Spring Security介绍(四)权限校验

已于 2024-04-27 08:30:39 修改
阅读量994 收藏
点赞数 1
分类专栏: SpringSecurity+VUE 文章标签: java 开发语言
于 2024-02-29 14:42:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/w_t_y_y/article/details/136370778
版权
本文详细介绍了如何在SpringSecurity中使用注解式权限校验,包括@Secured,@PreAuthorize和@PostAuthorize的使用方法、区别以及自定义权限检查。同时讨论了权限异常处理和配置示例。
摘要由CSDN通过智能技术生成

用户认证+授权后,就可以进行接口权限控制。思路是拿用户(已授予的)权限与接口所需权限进行比较,不包含则视为无权。在SpringSecurity中,权限校验可以通过以下方式实现:

(1)自定义拦截器或者AOP校验:对需要鉴权的接口做拦截,用户的权限从SecurityContextHolder中获取,接口访问权限可以通过自定义Annotation注入,具体参照

拦截器与过滤器(三)拦截自定义Annotation注解_@annotation 拦截类注解-CSDN博客

(2) 注解式权限校验:

和shiro类似,sercurity也提供了注解式权限校验。

本篇主要看下注解式权限校验。

一、使用方法

Spring Security默认是禁用注解的,要想开启注解,需要加上@EnableMethodSecurity注解

使用@Secured需要在配置类中添加注解***@EnableGlobalMethodSecurity(securedEnabled=true)***才能生效
使用@PreAuthorize和@PostAuthorize需要在配置类中配置注解***@EnableGlobalMethodSecurity(prePostEnable=true)***才能生效

如我:

@EnableWebSecurity
@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityWebConfig {
}

二、注解方法

即在注解中可以直接调用的方法。

1、hasAuthority(String):判断角色是否具有特定权限
http.authorizeRequests().antMatchers(“/main1.html”).hasAuthority(“admin”)

2、hasAnyAuthority(String …):如果用户具备给定权限中某一个,就允许访问
http.authorizeRequests().antMatchers(“/admin/read”).hasAnyAuthority(“xxx”,“xxx”)

3、hasRole(String):如果用户具备给定角色就允许访问,否则出现403
http.authorizeRequests().antMatchers(“/admin/read”).hasRole(“ROLE_管理员”)。

注意:hasRole与hasAuthority的区别:hasRole的值会添加ROLE_开头进行判断,而hasAuthority不会

4、hasAnyRole(String …):如果用户具备给定角色的任意一个,就允许被访问
http.authorizeRequests().antMatchers(“/guest/read”).hasAnyRole(“ROLE_管理员”, “ROLE_访客”)

5、hasIpAddress(String):请求是指定的IP就允许访问
http.authorizeRequests().antMatchers(“/ip”).hasIpAddress(“127.0.0.1”)

6、permitAll():允许所有人(可无任何权限)访问
7、denyAll():不允许任何(即使有最大权限)访问。
8、isAnonymous():为可匿名(不登录)访问。
9、isAuthenticated():为身份证认证后访问。
10、isRememberMe():为记住我用户操作访问。

11、isFullyAuthenticated():

为非匿名且非记住我用户允许访问

12、自定义校验方法
interface TestPermissionEvaluator {
    boolean check(Authentication authentication);
}

@Service("testPermissionEvaluator")
public class TestPermissionEvaluatorImpl implements TestPermissionEvaluator {

    public boolean check(Authentication authentication) {
        System.out.println("进入了自定义的匹配器" + authentication);
        return false;
    }
}

@PreAuthorize("@testPermissionEvaluator.check(authentication)")
public String test0() {
	return "说明你有自定义权限";
}

注意:如果注解要使用permitAll()、isAnonymous()等方法时,需要在config方法中取消.anyRequest().authenticated()的设置,否则会无效。

@Configuration
@EnableGlobalMethodSecurity(prePostEnabled=true)
public class MyWebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private UserDetailsService userDetailsService;
    @Autowired
    private BCryptPasswordEncoder bCryptPasswordEncoder;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.cors()
            .and()
            .csrf().disable();
        // 下面需注释,否则注解无效,生效的是这里的配置
            /*.authorizeRequests()
        	.anyRequest()
        	.authenticated(); */
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService)
        	.passwordEncoder(bCryptPasswordEncoder);
    }
}

三、spring security注解

Spring Security 支持三套注解:

#注解
jsr250 注解@DenyAll、@PermitAll、@RolesAllowed
secured 注解@Secured
prePost 注解@PreAuthorize、@PostAuthorize

具体来看下: 

1、@Secured

角色校验,请求到来访问控制单元方法时必须包含XX角色才能访问。使用方法:

(1)角色必须添加ROLE_前缀

(2)如果要求只有同时拥有admin和user的用户才能访问某个方法时,@Secured就无能为力了

@Component
public class UserDetailServiceImpl implements UserDetailsService {

    @Resource
    private PasswordEncoder passwordEncoder;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        if (username.equals("root")) {
            return new User(username, passwordEncoder.encode("123"), AuthorityUtils.createAuthorityList("ROLE_read"));
        } else if (username.equals("user")) {
            return new User(username, passwordEncoder.encode("123"), AuthorityUtils.createAuthorityList("ROLE_write"));
        }
        return new User(username, passwordEncoder.encode("123"), AuthorityUtils.createAuthorityList("read"));
    }
}

@RestController
public class HelloController {

    @RequestMapping("/read")
    @Secured(value = {"ROLE_read"})
    public String read() {
        return "read";
    }

    @RequestMapping("/write")
    @Secured(value = {"ROLE_write"})
    public String write() {
        return "write";
    }

	// 错误实例
    @RequestMapping("/read2")
    @Secured(value = {"read"})
    public String read2() {
        return "read2";
    }
}
2、@PreAuthorize

权限校验,请求到来访问控制单元之前必须包含XX权限才能访问,控制单元方法执行前进行角色校验。

@RestController
public class HelloController {

    @RequestMapping("/read3")
    @PreAuthorize(value = "hasRole('ROLE_read')")
    public String read3() {
        return "read3";
    }

    @RequestMapping("/read4")
    @PreAuthorize(value = "hasAnyRole('ROLE_read','ROLE_write')")
    public String read4() {
        return "read4";
    }

    @RequestMapping("/read5")
    @PreAuthorize(value = "hasAnyAuthority('ROLE_read','read')")
    public String read5() {
        return "read5";
    }
}
3、@PostAuthorize

权限校验,请求到来访问控制单元之后必须包含XX权限才能访问,在方法执行后进行权限校验,适合验证带有返回值的权限。

@PostAuthorize("hasRole('ROLE_管理员')")
@RequestMapping("/toMain")
public String toMain(){
    return "main";
}

@GetMapping("/helloUser")
@PostAuthorize("returnObject!=null && returnObject.username == authentication.name")
public User helloUser() {
    Object pricipal = SecurityContextHolder.getContext().getAuthentication().getPrincipal();
    User user;
    if("anonymousUser".equals(pricipal)) {
        user = null;
    }else {
        user = (User) pricipal;
    }
    return user;
}
4、@PreFilter

对传递参数值做过滤

@PostMapping("/preFilter")
@PreAuthorize("hasAnyAuthority('admin','update')") // 注意单引号
@PreFilter("filterObject.id % 2 == 0") // id为偶数才能请求
public String preFilter(@RequestBody List<User> userLists){
    log.info("=== 进入当前 preFilter ====");
    log.info(userLists.toString());
    return "security test 5  preFilter  需要验证的接口";
}
5、@PostFilter

权限验证通过后,留下指定用户名的数据,对返回数据做过滤

@RequestMapping("/postFilter")
@PreAuthorize("hasAnyAuthority('admin','update')") // 注意单引号
@PostFilter("filterObject.username == 'xiangjiao'") // 针对返回数据做过滤
public List<User> postFilter(){
    log.info("=== 进入当前 postFilter ====");
    List<User> userLists = new ArrayList<>();
    userLists.add(new User(1,"xiangjiao","bunana",1,0));
    userLists.add(new User(2,"xiangjiao2","bunana2",1,0));
    return userLists;
}
6、JSR-250注解

@DenyAll、@PermitAll、@RolesAllowed,

使用JSR-250注解需要设置***@EnableGlobalMethodSecurity(jsr250Enabled=true)***才能使用。

例如:@RolesAllowed({“USER”, “ADMIN”}),代表标注的方法只要具有USER、ADMIN任意一种权限就可以访问。

四、权限异常处理:

  1. AuthenticationEntryPoint:用来解决匿名用户访问无权限资源时的异常

注意:使用AuthenticationEntryPoint会导致原来的/login登录页面失效

  1. AccessDeniedHandler:用来解决认证过的用户访问无权限资源时的异常 
    public class CustomAuthenticationEntryPoint implements AuthenticationEntryPoint {

    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response,
            AuthenticationException authException) throws IOException, ServletException {
        response.setCharacterEncoding("utf-8");
        response.setContentType("text/javascript;charset=utf-8");
        response.getWriter().print(JSONObject.toJSONString(RestMsg.error("没有访问权限!")));
    }
}

