spring security如何使用sec:authorize="hasAnyAuthority('PRODUCT_DELETE')"标签 及其在方法上使用权限注解

最新推荐文章于 2024-06-05 13:58:51 发布
最新推荐文章于 2024-06-05 13:58:51 发布
阅读量7.2k 收藏 9
点赞数
分类专栏: spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/taiguolaotu/article/details/104005451
版权

废话不多说,直接上代码,

第一
首先写一个类继承WebSecurityConfigurerAdapter
我只从代码中粘贴了一部分,
Configuration注解的作用,意思将给类交给spring容器管理(也可以说是被实例化)
EnableWebSecurity的作用,开启spring security过滤器链
EnableGlobalMethodSecurity ,开启权限注解,首先加上此注解,我们的标签及其权限注解才可以使用

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true) //开启权限注解,默认是关闭的
public class SecurityConfig extends WebSecurityConfigurerAdapter {

第二
需要在该类中注入自定义PermissionEvaluator,注意我在这里,自定义的类名叫做UserPermissionEvaluator

/**
     * 注入自定义PermissionEvaluator
     */
    @Bean
    public DefaultWebSecurityExpressionHandler userSecurityExpressionHandler(){
        DefaultWebSecurityExpressionHandler handler = new DefaultWebSecurityExpressionHandler();
        handler.setPermissionEvaluator(new UserPermissionEvaluator());
        return handler;
    }

第三

我们需要写一个类实现PermissionEvaluator接口,并且实现hasPermission方法
直接上代码

package com.sans.security;

import com.sans.core.entity.SysMenuEntity;
import com.sans.core.service.SysUserService;
import com.sans.security.entity.SelfUserEntity;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.access.PermissionEvaluator;
import org.springframework.security.core.Authentication;
import org.springframework.stereotype.Component;
import java.io.Serializable;
import java.util.HashSet;
import java.util.List;
import java.util.Set;


@Component
public class UserPermissionEvaluator implements PermissionEvaluator {

    Logger logger=LoggerFactory.getLogger(UserPermissionEvaluator.class);

    @Autowired
    private SysUserService sysUserService;
    /**
     * hasPermission鉴权方法
     * 这里仅仅判断PreAuthorize注解中的权限表达式
     * 实际中可以根据业务需求设计数据库通过targetUrl和permission做更复杂鉴权
     * 当然targetUrl不一定是URL可以是数据Id还可以是管理员标识等,这里根据需求自行设计
     * @Author Sans
     * @CreateTime 2019/10/6 18:25
     * @Param  authentication  用户身份(在使用hasPermission表达式时Authentication参数默认会自动带上)
     * @Param  targetUrl  请求路径
     * @Param  permission 请求路径权限
     * @Return boolean 是否通过
     */
    @Override
    public boolean hasPermission(Authentication authentication, Object targetUrl, Object permission) {

        logger.info("进来了!!!");
        logger.info("permission:{}",permission);

        // 获取用户信息
        SelfUserEntity selfUserEntity =(SelfUserEntity) authentication.getPrincipal();
        // 查询用户权限(这里可以将权限放入缓存中提升效率)
        Set<String> permissions = new HashSet<>();
        List<SysMenuEntity> sysMenuEntityList = sysUserService.selectSysMenuByUserId(selfUserEntity.getUserId());
        for (SysMenuEntity sysMenuEntity:sysMenuEntityList) {
            permissions.add(sysMenuEntity.getPermission());
        }
        // 权限对比
        if (permissions.contains(permission.toString())){
            return true;
        }
        return false;
    }
    @Override
    public boolean hasPermission(Authentication authentication, Serializable targetId, String targetType, Object permission) {
        return false;
    }
}

在这里我们就可以使用页面的标签及其方法上的注解
直接上代码

<div sec:authorize="hasPermission('/product/list','product:list')">
    <a href="/product/list">商品查询</a><br/>
</div>


@PreAuthorize("hasPermission('/product/list','product:list')")
    @RequestMapping(value = "/list")
    public String list() {
        return "product/list";
    }

