Spring Security之服务器端方法级权限控制(八)

最新推荐文章于 2023-02-09 17:25:57 发布
最新推荐文章于 2023-02-09 17:25:57 发布
阅读量151 收藏
点赞数
分类专栏: Spring Security 文章标签: java spring maven
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sygg12345666/article/details/109449513
版权

Spring Security之服务器端方法级权限控制(八)

一、介绍

1.概念

  在服务器端我们可以通过Spring security提供的注解对方法来进行权限控制。

2.三种级权限控制方法

  Spring Security在方法的权限控制上支持三种类型的注解,JSR-250注解、@Secured注解和支持表达式的注解,这三种注解默认都是没有启用的,需要单独通过global-method-security元素的对应属性进行启用

二、使用步骤

1.导入jar依赖

只有JSR-250注解方法才需要

<dependency>
     <groupId>javax.annotation</groupId>
     <artifactId>jsr250-api</artifactId>
     <version>1.0</version>
</dependency>

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>

    <groupId>com.hzxy</groupId>
    <artifactId>ssm_day01</artifactId>
    <packaging>pom</packaging>
    <version>1.0-SNAPSHOT</version>
    <modules>
        <module>maven_web</module>
        <module>maven_dao</module>
        <module>maven_domain</module>
        <module>maven_utils</module>
        <module>maven_service</module>
    </modules>
    <properties>
        <spring.version>5.0.2.RELEASE</spring.version>
        <slf4j.version>1.6.6</slf4j.version>
        <log4j.version>1.2.12</log4j.version>
        <mysql.version>8.0.13</mysql.version>
        <mybatis.version>3.4.5</mybatis.version>
        <spring.security.version>5.0.1.RELEASE</spring.security.version>
    </properties>

    <dependencies>        <!-- spring -->
        <dependency>
            <groupId>org.aspectj</groupId>
            <artifactId>aspectjweaver</artifactId>
            <version>1.6.8</version>
        </dependency>
        <dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-aop</artifactId>
            <version>${spring.version}</version>
        </dependency>
        <dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-context</artifactId>
            <version>${spring.version}</version>
        </dependency>
        <dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-context-support</artifactId>
            <version>${spring.version}</version>
        </dependency>
        <dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-web</artifactId>
            <version>${spring.version}</version>
        </dependency>
        <dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-orm</artifactId>
            <version>${spring.version}</version>
        </dependency>
        <dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-beans</artifactId>
            <version>${spring.version}</version>
        </dependency>
        <dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-core</artifactId>
            <version>${spring.version}</version>
        </dependency>
        <dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-test</artifactId>
            <version>${spring.version}</version>
        </dependency>
        <dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-webmvc</artifactId>
            <version>${spring.version}</version>

        </dependency>
        <dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-tx</artifactId>
            <version>${spring.version}</version>
        </dependency>
        <dependency>
            <groupId>junit</groupId>
            <artifactId>junit</artifactId>
            <version>4.12</version>
            <scope>test</scope>
        </dependency>

        <dependency>
            <groupId>javax.servlet</groupId>
            <artifactId>javax.servlet-api</artifactId>
            <version>3.1.0</version>
            <scope>provided</scope>
        </dependency>
        <dependency>
            <groupId>javax.servlet.jsp</groupId>
            <artifactId>jsp-api</artifactId>
            <version>2.0</version>
            <scope>provided</scope>
        </dependency>

        <dependency>
            <groupId>jstl</groupId>
            <artifactId>jstl</artifactId>
            <version>1.2</version>
        </dependency>        <!-- log start -->
        <dependency>
            <groupId>log4j</groupId>
            <artifactId>log4j</artifactId>
            <version>${log4j.version}</version>
        </dependency>
        <dependency>
            <groupId>org.slf4j</groupId>
            <artifactId>slf4j-api</artifactId>
            <version>${slf4j.version}</version>
        </dependency>
        <dependency>
            <groupId>org.slf4j</groupId>
            <artifactId>slf4j-log4j12</artifactId>
            <version>${slf4j.version}</version>
        </dependency>        <!-- log end -->

