controller层_使用Spring Security做方法层的权限拦截

最新推荐文章于 2023-06-14 15:57:42 发布
最新推荐文章于 2023-06-14 15:57:42 发布
阅读量1.5k 收藏
点赞数
文章标签: controller层 controller调用controller的方法 dao层和service层和control spring security 授予权限 spring security权限管理 springboot security 权限校验

Spring Security中可以通过Authentication(认证)和Authorization(授权)的功能,识别用户身份并完成用户授权。

通常的做法是在用户访问某些资源时,通过拦截器方法确认用户身份,如果当前用户身份不明(未登录或者是匿名用户)且被访问资源是非公开资源时,系统会强制跳转至登录页面,在用户登录完成后再跳转回原地址,继续访问资源。

这些拦截功能基本都是使用Filter在请求未到达DispatcherServlet前就完成处理了。但如果我们需要在细粒度上进行访问权限控制的话,那该怎么办呢?

比如我们想要在某个@Service类的某些方法上增加权限校验,只有具有特定角色的用户才能访问这些资源,这种场景该如何实现呢?

Spring Security通过使用MethodSecurityInterceptor实现了上述场景下的权限管理,本文将介绍具体该如何实现。

内部机制和原理参看Spring Security Reference中的Method Security章节

搭建应用

首先我们引入相关依赖,主要是spring-boot-starter-webspring-boot-starter-security

<?xml  version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0modelVersion>

    <groupId>org.examplegroupId>
    <artifactId>SpringSecurityartifactId>
    <version>1.0-SNAPSHOTversion>
    <parent>
        <groupId>org.springframework.bootgroupId>
        <artifactId>spring-boot-starter-parentartifactId>
        <version>2.3.3.RELEASEversion>
    parent>
    <dependencies>
        <dependency>
            <groupId>org.springframework.bootgroupId>
            <artifactId>spring-boot-starter-webartifactId>
        dependency>
        <dependency>
            <groupId>org.springframework.bootgroupId>
            <artifactId>spring-boot-starter-securityartifactId>
        dependency>
    dependencies>
project>

在工程中创建org.example.security包,在这个包下面新建一个Application类,作为应用的启动类。

增加Spring Boot应用标准启动代码:

package org.example.security;

import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;

