SpringSecurity页面按钮权限控制

最新推荐文章于 2024-07-31 14:45:28 发布
最新推荐文章于 2024-07-31 14:45:28 发布
阅读量2.9k 收藏 10
点赞数 3
文章标签: spring boot java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/self_knowledge/article/details/119613813
版权

页面按钮权限的控制,其实就是利用RBAC1权限控制和sec:authorize标签。

一、引入pom依赖

<dependency>
    <groupId>org.thymeleaf.extras</groupId>
    <artifactId>thymeleaf-extras-springsecurity5</artifactId>
</dependency>
  • 此处使用spring-boot-starter-parent:2.4.8,spring-cloud-dependencies:2020.0.3
  • 如不引入该依赖会导致sec:authorize命名空间无效;spring-security其他依赖自行引入

二、实现RBAC权限控制

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    ........
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        ......
    }
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        ......
    }
}

三、重写hasPermission方法

@Component
public class UserPermissionEvaluator implements PermissionEvaluator {

    @Autowired
    private SysUserRepository userRepository;

    /**
     * hasPermission鉴权方法
     * @Param  permission 请求按钮的权限
     * @Return boolean 是否通过
     */
    @Override
    public boolean hasPermission(Authentication authentication, Object targetUrl, Object permission) {
        Object principal = authentication.getPrincipal();
        boolean hasPermission = false;
        if(principal != null && principal instanceof UserDetails){
            String name=((UserDetails) principal).getUsername();
            SysUser sysUser=userRepository.findByName(name);
            Set<String> permissions = new HashSet<>();
            for(SysRole role : sysUser.getRoles()){
                for(SysPermission sysPermission:role.getPermissions()){
                    permissions.add(sysPermission.getName());
                }
            }

            if (permissions.contains(permission.toString())){
                return true;
            }
        }
        return hasPermission;
    }
    
    @Override
    public boolean hasPermission(Authentication authentication, Serializable targetId, String targetType, Object permission) {
        return false;
    }
}

四、在WebSecurityConfig类中注入自定义Bean

@Bean
public DefaultWebSecurityExpressionHandler userSecurityExpressionHandler() {
    DefaultWebSecurityExpressionHandler handler = new DefaultWebSecurityExpressionHandler();
    handler.setPermissionEvaluator(new UserPermissionEvaluator());
    return handler;
}

@Bean
public SpringSecurityDialect springSecurityDialect(){
    return new SpringSecurityDialect();
}

五、html中引入命名空间

<html
      xmlns:th="http://www.thymeleaf.org"
      xmlns:sec="http://www.thymeleaf.org/extras/spring-security">

现在,可以使用页面的标签及其方法上的注解

<div sec:authorize="hasPermission('test','adduser1')">
    <input type="submit" value="提交" class="btn btn-info"/>
</div>

用户只要有adduser1的permission即可见到‘提交’按钮了。第一个参数test在这里用不上。

  1. RBAC 是基于角色的访问控制(Role-Based Access Control )在 RBAC 中,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限。这就极大地简化了权限的管理。这样管理都是层级相互依赖的,权限赋予给角色,而把角色又赋予用户,这样的权限设计很清楚,管理起来很方便。 ↩︎

