spring security 注解@EnableGlobalMethodSecurity详解

最新推荐文章于 2024-09-11 23:26:06 发布
最新推荐文章于 2024-09-11 23:26:06 发布
阅读量157 收藏
点赞数
文章标签: java

 1、Spring Security默认是禁用注解的,要想开启注解,需要在继承WebSecurityConfigurerAdapter的类上加@EnableGlobalMethodSecurity注解,来判断用户对某个控制层的方法是否具有访问权限

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class OAuth2SecurityConfiguration extends WebSecurityConfigurerAdapter {
 ...........................
}

2、例如下面代码就表示如果用户具有admin角色,就能访问listAllUsers方法,但是如果方法前不加@preAuthorize注解,意味着所有用户都能访问listAllUsers

方法

    @PreAuthorize("hasRole('admin')")
    @RequestMapping(value = "/user/", method = RequestMethod.GET)
    @ResponseBody
    public List<User> listAllUsers() {
        List<User> users = userService.findAll();
        if(users.isEmpty()){
            return null;
        }
        return users;
    }

3、@EnableGlobalMethodSecurity详解

3.1、@EnableGlobalMethodSecurity(securedEnabled=true)
         开启@Secured 注解过滤权限

3.2、@EnableGlobalMethodSecurity(jsr250Enabled=true)

          开启@RolesAllowed 注解过滤权限 

3.3、@EnableGlobalMethodSecurity(prePostEnabled=true)
         使用表达式时间方法级别的安全性 4个注解可用

  • @PreAuthorize 在方法调用之前,基于表达式的计算结果来限制对方法的访问
  • @PostAuthorize 允许方法调用,但是如果表达式计算结果为false,将抛出一个安全性异常
  • @PostFilter 允许方法调用,但必须按照表达式来过滤方法的结果
  • @PreFilter 允许方法调用,但必须在进入方法之前过滤输入值

 