        <dependency>
            <groupId>org.mybatis</groupId>
            <artifactId>mybatis</artifactId>
            <version>${mybatis.version}</version>
        </dependency>
        <dependency>
            <groupId>org.mybatis</groupId>
            <artifactId>mybatis-spring</artifactId>
            <version>1.3.0</version>
        </dependency>
        <dependency>
            <groupId>c3p0</groupId>
            <artifactId>c3p0</artifactId>
            <version>0.9.1.2</version>
            <type>jar</type>
            <scope>compile</scope>
        </dependency>

        <dependency>
            <groupId>com.github.pagehelper</groupId>
            <artifactId>pagehelper</artifactId>
            <version>5.1.2</version>
        </dependency>

        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-web</artifactId>
            <version>${spring.security.version}</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-config</artifactId>
            <version>${spring.security.version}</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-core</artifactId>
            <version>${spring.security.version}</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-taglibs</artifactId>
            <version>${spring.security.version}</version>
        </dependency>

        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
            <version>${mysql.version}</version>
        </dependency>

        <dependency>
            <groupId>javax.annotation</groupId>
            <artifactId>jsr250-api</artifactId>
            <version>1.0</version>
        </dependency>
    </dependencies>

</project>

2.配置spring-security.xml

 <!--开启服务器端方法级权限控制  JSR-250注解-->
<security:global-method-security jsr250-annotations="enabled" ></security:global-method-security>

<!--开启服务器端方法级权限控制  @Secured注解-->
<security:global-method-security  secured-annotations="enabled"></security:global-method-security>

<!--开启服务器端方法级权限控制  支持表达式的注解-->
<security:global-method-security pre-post-annotations="enabled" ></security:global-method-security>

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:security="http://www.springframework.org/schema/security"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xsi:schemaLocation="http://www.springframework.org/schema/beans
    http://www.springframework.org/schema/beans/spring-beans.xsd
    http://www.springframework.org/schema/security
    http://www.springframework.org/schema/security/spring-security.xsd">


    <!--开启服务器端方法级权限控制  JSR-250注解-->
    <security:global-method-security jsr250-annotations="enabled" ></security:global-method-security>

    <!--开启服务器端方法级权限控制  @Secured注解-->
   <security:global-method-security  secured-annotations="enabled"></security:global-method-security>

    <!--开启服务器端方法级权限控制  支持表达式的注解-->
    <security:global-method-security pre-post-annotations="enabled" ></security:global-method-security>

    <!-- 配置不拦截的资源 -->
    <security:http pattern="/login.jsp" security="none"/>
    <security:http pattern="/failer.jsp" security="none"/>
    <security:http pattern="/css/**" security="none"/>
    <security:http pattern="/img/**" security="none"/>
    <security:http pattern="/plugins/**" security="none"/>


    <!--
    	配置具体的规则
    	auto-config="true"	不用自己编写登录的页面,框架提供默认登录页面
    	use-expressions="false"	是否使用SPEL表达式(没学习过)
    -->
    <security:http auto-config="true" use-expressions="true">
        <!-- 配置具体的拦截的规则 pattern="请求路径的规则" access="访问系统的人,必须有ROLE_USER的角色" -->
        <security:intercept-url pattern="/**" access="hasAnyRole('ROLE_USER','ROLE_ADMIN')"/>

        <!-- 定义跳转的具体的页面 -->
        <security:form-login
                login-page="/login.jsp"
                login-processing-url="/login.do"
                default-target-url="/index.jsp"
                authentication-failure-url="/failer.jsp"
                authentication-success-forward-url="/pages/main.jsp"
        />

        <!-- 关闭跨域请求 -->
        <security:csrf disabled="true"/>
        <!-- 退出 -->
        <security:logout invalidate-session="true" logout-url="/logout.do" logout-success-url="/login.jsp" />