这里有两个参数,我们说明一下什么意思。
第一个 资源URL(即请求路径)
第二个 对应的权限

以后会为大家介绍 没有赋予权限该如何处理
当然没有赋予权限的话,页面会出现
在这里插入图片描述

Forbidden 禁止的意思 403指未授权
控制台也不会报错,其实这个问题是否解决,个人感觉无所谓。只要不让用户做到非法请求的目的就行。。。

这辈子坚持与不坚持都不可怕,怕的是独自走在坚持的道路上。。。

欢迎加入技术群聊
在这里插入图片描述

taiguolaotu
关注
  • 0
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Spring security用户URL权限FilterSecurityInterceptor使用解析
08-25
Spring Security框架中,`FilterSecurityInterceptor`是一个关键组件,用于控制用户对应用程序不同URL的访问权限。这个拦截器在用户发起HTTP请求时介入,基于预定义的安全策略判断用户是否被授权访问请求的资源。...
Spring Boot2.0使用Spring Security的示例代码
08-27
Spring Boot 2.0 中使用 Spring Security,可以使用 Maven 引入 Spring Security 依赖项,例如: ``` <groupId>org.springframework.boot <artifactId>spring-boot-starter-security <!-- 前端模板 ...
spring_secrity
StrutsFamily的专栏
02-13 1574
Spring Security入门篇——标签sec:authorize使用 Security框架可以精确控制页面的一个按钮、链接,它在页面上权限的控制实际上是通过它提供的标签来做到的 Security共有三类标签authorize  authentication   accesscontrollist  ,第三个标签不在这里研究 前提:项目需要引用spring-secu
SpringSecurity授权
HaiYun
07-02 595
SpringSecurity授权简介SpringSecurity 授权内置权限表达式URL安全表达式在web安全表达式引用自定义Bean授权Method安全表达式基于数据库的RBAC数据模型的权限控制RABC简介关联关系表结构实施页面标签权限控制 简介 上一篇博客讲述了SpringSecurity的用户认证,用户认证的目的是让系统知道是谁在访问系统。而这篇博客主要讲述SpringSecurity的另一个功能鉴权,也就是权限控制,目的是你能在系统做什么。 SpringSecurity 授权 内置权限表达式
Spring Security 常用的 SpEL 表达式
最新发布
2401_85480529的博客
06-05 214
可以是一个权限字符串,也可以是一个 SpEL 表达式,用于动态计算权限。:要求用户进行完全认证,即不允许使用 Remember-Me 记住我功能。:检查当前用户是否是通过 Remember-Me 记住我功能进行认证的。:检查当前用户是否具有给定权限列表中的任何一个权限。:检查当前用户是否具有给定角色列表中的任何一个角色。:拒绝所有用户访问,即不允许任何用户访问。:允许所有用户访问,即无需任何权限。:检查当前用户是否已经进行了认证。:检查当前用户是否具有指定权限。:检查当前用户是否是匿名用户。
springboot2.x版本后springsecuritysec:authorize等属性无法生效问题
hayhead的博客
09-14 428
springboot整合thymeleaf、springsecurity时,教学视频让我们引入如下依赖,然后sec:authorize等属性没有起作用 ps.教学视频的springboot版本为1.5.x <dependency> <groupId>org.thymeleaf.extras</groupId> <artifactId>thymeleaf-extras-springsecurity4</art
Spring——Security安全框架之权限限定
专注写bug
02-22 2049
文章目录前言基于角色或权限进行访问控制hasAuthority 方法(单个权限)测试hasAnyAuthority 方法(多个权限)测试hasRole 方法(一个权限)测试异常测试hasAnyRole 方法(多个)测试loadUserByUsername中传递多个权限代码下载 前言 上一篇博客Security安全框架针对请求追加限制中,针对 部分请求 增加了 登录验证 。 只要是登录成功,就能访问被限制的请求。 但是,这种模式肯定是不够用的。 比如:淘宝商品页面。商家可以修改商品价格,但顾客只能看和购
SpringSecurity(十一)--配置权限以及相关限制(下)
学习不止境的博客
10-24 1634
本章我们将承接上篇文章的项目为基础学习,所以没有搭建好项目的小伙伴请先去查看上一篇文章把项目理解并且搭建好,当然大家也可以用自己的方式进行搭建学习,不用啥都按部就班,尤其是编程这块儿,具有极大的灵活性,没准你的方法才是最适合的。但是对于后面的代码,我将以上篇搭建好的代码为架构基础进行展示。
springsecurity-collection:springsecurity安全框架的一些使用
04-28
安全框架SpringSecurity的基本应用 test-ss-11 集成spring security 自定义认证成功和认证失败的handler 自定义访问拒绝的handler(权限不足) 自定义退出登录成功的handler MockUserList是模拟用户列表 authorize...
spring security动态配置url权限的2种实现方法
08-27
本文将探讨两种在Spring Security中实现动态配置URL权限方法。 ### 方法一:自定义Filter 虽然自定义Filter可以实现动态权限判断,但这并不符合Spring Security的设计原则,因为这会使你绕过框架提供的安全机制...
Spring Boot中使用Spring Security实现权限控制
04-15
本文将深入探讨如何在Spring Boot项目中利用Spring Security进行权限控制,并结合BCrypt加密技术来增强用户密码的安全性,同时也会提及如何使用Thymeleaf模板引擎来呈现动态安全的界面。 首先,我们需要理解Spring ...
[SpringSecurity]web权限方案_用户授权_基于权限访问控制_基于角色访问控制_hasAuthority和hasAnyAuthority_hasRole和hasAnyRole
m0_51955470的博客
02-28 2382