@SpringBootApplication(proxyBeanMethods = false)
public class Application {
    
    public static void main(String[] args) {
    
        SpringApplication.run(Application.class);
    }
}

增加Spring Security相关配置

首先我们定义一个UserDetailsService类型的Bean对象。Spring Security在用户登录时,使用该对象校验用户身份是否

最低0.47元/天 解锁文章
weixin_39541212
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringSecurity_JWT_Test.zip
04-05
1. **配置SpringSecurity**:首先,我们需要创建一个配置类,扩展`WebSecurityConfigurerAdapter`,并重写其方法以定义安全规则。例如,我们可以使用`http.authorizeRequests()`来设置访问控制,指定哪些URL需要用户...
2016_Spring Security Essentials
04-28
Spring MVC的整合允许我们在Controller层轻松添加安全控制。而与Spring Data的集成则方便了对用户数据的存储和查询。 在实际应用中,Spring Security还可以用于构建RESTful API的安全防护,通过OAuth2、JWT等技术...
spring security 3.1 实现权限控制
热门推荐
小程序
07-24 1万+
spring security 3.1 实现权限控制 简介:spring security 实现的权限控制,可以分别保护后台方法的管理,url连接访问的控制,以及页面元素的权限控制等,        security的保护,配置有简单到复杂基本有三部:          1) 采用硬编码的方式:具体法就是在security.xml文件中,将用户以及所拥有的权限写死,一般
spring security 动态不拦截指定请求
liu_xue_xue的专栏
07-15 8854
方法一、简单配置 @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override public void configure(WebSecurity web) throws Exception { //ignore web.ignoring().antMatchers("/info","/css","/html"); }
一个注解搞定Spring Security 忽略拦截
小魏的奇妙世界
12-20 4336
一个注解搞定spring-security忽略拦截, 减少开发硬编码配置
Spring Security基本使用
weixin_56697114的博客
08-02 624
1、环境搭建 <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-web</artifactId> <version>5.0.5.RELEASE</version> </dependency> <dependency> <groupId>org.
SpringBoot中的Security简单入门实现
jingjiaohuan的博客
11-01 1589
以上是10月31日对29日的Security学习进行日常总结。
Spring Security 4 使用@PreAuthorize,@PostAuthorize, @Secured, EL实现方法安全(带源码)
raquelle的记忆宫殿
05-31 3654
原文链接:http://blog.csdn.net/w605283073/article/details/51327182 本文探讨Spring Security 4 基于@PreAuthorize, @PostAuthorize, @Secured和 Spring EL表达式的方法级的安全。 想要开启Spring方法级安全,你需要在已经添加了@Configuration注解的类上再添
spring security用户权限项目
12-19
2. **控制器(Controller)**:使用注解(如 `@Controller` 和 `@RequestMapping`)定义处理请求的方法。 3. **视图解析(View Resolution)**:Spring MVC 可以与多种视图技术结合,如 JSP、Thymeleaf 或 ...
基于springboot+springSecurity+jwt实现的基于token的权限管理的一个demo,适合新手
最新发布
03-02
本篇文章将深入探讨如何使用SpringBoot、SpringSecurity以及JSON Web Token(JWT)技术来构建一个简单的权限管理Demo,非常适合初学者学习。 **1. SpringBoot简介** SpringBoot是Spring框架的一种简化版本,它旨在...
springboot-springsecurity权限控制的万能后台管理系统
09-26
4. **安全拦截**:使用SpringSecurity的`@Secured`或`@PreAuthorize`注解,可以指定只有拥有特定权限的用户才能访问特定的控制器方法。 5. **登录注销**:提供统一的登录和注销接口,用户登录后,SpringSecurity会...
使用SpringSecurity实现登录及鉴权
qq_50376377的博客
06-14 770
前一段时间公司要求登录和鉴权使用SpringSecurity,看了很多都感觉不太适合企业开发,于是自己整理了一下,基于@PreAuthorize注解鉴权,大大的方便的权限控制。
Spring Authorization Server入门 (九) Spring Boot引入Resource Server对接认证服务
云逸的博客
06-13 2443
书接上文,本次来对接一下资源服务,在本篇文章中会带领大家去构建一个资源服务器,通过注解校验token中的权限,怎么放行一个接口,使其不需要认证也可访问。
——基于方法权限控制
dotedy的博客
12-08 2262
基于方法权限控制          之前介绍的都是基于URL的权限控制,Spring Security同样支持对于方法权限控制。可以通过intercept-methods对某个bean下面的方法进行权限控制,也可以通过pointcut对整个Service层的方法进行统一的权限控制,还可以通过注解定义对单独的某一个方法进行权限控制。   1.1     intercept-met
如何利用自定义注解放行springsecurity项目的接口
weixin_45089791的博客
07-19 2235
如何利用自定义注解放行springsecurity 在实际项目中使用到了springsecurity作为安全框架,我们会遇到需要放行一些接口,使其能匿名访问的业务需求。但是每当需要当需要放行时,都需要在security的配置类中进行修改,感觉非常的不优雅。 例如这样: 所以想通过自定义一个注解,来进行接口匿名访问。在实现需求前,我们先了解一下security的两种方行思路。 第一种就是在 configure(WebSecurity web) 方法中配置放行,像下面这样: @Override pub
SpringBoot配置拦截器对静态资源部分接口不实行拦截
qq_41244181的博客
01-09 1725
SpringBoot配置拦截器对静态资源部分接口不实行拦截 /** @ClassName WebSecurityConfig @Description @Author louk @Date 2020/1/8 23:10 */ import java.io.IOException; import javax.servlet.http.Cookie; import javax.servlet.ht...
Spring Security调研记录【三】--实现Method Security
lld2002的专栏
05-26 852
Spring Security调研记录【三】--实现Method Security
SpringSecurity学习(七)授权
Huathy的博客
03-15 2073
SpringSecurity:认证与授权,基于URL的权限管理、基于方法权限管理。权限表达式、授权原理分析。授权实战——权限模型
rbac权限管理springsecurity
09-06
你可以通过配置URL路径的拦截规则,或者使用注解对Controller方法进行权限控制。 5. 实现RBAC逻辑:根据用户和角色之间的关系,以及用户和权限之间的关系,实现RBAC逻辑。你可以在认证成功后获取用户对应的角色和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值