Java权限降级_SpringBoot--- SpringSecurity进行注销权限控制的配置方法

最新推荐文章于 2023-10-19 09:33:05 发布
最新推荐文章于 2023-10-19 09:33:05 发布
阅读量219 收藏
点赞数
文章标签: Java权限降级
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_29492649/article/details/114799292
版权

环境

IDEA :2020.1

Maven:3.5.6

SpringBoot: 2.0.9 (与此前整合的版本2.3.3 不同,版本适配问题,为配合使用降级)

1、注销

这里也有一个前提问题需要注意,我们登录操作都是在开启防跨域攻击的环境下进行的。

毫无疑问,注销也是在这样的情况下进行的。

登录时我们提交表单,采用 POST 方法传输,通过使用 Thymeleaf 在 form 表单添加 th:action 元素,Thymeleaf 会自动为我们添加 _csrf 元素。

同样注销操作也是要带有 _csrf 参数认证的。

注销

我们把它做成一个表单按钮,同时采用 POST 方法传输,使用 SpringSecurity 提供的默认 /logout 方法进行登出注销。

开发者是不需要在 Controller 配置这个 /logout 方法处理的,和 /login 一样,这是由 SpringSecurity 提供的。

我们需要在之前登陆的配置类配置登出的各种属性即可。

.and() //这里采用链式编程

.logout()

.logoutSuccessUrl("/index") //注销成功后,调转的页面

/* .logoutUrl() 配置自己的注销URL,默认为 /logout

.invalidateHttpSession() 是否销毁session,默认ture

.deleteCookies() 删除指定的cookies

销毁session 相信很容易理解,一次对话,可以注销关闭,或者关闭页面会自动销毁。

记住我

cookies 需要重点介绍一下,这也是我们常用的记住我,在关闭页面或浏览器之后,下次打开页面时,是以之前登录的用户登录的。

为此,我们需要在登录表单增加记住我选项

tr>

Remember me on this computer.

同时在配置类开启记住我。

.and()

.rememberMe();

这里 checkbox 的 name 我们使用默认的 remember-me ,同样这一 cookies 的 name 也会被浏览器记住,这样我们只需要开启记住我即可使用。

如果不使用 name= "remember-me" ,而是使用其他 name 属性值,则需要配置指定,以便 SpringSecurity 接收是否记住我。

.and()

.rememberMe().rememberMeParameter("rememberme");

//接收前端自定义记住我的name,默认是remember-me

回到 deleteCookies() 方法的配置上,要销毁指定的 cookies ,我们要指定cookies 的名字即可。

.and()

.logout().logoutSuccessUrl("/index").deleteCookies("remember-me")

//销毁 name="remember-me"的 cookies

浏览器登录,选用记住我

cfb7257cfe20bbf934f83e77c49062d3.png

登录后, F12,查看 cookies

422fad3f31d49bed8c0dbe17aec1825d.png

第一个为 cookies,第二个则是此次会话的 session 对象。

可以看到 cookies 是有限期的,默认为 14 天。

点击注销。

8965c2fe9ead220c9ee228946868199b.png

由于配置了删除 cookies,cookies 已经被删除。

重新登录,这次没有选记住我,同时 session 也已经不是同一个,值已经改变了。

acea2b82d161aa05ea30d8fc1873663b.png

2、权限控制

同时,页面还有一个重要的需求没有实现。

没有某一权限的用户,不应该看到点击的入口(武功秘籍)。所谓得不到的最想要,你这不是摆着馋他嘛!可不能把他害咯。

对此,我们可以结合 Thymeleaf 和 SpringSecurity 实现哪些用户可以看到哪些内容。

首先,我们要导入 thymeleaf-springsecurity 整合的依赖

org.thymeleaf.extras

thymeleaf-extras-springsecurity4

3.0.4.RELEASE

同时还要在页面标签导入命名空间

xmlns:sec="https://www.thymeleaf.org/thymeleaf-extras-springsecurity4">

在页面下把需要权限限制的内容包起来

游客您好,如果想查看武林秘籍

请登录

sec:authorize="!isAuthenticated()" 表示未登录认证的用户才可以查看到的内容。

Count:

注销

sec:authorize="isAuthenticated()" 表示已经登录认证的用户才可以查看到的内容。

sec:authentication="name" 表示获取认证的用户的用户名。

唉,别忘了,重点,有些武功秘籍不能让没有权限的用户看到,比如 level2 的,像什么太极拳,七伤拳,梯云纵。哈哈哈

高级武功秘籍

  • 太极拳
  • 七伤拳
  • 梯云纵

sec:authorize="hasRole('level2')" 规定只有 level 2 权限的用户才能查看。

其他的可以此类推做出配置。

除此之外,还可以有其他定制化配置,权限(role),权力(authority),IP ,是否允许(permission)。

spring security 5.1.6版本,从源码的角度可以看出使用不同的hasAuthority、hasRole方法判断权限时的区别,其实他们最终调用的都是hasAnyAuthorityName()方法,唯一不同的就是hasRole()在调用时,传递了前缀defaultRolePrefix,这就导致了他们两者之间比较的字符产生了差异。spring security应该想代表的意思就是权限字符加了ROLE_就是角色Role,如果没有加就是一个权限Authority。

00bb5b6c54ec9899e0c6e57b456755f6.png

SpringSecurity 都有为我们提供。

到此这篇关于SpringBoot--- SpringSecurity进行注销,权限控制的文章就介绍到这了,更多相关SpringSecurity注销 权限控制内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!