基于角色或权限进行访问控制 hasAuthority 方法 如果当前的主体具有指定的权限,则返回 true,否则返回 false 在配置类设置当前访问地址有哪些 @Override protected void configure(HttpSecurity http) throws Exception { http.formLogin() //自定义自己编写的登陆页面 .loginPage("/login.html") //登陆页面设
SpringSecurity入门使用——资源授权
a_lllk的博客
11-17 1804
上一篇大概陈述了一下关于SpringSecurity的用户登录,从使用不同的方式进行用户登录做了一个简单的介绍。在开头我也曾提到过,SpringSecurity主要有两大功能,第一个就是用户登录,第二个就是资源授权。这篇就来大概描述一下资源授权的整个过程。 一.实现configure(HttpSecurity http)方法 在配置类中重写configure(HttpSecurity http)方法,注意参数是HTTPSecurity,在这里做一个最简单的登录成功失败Url配置。 @Over
初学spring security(四)-----角色权限控制
m0_48631806的博客
03-25 1329
在配置类中通过hasAuthority(“admin”)设置具有admin权限时才能访问。2.hasAnyAuthority(String ...) 如果用户具备给定权限中某一个,就允许访问。// 如果用户没有"adMin","admiN"这两个权限,将被拒绝访问(区分大小写)3.hasRole(String) 如果用户具备给定角色就允许访问。否则出现403。参数取值来源于自定义登录逻辑UserDetailsService实现类中创建User对象时给User赋予的授权。
Spring SecurityhasAnyAuthority和hasAuthority的区别
weixin_46533227的博客
05-29 1889
hasAuthority可以与其他表达式结合使用,例如hasAuthority('ROLE_ADMIN') and hasIpAddress('192.168.1.0/24'),表示用户需要同时拥有"ROLE_ADMIN"权限和来自IP地址为"192.168.1.0/24"的请求才能访问被保护的资源。hasAnyAuthority可以判断多个权限,用逗号分隔,例如"ROLE_USER, ROLE_ADMIN",只要用户拥有其中一个权限即可访问被保护的资源。如果用户拥有其中一个权限,就可以访问该方法
SpringSecurity配置高级用户拥有低级用户权限(权限继承)
hehehehao1的博客
11-29 311
【代码】SpringSecurity配置高级用户拥有低级用户权限(权限继承) SpringSecurity配置权限层级,高级用户管理员用户拥(继承)低权限用户的所有权限权限继承
Spring Security——10,其他权限校验方法
weixin_42858422的博客
04-07 421
hasAuthority方法实际是执行到了SecurityExpressionRoot的hasAuthority,大家只要断点调试既可知道它内部的校验原理。这里我们先不急着去介绍这些方法,我们先去理解hasAuthority的原理,然后再去学习其他方法你就更。hasAnyAuthority方法可以传入多个权限,只有用户有其中任意一个权限都可以访问对应资源。并且我们也可以选择定义校验方法,实现我们自己的校验逻辑。hasRole要求有对应的角色才可以访问,但是它内部会把我们传入的参数拼接上。
Spring Security 学习笔记
PengK_aha的博客
03-20 6395
一、基本原理 二、两个重要接口 三、web权限认证方式 3.1设置登录的用户名和密码 3.1.1 第一种方式:通过配置文件 3.1.2 第二种方式:通过配置类 1.新建SecurityConfig 配置类,继承 WebSecurityConfigurerAdapter 2.重写 configure(AuthenticationManagerBuilder auth)方法 package c...
SpringSecurity学习笔记
成熟的标题
10-12 461
Spring Security 项目搭建使用流程 1. 搭建项目 创建好springboot框架 在pom文件导入springsecurity框架的依赖包 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 编写
jsp 页面使用<security:authorize access=控制按钮权限,access中的方法如何调用自定义的方法
05-15
在 JSP 页面中,可以使用 EL 表达式调用 Java 类中的方法。因此,你可以在 Java 类中定义一个方法来判断当前用户是否有权限访问某个按钮,然后在 JSP 页面中使用 EL 表达式调用该方法。 具体步骤如下: 1. 在 Java 类中定义一个方法,该方法接受一个字符串参数,表示要判断权限的按钮名称,返回一个布尔值,表示当前用户是否有权限访问该按钮。例如: ``` public class ButtonAccessUtils { public static boolean hasAccess(String buttonName) { // 在这里编写自定义的判断逻辑,判断当前用户是否有权限访问该按钮 // 如果有权限,返回 true,否则返回 false } } ``` 2. 在 JSP 页面中使用 EL 表达式调用该方法。例如: ``` <security:authorize access="${@ButtonAccessUtils@hasAccess('button1')}"> <!-- 只有当前用户有权限访问 button1 按钮时,才会显示下面的内容 --> <button>button1</button> </security:authorize> <security:authorize access="${@ButtonAccessUtils@hasAccess('button2')}"> <!-- 只有当前用户有权限访问 button2 按钮时,才会显示下面的内容 --> <button>button2</button> </security:authorize> ``` 在上面的例子中,我们使用 ${@ButtonAccessUtils@hasAccess('button1')} 表达式来调用 ButtonAccessUtils 类中的 hasAccess 方法,并传递了一个字符串参数 'button1'。如果该方法返回 true,则表示当前用户有权限访问 button1 按钮,此时会显示一个名为 button1 的按钮;否则,不会显示该按钮。同理,我们使用 ${@ButtonAccessUtils@hasAccess('button2')} 表达式来判断当前用户是否有权限访问 button2 按钮。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值