spring boot 加入 spring-security配置 角色前缀 静态资源访问

最新推荐文章于 2023-11-29 11:08:23 发布
最新推荐文章于 2023-11-29 11:08:23 发布
阅读量3.7k 收藏 1
点赞数
分类专栏: 积累分享 文章标签: spring security spring-boot role 权限 角色
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011411069/article/details/78005434
版权

对于spring-boot开发应用,基于起步依赖很容易将spring-security集成进去,下面分享一下自己的基础配置

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)//开启基于方法的声明式权限控制
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    private ReaderRepository readerRepository;
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        readerRepository.save(new Reader("admin", "admin"));//为了做测试,默认数据库中建立admin用户
        http.csrf().disable()//禁用spring的csrf处理,不然需要在所有请求上加入csrf,具体可参考http://blog.csdn.net/starrrr2/article/details/50074445
                .authorizeRequests()
                .anyRequest().hasRole("USER")//认证用户的所有请求必须具有USER角色,注意这里是去掉前缀ROLE_的,源码可看到是spring检测到前缀会抛出异常,会报错
                .and()
                .formLogin().permitAll()//登录页面开放
                .loginPage("/login")//指定登录url
                .failureUrl("/login?error=true")//登录失败url
                .successForwardUrl("/reader")//登录成功url
                .and()
                .logout()
                .permitAll();//logout url开放
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth .userDetailsService(username -> readerRepository.findOne(username));//提供一个根据用户名获取用户信息UserDetails(包含权限)的实现
    }

    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring().mvcMatchers("/static/**");//权限控制需要忽略所有静态资源,不然登录页面未登录状态无法加载css等静态资源
    }
}
基于方法的声明式验证用法 

    @RequestMapping(value="/reader", method={RequestMethod.POST, RequestMethod.GET})
    @PreAuthorize("hasRole('USER')")//这里的前缀可有可无均可,源码可看到spring自己处理了这两种情况,这种控制力度可细化到方法级别
    public String readersBooks(String reader,
            Model model) {
        List<Book> readingList =
                readingListRepository.findByReader(reader);
        if (readingList != null) {
            model.addAttribute("books", readingList);
        }
        model.addAttribute("reader", reader);
        return "readingList";
    }

UserDetails实现部分说明

public class LocalUser implements UserDetails {
    private static final long serialVersionUID = 1L;
    @Id
    private String username;
    private String fullname;
    private String password;

    public LocalUser() {
    }

    public LocalUser (String username, String password) {
        this.username = username;
        this.password = password;
    }

    public String getUsername() {
        return username;
    }

    public void setUsername(String username) {
        this.username = username;
    }
    public String getFullname() {
        return fullname;
    }

    public void setFullname(String fullname) {
        this.fullname = fullname;
    }

    public String getPassword() {
        return password;
    }

    public void setPassword(String password) {
        this.password = password;
    }
    // UserDetails methods
    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {//注意这里的角色名必须带前缀,不然权限无法匹配,spring security 默认前缀ROLE_
        return Arrays.asList(new SimpleGrantedAuthority("ROLE_ADMIN"), new SimpleGrantedAuthority("ROLE_READER"), new SimpleGrantedAuthority("ROLE_USER"));
    }
    @Override
    public boolean isAccountNonExpired() {
        return true;
    }
    @Override
    public boolean isAccountNonLocked() {
        return true;
    }
    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }
    @Override
    public boolean isEnabled() {
        return true;
    }

