尚硅谷Security笔记-1

最新推荐文章于 2023-06-20 14:47:32 发布
最新推荐文章于 2023-06-20 14:47:32 发布
阅读量238 收藏
点赞数
分类专栏: 尚硅谷Security笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tzzt01/article/details/116305718
版权

尚硅谷Security笔记

设置用户权限

有四种方法。

1.hasAuthority() 方法:只能给用户一个权限

@Override
    public void configure(HttpSecurity http) throws Exception {
        http
                .formLogin()
                .loginPage("/login.html") // 自定义 login 页面
                .loginProcessingUrl("/user/login") // 登录的处理URL(controller)
                .defaultSuccessUrl("/test/home").permitAll() // 登录成功后调转的页面
                .and()
                .authorizeRequests() // 需要设置权限的请求
                .antMatchers("/", "/test/hello", "/user/login").permitAll() // 不需要过滤的资源
                // 1. hasAuthority() 只能给用户一个权限
                .antMatchers("/test/home").hasAuthority("admin")
                .anyRequest().authenticated() // 任何请求都可以访问
                .and()
                .csrf().disable();
    }

2.hasAnyAuthority() 方法:可以给多个权限

@Override
    public void configure(HttpSecurity http) throws Exception {
        http
                .formLogin()
                .loginPage("/login.html")
                .loginProcessingUrl("/user/login")
                .defaultSuccessUrl("/test/home").permitAll()
                .and()
                .authorizeRequests()
                .antMatchers("/", "/test/hello", "/user/login").permitAll()
                // 2. hasAnyAuthority() 可以给多个权限
                .antMatchers("/test/home").hasAnyAuthority("admin,manager")
                .anyRequest().authenticated()
                .and()
                .csrf().disable();
    }

3.hasRole()方法:只能给一个权限。

而且底层方法中,会给权限名加上【ROLE_】前缀。

@Override
    public void configure(HttpSecurity http) throws Exception {
        http
                .formLogin()
                .loginPage("/login.html")
                .loginProcessingUrl("/user/login")
                .defaultSuccessUrl("/test/home").permitAll()
                .and()
                .authorizeRequests()
                .antMatchers("/", "/test/hello", "/user/login").permitAll()
                // 3. hasRole()
                .antMatchers("/test/home").hasRole("sale")
                .anyRequest().authenticated()
                .and()
                .csrf().disable();
    }

注意 hasRole(“sale”) 的参数是sale下面代码的参数则是 ROLE_sale 才能成功运行

@Service("userDetailsService")
public class  CustomerUserDetailService implements UserDetailsService {
    @Autowired
    private UsersMapper usersMapper;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        QueryWrapper<Users> wrapper = new QueryWrapper<>();
        // 根据用户名查询
        wrapper.eq("username", username);
        // selectOne 返回一条结果
        Users user = usersMapper.selectOne(wrapper);
        if (user == null) {
            throw new UsernameNotFoundException("用户名不存在");
        }

        List<GrantedAuthority> auths = AuthorityUtils.commaSeparatedStringToAuthorityList("admin,ROLE_sale");
        return new User(user.getUsername(), new BCryptPasswordEncoder().encode(user.getPassword()), auths);
    }
}

注意上面倒数第二行代码 AuthorityUtils.commaSeparatedStringToAuthorityList(“admin,ROLE_sale”);

4.hasAnyRole()

