springsecurity 对特定方法访问的限制

最新推荐文章于 2024-01-22 09:02:33 发布
最新推荐文章于 2024-01-22 09:02:33 发布
阅读量1.8k 收藏 1
点赞数 1
分类专栏: spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014236541/article/details/49802011
版权

19.1. 控制全局范围的方法权限

使用global-method-security和protect-point标签来管理全局范围的方法权限。

为了在spring中使用AOP,我们要为项目添加几个依赖库。

<dependency>
  <groupId>cglib</groupId>
  <artifactId>cglib-nodep</artifactId>
  <version>2.1_3</version>
</dependency>
<dependency>
  <groupId>org.aspectj</groupId>
  <artifactId>aspectjrt</artifactId>
  <version>1.6.4</version>
</dependency>
<dependency>
  <groupId>org.aspectj</groupId>
  <artifactId>aspectjweaver</artifactId>
  <version>1.6.4</version>
</dependency>

首先来看看我们将要保护的java类。

package com.family168.springsecuritybook.ch12;

public class MessageServiceImpl implements MessageService {
    public String adminMessage() {
        return "admin message";
    }

    public String adminDate() {
        return "admin " + System.currentTimeMillis();
    }
    public String userMessage() {
        return "user message";
    }

    public String userDate() {
        return "user " + System.currentTimeMillis();
    }
}

这里使用的是spring-2.0中的aop语法,对MessageService中所有以admin开头的方法进行权限控制,限制这些方法只能由ROLE_ADMIN调用。

<global-method-security>
    <protect-pointcut
        expression="execution(* com.family168.springsecuritybook.ch12.MesageServiceImpl.admin*(..))"
        access="ROLE_ADMIN"/>
</global-method-security>

现在只有拥有ROLE_ADMIN权限的用户才能调用MessageService中以admin开头的方法了,当我们以user/user登陆系统时,尝试调用MessageService类的adminMessage()会跑出一个“访问被拒绝”的异常。

19.2. 控制某个bean内的方法权限

在bean中嵌入intercept-methods和protect标签。

这需要改造配置文件。

<beans:bean id="messageService" class="com.family168.springsecuritybook.ch12.MessageServiceImpl">
    <intercept-methods>
        <protect access="ROLE_ADMIN" method="userMessage"/>
    </intercept-methods>
</beans:bean>

现在messageService中的userMessage()方法只允许拥有ROLE_ADMIN权限的用户才能调用了。

使用intercept-methods面临着几个问题

首先,intercept-methods只能使用jdk14的方式拦截实现了接口的类,而不能用cglib直接拦截无接口的类。

其次,intercept-methods和global-method-security一起使用,同时使用时,global-method-security一切正常,intercept-methods则会完全不起作用。

19.3. 使用annotation控制方法权限

借助jdk5以后支持的annotation,我们直接在代码中设置某一方法的调用权限。

现在有两种选择,使用Spring Security提供的Secured注解,或者使用jsr250规范中定义的注解。

19.3.1. 使用Secured

首先修改global-method-security中的配置,添加支持annotation的参数。

<global-method-security secured-annotations="enabled"/>

然后添加依赖包。

<dependency>
  <groupId>org.springframework.security</groupId>
  <artifactId>spring-security-core-tiger</artifactId>
  <version>2.0.4</version>
</dependency>

现在我们随便在java代码中添加注解了。

package com.family168.springsecuritybook.ch12;

import org.springframework.security.annotation.Secured;

public class MessageServiceImpl implements MessageService {
    @Secured({"ROLE_ADMIN", "ROLE_USER"})
    public String userMessage() {
        return "user message";
    }
}

在Secured中设置了ROLE_ADMIN和ROLE_USER两个权限,只要当前用户拥有其中任意一个权限都可以调用这个方法。

19.3.2. 使用jsr250

首先还是要修改配置文件。

<global-method-security secured-annotations="enabled"
                           jsr250-annotations="enabled"/>

然后添加依赖包。

<dependency>
  <groupId>javax.annotation</groupId>
  <artifactId>jsr250-api</artifactId>
  <version>1.0</version>
</dependency>

