后端基于方法的权限控制--Spirng-Security

最新推荐文章于 2024-04-26 22:27:42 发布
最新推荐文章于 2024-04-26 22:27:42 发布
阅读量145 收藏
点赞数
文章标签: 后端 java
原文链接:https://juejin.im/post/5d499f5b518825053d34d756
版权

后端基于方法的权限控制--Spirng-Security默认情况下, Spring Security 并不启用方法级的安全管控. 启用方法级的管控后, 可以针对不同的方法通过注解设置不同的访问条件;Spring Security 支持三种方法级注解, 分别是 JSR-205/Secured 注解/prePostEnabled。

开启方法级别注解

<global-method-security secured-annotations="enabled" />

<global-method-security jsr250-annotations="enabled" />

<global-method-security pre-post-annotations="enabled" />
复制代码

//@Secured 注解
@EnableGlobalMethodSecurity(securedEnabled=true)
//JSR-205 注解
@EnableGlobalMethodSecurity(jsr250Enabled=true)
//@PreAuthorize 类型的注解(支持 Spring 表达式)
@EnableGlobalMethodSecurity(prePostEnabled=true)复制代码

开始方法级别的注释使用
  1. Secured
    只有满足角色的用户才能访问被注解的方法, 否则将会抛出 AccessDenied 异常.

    @Secured("ROLETELLER","ROLEADMIN"), 该方法只允许 ROLETELLER 或 ROLEADMIN 角色的用户访问.
    @Secured("ISAUTHENTICATEDANONYMOUSLY"), 该方法允许匿名用户访问.

  2. JSR-205

    @DenyAll 注解, 拒绝所有的访问

    @PermitAll 注解, 运行所有访问

    @RolesAllowed({"USER","ADMIN"}), 该方法只允许有 ROLEUSER 或 ROLEADMIN 角色的用户访问.

  3. PreAuthorize
    JSR-205 和 Secured 注解功能较弱, 不支持 Spring EL 表达式. 推荐使用 @PreAuthorize 类型的注解.

    @PreAuthorize 注解, 在方法调用之前, 基于表达式结果来限制方法的使用.
    @PostAuthorize 注解, 允许方法调用, 但是如果表达式结果为 false, 将抛出一个安全性异常.
    @PostFilter 注解, 允许方法调用, 但必要按照表达式来过滤方法的结果.
    @PreFilter 注解, 允许方法调用, 但必须在进入方法之前过来输入值.

详解PreAuthorize表达式
  1. returnObject 保留名
    对于 @PostAuthorize 和 @PostFilter 注解, 可以在表达式中使用 returnObject 保留名, returnObject 代表着被注解方法的返回值, 我们可以使用 returnObject 保留名对注解方法的结果进行验证.
    比如: 
@PostAuthorize ("returnObject.owner == authentication.name")
public Book getBook();复制代码

@PostAuthorize 和 @PostFilter 本身在方法之后使用 ;本身使用场景不多

  1. 表达式中的 # 号
    在表达式中, 可以使用 #argument123 的形式来代表注解方法中的参数 argument123.
    比如: 
@PreAuthorize ("#book.owner == authentication.name")
public void deleteBook(Book book);复制代码

还有一种 #argument123 的写法, 即使用 Spring Security @P注解来为方法参数起别名, 然后在 @PreAuthorize 等注解表达式中使用该别名. 不推荐这种写法, 代码可读性较差.

@PreAuthorize("#c.name == authentication.name")
public void doSomething(@P("c") Contact contact);复制代码

  1. 内置表达式有:
表达式
备注
hasRole([role])
如果有当前角色, 则返回 true(会自动加上 ROLE_ 前缀)
hasAnyRole([role1, role2])
如果有任一角色即可通过校验, 返回true,(会自动加上 ROLE_ 前缀)
hasAuthority([authority])
如果有指定权限, 则返回 true
hasAnyAuthority([authority1, authority2])
如果有任一指定权限, 则返回true
principal
获取当前用户的 principal 主体对象
authentication
获取当前用户的 authentication 对象,
permitAll
总是返回 true, 表示全部允许
denyAll
总是返回 false, 代表全部拒绝
isAnonymous()
如果是匿名访问, 返回true
isRememberMe()
如果是remember-me 自动认证, 则返回 true
isAuthenticated()
如果不是匿名访问, 则返回true
isFullAuthenticated()
如果不是匿名访问或remember-me认证登陆, 则返回true
hasPermission(Object target, Object permission)

hasPermission(Object target, String targetType, Object permission)

