06 6万+
为了避免浪费时间进行不必要的阅读,这里先对项目进行简单的介绍。在实际应用场景,每个用户都有对应的角色,而每个角色又有对应的一些角色。因为一个用户可以有多个角色,一个角色也可以被多个用户所拥有,角色和权限的关系也同理,这里主要利用多对多的映射关系将他们联系起来,对他们进行管理。 ...
SpringBoot Security Oauth2角色及权限鉴权注解方法hasRole及hasAuthority使用区别
ipifei的博客
09-06 7205
SpringBoot Security Oauth2角色及权限鉴权注解方法hasRole及hasAuthority使用区别
springboot springsecurity动态权限控制
09-18
在这个“springboot springsecurity动态权限控制”的主题,我们将深入探讨如何在Spring Boot项目集成Spring Security实现动态权限控制,让菜单权限的管理更加灵活和高效。 首先,我们需要理解Spring Security...
springboot+ spring security实现登录认证
05-04
SpringBoot结合Spring Security实现登录认证是企业级应用开发常见的安全框架组合,它们为Web应用程序提供了强大的安全性。本文将深入探讨这两个技术的核心概念、配置以及如何整合以实现用户登录认证功能。 ...
SpringBoot整合权限控制SpringSecurity.docx
12-10
在本文,我们将探讨如何在SpringBoot项目整合SpringSecurity实现权限控制,并结合前端Element UI的多标签页(Tabs)组件,提供更加高效的用户体验。SpringBoot是一个流行的Java开发框架,它简化了Spring应用的...
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
以下是实现Spring Boot + Spring Security + JWT登录和权限认证的主要步骤: 1. **项目初始化**:创建一个新的Spring Boot项目,添加`spring-boot-starter-web`、`spring-boot-starter-security`、`spring-security...
Spring Boot(十四)Spring Boot使用Security实现权限控制
02-26 1万+
你好,欢迎来到 【程序职场】 ,这里有你需要的技术提升,职场规划,个人成长,副业发展 等文章。 和更多小伙伴 一起学习,一起进步。 本文是Spring Boot系列的第十四篇,了解前面的文章有助于更好的理解本文: 1.Spring Boot(一)初识SpringBoot框架2.Spring Boot(二)SpringBoot基本配置3.Spring Boot(三)Spring Boo...
springboot整合shiro
demo_111的博客
04-22 218
Shiro三个核心组件 1.1 Subject   Subject:即“当前操作用发户”。但是,在Shiro,Subject这一概念并不仅仅指人,也可以是第三方进程、后台帐户(Daemon Account)或其他类似事物。它仅仅意味着“当前跟软件交互的东西”。但考虑到大多数目的和用途,你可以把它认为是Shiro的“用户”概念。Subject代表了当前用户的安全操作,SecurityManage...
SpringSecurity学习笔记
成熟的标题
10-12 461
Spring Security 项目搭建使用流程 1. 搭建项目 创建好springboot框架 在pom文件导入springsecurity框架的依赖包 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 编写
【业务功能篇60】Springboot + Spring Security 权限管理 【终篇】
studyday1的博客
07-29 2359
我们也可以定义自己的权限校验方法,在@PreAuthorize注解使用我们的方法。/*** 自定义权限校验方法**//*** 自定义 hasAuthority* @param authority 接口指定的访问权限限制*///获取当前用户的权限//判断集合是否有authority使用SPEL表达式,引入自定义的权限校验。
Spring Boot整合Spring Security (三) 权限配置实战
阳光大男孩!!!的博客
01-11 2821
/** * @author 阳光大男孩!!! */ @RestController @Slf4j @RequestMapping("/auth") public class AuthTestController { @Secured({"ROLE_admin"}) @GetMapping("/admin") public String admin() { return "Hello admin"; } @Secured({"ROLE_admin",
Springboot+SpringSecurity实现权限控制(四、授权)
一念永恒
03-09 1000
345
13、使用Spring Security进行权限控制
nice___amusin的博客
07-30 3021
2、配置Security,主要是对授权的配置,(认证使用的是原来的认证方案,没有对登录认证进行相关配置);普通的拦截器,通过实现HandlerInterceptor接口实现拦截器,通过实现WebMvcConfigurer接口实现一个配置类,在配置类注入拦截器,最后再通过@Configuration注解注入配置。2、LoginTicket拦截器在请求一开始就会判断凭证,可以在此时对用户进行认证,并构建用户认证的结果,存入SecurityContext,以便于Security进行授权。3、异步请求时的处理。.
Spring Security 权限控制
m0_48922996的博客
07-16 8462
项目版本BootSecurity官网文档在前面的文章,所有的接口只需要登录就能访问。并没有对每个接口进行权限限制。在正式的系统,一个用户会拥有一个或者多个角色,而不同的角色会拥有不同的接口权限。如果要实现这些功能,需要重写的。HttpSecurity用于构建一个安全过滤器链SecurityFilterChain,可以通过它来进行自定义安全访问策略。@Bean}@Override.and()}@Overridehttp.authorizeRequests()//开启配置。...
springboot整合springsecurity实现登录认证和数据权限管理
05-18
Spring Boot整合Spring Security可以实现登录认证和数据权限管理。下面是简单的步骤: 1. 添加依赖 在pom.xml文件添加以下依赖: ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> ``` 2. 配置Spring Security 在主配置类添加@EnableWebSecurity注解,开启Spring Security,并且创建一个继承自WebSecurityConfigurerAdapter的配置类,用于配置Spring Security。 ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { // 配置登录页面和登录请求的路径 http.formLogin() .loginPage("/login") .loginProcessingUrl("/login") .defaultSuccessURL("/home") .and() // 配置退出登录的路径和跳转页面 .logout() .logoutUrl("/logout") .logoutSuccessUrl("/login") .and() // 配置拦截规则 .authorizeRequests() .antMatchers("/login").permitAll() .anyRequest().authenticated() .and() // 关闭CSRF保护 .csrf().disable(); } @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { // 配置用户信息和密码加密方式 auth.inMemoryAuthentication() .passwordEncoder(new BCryptPasswordEncoder()) .withUser("admin") .password(new BCryptPasswordEncoder().encode("admin")) .roles("ADMIN"); } } ``` 3. 配置数据权限管理 如果需要实现数据权限管理,可以在配置类添加一个实现了FilterInvocationSecurityMetadataSource接口的类,用于获取当前请求所需的权限信息,并且在配置类添加一个实现了AccessDecisionManager接口的类,用于判断当前用户是否有访问该资源的权限。 ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private CustomFilterInvocationSecurityMetadataSource customFilterInvocationSecurityMetadataSource; @Autowired private CustomAccessDecisionManager customAccessDecisionManager; @Override protected void configure(HttpSecurity http) throws Exception { // 配置拦截规则 http.authorizeRequests() .withObjectPostProcessor(new ObjectPostProcessor<FilterSecurityInterceptor>() { @Override public <O extends FilterSecurityInterceptor> O postProcess(O object) { object.setSecurityMetadataSource(customFilterInvocationSecurityMetadataSource); object.setAccessDecisionManager(customAccessDecisionManager); return object; } }) .and() // 关闭CSRF保护 .csrf().disable(); } } ``` 参考资料: 1. Spring Security官方文档:https://docs.spring.io/spring-security/site/docs/current/reference/htmlsingle/ 2. Spring Boot整合Spring Security实现登录认证和数据权限管理:https://www.jianshu.com/p/04d848c9cb8d
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值