现在可以在代码中使用jsr250中的注解了。

package com.family168.springsecuritybook.ch12;

import javax.annotation.security.DenyAll;
import javax.annotation.security.PermitAll;
import javax.annotation.security.RolesAllowed;

public class MessageServiceImpl implements MessageService {
    @RolesAllowed({"ROLE_ADMIN", "ROLE_USER"})1
    public String userMessage() {
        return "user message";
    }

    @DenyAll2
    public String userMessage2() {
        return "user message";
    }

    @PermitAll3
    public String userMessage2() {
        return "user message";
    }
}

1

RolesAllowed与前面的Secured功能相同,用户只要满足其中定义的权限之一就可以调用方法。

2

DenyAll拒绝所有的用户调用方法。

3

PermitAll允许所有的用户调用方法。

从实际使用上来讲,jsr250里多出来的DenyAll和PermitAll纯属浪费,谁会定义谁也不能调用的方法呢?实际上,要是annotation支持布尔操作就好了,比如逻辑并,逻辑或,逻辑否之类的。

朱智文
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring-security 方法访问限制,权限控制
hi_你好
07-24 2010
这是篇关于spring-security的权限控制文章,涉及使用多种不同方式进行方法控制和页面控制。 方法控制:1.jsr-250;2.secured 3.spel表达式 页面控制:页面内容控制,可使用spel表达式
第 19 章 保护方法调用
weixin_33738982的博客
07-13 142
第19章保护方法调用 这里有三种方式可以选择: 19.1.控制全局范围的方法权限 使用global-method-security和protect-point标签来管理全局范围的方法权限。 为了在spring中使用AOP,我们要为项目添加几个依赖库。<dependency> <groupId>cgl...
使用Spring Security 限制URL访问
热门推荐
neweastsun的专栏
02-13 2万+
使用Spring Security 限制URL访问 通常保护url方式有以下几种: 允许每个人访问的url 基于角色保护url 基于多个角色保护url 基于IP地址保护url 本文介绍如何通过spring security 实现这些功能。 指定URL 指定url最常用的方法是通过antMatcher,如果我们想保护下列url: url 访问限制 http...
spring security:保护方法调用
指尖思维
08-31 2342
基本用户认证和授权 本节从最基本的用户认证和授权开始对 Spring Security 进行介绍。一般来说,Web 应用都需要保存自己系统中的用户信息。这些信息一般保存在数据库中。用户可以注册自己的账号,或是由系统管理员统一进行分配。这些用户一般都有自己的角色,如普通用户和管理员之类的。某些页面只有特定角色的用户可以访问,比如只有管理员才可以访问 /admin 这样的网址。下面介绍如何使用
保护成员调用
04-25
C++保护成员调用实例,能更好的帮助初学者理解保护成员的含义,
Spring Security保护用户密码常用方法详解
09-07
Spring Security 是一个强大的安全框架,用于管理Web应用和企业级应用的安全性。在Spring Security中,保护用户密码是非常关键的一环,因为不安全的密码处理可能导致严重的安全问题。本文将详细解析Spring Security...
SpringSecurity应用
08-18
Spring Security 提供了对会话管理的支持,包括会话固定保护、会话超时和并发会话控制。通过调整配置,你可以防止会话劫持或会话固定攻击。 **9. 防止CSRF攻击** 跨站请求伪造(CSRF)是一种常见的网络攻击方式。...
spring security 官方文档
10-08
9. **自定义**:Spring Security非常灵活,允许开发者根据需求自定义大部分组件,如访问决策管理器、权限评估器等,以满足特定业务场景。 10. **与其他Spring框架的集成**:Spring SecuritySpring Boot、Spring ...
狂神说SpringSecurity静态资源.rar
05-04
SpringSecurity提供了CORS配置,确保只有特定来源的请求能够访问资源,防止跨站请求伪造(CSRF)攻击。 3. **CSRF防护**:SpringSecurity默认开启CSRF防护,对于需要用户交互的HTTP方法(如POST、PUT、DELETE),会...
SpringSecurity的配套示例源码
05-10