YUNYA麻麻
关注
Java权限降级_简单值控制权限系统的改进
weixin_28895791的博客
02-27 168
需求变更--使权限控制值能动态调整上一讲中简单权限系统的权限控制值是写在XML配置文件中的,如果需要调整这些值还需要修改配置文件,对于Web系统来说,此后还需要重新打包,测试和发布。这样无法实现动态修改,即不修改程序代码和不修改配置文件,在程序处于运行的状态下也能改变权限的值。对于这样的需求变更,我们可以改变权限子系统的具体实现并加入一些辅助类的支持,具体思路如下:1.要实现动态改变权限,那权限的...
java 访问权限 从低到跟,解决Java提示正在尝试分配更低的访问权限问题
weixin_39932838的博客
03-20 975
解决Java提示正在尝试分配更低的访问权限问题正在尝试分配更低的访问权限?在进行Java编程时会给我们报出如下提示怎么办?这里我们将给大家介绍详细的解决方法。首先,查看,控制台给出的提示:正在尝试分配更低的访问权限,以前为public找到提示所在行,如案例的所示的行。在该行中,发现void play()方法所在行的权限修饰符为默认缺省。而该方法是重写的父类中的抽象方法,抽象方法的修饰符为publi...
如何关闭SpringSecurity权限认证
weixin_43756775的博客
11-19 1万+
关键字:security ,shiro ,权限 ,放行 ,绕过 ,认证 不论是哪个授权方式都是基于拦截器做的处理,基于这一个原理,我们就可以通过放开拦截器来关闭掉权限框架的token校验 1.权限中都会有一个 xxx.java 类 继承 WebMvcConfigurer 类 如下 // 此处省略注解 public class MyMvcConfig implements WebMvcConfigurer { // 重写 【登陆拦截/拦截放行】 @Override public void addInte
如何在 Spring Boot 应用程序中禁用/忽略 @PreAuthorize
uestc_zj的博客
09-01 806
Spring Boot 应用程序中禁用/忽略 @PreAuthorize
接口文档的Authorization如何删除
HRX98的博客
12-08 1589
接口文档的Authorization如何删除
基于 Spring Cloud 2021 、Spring Boot 2.7、 OAuth2 的 RBAC 权限管理系统源码
05-20
例如,Eureka用于服务注册与发现,Zuul或Gateway作为API网关处理请求路由,Hystrix提供服务降级和熔断机制,Config Server实现集中式配置管理,Spring Cloud Bus帮助广播配置变化等。这些组件共同构建了一个强大的...
Spring Boot
qq_44005434的博客
03-17 818
springboot
基于SpringBoot架构实现的智慧物流管理系统源码.zip
06-10
另外,系统可能需要进行权限控制和认证,SpringBootSpring Security模块可以提供解决方案。它可以实现用户登录验证、角色权限分配等功能,确保系统的安全性。 在微服务化方面,如果系统规模较大,可以采用Spring ...
开发知识点-分布式微服务技术栈 SpringCloud
最新发布
aming小老弟
10-19 2661
分布式架构的一种把服务进行 拆分springcloud 解决了 服务拆分过程中的 治理问题与单体应用 进行区分(单体架构 把业务所有功能集中开发,打成一个包部署)每个模块独立开发和部署(服务集群)服务之间互相调用出现分布式技术WebserviceESBHessionDubbo异步通信 消息队列(秒杀)敏捷开发思想高内聚低耦合微服务 + 持续集成。
Spring Cloud MicroService 详解
Gavin
04-15 429
微服务的特性: 1,独立运行在自己的进程中---每个服务都是一个server(基本上); 2,一系列服务共同构建起一个大的服务; 3,每个服务只关注自己的业务; 4,轻量通信机制----可以 使用rpc通信或者http进行远程服务调用; 5,可以使用不同的语言开发; ## 微服务的优点: 1,独立部署; 2,易于维护; 3,启动快; 4,局部易修改; 5,技术栈不受限制; 6,按需伸缩,可以调整每个微服务的内存大小; 7,职责专一,代码复用,便于团队协作
springboot操作cookie
木一番的博客
04-13 3731
在响应中添加cookie @RequestMapping(value="/casLogin", method= RequestMethod.GET) public CommonResult<String> casLogin(HttpServletResponse response, @RequestParam String accessToken, @RequestParam String refreshToken) { try { Cookie a.
SpringSecurity授权
HaiYun
07-02 622
SpringSecurity授权简介SpringSecurity 授权内置权限表达式URL安全表达式在web安全表达式引用自定义Bean授权Method安全表达式基于数据库的RBAC数据模型的权限控制RABC简介关联关系表结构实施页面标签的权限控制 简介 上一篇博客讲述了SpringSecurity的用户认证,用户认证的目的是让系统知道是谁在访问系统。而这篇博客主要讲述SpringSecurity的另一个功能鉴权,也就是权限控制,目的是你能在系统做什么。 SpringSecurity 授权 内置权限表达式
