springSecurity 基于方法权限控制@RolesAllowed @Serured @PreAuthorize 与 页面端标签控制权限...

最新推荐文章于 2023-04-24 10:37:28 发布
最新推荐文章于 2023-04-24 10:37:28 发布
阅读量410 收藏
点赞数
文章标签: java
原文链接:http://www.cnblogs.com/georgeJavaEE/p/9851880.html
版权

基于方法权限控制有三种,但都是基于aop的,所以使用需要在springmvc.xml中开启<aop:aspectj-autoproxy proxy-target-class="true"></aop:aspectj-autoproxy>

一.JSR-250注解   @RolesAllowed 表示访问对应方法时所应该具有的角色

  使用前需要导入Jsr-250-api依赖,开启注解 <security:global-method-security jsr250-annotations="enabled"/>

   @RolesAllowed("ROLE_ADMIN")  //拥有该角色的才能访问次方法
    public ModelAndView findAll() {
        ModelAndView mv = new ModelAndView();
        List<Permission> permissionList=permissionService.findAll();
        mv.addObject("permissionList",permissionList);
        mv.setViewName("permission-list");
        return mv;
    }

二.@Secured注解,这个是springsecurity提供的,不用导入额外依赖

      使用前开启注解 <security:global-method-security secured-annotations="enabled"/>

    

@Secured("ROLE_ADMIN") //拥有该角色的才能访问次方法
    public ModelAndView findAll(@RequestParam(name = "page",defaultValue = "1") int page, @RequestParam(name = "pageSize",defaultValue = "4") int pageSize){
        ModelAndView mv= new ModelAndView();
        List<Product> productList=productService.findAll(page,pageSize);
        PageInfo pageInfo = new PageInfo(productList);
        mv.addObject("pageInfo",pageInfo);
        mv.setViewName("product-list");
        return mv;
    }

 

三.表达式的注解@PreAuthorize

   使用前开启注解 <security:global-method-security pre-post-annotations="enabled"/>

  注意:PreAuthorize(".....")中采用的是SpEL表达式,常用的有:hasRole('ROLE_USER'),hasAnyRole('ROLE_USER','ROLE_ADMIN',...)

    authentication.principal.username=='tom' -->用户名为tom的才能访问

 @PreAuthorize("hasRole('ROLE_ADMIN')")//使用SpEL表达式,有该角色才能访问次方法
    public ModelAndView findAll(@RequestParam(name = "page",defaultValue = "1") int page, @RequestParam(name = "pageSize",defaultValue = "4") int pageSize){
        ModelAndView mv= new ModelAndView();
        List<Product> productList=productService.findAll(page,pageSize);
        PageInfo pageInfo = new PageInfo(productList);
        mv.addObject("pageInfo",pageInfo);
        mv.setViewName("product-list");
        return mv;
    }

 

 

 

 

------------------------------------------------------------------------------------------------------

    一.  页面端标签控制权限与用户名显示

      开启aop自动代理<aop:aspectj-autoproxy proxy-target-class="true"></aop:aspectj-autoproxy>

      1).导入依赖spring-security-taglibs

      2).页面引入<%@taglib uri="http://www.springframework.org/security/tags" prefix="security"%>

    

                   <security:authorize access="hasRole('ROLE_ADMIN')">    //拥有该角色才显示里面的内容,否者隐藏起来
                    <li id="system-setting"><a
                        href="${pageContext.request.contextPath}/sysLog/findAll"> <i
                            class="fa fa-circle-o"></i> 访问日志
                    </a></li>
                    </security:authorize>

      显示用户名也需要导入依赖和引入标签

<security:authentication property="principal.username"></security:authentication>

<security:authentication property="name"></security:authentication>

//上面两种都可以显示登录用户名

 

    