    </security:http>

    <!-- 切换成数据库中的用户名和密码 -->
    <security:authentication-manager>
        <security:authentication-provider user-service-ref="userService">
            <!-- 配置加密的方式-->
            <security:password-encoder ref="passwordEncoder"/>
        </security:authentication-provider>
    </security:authentication-manager>

    <!-- 配置加密类 -->
    <bean id="passwordEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder"/>

3.在Controller类中添加注解

  1. JSR-250注解
//查询全部产品
    @RequestMapping("/findAll.do")
    @RolesAllowed("ADMIN")
    public ModelAndView findAll() throws Exception {
        ModelAndView mv = new ModelAndView();
        List<Product> ps = productService.findAll();
        mv.addObject("productList", ps);
        mv.setViewName("product-list1");
        return mv;
    }

  1. @Secured注解
@RequestMapping("/findAll.do")
    @Secured("ROLE_ADMIN")
    public ModelAndView findAll(@RequestParam(name = "page", required = true, defaultValue = "1") int page,
                                @RequestParam(name = "size", required = true, defaultValue = "4") int size)
            throws Exception {
        ModelAndView mv = new ModelAndView();
        List<Orders> ordersList = ordersService.findAll(page, size);
        //PageInfo就是一个分页Bean
        PageInfo pageInfo = new PageInfo(ordersList);
        mv.addObject("pageInfo", pageInfo);
        mv.setViewName("orders-page-list");
        return mv;
    }

  1. 支持表达式的注解
@RequestMapping("/findAll.do")
    @PreAuthorize("hasRole('ROLE_ADMIN')")
    public ModelAndView findAll() throws Exception {
        ModelAndView mv = new ModelAndView();
        List<UserInfo> userList = userService.findAll();
        mv.addObject("userList", userList);
        mv.setViewName("user-list");
        return mv;
    }

三、Spring EL表达式

  Spring Security允许我们在定义URL访问或方法访问所应有的权限时使用Spring EL表达式,在定义所需的访问权限时如果对应的表达式返回结果为true则表示拥有对应的权限,反之则无。Spring Security可用表达式对象的基类是SecurityExpressionRoot,其为我们提供了如下在使用Spring EL表达式对URL或方法进行权限控制时通用的内置表达式。

