spring security3.x学习(21)_关于方法过滤

最新推荐文章于 2024-04-30 20:07:12 发布
最新推荐文章于 2024-04-30 20:07:12 发布
阅读量501 收藏
点赞数
分类专栏: Spring Security 文章标签: framework security spring spring security 框架
@RolesAllowed("ROLE_USER")
public void changePassword(String username, String password); 
@RolesAllowed({"ROLE_USER","ROLE_ADMIN"})
public void changePassword(String username, String password);
 
"正如我们可能推断出的那样,@RolesAllowed注解并不支持SpEL 表达式。"

JSR-250还有两个其它的注解:@PermitAll 和@DenyAll。它们的功能正如你所预想的,允许和禁止对方法的任何请求。

在看一下@Secured注解实现方法安全:
<global-method-security secured-annotations="enabled"/>
因为@Secured与JSR标准的@RolesAllowed注解在功能上一致,所以并没有充分的理由在新代码中使用它,但是它能够在Spring的遗留代码中运行
” 

还有一种,AOP技术:
  实现方法安全的最后一项技术也可能是最强大的方法,它还有一个好处是不需要修改源代码。作为替代,它使用面向方面的编程方式为一个方法或方法集合声明切点(pointcut),而增强(advice)会在切点匹配的情况下进行基于角色的安全检查。AOP的声明只在Spring Security的XML配置文件中并不涉及任何的注解。 
<global-method-security>
  <protect-pointcut access="ROLE_ADMIN"  expression="execution(* com.packtpub.springsecurity.service.IUserService.*(..))"/> 
   <protect-pointcut access="ROLE_ADMIN" expression="execution(* com.packtpub.springsecurity.service.I*Service.*(..))"/>
</global-method-security> 

比较方法授权的类型:

以下这段话值得注意:
强烈建议在接口上声明AOP规则(以及其它的安全注解),而不是在实现类上。使用类(通过Spring的CGLIB代理)进行声明可能会导致应用出现不可预知的行为改变,通常在正确性方面比不上在接口定义安全声明(通过AOP)。

spring security还提供了一种方式:
xmlns:security="http://www.springframework.org/schema/security"(声明)

<bean id="userService" class="com.packtpub.springsecurity.service.UserServiceImpl">
  <security:intercept-methods>
    <security:protect access="ROLE_USER" method="changePassword"/>
  </security:intercept-methods>
</bean>
这种方式可以在配置文件上直接指定哪个方法需要哪个属性,不过书中这样描述它:
尽管阅读起来很容易,但是这种方式的方法安全声明在表现性上不如切点,在功能上不如我们已经见过的注解方式。但是,对于一定类型的工程,使用XML声明的方式足以满足你的需求。
” 
可以使用简单的通配符来注明方法名,如,我们可以用如下的方式保护给定bean里所有的set方法:
<security:intercept-methods>
  <security:protect access="ROLE_USER" method="set*"/>
</security:intercept-methods>
方法名匹配可以包含前面或后面的正则表达式匹配符(*)。这个符号的存在意味着要对方法名进行通配符匹配,为所有匹配该正则表达式的方法添加拦截器。注意,其它常用的正则表达式操作符(如?或[)并不支持。请查阅相关的Java 文档以理解基本的正则表达式。更复杂的通配符匹配或正则匹配并不支持。
” 
@PreAuthorize("#username == principal.username and hasRole('ROLE_USER')")
public void changePassword(String username, String password);
“Spring Security方法注解所绑定的SpEL支持更复杂的表达式,包括含有方法参数的表达式。”
 