转载于:https://juejin.im/post/5d499f5b518825053d34d756

weixin_30497527
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【项目实践】后台管理系统前后端实践一:权限控制原理
发果叁
03-08 1762
整理了一套《前端大厂面试宝典》,包含了HTML、CSS、JavaScript、HTTP、TCP协议、浏览器、VUE、React、数据结构和算法,一共201道面试题,并对每个问题作出了回答和解析。有需要的小伙伴,可以点击文末卡片领取这份文档,无偿分享部分文档展示:文章篇幅有限,后面的内容就不一一展示了有需要的小伙伴,可以点下方卡片免费领取。
java spring AOP权限控制
01-15
传统的应用程序实现 J2EE容器实现 AOP下的应用程序权限控制实现
前端面试必问(后台管理系统的权限控制与管理)
热门推荐
我是小奶音啊的博客
09-05 2万+
此文章根据视频教程进行整理前端面试官必问系列-后台系统的权限控制与管理,建议搭配视频教程一起食用效果更佳 在Web 系统中,权限很久以来一直都只是后端程序所控制的. 为什么呢? 因为Web 系统的不质围绕的是数据, 而和数据库最紧密接触的是后端程序. 所以在很长的一段时间内, 权限一直都只是后端程序要考虑的话题. 但是随看前后 端分离架构的流行, 越来越多的项目也在前端进权限控制 一、 权限相关概念 1.1 权限的分类 后端权限 从根不上讲前端仅仅只是视图层的展示, 权限的核心是在于服务器中的数据变,所以
4-用户权限控制后端
最新发布
qq_53568730的博客
04-26 383
在计算机系统中,用户权限控制是一种机制,用于限制用户对系统资源的访问和操作。它可以确保只有经过授权的用户可以执行特定的操作,并限制未经授权的用户的访问权限。Controller接收请求,然后调用对应的service接口,再具体实现类中实现(Result是一个封装类,在我的文章“2-token生成”有代码)此处只有不同用户返回不同的菜单,通过用户名判断(admin为超级管理员 其他为普通管理员)
后台管理系统的权限控制与管理
qq_38210427的博客
05-09 2319
中比如我们可以根据后端返回的数据right来判断用户有什么权限,如下图添加自定义指令 控制按钮。
后台管理系统 权限管理
weixin_43502808的博客
11-07 726
基于RBAC权限控制理念
后台系统权限控制太重要了,Vue3高级写法完美实现,一篇文章包含路由守卫和自定义指令等等,看了绝不后悔
qq_44415875的博客
01-04 1841
RBAC(Role-Based Access Control)模型是一种用于访问控制权限管理模型。在 RBAC 模型中,权限的分配和管理是基于角色进行的。用户(User):用户是实际使用系统的人员或实体。每个用户都可以关联到一个或多个角色。角色(Role):角色代表了一组具有相似权限需求的用户。每个用户可以被分配一个或多个角色,并通过角色来确定其拥有的权限权限Permission):权限指定了对系统资源进行操作的能力。它们定义了用户在系统中可以执行的动作或访问的资源范围。
Spring-Security-Demo-master.zip
07-15
这个"Spring-Security-Demo-master.zip"压缩包包含了基于Spring Boot和Spring Security实现的前后端分离登录认证及权限控制的示例代码。让我们深入探讨其中涉及的关键知识点。 1. **Spring Boot**:Spring Boot简化...
spring-Security-oauth2.zip
05-26
本压缩包文件“spring-Security-oauth2.zip”很可能包含一系列关于如何在Spring Security中集成和配置OAuth2的教程、示例代码或文档。 1. **OAuth2 概述** OAuth2 是一种授权协议,它允许用户授权第三方应用访问其...
user-impersonation-spring-security
05-13
可以通过在Spring Security权限表达式中添加额外的检查,如`hasRole('ADMIN')`来限制。 4. **模拟结束**: 当管理员完成模拟操作后,应提供一种方式恢复到原始的用户身份。这可能涉及到另一个过滤器,用于在用户...
spring-security-oauth2
03-17
4. 授权管理:自定义授权逻辑,比如基于角色的访问控制(RBAC)、权限表达式等。 五、实战应用 在实际项目中,Spring Security OAuth2常用于构建API Gateway,为后端服务提供统一的授权入口。它还能与其他Spring...
security-enterprise-FrontBackSplit_2.3.0.zip
04-12