jar包依赖冲突该怎么解决
weixin_42759190的博客
05-21 3873
jar包依赖冲突怎么解决处理
26.0、springboot-security注销以及权限控制、27.0、登录界面、网页“记住我”功能的实现
m0_52433668的博客
03-14 5738
26.0、注销以及权限控制 授权、认证、登录啥的在之前写的25.0文章里面 开启注销功能,只需要在配置类中加上http.logout();即可,点击logout查看原码,可以看到源码中表示/logout请求可以执行注销功能,还可以附加上清除cookie的一些其他操作。 点击logout查看原码,可以看到: http.logout().deleteCookies("remove").invalidateHttpSession(true...
分级权限分配
hzp666的博客
05-30 1万+
https://help.finereport.com/doc-view-711.html?&_=1559207520060 1. 版本 报表服务器版本 10.0 2.描述 多部门共用系统、各个部门有其自己的管理员,并给其部门员工分配权限,即实现多级管理员层层分配,分级管理员只能管理自己职责范围内的模板权限分配,FineReport自主...
Java中的四种访问权限
敢于挑战我可以的博客
10-30 478
public、protected、default、private,其中public具有最大权限,private则是最小权限。成员变量使用private (隐藏细节)、构造方法使用public (方便创建对象)、成员方法使用public (方便调用方法)...
降权或升权启动应用
zy1031393630的博客
06-24 565
程序需要支持拖拽时,不能以管理员权限启动(低权限进程不能和高权限进程通信),这个时候需要降权后再启动应用。 具体实现: 1.首先获取explorer.exe进程的权限等级; 主要代码如下: 2.以explorer.exe进程的权限等级启动应用。 主要代码如下: ...
渗透技巧——程序的降权启动
weixin_34219944的博客
09-18 1474
本文讲的是渗透技巧——程序的降权启动, 0x00 前言 在渗透测试中,常常会遇到需要改变程序启动权限(分为提权和降权)的情况。 提权包含从普通用户权限到管理员权限和从管理员权限到system权限,而渗透测试中的降权通常是指从system权限降到普通用户权限(从管理员权限降到普通用户权限比较简单,方法很多),往往是为了操作当前用户的文件内容(如捕获桌面、...
Java 实现系统权限控制思路
热门推荐
Cloud 专栏
12-19 4万+
首先介绍下思路: 1、用户表 user; 2、角色表 role; 3、菜单 menu; 4、角色菜单权限表 role_menu; 5、用户菜单权限表 user_menu; 如图: 根据用户角色取出该角色所有权限,并对用户进行权限分配;注意菜单的按钮(新增、删除、修改)权限是放在中间表(user_menu)中的; 1、新增用户时,是要根据用户角色进行分配权
project升降级_Project-教程—从入门到精通
05-23
升级和降级目管理中非常重要的概念,它们可以帮助你更好地控制目的进展。在本教程中,我们将从入门到精通,学习如何实现目的升级和降级。 ## 什么是目升级和降级目升级指的是将目提升到更高的级别,以实现更高的目标和要求。例如,将一个基本的网站升级为一个电子商务平台,或将一个简单的应用程序升级为一个复杂的企业级系统。 降级指的是将目降低到更低的级别,以适应更低的要求和限制。例如,将一个复杂的应用程序降级为一个简单的工具,或将一个大型的企业级系统降级为一个小型的简单系统。 ## 为什么需要目升级和降级目升级和降级可以帮助目管理人员更好地控制目的进展。通过升级和降级目管理人员可以根据目的实际情况,随时调整目的目标和要求,以确保目能够按时完成,并满足客户的需求和期望。 此外,目升级和降级还可以帮助目管理人员在目的不同阶段,实现目的不同目标和要求。例如,在目的初期阶段,可以使用简单的工具和技术来快速建立原型,而在目的后期阶段,可以使用更复杂的技术和工具来实现更高的目标和要求。 ## 如何实现目升级和降级? 实现目升级和降级需要以下步骤: 1. 确定目的目标和要求:在开始目升级和降级之前,需要明确目的目标和要求。这些目标和要求应该是可衡量的,并且应该能够满足客户的需求和期望。 2. 确定目的限制和资源:在确定目的目标和要求之后,需要确定目的限制和资源。这些限制和资源包括时间、预算、技术、人员等。 3. 定义目升级和降级的范围:在确定目的目标、要求、限制和资源之后,需要定义目升级和降级的范围。这个范围应该明确描述目的目标和要求,以及目升级和降级的过程。 4. 制定目升级和降级计划:在定义目升级和降级的范围之后,需要制定目升级和降级计划。这个计划应该包括具体的行动步骤、时间表、责任人等。 5. 实施目升级和降级计划:在制定目升级和降级计划之后,需要实施这个计划。这个过程包括执行行动步骤、监控目进展、解决问题等。 6. 评估目升级和降级的效果:在实施目升级和降级计划之后,需要评估这个计划的效果。这个过程包括收集反馈、分析数据、制定改进计划等。 ## 结论 目升级和降级目管理中非常重要的概念。通过升级和降级,可以帮助目管理人员更好地控制目的进展,满足客户的需求和期望。在实现目升级和降级时,需要明确目的目标和要求,确定目的限制和资源,定义目升级和降级的范围,制定目升级和降级计划,实施这个计划,并评估其效果。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值