Spring Security3 SpEL表达式

最新推荐文章于 2024-06-05 13:58:51 发布
最新推荐文章于 2024-06-05 13:58:51 发布
阅读量538 收藏
点赞数
分类专栏: springsecurity 文章标签: SpringSecurity springsecurity
启用SpELl表达式:在http元素里添加: use-expressions="true" 
如: <http auto-config="true" use-expressions="true"> ...</http>

Spring Security 3   提供的   SpEL   方法和伪属性在以下的表格中进行了描述。要注意的是没有被标明“   web only   ”的方法和属性可以在保护其他类型的资源中使用,如在保护方法调用时。示例表示的方法和属性是使用在 <intercept-url>     access   声明中。 

方法

Web only?

描述

示例

hasIpAddress

(ipAddress)

Yes

用于匹配一个请求的 IP 地址或一个地址的网络掩码

access="hasIpAddress('

162.79.8.30')"

access="hasIpAddress('

162.0.0.0/224')"

hasRole(role)

No

用于匹配一个使用GrantedAuthority 的角色(类似于 RoleVoter )

access="hasRole('ROLE

USER')"

hasAnyRole(role)

No

用于匹配一个使用GrantedAuthority 的角色列表。用户匹配其中的任何一个均可放行。

access="hasRole('ROLE_

USER','ROLE_ADMIN')"

除了以上表格中的方法,在 SpEL 表达式中还有一系列的方法可以作为属性。它们不需要圆括号或方法参数。

属性

Web only?

描述

例子

permitAll

No

任何用户均可访问

access="permitAll"

denyAll

NO

任何用户均不可访问

access="denyAll"

anonymous

NO

匿名用户可访问

access="anonymous"

authenticated

NO

检查用户是否认证过

access="authenticated"

rememberMe

No

检查用户是否通过remember me 功能认证的

access="rememberMe"

fullyAuthenticated

No

检查用户是否通过提供完整的凭证信息来认证的

access="fullyAuthenticated"