1. **源代码**:分为前端和后端两部分,前端可能基于React、Angular或Vue等现代JavaScript框架,而后端可能采用Spring Boot、Django、Node.js等服务器端技术。 2. **配置文件**:如application.properties或...
jquery权限控制
川度空间
07-26 528
页面:userLogin.jsp &lt;!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"&gt;&lt;html xmlns="http://www.w3.org/1999/xhtml"&gt;&lt;%@...
控制后台用户的权限
joomer的专栏
11-26 471
我们有时想控制用户在后台的使用权限,有一种情况是做好网站后,给用户管理员权限,但是用户对Joomla不熟,等到他把里面的模块组件,删除又安装什么的,那才叫抓狂。你不给客户管理员权限,估计客户会不满意,但是Joomla的用户权限管理不好,怎么办?    如果有一种方法,当客户以admin进入后台,可是很多功以都不可以用,比如安装删除组件、模块等等,只能更新文章,当自己想进去维护网站(比如:安装模块)
AOP下的权限控制实现
Defonds 的专栏
01-05 1万+
AOP 下的权限控制实现         摘要          面向方面的编程(AOP)是一种新的编程技术,它弥补了面向对象的编程(OOP)在跨越模块行为上的不足。AOP 引进了 Aspect,它将影响多个类的行为封装到一个可重用模块中,它允许程序员对横切关注点进行模块化,从而消除了 OOP 引起的代码混乱和分散问题,增强了系统的可维护性和代码的重用性。本文分析传统权限控制的实现方法
一步步教你如何用疯狂.NET架构中的通用权限系统 -- 如何控制用户显示的菜单权限
通用权限管理系统
11-20 1122
<br /> <br />菜单权限是我们经常会遇到的权限,也是经常需要进行处理的权限,往往权限是通过控制菜单权限开始折腾起来的。 <br /><br />第一步:我的后台管理控制端,有一个叫模块配置的功能,这里集中配置,哪些模块可以用,哪些模块先锁定,这里统一进行配置管理,例如哪个模块还没开发完毕,还在开发中,或者哪个模块出现了重大隐患,可以暂时屏蔽起来等,这个功能在真实的开发过程中的确能派上一些用处。<br /><br /><br /><br />第二步:我有的后台里,有一个模块管理功能,可以管理所有模块
由后台的值来决定前台的复选框是否为默认选中,简单用户权限管理,html:multibox...
黑色头发
08-13 377
例子下载,下载解压后自行导入struts包 程序入口为 http://localhost:8080/ShowPermission.do 下面贴代码 ShowPermission.jsp &lt;%@ page contentType="text/html; charset=gbk"%&gt; &lt;%@ taglib uri="http://jakarta.apache.org/struts/...
后台管理系统的权限(vue如何实现后台管理系统的权限,react如何实现后台管理系统的权限
jiang7701037的博客
07-02 4013
CRUD的权限思路:根据后端返回的权限数据(如,这种用CRUD字母标识:"0-1-0-R", "0-1-0-U", "0-1-0-D"),通过路由传参,在组件里,显示或者隐藏对应的按钮即可。不同的系统,有不同的角色(其实就是甲方公司的职位),如:HIS(医院信息管理系统)的角色有:院长,主任,医生,护士,药剂师等等,这些人属于不同的岗位,那么,也就具备不同的功能。不同的用户进入同一个页面,对数据的操作权限不一样,即:有的用户进去后,只能查询数据,有的用户可以对数据进行添加,修改,删除。这个权限会发给后端
后台系统的权限控制与管理
huihuishiwo的博客
07-13 1286
以下内容源于对该视频的学习前端面试官必问系列-后台系统的权限控制与管理【完结】角色不同,权限不同控制思路:1.菜单的控制--根据权限数据展示对应的菜单栏2.界面的控制--用户没登录,手动输入地址时候应跳转到登录界面;用户登录后,手动敲入非权限地址,应该跳转到4043.按钮的控制--根据权限数据展示可以操作的按钮4.请求响应的控制--用户通过非常规手段,比如调试浏览器把禁用按钮调为可用按钮发送的请求也应该被拦截所需数据rights由服务器返回1.用vuex将登录页面得到的数据在主页侧边栏进行渲染将数据保存在v
sa-token和spring security
09-08
sa-token和Spring Security都是用于在Java后端应用程序中实现身份认证和授权的框架。 Spring Security是一个功能强大且广泛使用的安全框架,它提供了一系列的功能来保护应用程序,如身份认证、权限管理、会话管理等...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值