Spring Security 小记 - @Secured(), @PreAuthorize() 及 @RolesAllowed()

最新推荐文章于 2024-06-21 14:01:33 发布
最新推荐文章于 2024-06-21 14:01:33 发布
阅读量9.9k 收藏 11
点赞数 2
分类专栏: Spring JAVA 文章标签: SpringSecurity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011510678/article/details/82754545
版权

目录

Spring Security 小记

记录一下Spring Security(版本为4) 中的 @Secured(), @PreAuthorize() 及 @RolesAllowed()

前言

Spring Security 和Shiro 可以说是安全框架的唯二选择了。 Shiro,比较简单和灵活,简单够用。而Spring Security的功能和shiro都差不多,复杂一点,权限细粒度更高。但是因为SpringBoot,还是很值得尝试的。 Spring 全家桶 , 一用便知道。

权限注解

通常采用@Secured ,@PreAuthorize和@RolesAllowed 来对方法进行权限控制。
使用这些注解,先要配置@EnableGlobalMethodSecurity(securedEnabled = true)

这里看一下官网的例子

public interface BankService {

@Secured("IS_AUTHENTICATED_ANONYMOUSLY")
public Account readAccount(Long id);

@Secured("IS_AUTHENTICATED_ANONYMOUSLY")
public Account[] findAccounts();

@Secured("ROLE_TELLER")
public Account post(Account account, double amount);
}

@Secured和@PreAuthorize用法基本一样,但是里面有个大坑。
@RolesAllowed 是JSR250定义的注解
配置方式不一样:@EnableGlobalMethodSecurity(jsr250Enabled=true)
JSR250注解还有 @DenyAll 和 @PermitAll 。

小坑

之前运行同事的代码,发现权限控制失效。区别在于使用@Secured,而@Secured对应的角色必须要有ROLE_前缀。

通常在项目里面会实现UserDetails写user类,关键在于getAuthoritie()方法里面生成的role有没有前缀ROLE_。
使用@PreAuthorize是可以随意设置的

@PreAuthorize("hasAuthority('ADMIN')")@PreAuthorize("hasAuthority('ROLE_ADMIN')")  // 都可以,只要和实现的getAuthoritie里面的role对上
就可以

