@Component 和 @PreAuthorize 问题

最新推荐文章于 2024-07-05 17:43:20 发布
最新推荐文章于 2024-07-05 17:43:20 发布
阅读量2.8k 收藏 1
点赞数 1
分类专栏: java--安全 文章标签: PreAuthorize
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wei_ya_wen/article/details/8490757
版权

今天尝试用 spring security 来保护 业务层 的方法。使用了@PreAuthorize
定义一个 接口 IUser

public interface IUser {
	
	@PreAuthorize("hasRole('ROLE_ADMIN')")
	public void say();

}



@PreAuthorize注解定义了当 拥有 ROLE_ADMIN 权限的时候才能够正确的使用这个方法. hasRole("XX")是 spEL的语法.
这就是保证合法、已认证的用户才能访问修改密码功能所要做的所有事情。Spring Security将会使用运行时的面向方面编程的切点(aspect oriented programming (AOP) pointcut)来对方法执行before advice,并在安全要求未满足的情况下抛出AccessDeniedException异常。


定义一个实现类:UserSerivece 
@Component("userService")
public class UserSerivece implements IUser {
public class UserSerivece implements IUser {
@Overridepublic void say() {System.out.println("我访问了say方法");}}


spring-security 中加入:
只需要在 <http> 声明之前,添加下面的元素即可:  
<global-method-security pre-post-annotations="enabled"/>



为了方便,直接在 。xml定义如下两个用户: 

<user-service>
			<user name="admin" authorities="ROLE_USER,ROLE_ADMIN" password="admin"/>
			<user name="user" authorities="ROLE_USER" password="user"/>
			
		</user-service>




因为我使用spring mvc 定义个如下Controller: 
@Controller
public class BaseControle {
	private IUser userService;
   @RequestMapping(value="/lookup")
	public String testIn(){
		for(GrantedAuthority authority:SecurityContextHolder.getContext().getAuthentication().getAuthorities())
		{
			System.out.println(authority.getAuthority());
			
		}
		userService.say();
		
		
		return "content";
	}
	public IUser getUserService() {
		return userService;
	}


	@Resource(name="userService")
	public void setUserService(IUser userService) {
		this.userService = userService;
	}
}





我用 user 登入,结果发现我竟然可以访问这个方法。。当时那个郁闷啊。。。
后来再网上查资料
发现service层Spring没有使用注解,而是在配置文件中配置bean元素,于是把@Component去掉,添加一个bean 

<bean id="userService" class="com.security.service.UserSerivece"/>




就可以了。 越权访问,就会出现如下界面.




 呵呵。没碰到这个问题还真不知道还spring没有个service定义注解。。











                

        

        

    

  


    

      

        

            

              
                
                  wei_ya_wen
                
              
            

            

                关注
              
            

        

        

          
      

      

            

                专栏目录
          









                



	

		

			

				
					
Spring Security-@PreAuthorize 权限注解分析

				
			

			

				

					西京刀客
				

				

					09-18
					
					2万+
					
				

			

		

		

			
				
@PreAuthorize
@PreAuthorize



			
		

	



                

              
                



	

		

			

				
					
SpringSecurity使用@PreAuthorize、@PostAuthorize实现Web系统权限认证

				
			

			

				

					u011930054的博客
				

				

					07-17
					
					4858
					
				

			

		

		

			
				
SpringSecurity可以使用@PreAuthorize和@PostAuthorize进行访问控制,下面进行说明。
项目使用Springboot2.3.3+SpringSecurtiy+Mbatis实现。
首先先引入pom.xml
<dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artif

			
		

	



                


  
              

                


	

		

			

				
					
spring security @PreAuthorize在controller中配置失效解决方法

				
			

			

				

					臣本布衣,躬耕于南阳
				

				

					08-12
					
					6634
					
				

			

		

		

			
				
springmvc和spring security整合。在@Controller层 加@PreAuthorize注释没效果,囧(´Д`)

分析:一般配置文件是不会报错,但就是不起作用
   初步分析如下:
@Controller, @Service不要重复扫描.  会重复创建bean. 
spring mvc 的servlet容器是spring 容器的子容器, 里面创建的bean(一般

			
		

	





	

		

			

				
					
关于Spring Boot下Spring Security权限访问设置@PreAuthorize("hasRole('ROLE_ADMIN')")没有用

				
			

			

				

					邹浩阳的专栏
				

				

