Spring Security 入门 基于注解控制方法级权限

最新推荐文章于 2023-08-07 08:50:13 发布
最新推荐文章于 2023-08-07 08:50:13 发布
阅读量212 收藏
点赞数
分类专栏: # Spring Security 文章标签: Spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tb9125256/article/details/124224368
版权

默认方法级权限控制是关闭的,要手动开启@EnableGlobalMethodSecurity(prePostEnabled = true)

@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true) //默认方法级权限控制是关闭的,要手动开启
public class SpringSecurityConfig extends WebSecurityConfigurerAdapter {

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.formLogin()
                .loginPage("/login/page")
                .loginProcessingUrl("/login")
                .and()
                .authorizeRequests()
                .antMatchers("/login/page").permitAll()
                .anyRequest().authenticated()
        ;
        http.csrf().disable();
    }
}

给方法添加权限控制@PreAuthorize("hasAuthority('aa')") @PreAuthorize("hasRole('ADMIN')")

@RestController
public class HelloController {

    @RequestMapping("hello")
    public String hell() {
        return "Hello World";
    }

    @PreAuthorize("hasAuthority('aa')")
    @RequestMapping("say")
    public String say() {
        return "say...";
    }

    @PreAuthorize("hasRole('ADMIN')")
    @RequestMapping("run")
    public String run() {
        return "run...";
    }
}

给用户权限和角色

@Slf4j
@Component
public class CustomUserDetailService implements UserDetailsService {

    @Autowired
    public PasswordEncoder passwordEncoder;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        //模拟用户可以在数据库查询到
        if ("devin".equals(username)) {
            return new User("devin", passwordEncoder.encode("1234"),
                    //这个给的权限标识符为 aa, 角色为ROLE_ADMIN(这里要注意加上前缀ROLE_标识是角色)
                    AuthorityUtils.commaSeparatedStringToAuthorityList("aa, ROLE_ADMIN"));
        }
        throw new UsernameNotFoundException("用户名输入错误");
    }
}

登录 devin/1234 因为有权限,所以都可以访问。
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

