spring boot 加入 spring-security配置 角色前缀 静态资源访问

最新推荐文章于 2023-11-29 11:08:23 发布
最新推荐文章于 2023-11-29 11:08:23 发布
阅读量3.7k 收藏 1
点赞数
分类专栏: 积累分享 文章标签: spring security spring-boot role 权限 角色
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011411069/article/details/78005434
版权

对于spring-boot开发应用,基于起步依赖很容易将spring-security集成进去,下面分享一下自己的基础配置

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)//开启基于方法的声明式权限控制
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    private ReaderRepository readerRepository;
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        readerRepository.save(new Reader("admin", "admin"));//为了做测试,默认数据库中建立admin用户
        http.csrf().disable()//禁用spring的csrf处理,不然需要在所有请求上加入csrf,具体可参考http://blog.csdn.net/starrrr2/article/details/50074445
                .authorizeRequests()
                .anyRequest().hasRole("USER")//认证用户的所有请求必须具有USER角色,注意这里是去掉前缀ROLE_的,源码可看到是spring检测到前缀会抛出异常,会报错
                .and()
                .formLogin().permitAll()//登录页面开放
                .loginPage("/login")//指定登录url
                .failureUrl("/login?error=true")//登录失败url
                .successForwardUrl("/reader")//登录成功url
                .and()
                .logout()
                .permitAll();//logout url开放
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth .userDetailsService(username -> readerRepository.findOne(username));//提供一个根据用户名获取用户信息UserDetails(包含权限)的实现
    }

    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring().mvcMatchers("/static/**");//权限控制需要忽略所有静态资源,不然登录页面未登录状态无法加载css等静态资源
    }
}
基于方法的声明式验证用法 

    @RequestMapping(value="/reader", method={RequestMethod.POST, RequestMethod.GET})
    @PreAuthorize("hasRole('USER')")//这里的前缀可有可无均可,源码可看到spring自己处理了这两种情况,这种控制力度可细化到方法级别
    public String readersBooks(String reader,
            Model model) {
        List<Book> readingList =
                readingListRepository.findByReader(reader);
        if (readingList != null) {
            model.addAttribute("books", readingList);
        }
        model.addAttribute("reader", reader);
        return "readingList";
    }

UserDetails实现部分说明

public class LocalUser implements UserDetails {
    private static final long serialVersionUID = 1L;
    @Id
    private String username;
    private String fullname;
    private String password;

    public LocalUser() {
    }

    public LocalUser (String username, String password) {
        this.username = username;
        this.password = password;
    }

    public String getUsername() {
        return username;
    }

    public void setUsername(String username) {
        this.username = username;
    }
    public String getFullname() {
        return fullname;
    }

    public void setFullname(String fullname) {
        this.fullname = fullname;
    }

    public String getPassword() {
        return password;
    }

    public void setPassword(String password) {
        this.password = password;
    }
    // UserDetails methods
    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {//注意这里的角色名必须带前缀,不然权限无法匹配,spring security 默认前缀ROLE_
        return Arrays.asList(new SimpleGrantedAuthority("ROLE_ADMIN"), new SimpleGrantedAuthority("ROLE_READER"), new SimpleGrantedAuthority("ROLE_USER"));
    }
    @Override
    public boolean isAccountNonExpired() {
        return true;
    }
    @Override
    public boolean isAccountNonLocked() {
        return true;
    }
    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }
    @Override
    public boolean isEnabled() {
        return true;
    }