}





淘金者05012
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring-Security笔记5 去除spring-security默认的权限前缀ROLE
杨毅的专栏
03-01 8682
spring-security默认的权限前缀ROLE_,使用的时候较为不便使用自定义的accessDecisionManager注入roleVoter,修改roleVoter中的rolePrefix属性为“”可以解决此问题&lt;!-- 注入 roleVoter修改rolePrefix,否则Spring要求权限必须以ROLE_开头 --&gt; &lt;bean id="accessDecisio...
spring-boot-starter-security的简单使用
bsegebr的博客
08-02 449
由于springboot对starter依赖进行了自动化的配置,即约定大于配置,也就是带有starter的依赖在整合springboot时,在我们不做任何配置时,默认使用starter约定的配置,只有当我们进行自定义配置时,springboot才会使用我们的配置。启动应用并访问http//localhost8848/test/security,我们会看到spring-boot-starter-security自带的登陆页面,输入我们在配置文件中配置的用户名称和密码,之后我们会在页面看到。...
SpringSecurity权限命名ROLE_前缀问题
最新发布
weixin_61329726的博客
11-29 614
先讲一下我的好奇点:最近在使用Security做安全权限控制,可以看到下图,这个方法可以通过的角色是USER,但是我的表中的数据是这样的。return "权限 user";我就对于这个前缀ROLE_非常的好奇。(因为是许久之前的代码了,就忘记的差不多啦🐕狗头保命)我做过测试如果使用@PreAuthorize("hasAnyRole('USER')")此注解的话:总之得拼出ROLE_USER数据库上的那个权限or角色的字段必须为ROLE_USER,
2535-springsecurity系列--关于授权角色“ROLE前缀的问题
weixin_30708329的博客
07-24 267
版本信息 <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId> <version>1.5.14.RELEASE</version> ...
基于角色得后台权限管理系统设计(八、spring security 之自定义前缀一)
a807719447的专栏
07-08 750
这个问题搜索百度了半天,无非就是配置什么roleVoter之类得,这个前提是你使用到了这个投票器,但是现在默认配置并未使用到这个投票器。然后百度了半天各种尝试就是不行,有时候查资料就是这么坑,好了最后确定查不到资料了,只能调试跟代码了。 我们知道默认使用得决策管理器是AffirmativeBased一票通过。关于我们为什么知道,之前得篇幅有讲过了,不熟悉得朋友可以翻翻。 找到这个决策管理器,找...
基于角色得后台权限管理系统设计(十、spring security 之自定义前缀三)
a807719447的专栏
07-08 524
上面两个篇幅解决了注解形式的自定义前缀,那么再http这边配置的能通用吗? 通过之前的调试结果,很明显应该是不行的。权限自动拼接了 ROLE_前缀。 http.authorizeRequests() .antMatchers("/data/**").hasRole("data:data") .anyRequest() ...
详解配置spring-boot-actuator时候遇到的一些小问题
08-28
可以加入依赖 `<dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId></dependency>` 来保证 Actuator 暴露接口的安全性,可以通过 `-u 'user:password...
如何全面升级spring-boot-2.x及Spring-security-oauth2
Cmainlove的专栏
06-17 2532
解决CVE-2022-22978和CVE-2022-22965漏洞,全面升级spring-boot-2.x及Spring-security-oauth2
Spring Boot2 总结(二) Spring Security的基本配置
09-09 363
  Spring BootSpring Security提供了自动化配置方案,同时这也是在Spring Boot项目中使用Spring Security的优势,因此Spring Security整合进Spring Boot项目中是非常容易的。 一.Spring Security 的基本用法 1.1 创建项目,添加依赖 对应的依赖如下: 1.2 添加一个controller接口 @GetMapping("/hello") public String hello(){ return
SpringBoot - 安全管理框架Spring Security使用详解(10)-通过注解配置方法安全
Andy's Blog
06-06 460
