Spring Security 注解备忘

最新推荐文章于 2024-05-06 14:37:39 发布
最新推荐文章于 2024-05-06 14:37:39 发布
阅读量358 收藏
点赞数
分类专栏: spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010955166/article/details/77718815
版权

简要

Spring Security是基于spring的应用程序提供声明式安全保护的安全性框架,它提供了完整的安全性解决方案,能够在web请求级别和方法调用级别
处理身份证验证和授权.它充分使用了依赖注入和面向切面的技术,Spring security主要是从两个方面解决安全性问题:
1.web请求级别:使用servlet过滤器保护web请求并限制URL级别的访问
2.方法调用级别:使用Spring AOP保护方法调用,确保具有适当权限的用户采用访问安全保护的方法.

Web请求级别的保护

  对于请求级别的安全性来说,主要时通过保护一个或多个URL,使得只有特定的用户才能访问,并其他用户访问该URL的内容.本文主要是基于spring mvc下整合Spring security模块

方法调用级别

spring security的方法级别的保护是基于Spring AOP技术。首先需要在spring配置文件中加以下配置,才能使spring Security保护那些使用相关注解的方法。
spring Security支持4种方法级别安全性的方法:
1.使用@Secured注解方法,这是spring自带的注解方法。@Secured("")内部的字符串不具有SpEL特性,只能是具体的权限。
2.使用@JSR-250 @RelosAllowed注解的方法。作用和使用方法与@Secured一样,不同在于它不是spring框架的,所以可以做到和spring框架的解耦。
3.使用Spring 方法调用前和调用后注解方法。这些方法支持SpEL.
4.匹配一个或多个明确声明的切点方法。

@Secured和 @RelosAllowed

@Secured("ROLE_ADMIN")
public void addUser(User user){
    ...  
}
@RolesAllowed("ROLE_ADMIN")
public void updateUser(User user){
    ...  
}

使用Spring 方法调用前和调用后注解方法

可以使用SpEL方法有四种:

  1. @PreAuthorize: 在方法调用前,基于表达式计算结果来限制方法访问
  2. @PostAuthorize: 允许方法调用,但是如果表达式结果为fasle则抛出异常
  3. @PostFilter :允许方法调用,但必须按表达式过滤方法结果
  4. @PreFilter:允许方法调用,但必须在进入方法前过滤输入值
@PreAuthorize("hasRole('ROLE_ADMIN')")
public void addUser(User user){
   //如果具有权限 ROLE_ADMIN 访问该方法
    ....
}

//returnObject可以获取返回对象user,判断user属性username是否和访问该方法的用户对象的用户名一样。不一样则抛出异常。
@PostAuthorize("returnObject.user.username==principal.username")
public User getUser(int userId){
   //允许进入
...
    return user;    
}

//将结果过滤,即选出性别为男的用户
@PostFilter("returnObject.user.sex=='男' ")
public List<User> getUserList(){
   //允许进入
...
    return user;    
}

Spring Security 支持的所有SpEL表达式

安全表达式 计算结果
authentication  用户认证对象
denyAll  结果始终为false
hasAnyRole(list of roles)  如果用户被授权指定的任意权限,结果为true
hasRole(role)如果用户被授予了指定的权限,结果 为true
hasIpAddress(IP Adress)用户地址
isAnonymous()  是否为匿名用户
isAuthenticated()  不是匿名用户
isFullyAuthenticated  不是匿名也不是remember-me认证
isRemberMe()  remember-me认证
permitAll始终true
principal用户主要信息对象