@Secured({"ADMIN"})@Secured({"ROLE_ADMIN"}) // 实现的getAuthoritie里面的role都必须要有ROLE_前缀
Skylrk
关注
  • 2
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security--基于注解访问控制 @Secured&@PreAuthorize
我和井盖都笑了博客
04-05 1722
    基于注解的访问控制       在 Spring Security 中提供了一些访问控制的注解。这些注解都是默是都不可用的,需要通过 @EnableGlobalMethodSecurity 进行开启后使用.如果设置的条件允许,程序正常执行。如果不允许会报 500.   ...
5.Spring Security安全注解
相互学习 共同进步
04-24 1216
Spring Security默认是禁用注解的,要想开启注解,需要在继承WebSecurityConfigurerAdapter的类上加@EnableGlobalMethodSecurity注解,并在该类中将AuthenticationManager定义为Bean如果要启用基于注解的方法安全性,要在配置类上使用**@EnableGlobalMethodSecurity**设置了securedEnabled = true,此时Spring将会创建一个切点,并将带有@Secured注解的方法防入切面中。
@PreAuthorize与@Secured注解的区别是什么?
最新发布
java永无止境!
06-21 353
和@Secured都是Spring Security中的注解,它们用于方法安全,即定义哪些用户有权限调用特定的方法。尽管它们的目的相同,但是它们提供了不同的功能和表达方式。
Spring Security中@PermitAll与@PreAuthorize的详解
一勺菠萝丶的博客
04-26 874
在使用Spring Security构建安全的应用程序时,经常会涉及到对特定API或方法的访问控制。这时,@PermitAll和这两个注解就发挥了重要作用。本文将详细解释这两个注解的使用方法和它们之间的区别,使即便是初学者也能理解并正确应用它们。
Spring security 中使用 @Secured() 注解报 Access is denied错
xjh101010的专栏
06-05 2222
Spring security 中使用 @Secured(“role_admin”) 注解时,总是报org.springframework.security.AccessDeniedException: Access is denied的错 及时我用的是admin的角色去访问。 这里debug后发现,我的项目在登录时,会查询数据库中的用户角色关系表,给Authentication(注:
SpringSecurity权限认证@preAuthorize失效
Gufang617的博客
08-25 3118
. 原因分析 1.跟着老师搭载的SSO(单点登录)项目,没有进行sys:res:update的授权,但是SpringSecurity就是不对其进行拦截,结果前端返回的response.data中只有"doUpdate resource (update) ok" 2.授权被拦截而执行的方法,没有执行.map中没有put入message. 3.故导致前端页面alert(response.data.message),message都是undefined 解决办法:在图片中红线位置加这局注解即可. 原理:@
spring-security-demo.zip
08-10
- 可以通过添加`@EnableGlobalMethodSecurity(prePostEnabled = true)`启用方法级别的安全注解,如`@Secured`和`@PreAuthorize`。 7. **自定义错误页面**: - 可以配置Spring Security显示自定义的未授权(403)...
Spring-Security-Demo-master.zip
07-15
6. **权限控制**:Spring Security的访问控制可以通过定义访问规则(如`@Secured`或`@PreAuthorize`注解)来实现。它可以基于URL、方法或者自定义的权限进行细粒度的控制。在示例中,可能会有角色(Role)和权限...
spring-security-project.zip- Spring Security实现RBAC权限模型demo
02-09
6. **定义访问控制规则**:使用`@Secured`或`@PreAuthorize`注解,或者在Web安全配置中定义访问控制规则。 7. **权限表达式**:使用Spring Expression Language (SpEL) 来表达更复杂的授权逻辑,如`hasRole()`和`...
spring-security Jar包
09-21
Spring Security 提供基于角色的访问控制(RBAC),允许开发者定义安全角色和权限,并通过`@Secured`、`@PreAuthorize`、`@PostAuthorize`等注解实现方法级别的细粒度授权。 3. **过滤器链**:Spring Security 的...
spring-security-in-action
03-31
8. **表达式语言**:Spring Security的访问决策器可以使用一种强大的表达式语言(EL)来定义复杂的访问规则,如`@Secured`和`@PreAuthorize`注解。 9. **集成其他Spring模块**:Spring SecuritySpring MVC、...
SpringSecurity服务器端方法级权限控制@RolesAllowed注解不起作用的解决
weixin_41931278的博客
06-24 3813
JSR-250的使用 1.在maven导入依赖 <dependency> <groupId>javax.annotation</groupId> <artifactId>jsr250-api</artifactId> <version>1.0</version> </dependency> 2.开启注解 在服务器端我们可以通过Spring security
SpringSecurity的注解实现方式:@Secured,@PreAuthorize,@PostAuthorize
weixin_44831712的博客
04-19 921
开启注解 首先,需要在启动类上增加@EnableGlobalMethodSecurity( securedEnabled = true)注解,secureEnabled默认为false,使其赋值为true才能使用相关注解。 @SpringBootApplication @EnableGlobalMethodSecurity( securedEnabled = true) public class XXXApplication { public static void main(String
spring security oauth2_十年架构师爆肝分享:基于SpringSecurity实现的基本认证及OAuth2
weixin_39889329的博客
11-26 225
实现安全机制本节将介绍基于Spring Security实现的基本认证及OAuth2。实现基本认证如果Spring Security位于类路径上,则所有HTTP端点上默认使用基本认证,这样就能使Web应用程序得到一定的安全保障。最为快捷的方式是在依赖中添加Spring Boot Security Starter。//依赖关系dependencies {//该依赖用于编译阶段compile('org...
Spring Security使用 @PreAuthorize,@PostAuthorize,@SecuredSpring EL表达式的方法级安全。
HiBoyljw的博客
11-13 7184
这篇教程文章中我们来学习 Spring Security使用 @PreAuthorize,@PostAuthorize,@SecuredSpring EL表达式的方法级安全。 为了使使用Spring的方法级别安全,我们需要用注释一个 @EnableGlobalMethodSecurity类在@Configuration,如下图所示: package com.yiibai.springsec...
关于Spring Boot下Spring Security权限访问设置@PreAuthorize("hasRole('ROLE_ADMIN')")没有用
热门推荐
邹浩阳的专栏
08-25 7万+
承接上篇:Spring Security整合后post数据不了,403拒绝访问 前几天想要限制不同角色的访问权限,于是就直接使用:@PreAuthorize("hasRole('ROLE_ADMIN')")注解来标注一个实现类的方法上,但是其他权限依然可以访问 orz,于是我怀疑是放的位置不对,于是放在了Service接口里的方法上,也未果。于是直接放在Controller层的访问方法上,还是未果
authorization权限控制_SpringBoot整合Shiro实现权限管理与登陆注册
weixin_39522170的博客
12-18 155
每天分享java干货,欢迎关注 ,你的成功源于点点滴滴!前言Shiro解决了什么问题? 互联网无非就是一些用户C想要使用一些服务S的资源去完成某件事,S的资源不能说给谁用就给谁用,因此产生了权限的概念,即C必须有权限才能操作S的资源。S如何确定C就是C呢?因此又产生了身份验证的概念。一个Authorization一个Authentication就是Shiro解决的最重要的两个问题,其他的功能都是给...
SpringSecurity使用@PreAuthorize、@PostAuthorize实现Web系统权限认证
u011930054的博客
07-17 4759
SpringSecurity可以使用@PreAuthorize和@PostAuthorize进行访问控制,下面进行说明。 项目使用Springboot2.3.3+SpringSecurtiy+Mbatis实现。 首先先引入pom.xml <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artif
@PreAuthorize、@PostAuthorize、@Secured使用方法
04-23
@PreAuthorize、@PostAuthorize、@SecuredSpring Security 提供的注解,用于控制方法或者类的访问权限。其中 @PreAuthorize 和 @PostAuthorize 注解是基于表达式的权限控制,用于在方法执行前后进行权限的验证。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值