在之前的文章样例中,认证和授权都是基于URL的。开发者也可以通过注解来灵活地配置方法安全,下面通过样例进行演示。 十、通过注解配置方法安全 1,样例代码 (1)首先我们要通过@EnableGlobalMethodSecurity注解开启基于注解的安全配置: @EnableGlobalMethodSecurity 注解参数说明: prePostEnabled = true会解锁@PreAuthorize和@PostAuthorize两个注解。顾名思义,@PreAuthori...
Spring Security自定义GrantedAuthority前缀
小汤圆
08-18 583
如果我们正使用Spring Security提供默认的基于方法的权限认证注解如下: @PreAuthorize(“hasAnyRole(‘ADMIN’, ‘USER’)”) public void moveTo(String id, String parentId) { // … } 而在我们自定义实现的GrantedAuthority,或是SS提供的SimpleGrantedAuthority, public interface GrantedAuthority extends Serializable
看源码,重新审视Spring Security中的角色(roles)是怎么回事
江成军的专栏
01-27 1782
在网上看见不少的博客、技术文章,发现大家对于Spring Security中的角色(roles)存在较大的误解,最大的误解就是没有搞清楚其中角色权限的差别(好多人在学习Spring Security时,是不是对于到底加不加“ROLE_”前缀有点犯蒙),有时候觉得在进行权限控制时用权限名称或者用角色名称都差不多(大家这种感觉是对的,如果简单应用确实差不太多)。 我们在进行角色权限控...
SpringSecurity权限命名ROLE_问题
热门推荐
08-11 3万+
SpringSecurity权限命名ROLE_问题 最近在整理知识点的时候,对于SpringSecurity中的那个ROLE_真的感觉很奇怪,今天查了不少,找到一点点东西,可以丰富一些杂识哈。???? 喜欢的话,一起坚持啦!!! 一、前言: 先讲一下我的好奇点: 最近在使用Security做安全权限控制,可以看到下图,这个方法可以通过的角色是USER,但是我的表中的数据是这样的。 我就对于这个前缀ROLE_非常的好奇。(因为是许久之前的代码了,就忘记的差不多啦????狗头保命) 我做过测试如果使用@
4.4-自定义Repository
qq_27664967的博客
10-28 373
自定义存储库 你可以创建一个自定义存储库,其中应包含使用数据库的方法。 通常为单个实体创建自定义存储库,并包含其特定查询。 比如,假设我们想要一个名为findByName(firstName:string,lastName:string)的方法,它将按给定的 first 和 last names 搜索用户。 这个方法的最好的地方是在Repository,所以我们可以这样称呼它userRepository.findByName(...)。 你也可以使用自定义存储库来实现此目的。 有几种方法可以创建自定义存储库
Spring Security教程(8)---- 自定义决策管理器及修改权限前缀
jaune162的专栏,最新动态请关注:https://jaune162.blog
01-17 2万+
首先介绍下Spring的决策管理器,其接口为AccessDecisionManager,抽象类为AbstractAccessDecisionManager。而我们要自定义决策管理器的话一般是继承抽象类而不去直接实现接口。 在Spring中引入了投票器(AccessDecisionVoter)的概念,有无权限访问的最终觉得权是由投票器来决定的,最常见的投票器为RoleVoter,在RoleVote
Spring Boot集成Security使用数据库用户角色权限ROLE_问题
光剑书架上的书
04-30 8854
问题描述 日志打出来的ROLE是USER,代码里调用的是@PreAuthorize("hasRole('USER')"),为什么权限却是不对? 后台打印日志: username is jack, USER LoginFilter:{ "accountNonExpired":true, "accountNonLocked":true, "authoritie...
springboot学习(七十六) springboot中为多个controller添加统一访问URL的前缀
文若书生的专栏
12-29 4669
在某些情况下,服务的controller中前缀是一致的,例如所有URL的前缀都为/context-path/api/v1,需要为某些URL添加统一的前缀。能想到的处理办法为修改服务的context-path,在context-path中添加api/v1,这样修改全局的前缀能够解决上面的问题,但存在弊端,如果URL存在多个前缀,例如有些URL需要前缀为api/v2,就无法区分了,如果服务中的一些静态资源不想添加api/v1,也无法区分。下面通过自定义注解的方式实现某些URL前缀的统一添加。
芋道 Spring Boot 安全框架 Spring Security 入门
08-12
Spring Security 是一个强大且灵活的认证和授权框架,用于保护 Spring Boot 应用程序的安全性。下面是一个简单的入门指南,帮助你开始使用 Spring Security: 1. 添加 Spring Security 依赖:在你的项目的 `pom.xml...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值