SpringSecurity是Java开发中一个强大的安全框架,用于处理应用程序的安全性。它提供了全面的身份验证、授权和会话管理功能,确保应用数据免受恶意访问。本示例源码旨在帮助开发者深入理解并学习如何在实际项目中应用...
Spring Security 使用、实现权限访问控制
猫吻鱼的博客
10-18 3349
文章目录一、简介:二、简单搭建1. 前期准备2. 通过配置类方式配置 `DelegatingFilterProxy`:3. 配置Security配置类 -> 继承 WebSecurityConfigurerAdapter:注:三、用户认证方式 : configure(AuthenticationManagerBuilder auth) 详解四、configure(HttpSecurity h...
Spring MethodInterceptor拦截器配置(AOP Around Advice)
09-11 442
  一、Spring MethodInterceptor拦截器配置   import org.aopalliance.intercept.MethodInterceptor; import org.aopalliance.intercept.MethodInvocation; import com.oncloudit.shared.util.StringUtil; public...
SpringSecurity(十二)---配置权限:应用限制
学习不止境的博客
10-26 1168
之前讲解了如何基于权限和角色配置访问。但是其中只应用了针对所有端点的配置。本章将介绍如何对特定的请求分组应用授权约束。在生产环境的应用程序中,不太可能对所有请求应用相同的规则。其中将具有只有某些特定用户才能调用的端点,而其他端点则可能每个用户都可以访问。根据业务需求,每个接口都有自己的自定义授权配置。 要选择应用授权配置的请求,可以使用匹配器方法Spring Security提供了3种类型的匹配方法。首先看一个简单的示例,我们要创建一个暴露两个端点的应用程序,这两个端点是/hello和/xiao。我们希望
Spring security CSRF 跨域访问限制问题
HONEY MOOSE
10-18 3178
在我们写 Spring 安全的时候通常有这么一句话: httpSecurity.csrf().disable(). 从这句话的字面意思就很明白就是禁用 csrf,什么是 csrf,为什么要禁用可能就一脸懵逼了。 因为你很有可能会遇到一个错误: HTTP Status 403-Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'. 这个就是做 Web 开发的时
Spring Security方法级的权限管控 @PreAuthorize 使用详解
最新发布
LoveSummer
01-22 1万+
默认情况下, Spring Security 并不启用方法级的安全管控. 启用方法级的管控后, 可以针对不同的方法通过注解设置不同的访问条件.Spring Security 支持三种方法级注解, 分别是 JSR-205 注解 /@Secured 注解 / prePostEnabled 注解. 这些注解不仅可以直接加 controller 方法上, 也可以注解 Service 或 DAO 类中的方法.
Spring Boot(十四)Spring Boot中使用Security实现权限控制
02-26 1万+
你好,欢迎来到 【程序职场】 ,这里有你需要的技术提升,职场规划,个人成长,副业发展 等文章。 和更多小伙伴 一起学习,一起进步。 本文是Spring Boot系列的第十四篇,了解前面的文章有助于更好的理解本文: 1.Spring Boot(一)初识SpringBoot框架2.Spring Boot(二)SpringBoot基本配置3.Spring Boot(三)Spring Boo...
springsecurity不拦截某个接口_Spring Security (一):Simple Demo
weixin_39881387的博客
11-26 5389
Simple Demo该系列都是基于前后端分离的方式,返回的数据都是使用的 JSON,以及使用了自定义的返回结果 starter:https://gitee.com/lin-mt/result-spring-boot。 源码地址:https://gitee.com/lin-mt/spring-boot-examples/tree/master/spring-security-data-permis...
Spring Security-限制请求
weixin_43404791的博客
04-25 1131
前言 上面只是验证了用户,并且还可以基于用户赋予了不同的角色,但是对于不同的角色而言其访问的权限也是不一样的.例如,一个网站可能存在普通用户和管理员用户,管理员用户拥有的权限会比破童用户大的多,所以用户给予登录权限之外,还需要对不同的角色赋予不同的权限.在上述配置用户中,继承抽象类WebSecurityConfigurerAdapter,并覆盖configure(AuthenticationMan...
Spring Security 3.0入门教程
教程中可能还会介绍如何创建用户、角色和权限,以及如何在控制器中使用`@Secured`注解来限制特定方法访问。此外,可能会涉及登录页面的配置、异常处理和自定义登录逻辑等内容。 Spring Security提供了一套强大...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值