selfknowledge
关注
spring boot +spring security+thymeleaf实现权限
08-25
spring boot +spring security +thymeleaf 实现简单权限+remember-me功能
spingsecurity中haspermission用法以及配置自定义PermissionEvaluator
xmj_0422的博客
08-13 1万+
一、原理剖析 先看一段官方文档对haspermission的描述(文档链接:https://docs.spring.io/spring-security/site/docs/5.2.7.BUILD-SNAPSHOT/reference/htmlsingle/#el-permission-evaluator) 开头的意思是haspermission的注解会委托给PermissionEvaluator接口,而这个接口默认实现是DenyAllPermissionEvaluator(源码如下) 这个类的两个
SpringSecurity授权功能的实现
最新发布
m0_63624484的博客
07-31 1059
Security:认证 (判断你是平台合法用户)授权(有没有权限访问这个资源)a:b:c我们使用的是自定义的权限表达式 ,也就是说我们的权限用的是a:b:c这种格式来定义权限的,我们在判断权限的时候也是用这种格式来查询是否有对用的权限SpringSecurity支持表达式:@PreAuthorize 注解的常用参数有:。。。。。。。。。用于判断接口需要的访问权限登录的用户是否拥有/***自定义权限实现,ss取自SpringSecurity首字母*/
shiro:hasPermission 标签 :验证当前用户是否拥有指定权限
热门推荐
dxyzhbb的博客
10-11 2万+
1、这些值是存在数据库里的,在哪里找呢?sys_menu 中的permission列。 <shiro:hasPermission name=“cms:article:edit”> 他是怎么入库的呢?非菜单项的权限是怎么加入,怎么取出来使用的? 取出来的sql: SELECT a.id , a.parent_id AS "parent.id" , a.paren...
spring_secrity
StrutsFamily的专栏
02-13 1594
Spring Security入门篇——标签sec:authorize的使用 Security框架可以精确控制页面的一个按钮、链接,它在页面权限控制实际上是通过它提供的标签来做到的 Security共有三类标签authorize  authentication   accesscontrollist  ,第三个标签不在这里研究 前提:项目需要引用spring-secu
安全控制Spring Security
码农@攻城狮
12-15 694
Spring Security是为基于Spring的应用程序提供声明式安全保护的安全性框架。Spring Security提供了完整的安全性解决方案,它能够在web请求级别和方法调用级别处理身份认证和授权。充分利用了依赖注入(DI)和面向切面(AOP)的技术。
Vue 动态路由的实现及 Springsecurity 按钮级别的权限控制
10-16
这些示例展示了如何实现Vue动态路由以及Spring Security按钮级别的权限控制,并且给出了具体的代码实现。通过这种方式,我们可以构建出具有动态权限控制的复杂Web应用,同时保证了应用的安全性和灵活性。
SpringBoot--- SpringSecurity进行注销权限控制的配置方法
08-24
SpringBoot--- SpringSecurity 进行注销权限控制的配置方法 SpringBoot 是一个基于 Java 的框架,提供了大量的配置选项和功能,而 SpringSecurity 是一个基于 Spring 的安全框架,提供了身份验证、授权、加密等功能...
springboot+springsecurity入门
12-06
SpringSecurity的核心组件包括:过滤器链、认证管理、权限控制、会话管理等。 在这个"springboot+springsecurity入门"项目中,我们将关注如何将这两个框架结合使用,实现一个自定义表单登录的功能。自定义表单登录...
SpringBoot 权限控制(菜单控制页面元素控制,url控制
04-13
2. **元素控制**:元素控制是指对页面上的具体组件或操作按钮进行权限控制。例如,只有特定角色的用户才能看到某个按钮或输入框。这通常在前端实现,通过后端接口获取用户角色,前端根据角色判断是否显示元素。在...
SpringSecurity 基础案例
09-05
在实际项目中,你可能还需要考虑更多安全问题,如CSRF防护、记住我功能、自定义权限控制等。这些都是SpringSecurity提供的高级特性,可以根据项目需求进一步探索和实现。 通过这个基础案例,你掌握了SpringSecurity...
sec:authorize的使用
chouxi8731的博客
09-03 6182
1、在.html页面引入spring security的命名空间 <html lang="en" xmlns="http://www.w3.org/1999/xhtml" xmlns:th="http://www.thymeleaf.org" xmlns:sec="http:...
Spring Security(16)——基于表达式的权限控制
dotedy的博客
10-16 1904
EL表达式hasPermissionPreFilterPreAuthorizeSpring Security  基于表达式的权限控制 目录 1.1      通过表达式控制URL权限 1.2      通过表达式控制方法权限 1.2.1     使用@PreAuthorize和@PostAuthorize进行访问控制 1.2.2     使用@PreFilter和@Post
SpringSecurity授权
HaiYun
07-02 646
SpringSecurity授权简介SpringSecurity 授权内置权限表达式URL安全表达式在web安全表达式引用自定义Bean授权Method安全表达式基于数据库的RBAC数据模型的权限控制RABC简介关联关系表结构实施页面标签的权限控制 简介 上一篇博客讲述了SpringSecurity的用户认证,用户认证的目的是让系统知道是谁在访问系统。而这篇博客主要讲述SpringSecurity的另一个功能鉴权,也就是权限控制,目的是你能在系统做什么。 SpringSecurity 授权 内置权限表达式
【前端 VUE】vue 角色权限使用 hasPermission
悟空—
08-12 6392
main.js设置全局变量 Vue.prototype.$hasPer=hasPermission; 设置权限函数 exportfunctionhasPermission(perm){ letpermissionBtns=store.getters.btnPermissions?JSON.parse(store.getters.btnPermissions):[] letbtnName=permissionBtns.map(res=>{...
【Shiro原理一】shiro:hasPermission 隐藏页面无权访问的资源
朱赤墨黑
09-03 5670
shiro:hasPermission 隐藏页面无权访问的资源,因为层层调用方法,下面可能有点儿乱,注意上下结合看方法名。 jsp: organ_list.jsp &lt;shiro:hasPermission name="jigouxinxi-xinzeng"&gt; &lt;button class="layui-btn layui-btn-primary" onclick="a...
Shiro 权限验证原理
PinkCoder
02-14 2159
Shiro 权限验证原理
Spring security权限管理
weixin_47072986的博客
04-02 4012
Spring Security是一个高度自定义的安全框架。利用Spring IoC/DI和AOP功能,为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。​ 使用Spring Secruity的原因有很多,但大部分都是发现了javaEE的Servlet规范或EJB规范中的安全功能缺乏典型企业应用场景。同时认识到他们在WAR或EAR级别无法移植。因此如果你更换服务器环境,还有大量工作去重新配置你的应用程序。
VUE常用的自定义指令
从0到1的成长的博客
12-15 1386
v-directives 基于 vue 的自定义指令集合,包含 复制粘贴指令 v-copy 长按指令 v-longpress 输入框防抖指令 v-debounce 禁止表情及特殊字符 v-emoji 图片懒加载 v-LazyLoad 权限校验指令 v-premission 实现页面水印 v-waterMarker 拖拽指令 v-draggable v-copy 需求:实现一键复制文本内容,用于鼠标右键粘贴。 思路: 动态创建 textarea 标签,并设置 readOnly 属性及移
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值