					08-25
					
					7万+
					
				

			

		

		

			
				
承接上篇:Spring Security整合后post数据不了,403拒绝访问 
前几天想要限制不同角色的访问权限,于是就直接使用:@PreAuthorize("hasRole('ROLE_ADMIN')")注解来标注一个实现类的方法上,但是其他权限依然可以访问 orz,于是我怀疑是放的位置不对,于是放在了Service接口里的方法上,也未果。于是直接放在Controller层的访问方法上,还是未果

			
		

	



		

			
		



	

		

			

				
					
SpringSecurity中@PreAuthorize(“hasRole(‘ROLE_USER‘)“) 不起作用的原因

					
最新发布

				
			

			

				

					weixin_44263023的博客
				

				

					07-05
					
					771
					
				

			

		

		

			
				
PreAuthorize(“hasRole(‘ROLE_USER’)”) 不起作用的原因可能确实是用户信息中没有包含正确的角色信息,但也可能由其他几个因素导致。

			
		

	





	

		

			

				
					
如何在 Spring Boot 应用程序中禁用/忽略 @PreAuthorize

				
			

			

				

					uestc_zj的博客
				

				

					09-01
					
					813
					
				

			

		

		

			
				
在 Spring Boot 应用程序中禁用/忽略 @PreAuthorize

			
		

	





	

		

			

				
					
@PreAuthorize 权限控制的原理

				
			

			

				

					
				

				

					05-19
					
					3666
					
				

			

		

		

			
				
@PreAuthorize 注解,顾名思义是进入方法前的权限验证,@PreAuthorize 声明这个方法所需要的权限表达式,例如:@PreAuthorize("hasAuthority('sys:dept:delete')"),

根据这个注解所需要的权限,再和当前登录的用户角色所拥有的权限对比,如果用户的角色权限集Set中有这个权限,则放行;没有,拒绝

跟进hasAuthority方法:





但是,问题来了,这个用户的角色权限Set,是什么时候存入的,其流程如下:



相关代码:



...

			
		

	





	

		

			

				
					
@PreAuthorize 不起作用

				
			

			

				

					weixin_41195786的博客
				

				

					11-24
					
					1万+
					
				

			

		

		

			
				
前情提要:

我使用的是springboot 2.02 oauth2组合。

使用场景:根据业务需要,我需要对用户进行一个区分,比如说普通用户与超级用户管理员的区分。

spring security 官网https://docs.spring.io/spring-security/site/docs/5.2.0.RELEASE/reference/htmlsingle/

参考文档:https...

			
		

	





	

		

			

				
					
springboot+Security

				
			

			

				

					zsx18273117003的博客
				

				

					06-17
					
					753
					
				

			

		

		

			
				
项目背景:JDK1.8,springboot2.1.4

一、创建一个简单的maven工程

二、pom文件引入jar包依赖


<parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent<...

			
		

	





	

		

			

				
					
SpringSecurity:@PreAuthorize如何实现自定义权限校验方法

				
			

			

				

					2301_76607156的博客
				

				

					05-05
					
					1394
					
				

			

		

		

			
				
在我们一般的web系统中必不可少的就是权限的配置,也有经典的RBAC权限模型,是基于角色的权限控制。这是目前最常被开发者使用也是相对易用、通用权限模型。当然已经实现了权限的校验,但是不够灵活,我们可以自己写一下校验条件,从而更加的灵活!很多开源框架中也是用的比较多,小编看了一下若依是自己写了一个注解实现的,pig是使用来实现自己的校验方式,小编以pig框架的为例。这样就完成了自定义校验,具体的校验可以自己在配置里进行修改,当然也可以自己写一个注解来进行自定义校验,可以参考若依的注解!

			
		

	





	

		

			

				
					
spring sercurity之鉴权

				
			

			

				

					知我饭否
				

				

					10-06
					
					1196
					
				

			

		

		

			
				
在上一篇博客登录用户,我们需要对资源 url进行保护,这个就用到了鉴权。
我个人理解,spring sercurity 的鉴权的类 主要有这两个类。当然 我们也可以自定义类来完成相同的功能。

FilterSecurityInterceptor 这个类和我们配置文件的authorizeRequests息息相关,例如 那个url 需要登录,哪个url 不需要登录 就可以访问。
MethodSecur...