Mrs陶
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Spring Security 6.x 系列(1)—— 初识Spring Security
gmHappy
10-05 2万+
`Spring Security`作为一个功能完善的安全框架,具有以下特性: - **认证(Authentication)**:解决 "你是谁" 的问题,验证系统中是否有这个“用户”(用户/设备/系统),也就是我们常说的“登录”。 - **授权(Authorization)**:权限控制/鉴别,解决的是系统中某个用户能够访问哪些资源,即“你能干什么”的问题。`Spring Security` 支持基于 `URL` 的请求授权、方法访问授权、对象访问授权。
SpringSecurity项目
05-05
springsecurity是一个功能强大且高度可定制的身份验证和访问控制框架springsecurity是一个专注于为Java应用程序提供身份验证和授权的框架。与所有Spring项目一样,Spring安全性的真正威力在于它可以很容易地扩展以...
spring security基本知识(三) 过滤详细说明
weixin_34082789的博客
06-21 728
在我们前面的文章Spring Security 初识(一)中,我们看到了一个最简单的 Spring Security 配置,会要求所有的请求都要经过认证.但是,这并不是我们想要的,我们通常想自定义应用的安全性.因为有些路径我们想要谁都可以访问. Spring Security对此的实现也很简单.关键在于重载 WebSecurityConfigurerAdapter 的 configure() 方...
Spring Security 6.x 系列(2)—— 基于过滤器的基础原理(一)
gmHappy
10-31 2万+
`Spring Security` 的 `Servlet` 支持基于 `Servlet` 过滤器,因此首先了解过滤器的作用会很有帮助。
Spring Security 6.x 系列(4)—— 基于过滤器链的源码分析(一)
热门推荐
gmHappy
11-01 2万+
`Spring Security`默认的配置是由 `SecurityAutoConfiguration` 、 `UserDetailsServiceAutoConfiguration`、`SecurityFilterAutoConfiguration`这三个自动配置类实现的。
Spring Security 6.x 系列【3】源码篇之基于过滤器的基本原理
记录知识、锤炼自我
03-27 2695
对Servlet的支持是基于过滤器的,在请求到达Servlet之前,通过过滤器进行认证授权校验,用户合法且有权限,放行通过,反之会跳转到登录页或拒绝访问。所以本篇文档主要介绍中过滤器的相关知识。类比JAVA Web中的过滤器中的过滤器进行了各种代理和增强,可以简单理解Security中的过滤器请求到(代理过滤器)调用(过滤器链代理)根据请求,调用匹配的Security中的过滤器链)中的多个有序的Security过滤器对请求进行处理,检验是否登录、是否授权… 并做出相应处理。
SpringSecurity6.x 多种登录方式配置
qq_32681671的博客
11-29 622
4. 配置SecurityConfiguration,把上边的两个 登录过滤器加到过滤器链中。在编写多种登录方式的时候,网上大多是5.x的,很多类都没了。以下是SpringSecurity6.x多种登录方式的写法。SpringSecurity6.x变了很多写法。2. 编写第二种登录方式-手机验证码登录。3. 编写验证码登录处理器。
Spring Security 6.x 系列【1】基础篇之概述及入门案例
记录知识、锤炼自我
03-23 8090
Spring组织提供的一个开源安全框架,目前最新的版本为6.0.2,基于Spring开发,所以非常适合在中使用。提供认证、授权、抵御常见攻击等功能,将认证与授权分离,并提供了扩展点。对保护命令式(Spring MVC)和响应式()应用程序有一流的支持,是保护基于Spring开发的应用程序的事实标准。认证为身份验证提供了全面的支持,身份验证是验证进行访问的主体身份。常用方法是要求用户输入用户名和密码。一旦执行身份验证,就知道身份并可以执行授权。授权授权指的是验证某个用户是否有权限执行某个操作。
Spring Security6.x的登录验证
xiamua_123的博客
09-01 417
版本为:SpringBoot3.1.2, Spring Security 6.1.2。
SpringSecurity 3.0.1.RELEASE.CHM
03-21
1.1. Spring Security是什么? 1.2. 历史 1.3. 发行版本号 1.4. 获得Spring Security 1.4.1. 项目模块 1.4.1.1. Core - spring-security-core.jar 1.4.1.2. Web - spring-security-web.jar 1.4.1.3. Config -...