转载于:https://www.cnblogs.com/georgeJavaEE/p/9851880.html

weixin_34416754
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
@PreAuthorize、@Secured、 @RolesAllowed优先级
zcents的博客
09-03 370
结论: 在spring-security-5.1.6中 @PreAuthorize>@Secured>@RolesAllowed依次屏蔽; 上代码: 项目启动 {@link org.springframework.security.config.annotation.method.configuration.GlobalMethodSecurityConfiguration#methodSecurityMetadataSource} 中解析 @EnableGlobalMethodSec
jsr250的 @RolesAllowed("ADMIN")不生效解决办法
qq_37605486的博客
12-15 1378
security中jsr250的 @RolesAllowed(“ADMIN”)不生效解决办法 在springmvc.xml中添加即可,开启对于AOP的支持,如下: <aop:aspectj-autoproxy proxy-target-class=“true”></aop:aspectj-autoproxy> ...
用户权限认证(方法权限认证/路径权限认证) @RolesAllowed,@secured,@preAuthorize注解用法解析笔记
干饭两斤半
09-08 6477
@RolesAllowed JSR250权限控制 在pom文件导入坐标 <dependency> <groupId>javax.annotation</groupId> <artifactId>jsr250-api</artifactId> &l...
SpringSecurity服务器方法权限控制@RolesAllowed注解不起作用的解决
weixin_41931278的博客
06-24 3805
JSR-250的使用 1.在maven导入依赖 <dependency> <groupId>javax.annotation</groupId> <artifactId>jsr250-api</artifactId> <version>1.0</version> </dependency> 2.开启注解 在服务器我们可以通过Spring security提
springsecurity 表达式一览
weixin_30855761的博客
08-17 394
表达式 描述 hasRole([role]) 当前用户是否拥有指定角色。 hasAnyRole([role1,role2]) 多个角色是一个以逗号进行分隔的字符串。如果当前用户拥有指定角色中的任意一个则返回true。 hasAuthority([auth]) 等同于hasRole ...
SpringBoot集成Spring Security实现权限控制【完整源码+数据库】
02-16
SpringBoot集成Spring Security是现代Java应用中常见的安全框架组合,它们为开发者提供了强大的权限管理和访问控制功能。Spring Security是一个全面的、高度可配置的安全框架,它涵盖了认证、授权以及会话管理等多个...
Spring Security如何使用URL地址进行权限控制
08-25
Spring Security如何使用URL地址进行权限控制 Spring Security是一个功能强大且广泛应用的Java安全框架,它提供了许多功能,包括身份验证、授权、加密等。其中,权限控制是Spring Security的一个重要组件,它允许...
Spring Boot-Shiro-Vue的权限管理思路.前后都加以控制
最新发布
06-14
本项目以"Spring Boot-Shiro-Vue"为技术栈,构建了一套完整的权限管理系统,虽然最新版本已移除Shiro,但我们可以探讨基于Shiro的权限管理思路,以及Spring Boot和Vue.js如何协同实现这一目标。 **Spring Boot** 是...
SpringBoot--- SpringSecurity进行注销权限控制的配置方法
08-24
SpringBoot--- SpringSecurity 进行注销权限控制的配置方法 SpringBoot 是一个基于 Java 的框架,提供了大量的配置选项和功能,而 SpringSecurity 是一个基于 Spring 的安全框架,提供了身份验证、授权、加密等功能...
SpringBoot整合权限控制SpringSecurity.docx
12-10
在本文中,我们将探讨如何在SpringBoot项目中整合SpringSecurity实现权限控制,并结合前Element UI的多标签页(Tabs)组件,提供更加高效的用户体验。SpringBoot是一个流行的Java开发框架,它简化了Spring应用的...
5.Spring Security安全注解
相互学习 共同进步
04-24 1203
Spring Security默认是禁用注解的,要想开启注解,需要在继承WebSecurityConfigurerAdapter的类上加@EnableGlobalMethodSecurity注解,并在该类中将AuthenticationManager定义为Bean如果要启用基于注解的方法安全性,要在配置类上使用**@EnableGlobalMethodSecurity**设置了securedEnabled = true,此时Spring将会创建一个切点,并将带有@Secured注解的方法防入切面中。
Sping实战第十四章:保护方法应用
li_wulang的博客
05-04 242
前面Spring Security是保护应用的Web层,制URL级别访问,此处是方法级别的保护; 一、使用注解保护方法 Spring Security提供了三种不同的安全注解: Spring Security自带的@Secured注解:能够基于用户所授予的权限制对方法的访问 JSR-250的@RolesAllowed注解:能够基于用户所授予的权限制对方法的访问 表达式驱动的注解,包...
Spring实战—使用注解保护方法,附上spring全家桶!
java3456的博客
07-04 236
尽管Spring Security为我们提供了Web层的安全保护,我们依旧有可能会疏忽而导致用户通过正常访问路径访问到不应该访问的方法,所以除了在web层实施保护以外,我们还需要给底层的方法施加保护层。这样就能保证如果用户不具备权限的话,就无法执行相应的逻辑 文末分享的一线架构师的Spring全家桶笔记:Spring+Spring Boot+Spring Cloud+Spring MVC,如果你想要一起学习那就添加小助手VX:xuanwo008免费领取不要错过哦 Spring Security 提供.
——基于方法权限控制
dotedy的博客
12-08 2262
基于方法权限控制          之前介绍的都是基于URL的权限控制,Spring Security同样支持对于方法权限控制。可以通过intercept-methods对某个bean下面的方法进行权限控制,也可以通过pointcut对整个Service层的方法进行统一的权限控制,还可以通过注解定义对单独的某一个方法进行权限控制。   1.1     intercept-met
区别: @Secured(), @PreAuthorize() 及 @RolesAllowed()
WGH100817的博客
03-29 1346
在Spring security的使用中,为了对方法进行权限控制,通常采用的三个注解,就是@Secured(), @PreAuthorize() 及 @RolesAllowed()。 但是着三者之间的区别,我之前也不是很清楚,现在看看,做个小小的记录,备忘吧! 现在举例,比如修改用户密码,必须是ADMIN的权限才可以。则可以用下面三种方法: @Secured({"ROLE_A...
Spring Security 小记 - @Secured(), @PreAuthorize() 及 @RolesAllowed()
一个默默的人
09-18 9959
目录Spring Security 小记前言权限注解小坑 Spring Security 小记 记录一下Spring Security(版本为4) 中的 @Secured(), @PreAuthorize() 及 @RolesAllowed() 前言 Spring Security 和Shiro 可以说是安全框架的唯二选择了。 Shiro,比较简单和灵活,简单够用。而Spring Securit...
SpringSecurity笔记3-Securing Methods
SpringsSpace
12-07 264
      SpringSecurity方法层安全基于SpringAOP技术,它有自己的@Secured注解,SpringSecurity支持四种方法层 的安全:       (1) Methods annotated with @Secured.       (2) Methods annotated with JSR-250's @RolesAllowed.       (3) Met...
Spring学习笔记之保护方法应用
薛小强Forever
06-01 869
在本章中我们将会看到如何使用Spring Security保护bean方法
@PreAuthorize("@ss.hasPermi('')"怎么加多个权限
07-15
在 Spring Security 中,可以使用 "and"、"or" 和 "not" 这些逻辑运算符来实现权限的组合。 例如,如果您想要同时满足两个权限,您可以使用 "and" 运算符将它们连接起来。示例代码如下: @PreAuthorize("@ss....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值