			
		

	





	

		

			

				
					
详细分析SpringSecurity中的@PreAuthorize注解

				
			

			

				

					码农研究僧的博客
				

				

					01-27
					
					1万+
					
				

			

		

		

			
				
在Java中,`@PreAuthorize` 是Spring Security框架中的一个注解,用于在方法调用之前对用户的权限进行验证。

允许在方法级别定义访问控制规则,确保只有满足指定条件的用户才能调用该方法
这个注解通常与Spring的AOP(面向切面编程)结合使用,推荐阅读:

Spring框架从入门到学精(全)
java框架 零基础从入门到精通的学习路线 附开源项目面经等(超全)


			
		

	





	

		

			

				
					
@PerAuthorize用作授权的使用方法

				
			

			

				

					qq_42507357的博客
				

				

					08-14
					
					1万+
					
				

			

		

		

			
				
@PerAuthorizr 这个注解我相信很多不使用SpringSecurity的小伙伴都不是很了解。
使用他的初衷是最近需要做一个对授权的客户做判断,让他买了哪些模块的代码才能使用哪些模块的代码,需要进行一波模块过滤。
@PreAuthorize是可以用来控制一个方法或类是否能够被调用的,通俗一点就是看看你有没有权利用被注解的东西。怎么用呢?直接上代码吧。
    /**
     * 获取部门列表
     */
    @PreAuthorize("@ac.hasPermi('dept:list')"

			
		

	





	

		

			

				
					
SpringBoot - @PreAuthorize注解详解

					
热门推荐

				
			

			

				

					记录并分享
				

				

					08-21
					
					8万+
					
				

			

		

		

			
				
@PreAuthorize注解会在方法执行前进行权限验证,支持Spring EL表达式。只有当@EnableGlobalMethodSecurity(prePostEnabled=true)的时候,@PreAuthorize才可以使用。

			
		

	





	

		

			

				
					
【若依】@PreAuthorize

				
			

			

				

					weixin_45995287的博客
				

				

					12-01
					
					7869
					
				

			

		

		

			
				
Spring Security提供了Spring EL表达式,允许我们在定义接口访问的方法上面添加注解,来控制访问权限来源于若依官方文档,记一下帮助记忆!

			
		

	





	

		

			

				
					
#6解析@PreAuthorize以及其中的Spel

				
			

			

				

					weixin_42718399的博客
				

				

					01-12
					
					2185
					
				

			

		

		

			
				
#6解析@PreAuthorize以及其中的Spel 

			
		

	





	

		

			

				
					
@PreAuthorize注解

				
			

			

				

					先知三日
				

				

					01-12
					
					4118
					
				

			

		

		

			
				
例如,v-hasPermi="['monitor:job:add']"会检查用户是否具有monitor:job:add这个权限,如果有,那么相关的UI元素就会显示。用户此时已经登陆系统,假设用户操作的是角色管理模块的查询按钮,当点击该按钮时,会通过网络映射到后端的接口方法。通过这种方式,RuoYi框架可以实现精细的基于权限的访问控制,确保只有具有相应权限的用户才能访问特定的资源。如果当前用户的权限集合中,包含当前被@PreAuthorize标注的方法的权限,则返回true。等集合信息返回给前端。

			
		

	





	

		

			

				
					
关于@PreAuthorize注解的使用场景

				
			

			

				

					weixin_45822542的博客
				

				

					02-17
					
					2175
					
				

			

		

		

			
				
PreAuthorize注解使用场景

			
		

	





	

		

			

				
					
Spring-Security@PreAuthorize("hasAuthority('')")源码分析

				
			

			

				

					cloud的博客
				

				

					07-02
					
					4万+
					
				

			

		

		

			
				
Spring-Security@PreAuthorize(“hasAuthority(’’)”)源码分析

@PreAuthorize(“hasAuthority(‘xxx’)”)用来鉴别当前登录用户所拥有的角色是否有xxx权限访问该接口。
点进去看看security是如何来鉴权的。

这里authority即为我们传入的权限,比如prod:create,接下来再看this.hasAnyAutho...