  1. hasRole([role]):当前用户是否拥有指定角色。
  2. hasAnyRole([role1,role2]):多个角色是一个以逗号进行分隔的字符串。如果当前用户拥有指定角色中的任意一个则返回true。
  3. hasAuthority([auth]) :等同于hasRole
  4. hasAnyAuthority([auth1,auth2]):等同于hasAnyRole
  5. Principle:代表当前用户的principle对象
  6. authentication:直接从SecurityContext获取的当前Authentication对象
  7. permitAll:总是返回true,表示允许所有的
  8. denyAll:总是返回false,表示拒绝所有的
  9. isAnonymous():当前用户是否是一个匿名用户
  10. isRememberMe():表示当前用户是否是通过Remember-Me自动登录的
  11. isAuthenticated():表示当前用户是否已经登录认证成功了。
  12. isFullyAuthenticated():如果当前用户既不是一个匿名用户,同时又不是通过Remember-Me自动登录的,则返回true。
ygg697
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security详解/基于配置信息的Spring Security使用/使用自定义登录页面/使用数据库认证/SpEL表达式/服务器端方法权限控制/页面端标签控制权限
ZaynFox的博客
10-15 689
一、Spring Security介绍 Spring Security 的前身是 Acegi Security ,是 Spring 项目组中用来提供安全认证服务的框架。 Spring Security 为基于J2EE企业应用软件提供了全面安全服务。特别是使用领先的J2EE解决方案——Spring框架开发的企业软件项目。人们使用Spring Security有很多种原因,不过通常吸引他们的是在J2EE Servlet规范或EJB规范中找不到典型企业应用场景的解决方案。 特别要指出的是他们不能在 WAR 或
SpringCloud 使用Security+Oauth2 时候再去使用fegin,发现出现401未授权
05-31
我们在使用spring cloud时如果设置了oauth2授权模式,那么应用服务A再调用服务B时使用Feign请求会出现401授权认证的问题,那么解决办法就是在feign调用请求时获取到assessToken并设置到请求header中就可以解决这个问题了,资源包中有2个文件:FeignRequestInterceptor.java(拦截器)、OAuth2RestTemplateConfiguration.java(设置header),2个JAVA类,在spring boot框架下,客户端只需要正常引入了授权的JAR包,并把这2两个类放到可以被加载到的目录就可以了,其他都不需要做,可以保证feign正常访问。
方法权限控制
Hhellooneworld的博客
09-08 582
方法权限控制 1@RolesAllowed("admin") js250 注解需要在pom文件中设置坐标 在spring-security.xml中开启注解支持 不需要加前缀 2@secured("ROLE_admin") 是spring自己的注解 不用再pom文件中配置 只需在spring-security.xml中开启注解即可 并且需要加上ROLE_前缀才能使用 3@PreAut...
SpringSecurity以及Oauth2(笔记)
weixin_46949627的博客
09-06 1474
SpringSecurity以及Oauth2的基本使用
分布式系统认证解决方案SpringSecurityOAuth2.0(一)认证授权
DreamsArchitects的博客
08-19 1065
目录一、简介二、认证2.1 认证流程2.2 代码实现表结构配置类 WebSecurityConfigurerAdapter认证逻辑 UserDetailsService2.3 认证测试匿名访问使用 zs 登录使用 ls 登录三、授权3.1 授权流程3.2 代码实现表结构授权逻辑 PermissionEvaluator@EnableGlobalMethodSecurity开启注解校验@PreAuthorize("hasPermission('/r/r1','p1')")3.3 授权测试使用 zs 登录3.4
SpringSecurity_权限注解@PreAuthorize、@PostAuthorize
热门推荐
fyedu的专栏
06-30 1万+
spring是如何实现对HTTP请求进行安全检查和资源使用授权的? 实现过程由类AbstractSecurityInterceptor在beforeInvocation方法中完成,在beforeInvocation的实现中, 首先,需要读取IoC容器中Bean的配置,在这些属性配置中配置了对HTTP请求资源的安全需求, 比如,哪个角色的用户可以接入哪些URL请求资源,具体实现逻辑见: #与Web...
SpringSecurity+OAuth2+JWT分布式权限控制.zip
07-23
本项目“SpringSecurity+OAuth2+JWT分布式权限控制”旨在提供一个完整的解决方案,帮助开发者构建安全的、基于微服务的分布式应用程序。 Spring Security 是一个强大的和高度可定制的身份验证和授权框架,适用于...
SpringBoot+Spring Security+JWT实现RESTful Api权限控制方法
08-26
在本文中,我们将探讨如何使用Spring Boot、Spring Security和JSON Web Tokens (JWT)来实现RESTful API的权限控制Spring Boot简化了构建基于Spring的应用程序流程,而Spring Security则提供了强大的安全框架,JWT...
SpringBoot + SpringSecurity + JPA 实现用户角色权限登录认证
09-10