    @Component
public class MyAccessDeniedHandler implements AccessDeniedHandler {
    
    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException e) 
            throws IOException, ServletException {
        response.setStatus(HttpServletResponse.SC_OK);
        response.setContentType("text/html;charset=UTF-8");
        response.getWriter().write(
                "<html>" +
                        "<body>" +
                        "<div style='width:800px;text-align:center;margin:auto;font-size:24px'>" +
                        "权限不足,请联系管理员" +
                        "</div>" +
                        "</body>" +
                        "</html>"
        );
        response.getWriter().flush();//刷新缓冲区
    }
}

    @Configuration
@EnableGlobalMethodSecurity(prePostEnabled=true)
public class MyWebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private UserDetailsService userDetailsService;
    @Autowired
    private BCryptPasswordEncoder bCryptPasswordEncoder;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.cors()
            .and()
            .csrf().disable()
            .authorizeRequests()
            .antMatchers("/user/sign").permitAll()
        	.anyRequest()
        	.authenticated();
             
        //添加自定义异常入口
        http.exceptionHandling()
            .authenticationEntryPoint(new CustomAuthenticationEntryPoint())
        	.accessDeniedHandler(new CustomAccessDeineHandler());       
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService)
        	.passwordEncoder(bCryptPasswordEncoder);
    }
}