utter111
关注
专栏目录
Java代码审计之SpEL表达式漏洞详解
悦分享
01-23 162
Spring Expression Language(简称 SpEL)是一种功能强大的表达式语言、用于在运行时查询和操作对象图;语法上类似于 Unified EL,但提供了更多的特性,特别是方法调用和基本字符串模板函数。SpEL 的诞生是为了给 Spring 社区提供一种能够与 Spring 生态系统所有产品无缝对接,能提供一站式支持的表达式语言。
Spring Boot+Spring Security:基于URL动态权限:扩展access()的SpEL表达式 - 第15篇
热门推荐
悟纤学院
03-07 2万+
需求缘起 本节通过扩展access()的SpEL表达式实现URL动态权限。 编码思路 通过扩展SpEL表达式主要在配置具体的类和实现的方法,如下示例 .access("@authService.canAccess(request,authentication)"); 其中authService是一个类,canAccess是其中的方法: ...
Spring Security详解/基于配置信息的Spring Security使用/使用自定义登录页面/使用数据库认证/SpEL表达式/服务器端方法级权限控制/页面端标签控制权限
ZaynFox的博客
10-15 695
一、Spring Security介绍 Spring Security 的前身是 Acegi Security ,是 Spring 项目组中用来提供安全认证服务的框架。 Spring Security 为基于J2EE企业应用软件提供了全面安全服务。特别是使用领先的J2EE解决方案——Spring框架开发的企业软件项目。人们使用Spring Security有很多种原因,不过通常吸引他们的是在J2EE Servlet规范或EJB规范中找不到典型企业应用场景的解决方案。 特别要指出的是他们不能在 WAR 或
SpringSecurity3.X--SpEL 表达式
weixin_33753845的博客
01-07 137
2019独角兽企业重金招聘Python工程师标准>>> ...
Spring Security 常用的 SpEL 表达式
最新发布
2401_85480529的博客
06-05 256
可以是一个权限字符串,也可以是一个 SpEL 表达式,用于动态计算权限。:要求用户进行完全认证,即不允许使用 Remember-Me 记住我功能。:检查当前用户是否是通过 Remember-Me 记住我功能进行认证的。:检查当前用户是否具有给定权限列表中的任何一个权限。:检查当前用户是否具有给定角色列表中的任何一个角色。:拒绝所有用户访问,即不允许任何用户访问。:允许所有用户访问,即无需任何权限。:检查当前用户是否已经进行了认证。:检查当前用户是否具有指定权限。:检查当前用户是否是匿名用户。
Spring Security
wang2963973852的博客
02-09 899
Spring提供了安全验证框架Spring Security Spring Security是基于spring的应用程序提供声明式安全保护的安全性框架,它提供了完整的安全性解决方案,能够在web请求级别和方法调用级别处理身份证验证和授权.它充分使用了依赖注入和面向切面的技术 Spring security主要是从两个方面解决安全性问题: web请求级别、方法调用级别
Spring Cloud Gateway Actuator API SpEL表达式注入命令执行 0day 漏洞复现
12-26
漏洞的根源在于Spring Cloud Gateway Actuator API 对用户输入的参数没有进行充分的验证和过滤,这使得攻击者可以通过构造恶意的SpEL表达式来执行任意系统命令。例如,当Actuator的某个端点接受到包含SpEL表达式的...
Spring Security 基于表达式的权限控制
weixin_38927257的博客
11-22 607
文章目录前言常见的表达式URL安全表达式在Web安全表达式中引用beanRbacServiceImplMethod安全表达式使用method注解PreAuthorizePostAuthorizePreAuthorize 针对参数进行过滤PostFilter 针对返回结果进行过滤 前言 spring security 3.0已经可以使用spring el表达式来控制授权,允许在表达式中使用复杂的布...
如何在 Spring Security 中自定义权限表达式
YYniannian的博客
07-12 677
SpEL 表达式中,如果上来就直接写要执行的方法名,那么就说明这个方法是 RootObject 对象中的方法,如果要执行其他对象的方法,那么还需要写上对象的名字
SpringBoot2.0实战 | 第三十章:整合SpringSecurity之基于SpEL表达式实现动态方法鉴权
死牛胖子的技术随笔
03-23 884
在前面的文章中,我们已经实现了对登录操作,实现数据库鉴权,对当前登录用户的登录状态实现了权限控制。 第二十四章:整合SpringSecurity之最简登录及方法鉴权 第二十五章:整合SpringSecurity之使用数据库实现登录鉴权 用户登录成功后,会加载当前用户的角色至内存,至于哪个角色可以访问哪些方法,则是通过 SpringSecurity 提供的方法鉴权来实现。 通过 @EnableG...
SpringSecurity Oauth2 - 09 自定义SpEL权限表达式
你今天真好看呀
11-10 567
*** MethodSecurityExpressionOperations 接口方法的属性/*** 添加一个新的方法,这个方法就是我们自定义的权限表达式} /*** 构造方法} /*** 下面的方法都是 MethodSecurityExpressionOperations 接口中的实现方法,没有更改} }} }
Spring Security 注解备忘
refineli
08-30 383
简要 Spring Security是基于spring的应用程序提供声明式安全保护的安全性框架,它提供了完整的安全性解决方案,能够在web请求级别和方法调用级别 处理身份证验证和授权.它充分使用了依赖注入和面向切面的技术,Spring security主要是从两个方面解决安全性问题: 1.web请求级别:使用servlet过滤器保护web请求并限制URL级别的访问 2.方法调用级别:使用S
SpringSecurity Oauth2 - 08 SpEL权限表达式源码分析及两种权限控制方式原理
你今天真好看呀
11-10 1256
SpringSecurity提供的权限管理功能主要有两种类型:① 基于过滤器的权限管理(FilterSecurityInterceptor):用来拦截HTTP请求,拦截下来之后,根据HTTP请求地址进行权限校验;请求首先到大过滤器FilterSecurityInterceptor,在其执行过程中,首先会由前置处理器去判断发起请求的用户是否具备响应的权限,如果具备则继续向下走,到达目标方法后执行完毕。拦截请求的url,这种权限管理方式粒度较粗。
spring security3.x学习(8)_web的投票器和spEL配置
weixin_34234721的博客
02-01 368
2019独角兽企业重金招聘Python工程师标准>>> ...
spring security的配置文件如何关闭spEL表达式
Trialknight的博客
11-14 498
spring security的xml配置文件中,我们可以看到下面这几行配置 上面这个配置主要配置的是spring security的拦截路径,pattern="/**"表示的是拦截所有请求,而后面的access="hasRole('ROLE_ADMIN')"表示的是只有具有ADMIN角色的用户才可访问,但是这个的hasRole('ROLE_ADMIN')其实用到了spEL表达式spri...
Spring Security 支持 的 EL 表达式
weixin_33910385的博客
11-01 289
为什么80%的码农都做不了架构师?>>> ...
Spring Security】如何设置hasIpAddress及获取客户端请求的IP进行有效配置
yidragon88xx的专栏
08-06 3201
首先第一个问题,设置hasIpAddress的方法为: 在实现WebSeurityConfig配置文件中的WebSecurity部分设置,例如 http.authorizeRequests().antMatchers("/admin/user/getByUserName").access("hasIpAddress('127.0.0.1')... 当通过服务发现方式来调用时,由于客户机可能存在多个网卡的情况,导致这个配置IP不准确的情况,这个时候需要通过Spring Security Web源.
springsecurity的登陆用户信息查询接口的校验或hasIpAddress()用法
weixin_42642782的博客
02-01 1764
springsecurity的登陆用户信息查询接口的校验或hasIpAddress()用法 一般的微服务架构下,auth服务都是单独的只做token颁发和校验的模块,所以当在进行用户登录或其他操作的时候,都需要调用其他的服务进行用户信息的查询和密码比对。 那么其他服务的这个接口的隐蔽性就会受到挑战。 但是发现在springsecurity的权限控制当中,有一个方法很好用: hasIpAddress() @Value(value = "${auth.address}") private Str
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值