refineli-walker
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security
wang2963973852的博客
02-09 885
Spring提供了安全验证框架Spring Security Spring Security是基于spring的应用程序提供声明式安全保护的安全性框架,它提供了完整的安全性解决方案,能够在web请求级别方法调用级别处理身份证验证和授权.它充分使用了依赖注入和面向切面的技术 Spring security主要是从两个方面解决安全性问题: web请求级别方法调用级别
Spring Security 基础介绍
志趣
05-07 396
Spring Security 基础介绍特点身份认证密码的安全存储密码存储的发展历史 特点 Spring Security 为身份验证、授权和针对常见的漏洞防护提供了全面的支持。 它还提供与其他第三方库的集成,以简化其使用。 身份认证 身份验证是我们验证特定资源访问者的身份的方法。 验证用户身份的常用方法是要求用户输入用户名和密码。 一旦执行了身份验证,我们就会是谁在访问特定资源并可以执行授权。 ...
Spring Security注解详解】
最新发布
samsung_samsung的专栏
05-06 533
Spring Security 是一个强大的、高度可定制的身份验证和访问控制框架,广泛用于Java应用程序中以确保安全。它提供了多种注解来简化安全控制的实现,特别是在方法级别的权限控制上。
Spring Security方法级的安全管控
诸葛建站
11-05 71
默认情况下, Spring Security 并不启用方法级的安全管控. 启用方法级的管控后, 可以针对不同的方法通过注解设置不同的访问条件. Spring Security 支持三种方法注解, 分别是 JSR-205 注解/@Secured 注解/prePostEnabled注解. 这些注解不仅可以直接加 controller 方法上, 也可以注解 Service 或 DAO 类中的方法....
5.Spring Security安全注解
相互学习 共同进步
04-24 1207
Spring Security默认是禁用注解的,要想开启注解,需要在继承WebSecurityConfigurerAdapter的类上加@EnableGlobalMethodSecurity注解,并在该类中将AuthenticationManager定义为Bean如果要启用基于注解方法安全性,要在配置类上使用**@EnableGlobalMethodSecurity**设置了securedEnabled = true,此时Spring将会创建一个切点,并将带有@Secured注解方法防入切面中。
SpringSecurity笔记,编程不良人笔记
10-28
- XML配置:早期版本的SpringSecurity使用XML配置,但现在已被注解配置取代。 - 注解配置:使用`@EnableWebSecurity`开启Web安全,通过`@Configuration`和`WebSecurityConfigurerAdapter`自定义安全规则。 - ...
SpringSecurity.zip
06-08
Spring Securityspring家族一员。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转...
Spring Security in Action
11-22
Spring Security 实践指南 Spring Security 是一个基于 Java 的安全框架,旨在提供身份验证、授权和访问控制等功能。下面是 Spring Security 的主要知识点: 一、身份验证(Authentication) 身份验证是指对用户...
Spring Security实现验证码登录功能
08-25
"Spring Security实现验证码登录功能" Spring Security是Java应用程序安全性框架,广泛应用于Web应用程序的身份验证、授权和访问控制。验证码登录功能是Spring Security中的一个重要组件,主要用于防止自动化程序...
SpringSecurity.pdf
05-24
SpringSecurity入门到进阶到高级,是我们老师给我们讲课用的,我们都照着配就没有问题,可以跑通,
spring MVC 3.1 spring security 注解实现安全机制
06-28
spring MVC 3.1+spring security3.1+mybaits+ 注解 实现安全机制。jar包没有上传。自己补充
Spring security中的注解
godkzz的博客
09-11 802
一、@Secured 作用:用户具有某个角色,可以访问方法 使用: 在启动类或配置内开启注解 @EnableGlobalMethodSecurity(securedEnabled = true) 在Controller的方法上加注解(注意要在角色名前加上ROLE_) @RestController public class MyController { @RequestMapping(value = "/test") @Secured({"ROLE_normal","RO
Spring Security方法级别和类级别的安全保护策略
yanshendeyinji的博客
10-22 336
1Spring Security方法级别和类级别的安全策略 (1)SpringSecurity方法级别支持授权语义。通常,我们可以通过限制哪些角色能够执行特定的方法来保护我们的服务层,并使用专用的方法级安全测试支持来测试它。 2依赖 3启用方法级别安全配置 (1)prePostEnabled =true 可以使用pre/post 注解 (2)securedEnabled =ture可以使用@Secured注解的服务 (3)jsr250Enabled=true可以使用@RoleAllowed注解 4方法
Spring Security 之 @EnableGlobalMethodSecurity 方法级安全
点滴记录
10-14 1777
默认情况下, Spring Security 并不启用方法级的安全管控. 启用方法级的管控后, 可以针对不同的方法通过注解设置不同的访问条件. @EnableGlobalMethodSecurity(prePostEnabled = true) public class SecurityConfig extends WebSecurityConfigurerAdapter {} Spring...
SpringSecurity中的注解
Yestar123456的博客
12-30 1302
@EnableWebSecurity的作用 首先,EnableWebSecurity注解是个组合注解,他的注解中,又使用了@EnableGlobalAuthentication注解: @Retention(RetentionPolicy.RUNTIME) @Target({ElementType.TYPE}) @Documented @Import({WebSecurityConfigurati...
SpringSecurity配置及注解说明
magicproblem的博客
10-25 1142
一、配置准备 1、引入相关pom.xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> <version>2.0.4.RELEASE</version>
Spring Security使用授权标签和注解
热门推荐
luenxin的博客
12-03 2万+
Spring Security的声明式安全授权有两种方式,一种是以url模式匹配的方式,另一种是方法上使用注解声明权限,这里重点说第二种。 Spring Security默认是禁用注解的,要想开启注解,需要在继承WebSecurityConfigurerAdapter的类上加@EnableGlobalMethodSecurity注解,并在该类中将AuthenticationManager定义为B
Spring Security注解
05-05
Spring Security提供了一系列注解,用于配置安全访问控制。 1. @EnableWebSecurity:启用Web安全性配置。 2. @Secured:Spring Security提供的注解,用于在方法上指定访问所需的角色或权限。 3. @PreAuthorize:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值