			
		

	





	

		

			

				
					
Spring Security怎么使用JWT来验证用户的身份和权限

				
			

			

				

					04-07
				

			

		

		

			
				
Spring Security可以使用JWT(JSON Web Token)来验证用户的身份和权限。

1.添加JWT依赖项:在pom.xml文件中添加以下依赖项:

```
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>
```

2.创建JWT工具类:创建一个JWT工具类来生成和验证JWT。

```
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.userdetails.User;
import org.springframework.stereotype.Component;

import java.util.Date;

@Component
public class JwtUtils {

    private final String JWT_SECRET = "mysecretkey";
    private final int JWT_EXPIRATION_MS = 86400000;

    public String generateJwtToken(Authentication authentication) {

        User user = (User) authentication.getPrincipal();

        return Jwts.builder()
                .setSubject((user.getUsername()))
                .setIssuedAt(new Date())
                .setExpiration(new Date((new Date()).getTime() + JWT_EXPIRATION_MS))
                .signWith(SignatureAlgorithm.HS512, JWT_SECRET)
                .compact();
    }

    public boolean validateJwtToken(String authToken) {
        try {
            Jwts.parser().setSigningKey(JWT_SECRET).parseClaimsJws(authToken);
            return true;
        } catch (Exception e) {
            e.printStackTrace();
        }

        return false;
    }

    public String getUsernameFromJwtToken(String token) {
        return Jwts.parser()
                .setSigningKey(JWT_SECRET)
                .parseClaimsJws(token)
                .getBody().getSubject();
    }
}
```

3.创建JWT过滤器:创建一个JWT过滤器来验证JWT并设置用户的身份和权限。

```
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.web.authentication.WebAuthenticationDetailsSource;
import org.springframework.stereotype.Component;
import org.springframework.web.filter.OncePerRequestFilter;
import com.example.demo.security.services.UserDetailsServiceImpl;
import io.jsonwebtoken.ExpiredJwtException;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

@Component
public class JwtAuthTokenFilter extends OncePerRequestFilter {

    @Autowired
    private JwtUtils jwtUtils;

    @Autowired
    private UserDetailsServiceImpl userDetailsService;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws ServletException, IOException {
        try {
            String jwt = parseJwt(request);
            if (jwt != null && jwtUtils.validateJwtToken(jwt)) {
                String username = jwtUtils.getUsernameFromJwtToken(jwt);

                UserDetails userDetails = userDetailsService.loadUserByUsername(username);
                UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities());
                authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));

                SecurityContextHolder.getContext().setAuthentication(authentication);
            }
        } catch (ExpiredJwtException e) {
            logger.error("JWT token is expired: {}", e.getMessage());
        } catch (Exception e) {
            logger.error("Cannot set user authentication: {}", e.getMessage());
        }

        chain.doFilter(request, response);
    }

    private String parseJwt(HttpServletRequest request) {
        String headerAuth = request.getHeader("Authorization");

        if (headerAuth != null && headerAuth.startsWith("Bearer ")) {
            return headerAuth.substring(7, headerAuth.length());
        }

        return null;
    }
}
```

4.配置Spring Security:在Spring Security配置中添加JWT过滤器。

```
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.dao.DaoAuthenticationProvider;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;
import com.example.demo.security.jwt.JwtAuthTokenFilter;
import com.example.demo.security.services.UserDetailsServiceImpl;

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(
        // securedEnabled = true,
        // jsr250Enabled = true,
        prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private JwtAuthTokenFilter jwtAuthTokenFilter;

    @Autowired
    private UserDetailsServiceImpl userDetailsService;

    @Autowired
    private BCryptPasswordEncoder bCryptPasswordEncoder;

    @Bean
    public DaoAuthenticationProvider authenticationProvider() {
        DaoAuthenticationProvider authProvider = new DaoAuthenticationProvider();
        authProvider.setUserDetailsService(userDetailsService);
        authProvider.setPasswordEncoder(bCryptPasswordEncoder);
        return authProvider;
    }

    @Override
    public void configure(AuthenticationManagerBuilder authenticationManagerBuilder) throws Exception {
        authenticationManagerBuilder.userDetailsService(userDetailsService).passwordEncoder(bCryptPasswordEncoder);
    }

    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    @Bean
    public BCryptPasswordEncoder bCryptPasswordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()
                .authorizeRequests()
                .antMatchers("/api/auth/**").permitAll()
                .anyRequest().authenticated();

        http.addFilterBefore(jwtAuthTokenFilter, UsernamePasswordAuthenticationFilter.class);
    }
}
```

现在,Spring Security将使用JWT来验证用户的身份和权限。您可以在需要身份验证和授权的端点上使用Spring Security注释,例如@PreAuthorize和@PostAuthorize

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值