还有一种方法是 hasAnyRole() 和 hasAnyAuthority() 差不多,不写了,用的时候百度。

tzzt01
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
第04讲:Security之用户授权
分享日常工作技术
12-16 581
如果返回false,则页面提示http状态码为403,表示请求被拒绝。在SecurityService类中添加授权的逻辑(用户被授予的权限):如果返回false,则页面提示http状态码为403,表示请求被拒绝。在SecurityService类中添加授权的逻辑(用户被授予的角色)在SecurityConfig配置类中设置访问资源的权限的逻辑。在SecurityConfig配置类中设置访问资源的角色的逻辑。
HCIP-Security 网络安全 上课笔记
06-26
HCIP-Security 网络安全 上课笔记
SpringSecurity学习笔记
成熟的标题
10-12 452
Spring Security 项目搭建使用流程 1. 搭建项目 创建好springboot框架 在pom文件导入springsecurity框架的依赖包 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 编写
Spring——Security安全框架之权限限定
专注写bug
02-22 1996
文章目录前言基于角色或权限进行访问控制hasAuthority 方法(单个权限)测试hasAnyAuthority 方法(多个权限)测试hasRole 方法(一个权限)测试异常测试hasAnyRole 方法(多个)测试loadUserByUsername中传递多个权限代码下载 前言 上一篇博客Security安全框架针对请求追加限制中,针对 部分请求 增加了 登录验证 。 只要是登录成功,就能访问被限制的请求。 但是,这种模式肯定是不够用的。 比如:淘宝商品页面。商家可以修改商品价格,但顾客只能看和购
SpringSecurity(十一)--配置权限以及相关限制(下)
学习不止境的博客
10-24 1549
本章我们将承接上篇文章的项目为基础学习,所以没有搭建好项目的小伙伴请先去查看上一篇文章把项目理解并且搭建好,当然大家也可以用自己的方式进行搭建学习,不用啥都按部就班,尤其是编程这块儿,具有极大的灵活性,没准你的方法才是最适合的。但是对于后面的代码,我将以上篇搭建好的代码为架构基础进行展示。
Spring Security 学习笔记
PengK_aha的博客
03-20 6315
一、基本原理 二、两个重要接口 三、web权限认证方式 3.1设置登录的用户名和密码 3.1.1 第一种方式:通过配置文件 3.1.2 第二种方式:通过配置类 1.新建SecurityConfig 配置类,继承 WebSecurityConfigurerAdapter 2.重写 configure(AuthenticationManagerBuilder auth)方法 package c...
Spring Security 4 中的 hasRole 和 hasAuthority 差异引发的思考
Specif1c的博客
05-14 2657
前言: 在使用 Spring Security 的时候我们必然会使用到如下两种访问权限配置中的一种: 第一种: http.authorizeRequests() .antMatchers("/root/**").hasAuthority("root") .antMatchers("/admin/**").hasAuthority("admin") .anyRequest().authenticated() 第二种: http.authorizeReq
Spring Security中hasAnyAuthority和hasAuthority的区别
weixin_46533227的博客
05-29 1668
hasAuthority可以与其他表达式结合使用,例如hasAuthority('ROLE_ADMIN') and hasIpAddress('192.168.1.0/24'),表示用户需要同时拥有"ROLE_ADMIN"权限和来自IP地址为"192.168.1.0/24"的请求才能访问被保护的资源。hasAnyAuthority可以判断多个权限,用逗号分隔,例如"ROLE_USER, ROLE_ADMIN",只要用户拥有其中一个权限即可访问被保护的资源。如果用户拥有其中一个权限,就可以访问该方法。
security安全表达式介绍
wh柒八九的博客
10-27 919
本文来说下security中常见的概念,在学习security的时候,可能觉得security上手比较难,一个关键的原因就是security中有比较多的概念,增加了理解上的难度。再加上RBAC等权限控制,进一步提高了security框架的门槛。 ...
其它权限校验方法
Leon_Jinhai_Sun的博客
06-08 874
权限
security-enterprise-FrontBackSplit_2.3.0.zip
04-12
security-enterprise-FrontBackSplit_
HCIE-Security大神学习笔记
最新发布
09-13
HCIE-Security大神学习笔记,非常详细
spring-security-crypto-5.5.2-API文档-中文版.zip
06-04
赠送jar包:spring-security-crypto-5.5.2.jar; 赠送原API文档:spring-security-crypto-5.5.2-javadoc.jar; 赠送源代码:spring-security-crypto-5.5.2-sources.jar; 赠送Maven依赖信息文件:spring-security-...
spring-security-core-5.3.9.RELEASE-API文档-中文版.zip
07-14
赠送jar包:spring-security-core-5.3.9.RELEASE.jar; 赠送原API文档:spring-security-core-5.3.9.RELEASE-javadoc.jar; 赠送源代码:spring-security-core-5.3.9.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
【Spring Security】004-Spring Security web权限方案(2):用户授权
訾博(ZiBo)的博客
12-27 212
一、用户授权 1、基于权限访问控制 指定单个权限可访问: hasAuthority 方法概述: 如果当前的主体具有指定的权限,则返回 true,否则返回 false; 只能指定一个权限,无法指定多个权限都可访问; 第一步:在配置类MySecurityConfig中设置当前访问地址有哪个权限才可以访问 第二步:在MyUserDetailsService中给返回的对象设置权限 第三步:访问测试 指定多个权限可访问: hasAnyAuthority 方法概述: 如果当前的主.
Spring Security 中的 hasRole 和 hasAuthority 差异引发的思考及解决从数据库从查出来的ROLE对不上
qq1480371991的博客
06-20 710
hasRole和 hasAuthority的底层实现方式是类似的,功能是一样的,hasRole和hasAuthority判断的都是有没有权限,区别就是hasRole对应的权限有前缀ROLE_,而hasAuthority没有。hasRole和hasAuthority的工作原理都是判断角色所拥有的权限有没有对应的字段,一般角色所拥有的权限从数据库中查出来,然后封装在user类中覆写的getAuthorities方法中,如下。
SpringSecurity入门使用——资源授权
a_lllk的博客
11-17 1706
上一篇大概陈述了一下关于SpringSecurity的用户登录,从使用不同的方式进行用户登录做了一个简单的介绍。在开头我也曾提到过,SpringSecurity主要有两大功能,第一个就是用户登录,第二个就是资源授权。这篇就来大概描述一下资源授权的整个过程。 一.实现configure(HttpSecurity http)方法 在配置类中重写configure(HttpSecurity http)方法,注意参数是HTTPSecurity,在这里做一个最简单的登录成功失败Url配置。 @Over
SpringSecurity给用户授权,一个用户能同时拥有多种身份Role,及权限鉴权注解方法hasRole及hasAuthority的使用区别
质量不太好的博客
03-13 9205
SpringSecurity给用户授权,一个用户能同时拥有多种身份Role
spring securirty 权限校验方法
weixin_44768962的博客
07-31 850
权限校验解析
尚硅谷springsecurity笔记
06-28
1. Spring Security 的核心是安全过滤器链(Security Filter Chain),它是一组过滤器,每个过滤器都负责某种安全任务。Spring Security 的默认配置已经提供了一组安全过滤器链,可以通过配置文件或者代码进行修改或...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

tzzt01

您的支持是我坚持下去的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值