Spring Security 中文教程.pdf
12-06
1.1. Spring Security是什么? 1.2. 历史 1.3. 发行版本号 1.4. 获得Spring Security 1.4.1. 项目模块 1.4.1.1. Core - spring-security-core.jar 1.4.1.2. Web - spring-security-web.jar 1.4.1.3. ...
springsecurity入门代码资源
08-02
hello大家好,这里是X,今天这篇博文带来的是SpringBoot安全管理:SpringSecurity,讲到安全管理,不得不说几乎所有的大型项目开发必备之一,而且有了它,对项目的安全也起到了非常大的效果,可以说是项目搭建的必备...
spring security 参考手册中文版
02-01
41.1.21 <form-login> 297 <form-login>的父元素 298 <form-login>属性 298 41.1.22 <http-basic> 299 的父元素 300 属性 300 41.1.23 元素 300 属性 300 41.1.24 <intercept-url> 300 ...
Spring AI 抢先体验,5 分钟玩转 Java AI 应用开发
阿里巴巴云原生的博客
04-29 1045
Spring Cloud Alibaba AI 以 Spring AI 为基础,并在此基础上提供阿里云通义系列大模型全面适配,让用户在 5 分钟内开发基于通义大模型的 Java AI 应用。
springboot集成-mybatis-puls
csy08845的博客
04-29 311
Spring Boot中集成MyBatis Plus是一个相对简单的过程,MyBatis Plus是一个MyBatis的增强工具,它简化了CRUD操作,并且提供了一些额外的功能,比如性能优化、自动填充等。3.配置MyBatis Plus:通常,MyBatis Plus的配置与MyBatis类似,不需要额外的配置,因为它会自动配置。6.使用Mapper:在你的Service中注入Mapper,并使用它。7.配置扫描:确保Spring Boot扫描到你的Mapper接口。
SpringBoot中实现发送邮件
hac1322的博客
04-30 749
当你添加了spring-boot-starter-mail依赖后,Spring Boot会自动配置JavaMailSender实例,并根据application.yml文件中的属性来配置这个实例。你可以直接在需要发送邮件的地方通过@Autowired注解将JavaMailSender实例注入到你的类中,然后使用它来发送邮件。:首先,需要在你的pom.xml文件中添加Spring Boot的邮件发送器依赖。,简化了在Spring Boot应用程序中发送电子邮件的设置过程。Spring Boot的。
springboot 获取maven打包时间
I do more ,you do less
04-30 466
【代码】springboot 获取maven打包时间。
springboot整合webflux,mono
最新发布
qq_19891197的博客
04-30 318
springboot整合webflux,mono
Spring Security 6.x
08-17
引用中提到,在6.0版本中,Spring Security的授权是通过过滤器来实现的,具体来说是通过AuthorizationFilter来负责授权。而在之前的版本中,使用的是FilterSecurityInterceptor,但已经被标记为过时的。引用中提到,当出现AccessDeniedException异常时,会被ExceptionTranslationFilter捕获和处理。在处理这个异常时,首先会获取认证对象Authentication,然后判断是否是匿名用户或者是通过记住我功能进行的认证。如果是匿名用户或者记住我功能,会发送开始认证的请求;如果不是,会使用访问拒绝处理器进行处理。引用是一本实战教程,介绍了Spring Security 6.x版本的使用方法,可以用于生产项目工程,其中包括了本地账号、手机号、邮箱多账号登录和账号与用户信息分离表结构设计等内容。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [Spring Security 6.x 系列【17】源码篇之基于请求URL的访问控制流程分析](https://blog.csdn.net/qq_43437874/article/details/130031402)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 50%"] - *3* [springsecurity6.x实战学习笔记,可完美的移植到生产环境](https://download.csdn.net/download/weixin_44020302/87623408)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值