w_t_y_y
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
项目笔记之权限校验
weixin_73348815的博客
09-23 873
Spring Security概述Spring Security 的前身是 Acegi Security ,是 Spring 项目组中用来提供安全认证服务的框架。官网地址: https://projects.spring.io/spring-security/Spring Security 为基于J2EE企业应用软件提供了全面安全服务。特别是使用领先的J2EE解决方案-Spring框架开发的企业软件项目。人们使用Spring Security有很多种原因,不过通常吸引他们的是在J2EE Servlet规范或
使用Spring Security进行权限验证
05-08 474
Spring Security,这是一种基于Spring AOP和Servlet过滤器的安全框架。它提供全面的安全性解决方案,同时在Web请求级和方法调用级处理身份确认和授权。
利用Spring Security做角色权限校验
12-10
利用Spring Security做角色权限校验,动态从数据库中查询是否有当前请求接口的权限
(新)Spring Security其它权限校验方法&自定义权限校验方法
最新发布
weixin_55772633的博客
06-23 548
我们也可以定义自己的权限校验方法,在@PreAuthorize注解中使用我们的方法。//获取当前用户的权限//判断用户权限集合中是否存在authority在SPEL表达式中使用 @ex相当于获取容器中bean的名字未ex的对象。然后再调用这个对象的hasAuthority方法。
其它权限校验方法
Leon_Jinhai_Sun的博客
06-08 927
权限
springboot3整合SpringSecurity实现登录校验权限认证(万字超详细讲解)
热门推荐
2301_78646673的博客
12-11 1万+
用户提交登录请求Spring Security 将请求交给 UsernamePasswordAuthenticationFilter 过滤器处理。UsernamePasswordAuthenticationFilter 获取请求中的用户名和密码,并生成一个 AuthenticationToken 对象,将其交给 AuthenticationManager 进行认证。
SpringSecurity注解讲解
上善若泪
09-08 769
test:是一个注册在Spring容器中的Bean,对应的类是 cn.test.PermissionService;是类中定义的方法;当Spring EL 表达式返回TRUE,则权限校验通过;
SpringSecurity权限校验详解说明(附完整代码)
qq_51076413的博客
02-19 3707
SpringSecurity安全检验、SpringSecurity权限认证、SpringSecurity权限校验SpringSecurity自定义校验SpringSecurity自定义校验规则、SpringSecurity异常处理器
简单的权限验证
不知名路人甲的博客
11-01 898
如果采用spring家族进行后端开发,想要实现多用户多权限很容易联想到spring security,shiro两大常见框架,但是两者都有一定的学习成本,并且由于兼容了很多设计模式的思想,源码很复杂,短时间不容易上手。那么,我们能不能通过一些java基础知识实现呢?因此本文使用。
权限校验—接口检验
一起加油吧~
08-08 3098
获取传入用户的信息判断用户信息的权限信息集合中是否含有定义的权限/*** @Description: 自定义权限实现*//** 所有权限标识 *//*** 验证用户是否具备某权限* @param permission 权限字符串* @return 用户是否具备某权限*///判断是否传入权限字符//获取用户信息//判断是否有用户信息,或者用户信息中是否包含权限集合//将权限设置到请求头中//判断是否包含权限/*** 判断是否包含权限
Springboot +spring security,方法权限注解
weixin_40991408的博客
05-27 2397
Springboot +spring security,方法权限注解
SpringBoot 统一功能处理:用户登录权限校验-拦截器、异常处理、数据格式返回
2301_77463738的博客
05-15 1217
但是需要考虑的一点是,如果每个异常都这样写,那么工作量是非常大的,并且还有自定义异常,所以上面这样写肯定是不好的,既然是异常直接写 Exception 就好了,它是所有异常的父类,如果遇到不是前面写的两种异常,那么就会直接匹配到 Exception。我们要对一部分方法进行拦截,而另一部分方法不拦截,比如注册方法和登录方法是不拦截的,也就是实际的拦截规则很复杂,使用简单的 aspectJ 表达式无法满足拦截的需求。通过源码分析,可以看出,Sping 中的拦截器也是通过动态代理和环绕通知的思想实现的。
权限验证不迷茫---Spring Security入门-02
m0_48372951的博客
11-22 240
一.注解实现权限验证 开启注解方式,需要在WebSecurityConfig类上增加EnableGlobalMethodSecurity注解,同时在注解中需要开启对应的注解支持,Spring Security总共支持三种类型的注解,三种注解类型如下: securedEnabled Spring Security内部注解Spring Security提供的注解规范 prePostEnabled Spring el表达式方式,Spring提供的注解规范 jsr250Enabled
SpringBoot+SpringSecurity整合(实现了登录认证和权限验证)完整案例,基于IDEA项目
02-16
SpringBoot+SpringSecurity整合示例代码,实现了从数据库中获取信息进行登录认证和权限认证。 本项目为idea工程,请用idea2019导入(老版应该也可以)。 本项目用户信息所需sql文件,在工程的resources文件夹下,...
spring security 实现动态权限和短信验证码登录
07-23
在这个场景中,我们探讨的是如何利用Spring Security实现动态权限管理和短信验证码登录,并结合JWT(JSON Web Tokens)和Redis来提升系统的效率和安全性。 首先,让我们深入了解Spring Security的基础。Spring ...
SpringSecurity.pdf
05-24
在用户、角色、权限、菜单之间,存在复杂的多对多关系,因此Spring Security需要相应的数据模型来支持这些关系,这通常涉及用户表、角色表、权限表、菜单表、以及它们之间的关联表。 Spring Security架构中的角色表...
SpringBoot+SpringSecurity+JWT权限管理练习项目
01-16
**SpringBoot+SpringSecurity+JWT权限管理练习项目详解** 在当今的Web开发中,权限管理和认证是不可或缺的部分,尤其对于企业级应用来说更是如此。本项目以SpringBoot为基础,结合SpringSecurity进行权限控制,并...
Spring Security入门宝典(二)中篇
长夜漫漫,无心睡眠
10-10 2903
使用正则表达式进行匹配。和主要的区别就是参数,antMatchers()参数是ant表达式,参数是正则表达式。演示所有以.js结尾的文件都被放行。
一文详细讲解SpringBoot 动态权限校验实现方案
abackcab的博客
02-25 1443
1、定义一个CustomAuthenticationEntryPoint实现AuthenticationEntryPoint处理匿名用户访问无权限资源(可以理解为未登录的用户访问,确实有些接口是可以不登录也能访问的,比较少,我们在WebSecurityConfig已经配置过了。但是测试的时候发现,任何接口的调用都会进入这里MyFilterInvocationSecurityMetadataSource getAttriButes方法,包括我webSecurityConfig里配置的不需要登录的url。
springsecurity 权限校验逻辑
05-12
Spring Security 是一个基于 Spring 的安全框架,提供了一套完整的安全性解决方案,其中包括身份验证、授权、攻击防护等功能。在 Spring Security 中,权限校验逻辑是通过拦截器和过滤器来实现的,其具体的实现流程如下: 1. 用户登录时,Spring Security 会拦截登录请求,并调用配置的身份验证逻辑对用户进行身份验证。 2. 验证成功后,Spring Security 会将用户信息保存在一个称为 SecurityContext 的上下文对象中,并将其存储在 HttpSession 中,以便后续的访问可以共享该信息。 3. 当用户访问需要授权的资源时,Spring Security 会拦截请求,并调用配置的授权逻辑对用户进行授权。 4. 授权成功后,用户可以访问所请求的资源。 在 Spring Security 中,授权逻辑是通过访问决策器(Access Decision Manager)来实现的。访问决策器是一个负责判断用户是否有权限访问某个资源的对象,它基于一组访问控制规则(Access Control Rules)来进行决策,这些规则可以通过配置文件或代码来定义。 总的来说,Spring Security权限校验逻辑是基于拦截器、过滤器和访问决策器实现的,可以通过配置文件或代码来定义和定制。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

w_t_y_y

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值