}





淘金者05012
关注
专栏目录
Spring-Security笔记5 去除spring-security默认的权限前缀ROLE
杨毅的专栏
03-01 8691
spring-security默认的权限前缀ROLE_,使用的时候较为不便使用自定义的accessDecisionManager注入roleVoter,修改roleVoter中的rolePrefix属性为“”可以解决此问题&lt;!-- 注入 roleVoter修改rolePrefix,否则Spring要求权限必须以ROLE_开头 --&gt; &lt;bean id="accessDecisio...
spring-boot-starter-security的简单使用
bsegebr的博客
08-02 452
由于springboot对starter依赖进行了自动化的配置,即约定大于配置,也就是带有starter的依赖在整合springboot时,在我们不做任何配置时,默认使用starter约定的配置,只有当我们进行自定义配置时,springboot才会使用我们的配置。启动应用并访问http//localhost8848/test/security,我们会看到spring-boot-starter-security自带的登陆页面,输入我们在配置文件中配置的用户名称和密码,之后我们会在页面看到。...
SpringSecurity权限命名ROLE_前缀问题
最新发布
weixin_61329726的博客
11-29 624
先讲一下我的好奇点:最近在使用Security做安全权限控制,可以看到下图,这个方法可以通过的角色是USER,但是我的表中的数据是这样的。return "权限 user";我就对于这个前缀ROLE_非常的好奇。(因为是许久之前的代码了,就忘记的差不多啦🐕狗头保命)我做过测试如果使用@PreAuthorize("hasAnyRole('USER')")此注解的话:总之得拼出ROLE_USER数据库上的那个权限or角色的字段必须为ROLE_USER,
2535-springsecurity系列--关于授权角色“ROLE前缀的问题
weixin_30708329的博客
07-24 268
版本信息 <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId> <version>1.5.14.RELEASE</version> ...
基于角色得后台权限管理系统设计(八、spring security 之自定义前缀一)
a807719447的专栏
07-08 751
这个问题搜索百度了半天,无非就是配置什么roleVoter之类得,这个前提是你使用到了这个投票器,但是现在默认配置并未使用到这个投票器。然后百度了半天各种尝试就是不行,有时候查资料就是这么坑,好了最后确定查不到资料了,只能调试跟代码了。 我们知道默认使用得决策管理器是AffirmativeBased一票通过。关于我们为什么知道,之前得篇幅有讲过了,不熟悉得朋友可以翻翻。 找到这个决策管理器,找...
基于角色得后台权限管理系统设计(十、spring security 之自定义前缀三)
a807719447的专栏
07-08 526
上面两个篇幅解决了注解形式的自定义前缀,那么再http这边配置的能通用吗? 通过之前的调试结果,很明显应该是不行的。权限自动拼接了 ROLE_前缀。 http.authorizeRequests() .antMatchers("/data/**").hasRole("data:data") .anyRequest() ...
详解配置spring-boot-actuator时候遇到的一些小问题
08-28
可以加入依赖 `<dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId></dependency>` 来保证 Actuator 暴露接口的安全性,可以通过 `-u 'user:password...
如何全面升级spring-boot-2.x及Spring-security-oauth2
Cmainlove的专栏
06-17 2546
解决CVE-2022-22978和CVE-2022-22965漏洞,全面升级spring-boot-2.x及Spring-security-oauth2
Spring Boot2 总结(二) Spring Security的基本配置
09-09 369
  Spring BootSpring Security提供了自动化配置方案,同时这也是在Spring Boot项目中使用Spring Security的优势,因此Spring Security整合进Spring Boot项目中是非常容易的。 一.Spring Security 的基本用法 1.1 创建项目,添加依赖 对应的依赖如下: 1.2 添加一个controller接口 @GetMapping("/hello") public String hello(){ return
SpringBoot - 安全管理框架Spring Security使用详解(10)-通过注解配置方法安全
Andy's Blog
06-06 464
在之前的文章样例中,认证和授权都是基于URL的。开发者也可以通过注解来灵活地配置方法安全,下面通过样例进行演示。 十、通过注解配置方法安全 1,样例代码 (1)首先我们要通过@EnableGlobalMethodSecurity注解开启基于注解的安全配置: @EnableGlobalMethodSecurity 注解参数说明: prePostEnabled = true会解锁@PreAuthorize和@PostAuthorize两个注解。顾名思义,@PreAuthori...
Spring Security自定义GrantedAuthority前缀
小汤圆
08-18 584
如果我们正使用Spring Security提供默认的基于方法的权限认证注解如下: @PreAuthorize(“hasAnyRole(‘ADMIN’, ‘USER’)”) public void moveTo(String id, String parentId) { // … } 而在我们自定义实现的GrantedAuthority,或是SS提供的SimpleGrantedAuthority, public interface GrantedAuthority extends Serializable
看源码,重新审视Spring Security中的角色(roles)是怎么回事
江成军的专栏
01-27 1786
在网上看见不少的博客、技术文章,发现大家对于Spring Security中的角色(roles)存在较大的误解,最大的误解就是没有搞清楚其中角色权限的差别(好多人在学习Spring Security时,是不是对于到底加不加“ROLE_”前缀有点犯蒙),有时候觉得在进行权限控制时用权限名称或者用角色名称都差不多(大家这种感觉是对的,如果简单应用确实差不太多)。 我们在进行角色权限控...
4.4-自定义Repository
qq_27664967的博客
10-28 379
自定义存储库 你可以创建一个自定义存储库,其中应包含使用数据库的方法。 通常为单个实体创建自定义存储库,并包含其特定查询。 比如,假设我们想要一个名为findByName(firstName:string,lastName:string)的方法,它将按给定的 first 和 last names 搜索用户。 这个方法的最好的地方是在Repository,所以我们可以这样称呼它userRepository.findByName(...)。 你也可以使用自定义存储库来实现此目的。 有几种方法可以创建自定义存储库
Spring Boot集成Security使用数据库用户角色权限ROLE_问题
程序员光剑
04-30 8858
问题描述 日志打出来的ROLE是USER,代码里调用的是@PreAuthorize("hasRole('USER')"),为什么权限却是不对? 后台打印日志: username is jack, USER LoginFilter:{ "accountNonExpired":true, "accountNonLocked":true, "authoritie...
Springboot实现基于前缀的自定义配置和自动提示功能
FeelTouch Labs
05-11 8139
一、实现基于前缀的自定义配置 1. 引入maven依赖 <!-- @ConfigurationProperties annotation processing (metadata for IDEs) --> <dependency> <groupId>org.springframework.boot</grou...
Springboot配置文件配置大全
热门推荐
朱哲的博客
06-03 1万+
前言今天下午,无意中翻到之前整理的Springboot配置文件相关配置,才想起自己很早之前还整理过这样的东西,时间长了自己都给忘了。。。今天,就正好给大家分享下配置############################################################# # mvc ############################################...
SpringBoot静态资源访问
liuwanqing233333的博客
09-13 1万+
静态资源访问
Tomcat的相对安全设置与配置(安全与漏洞)
spring_is_coming的博客
09-29 2763
前言: 近期, 系统进行了漏洞测试, 更改了很多东西, 特写一篇文章进行记录 !!! 1丶存在Apache tomcat示例文件 解决方案: 删除webapps目录下的自带项目 2丶启用了不安全的HTTP方法 解决方案: 禁用未使用到的HTTP方法 // 在web.xml文件中添加, 下面在<web-app>标签中配置 <security-constraint> <web-resource-collection> <url-pattern>/*&lt
Spring-boot-admin微服务状态监控实现与配置
然后,在`application.yml`配置文件中,配置服务的相关信息,包括应用名称、访问路径、端口以及统一的URL前缀: ```yaml spring: application: name: svc-monitor boot: admin: context-path: /sba # 定义访问...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值