折挺
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity 3.0.1.RELEASE.CHM
03-21
5.5. Spring Security中的访问控制(验证) 5.5.1. 安全和AOP建议 5.5.2. 安全对象和AbstractSecurityInterceptor 5.5.2.1. 配置属性是什么? 5.5.2.2. RunAsManager 5.5.2.3. AfterInvocationManager 5.5.2.4...
Security方法注解权限控制过程及自定义权限表达式
pscool的博客
05-02 1576
(也可以采用若依的方法,自定义权限表达式,其实就是利用了el表达式,但是通过自定义权限表达式的过程,可以更加清楚security处理方法权限时的整个处理过程)
想要控制权限,这8个注解必须知道!
码猿技术专栏
08-07 390
大家好,我是不才陈某~在码猿慢病云管理系统采用的是Spring Cloud 集成Spring Security OAuth2的方式实现认证、鉴权,其中涉及到的一个重要问题则是数据权限的过滤,今天就来介绍一下实现的方案。在之前的文章中曾经介绍过通过自定义的三个注解 @RequiresLogin、 @RequiresPermissions 、 @RequiresRoles 实现微服务的鉴权其实就是参考...
Security方法注解权限访问控制及原理剖析
pscool的博客
03-27 2968
案例 引入依赖 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.or
SpringSecurity权限控制注解使用
weixin_46278059的博客
12-15 751
SpringSecurity权限控制注解使用
爆破专栏丨Spring Security系列教程之Spring Security的四种权限控制方式
xiaoxijinger的博客
11-05 1198
原创:一一哥 前言: 在前面的章节中,一一哥 已经给大家介绍了Spring Security的很多功能,在这些众多功能中,我们知道其核心功能其实就是认证+授权。 在前面我们分别基于内存模型、基于默认的数据库模型、基于自定义数据库模型实现了认证和授权功能,但是不管哪种方式,我们对某个接口的拦截限制,都是通过编写一个SecurityConfig配置类,在该类的configure (Http Security http)方法中,通过http. authorize Requests ( ). antMatchers
Spring Security 中文教程.pdf
12-06
5.5. Spring Security中的访问控制(验证) 5.5.1. 安全和AOP建议 5.5.2. 安全对象和AbstractSecurityInterceptor 5.5.2.1. 配置属性是什么? 5.5.2.2. RunAsManager 5.5.2.3. AfterInvocationManager ...
Spring Security-3.0.1中文官方文档(翻译版)
03-08
5.5. Spring Security 中的访问控制(验证) 5.5.1. 安全和AOP 建议 5.5.2. 安全对象和AbstractSecurityInterceptor 5.5.2.1. 配置属性是什么? 5.5.2.2. RunAsManager 5.5.2.3. AfterInvocationManager ...
shiro注解
10-28
class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"> <!-- end --> --修改了过滤链 <!-- 过滤链定义 --> //简单的讲就是把需要特别处理的路径写到前面,越特殊写...
狂神说Java 笔记,java入门,docker ,spring 全家桶,redis , mysql , vue , javascript ,htm5, css
05-07
29、SpringSecurity权限控制.pdf 30、整合Dubbo+Zookeeper.pdf 31、Shiro.pdf 32、SpringCloudNetflix-H版.pdf 33、JVM探究.pdf 34、JUC精讲.pdf 35、Git.pdf 36、Linux使用.pdf 37、Redis精讲.pdf 38、...
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解权限验证
08-26
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解权限验证,可根据注解的格式不同,做到角色权限控制,角色加资源权限控制等,粒度比较细化。 @PreAuthorize("hasAnyRole('ADMIN','USER')"):具有admin或user角色的用户可以访问。 @PreAuthorize("hasRole('ADMIN') and hasRole('USER')"):具有admin和user角色的用户可以访问 文章地址:https://blog.csdn.net/fuu123f/article/details/108233463
重新梳理了一下Spring Security注解访问权限控制
码农小胖哥
04-15 1919
Spring Security提供基于注解的访问控制。开启方法注解访问控制Spring Security默认是关闭方法注解的,开启它只需要通过引入@EnableGlobalMethodSecurity注解即可:/** *开启方法安全注解 * *@authorfelord.cn */ @EnableGlobalMethodSecurity(prePostEn...
Spring Security 权限控制
m0_48922996的博客
07-16 8236
项目版本BootSecurity官网文档在前面的文章中,所有的接口只需要登录就能访问。并没有对每个接口进行权限限制。在正式的系统中,一个用户会拥有一个或者多个角色,而不同的角色会拥有不同的接口权限。如果要实现这些功能,需要重写中的。HttpSecurity用于构建一个安全过滤器链SecurityFilterChain,可以通过它来进行自定义安全访问策略。@Bean}@Override.and()}@Overridehttp.authorizeRequests()//开启配置。...
Spring Security权限控制
qq_41783386的博客
07-27 1537
spring security权限控制
Security注解:@PreAuthorize,@PostAuthorize, @Secured
热门推荐
京北游戏官方
12-04 2万+
一、注解方法安全开启 需要在WebSecuirtyConfig添加配置: @Configuration @EnableWebSecurity //启用Spring Security. ////会拦截注解了@PreAuthrize注解的配置. @EnableGlobalMethodSecurity(prePostEnabled=true) public class WebSecurit...
springMvc+spring security 注解方式实现权限控制
Camellia919的博客
08-22 2万+
一个项目,权限自然是少不了的,在我来公司一段时间后发现公司后台的管理系统既然没有权限模块,所有人都都是超管理员,更让人嗤之以鼻的是,整个系统也没有任何操作日志记录,这怎么得了,数据是的何等重要,岂是任谁都能操作的,且不说大家都很正常的使用,万一随便谁有个失误,那可是大事情,没有任何的操作记录,除了问题谁负责呢。所以来公司不久忙里偷闲先将权限搞定,接下来就是操作日志了。但是本人刚入行不是很久...
SpringSecurity如何使用注解控制权限
小楼夜听雨的博客
01-28 1504
一般的系统在权限设计上,都会分为角色、权限(RDBC),复杂一点的可能会有用户组、组织之类的概念。 用户的权限是写死的,对应于后台具体的接口(资源),是没办法改变的,一般不对用户开放修改权限。 管理员用户可以通过给角色分配权限的方式,来实现访问控制。 所以当我们写过滤器,或者用一些安全框架时(Shiro,Spring Security),也需要将可变的角色转化为不可变的权限,注入到框架中。 具体的可以看我之前写的一篇(Spring Security整合jwt完整版):https://blog.csd
后端开发是一个涉及广泛技术和工具的领域.docx
最新发布
04-30
后端开发是一个涉及广泛技术和工具的领域,这些资源对于构建健壮、可扩展和高效的Web应用程序至关重要。以下是对后端开发资源的简要介绍: 首先,掌握一门或多门编程语言是后端开发的基础。Java、Python和Node.js是其中最受欢迎的几种。Java以其跨平台性和丰富的库而著名,Python则因其简洁的语法和广泛的应用领域而备受欢迎。Node.js则通过其基于JavaScript的单线程异步I/O模型,为Web开发提供了高性能的解决方案。 其次,数据库技术是后端开发中不可或缺的一部分。关系型数据库(如MySQL、PostgreSQL)和非关系型数据库(如MongoDB、Redis)各有其特点和应用场景。关系型数据库适合存储结构化数据,而非关系型数据库则更适合处理大量非结构化数据。 此外,Web开发框架也是后端开发的重要资源。例如,Express是一个基于Node.js的Web应用开发框架,它提供了丰富的API和中间件支持,使得开发人员能够快速地构建Web应用程序。Django则是一个用Python编写的Web应用框架,它采用了MVC的软件设计模式,使得代码结构更加清晰和易于维护。
华为数字化转型实践28个精华问答glkm.pptx
04-30
华为数字化转型实践28个精华问答glkm.pptx
springsecurity注解权限控制
09-22
Spring Security中,可以使用注解方式进行权限控制。通过在方法上添加注解,可以定义该方法所需的权限,只有具有相应权限的用户才能够访问该方法。常用的注解包括: 1. @PreAuthorize:指定方法执行前的权限控制...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值