weixin_34138521
关注
SpringSecurity使用@PreAuthorize、@PostAuthorize实现Web系统权限认证
u011930054的博客
07-17 4874
SpringSecurity可以使用@PreAuthorize和@PostAuthorize进行访问控制,下面进行说明。 项目使用Springboot2.3.3+SpringSecurtiy+Mbatis实现。 首先先引入pom.xml <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artif
SpringSecurity详解
m0_71012114的博客
10-19 5054
本文详解介绍了security原理、多种方式配置登录、角色和权限访问控制、常用注解、用户注销。
基于java config的springSecurity(四)--启用全局方法安全
01-16
实现了认证,一般都满足不了应用的需求.使用@EnableGlobalMethodSecurity来实现授权,实现用户对某个操作是否有权限的控制.详细请参考:http://blog.csdn.net/xiejx618/article/details/42739707
Spring Security中方法安全性表达式如何使用
最新发布
阿信今天的代码没bug的博客
09-11 438
Spring Security中方法安全性表达式如何使用
@EnableGlobalMethodSecurity(prePostEnabled=true)
盲目的拾荒者的博客
05-24 1万+
关于@EnableGlobalMethodSecurity(prePostEnabled=true)的解释: 开启基于方法的安全认证机制,也就是说在web层的controller启用注解机制的安全确认, @ApiOperation(value = "获取用户列表", httpMethod = "GET") @GetMapping @PreAuthorize("hasAuth...
Spring Security 之 @EnableGlobalMethodSecurity 方法级安全
点滴记录
10-14 1840
默认情况下, Spring Security 并不启用方法级的安全管控. 启用方法级的管控后, 可以针对不同的方法通过注解设置不同的访问条件. @EnableGlobalMethodSecurity(prePostEnabled = true) public class SecurityConfig extends WebSecurityConfigurerAdapter {} Spring...
@EnableGlobalMethodSecurity详解
ywb201314的专栏
10-09 1219
注解的机制是只要其声明的角色集合(value)中包含当前用户持有的任一角色就可以访问。也就是 用户的角色集合和 @Secured 注解的角色集合要存在非空的交集。从名字就可以看出@PreAuthorize 注解会在方法执行前进行验证,而 @PostAuthorize 注解会在方法执行后进行验证。在需要安全[角色/权限等]的方法上指定 @Secured,并且只有那些角色/权限的用户才可以调用该方法。@PostFilter: 和@PreFilter 不同的是, 基于返回值相关的表达式,对返回值进行过滤。
Spring security登录过程逻辑详解
08-19
Spring Security 登录过程逻辑详解 Spring Security 是一个广泛使用的 Java 安全框架,提供了完善的身份验证和授权机制。本文将详细介绍 Spring Security 登录过程的逻辑,通过示例代码对登录过程进行了详细的讲解...
详解spring security 配置多个AuthenticationProvider
08-30
Spring Security 配置多个 AuthenticationProvider 详解 Spring Security 是一个功能强大且灵活的安全框架,提供了多种身份验证机制和访问控制机制。在实际开发中,我们经常需要配置多个身份验证提供程序...
Spring Security 3.0注解授权详解与使用
此外,还提到了Spring Security 3.0引入的新注解@PreAuthorize、@PostAuthorize等,用于增强方法级别的访问控制。" 在Spring Security框架中,`@PreAuthorize` 和 `@PostAuthorize` 是两个关键的注解,它们允许...
SpringSecurity中 @EnableGlobalMethodSecurity作用及@PreAuthorize@PostAuthorize@PreFilter和@PostFilter四者的区别
z69183787的专栏
01-31 2086
spring security中可以通过表达式控制方法权限: Spring Security中定义了四个支持使用表达式的注解,分别是@PreAuthorize、@PostAuthorize、@PreFilter和@PostFilter。其中前两者可以用来在方法调用前或者调用后进行权限检查,后两者可以用来对集合类型的参数或者返回值进行过滤。要使它们的定义能够对我们的方法的调用产生影响我们需要设置global-method-security元素的pre-post-annotations=”enabled”.
@EnableGlobalMethodSecurity注解详解
热门推荐
池海
03-05 4万+
作用: 当我们想要开启spring方法级安全时,只需要在任何 @Configuration实例上使用 @EnableGlobalMethodSecurity 注解就能达到此目的。同时这个注解为我们提供了prePostEnabled 、securedEnabled 和 jsr250Enabled 三种不同的机制来实现同一种功能: @Configuration @EnableWebSecurity @...
SpringBoot - @EnableGlobalMethodSecurity注解详解
记录并分享
08-03 2900
使用@EnableGlobalMethodSecurity注解,用于开启Spring环境的方法级安全,如果实现该方案需要在添加了@Configuration注解的类上再添加@EnableGlobalMethodSecurity注解即可,通常是继承WebSecurityConfigurerAdapter基类,使用自定义的处理器或者过滤器,实现符合业务场景的访问控制。......
@EnableGlobalMethodSecurity三方法详解
ywb201314的专栏
10-09 2485
EnableGlobalMethodSecurity三方法详解要开启Spring方法级安全,在添加了注解的类上再添加注解即可其中注解[@Secured]在同一个应用程序中,可以启用多个类型的注解,但是只应该设置一个注解对于行为类的接口或者类。如:但是只应该设置一个注解对于行为类的接口或者类。
@EnableGlobalMethodSecurity和@EnableWebSecurity的区别及使用场景
m0_70276286的博客
04-01 886
EnableGlobalMethodSecurity和@EnableWebSecuritySpring Security框架中的两个重要注解,它们各自在Spring应用的安全性方面发挥着不同的作用。下面是这两个注解的区别以及使用场景和举例说明。
spring security 注解@EnableGlobalMethodSecurity的三种开启注解方式
江城宴的博客
05-07 8821
@EnableGlobalMethodSecuritySpring Security默认是禁用注解的,要想开启注解,需要在继承WebSecurityConfigurerAdapter的类上加@EnableGlobalMethodSecurity注解。 一、JSR-250注解@DenyAll 拒绝所有访问@RolesAllowed({"USER", "ADMIN"}) 该方法只要具有"USE...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值