本项目结合了SpringBoot、SpringSecurity以及JPA(Java Persistence API),实现了用户角色权限的登录认证功能。以下是关于这些技术及实现过程的详细讲解。 1. **SpringBoot**:SpringBoot简化了Spring应用的初始...
Spring Boot中使用Spring Security实现权限控制
04-15
本文将深入探讨如何在Spring Boot项目中利用Spring Security进行权限控制,并结合BCrypt加密技术来增强用户密码的安全性,同时也会提及如何使用Thymeleaf模板引擎来呈现动态安全的界面。 首先,我们需要理解Spring ...
分布式系统认证解决方案SpringSecurityOAuth2.0(四)整合网关认证授权
DreamsArchitects的博客
08-24 1555
目录一、简介二、搭建网关路由配置转发路由 一、简介 网关整合OAuth2.0有两种思路,一种是认证服务器生成JWT令牌,所有的请求统一在网关层验证,判断权限等操作;另一种是由各资源服务处理,网关只做请求转发。 如果网关选择Zuul可以选择第一种。 如果网关选择Gateway可以选择第二种方式,因为Gateway网关是用的是webFlux 其对@EnableResourceServer不支持,如果要将网关服务也作为资源服务实现比较麻烦。 API网关在认证授权体系中主要负责两件事: 作为OAuth2.0的资源
oauth2.0认证
weixin_42772860的博客
04-18 2178
oauth2.0认证流程、四种认证方式、客户端各字段说明。
springsecurity的认证鉴权,acl,oauth2.0
永无止境
09-02 538
主要就是一些拦截器链,@PreAuthorize,@PreFilter,@PostAuthorize和@PostFilter 认证AuthenticationManager 基于列表的ProviderManager实现,每个处理器都有机会处理验证成功或失败 AuthenticationProvider获取适配的处理器 鉴权AccessDecisionManager 基于投票的 AccessDecisionManager 实现,投票决策管理器AccessDecisionVoter 基本..
security服务器端方法基础权限控制
bobier_zhao的博客
09-05 226
本文只有最基础的 服务器端方法权限控制 1.导入jar包 <dependency> <groupId>javax.annotation</groupId> <artifactId>jsr250-api</artifactId> <version>1.0</version> </dependency> 2.在spring-security.xml里配置 <!--开启spri
Spring Security Oauth2 permitAll()方法小记
qq_25248407的博客
11-08 2015
前言 上周五有网友问道,在使用spring-security-oauth2时,虽然配置了.antMatchers("/permitAll").permitAll(),但如果在header 中 携带 Authorization Bearer xxxx,OAuth2AuthenticationProcessingFilter还是会去校验Token的正确性,如果Token合法,可以正常访问,否则,请求失...
Spring Security Oauth2.0认证授权
最新发布
weixin_37536020的博客
02-09 5790
认证: 用户认证就是判断一个用户的身份是否合法的过程 ,用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问,不合法则拒绝访问。常见的用户身份认证方式有:用户名密码登录,二维码登录,手机短信登录,指纹认证等方式。会话:用户认证通过后,为了避免用户的每次操作都进行认证可将用户的信息保证在会话中。会话就是系统为了保持当前用户的登录状态所提供的机制,常见的有基于session方式、基于token方式等。授权。
SpringSecurity使用@PreAuthorize、@PostAuthorize实现Web系统权限认证
u011930054的博客
07-17 4828
SpringSecurity可以使用@PreAuthorize和@PostAuthorize进行访问控制,下面进行说明。 项目使用Springboot2.3.3+SpringSecurtiy+Mbatis实现。 首先先引入pom.xml <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artif
Spring Security 0auth2 认证服务器和资源服务器实现
MrLee的博客
02-07 2061
【代码】Spring Security 0auth2 认证服务器和资源服务器实现。
基于SpringSecurity的@PreAuthorize实现自定义权限校验方法
小王博客基地
08-15 5758
在我们一般的web系统中必不可少的就是权限的配置,也有经典的RBAC权限模型,是基于角色的权限控制。这是目前最常被开发者使用也是相对易用、通用权限模型。当然已经实现了权限的校验,但是不够灵活,我们可以自己写一下校验条件,从而更加的灵活!很多开源框架中也是用的比较多,小编看了一下若依是自己写了一个注解实现的,pig是使用来实现自己的校验方式,小编以pig框架的为例。这样就完成了自定义校验,具体的校验可以自己在配置里进行修改,当然也可以自己写一个注解来进行自定义校验,可以参考若依的注解!...
北风网:Spring Security详解——企业权限控制的解决方案
本课程由北风网独家版权,针对Spring Security在企业Java应用中的用户权限控制提供了全面的解决方案。Spring Security是基于Spring框架构建的,自2003年从“spring的acegi安全系统”发展而来,起初是为了满足...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值