httpsecurity 类方法介绍_SpringBoot2.0实战(30)整合SpringSecurity基于数据库方法鉴权

最新推荐文章于 2024-04-07 18:22:23 发布
最新推荐文章于 2024-04-07 18:22:23 发布
阅读量300 收藏
点赞数
文章标签: httpsecurity 类方法介绍 springsecurity登录验证 spring快速整合bootstraps登录
71b84aeb157195d80407b9b7a711569b.png

通过前面的文章,我们已经实现了基于数据进行登录鉴权及基于注解的方式进行方法鉴权

第二十四章:整合SpringSecurity之最简登录及方法鉴权

第二十五章:整合SpringSecurity之基于数据库实现登录鉴权

第二十六章:整合SpringSecurity之前后端分离使用JSON格式交互

第二十七章:整合SpringSecurity之前后端分离使用Token实现登录鉴权

第二十八章:整合SpringSecurity之前后端分离使用JWT实现登录鉴权

注解方式的方法鉴权:

通过 @EnableGlobalMethodSecurity 注解来开启方法鉴权。

securedEnabled:开启 @Secured 注解

  • 单个角色:@Secured(“ROLE_USER”)
  • 多个角色任意一个:@Secured({“ROLE_USER”,“ROLE_ADMIN”})

prePostEnabled:开启 @PreAuthorize 及 @PostAuthorize 注解,分别适用于进入方法前后进行鉴权,支持表达式

  • 允许所有访问:@PreAuthorize(“true”)
  • 拒绝所有访问:@PreAuthorize(“false”)
  • 单个角色:@PreAuthorize(“hasRole(‘ROLE_USER’)”)
  • 多个角色与条件:@PreAuthorize(“hasRole(‘ROLE_USER’) AND hasRole(‘ROLE_ADMIN’)”)
  • 多个角色或条件:@PreAuthorize(“hasRole(‘ROLE_USER’) OR hasRole(‘ROLE_ADMIN’)”)

jsr250Enabled:开启 JSR-250 相关注解

  • 允许所有访问:@PermitAll
  • 拒绝所有访问:@DenyAll
  • 多个角色任意一个:@RolesAllowed({“ROLE_USER”, “ROLE_ADMIN”})

虽然非常灵活,但是毕竟是硬编码,不符合实际的生产需求,在项目中,每个角色的可访问权限必须是可调整的,一般情况下使用数据库进行持久化。

目标

整合 SpringSecurity 及 MybatisPlus 实现使用读取数据库数据进行方法鉴权

思路

使用配置类的 HttpSecurity 提供的 access 方法,通过扩展SpEL表达式,实现自定义鉴权

.access("@authService.canAccess(request, authentication)")

其中 authService 是 Spring 容器中的 Bean,canAccess 是其中的一个方法。

@Servicepublic class AuthService {    public boolean canAccess(HttpServletRequest request, Authentication authentication) {        //在这里编写校验代码…        return true;    }}

准备工作

创建用户表 user、角色表 role、用户角色关系表 user_role,资源表 resource,资源角色关系表 role_resource

a7d2071c5d34068398e883da3fa78b14.png

操作步骤

添加依赖

引入 Spring Boot Starter 父工程

4e172d805c747c725248b0edaad1b0f7.png

添加 springSecurity 及 mybatisPlus 的依赖,添加后的整体依赖如下

aa2b1b74bb82e5dd9dfa77f307dfc429.png

配置

配置一下数据源

454e50277d09b5f4b32bd78e2fc756c6.png

编码

用户登录相关代码请参考 第二十五章:整合SpringSecurity之基于数据库实现登录鉴权,这里不再粘贴。

实体类

角色实体类 Role,实现权限接口 GrantedAuthority

06a3d9dac2be320dcbf33f7b5484c706.png

资源实体

35f2856053df390178d13e14839e88e0.png

资源角色关系实体

6a08ae34c831606a15cae8988e79631d.png

Repository 层

分别为三个实体类添加 Mapper

1e799fa9edc971f0448be8ceee119cff.png

实现自定义方法鉴权

c611aba80036e2b3f08700c389a75cd8.png

注册配置

不用再声明 @EnableGlobalMethodSecurity 注解,注册自定义鉴权方法 authService.canAccess

db6fa7694a257fd9bf01179d1f5f20e0.png

去掉原来的方法鉴权相关注解

2d0eccd68d5591cdfa9b4c2ed65ea165.png
启动类
bc556c59b4b58d6a45f1a17a7cb567cc.png

验证结果

初始化数据

执行测试用例进行初始化数据

b40e31f429fc45093970ed504229c892.png

校验

使用 admin 登录可以访问 /hello 及 /secure,使用 user 登录则只能访问 /hello

源码地址

本章源码 : https://gitee.com/gongm_24/spring-boot-tutorial.git

参考

249.Spring Boot+Spring Security:基于URL动态权限:扩展access()的SpEL表达式

weixin_39557419
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringBoot2.0 整合 SpringSecurity 框架实现用户权限安全管理方法
08-25
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。这篇文章主要介绍SpringBoot2.0 整合 SpringSecurity 框架,实现用户权限安全管理 ,需要的朋友可以参考下
SpringBoot2.0 整合 Dubbo框架实现RPC服务远程调用方法
08-25
本文主要介绍SpringBoot2.0 整合 Dubbo 框架实现 RPC 服务远程调用方法的详细步骤和配置。在本文中,我们将详细介绍 Dubbo 框架的简介、核心角色说明、与 SpringBoot2.0整合、核心依赖、项目结构说明、核心...
Spring SecurityHttpSecurity常用方法及说明
wh柒八九的博客
05-29 3389
本文来说下spring securityHttpSecurity常用方法,这个spring security中使用的非常多,功能十分丰富,其中包含的方法也是非常多,在实际的开发中,需要重写里面的一些方法,来实现我们自己需要的功能。 文章目录概述 概述 在idea中生成HttpSecurity图 ...
Spring Security源码(三):HttpSecurity 详解
技术分享,读书笔记,面试宝典,算法积累,应有尽有~
04-10 1532
大致可以将其内方法分为两大型,一是框架自身默认给开发者提供的认证配置方法,可供开发者选择性调用。还有一可供开发者配置自己的过滤器。
深入理解 HttpSecurity【源码篇】
最新发布
2401_84048006的博客
04-07 1253
AbstractSecurityBuilder 实现了 SecurityBuilder 接口,该中主要做了一件事,就是确保整个构建只被构建一次。if (!可以看到,这里重新定义了 build 方法,并设置 build 方法为 final 型,无法被重写,在 build 方法中,通过 AtomicBoolean 实现该方法只被调用一次。具体的构建逻辑则定义了新的抽象方法 doBuild,将来在实现中通过 doBuild 方法定义构建逻辑。
若依 security+cas 整合
kingofXIAN的博客
02-07 774
若依 整合 cas 实现单点登录
websecurityconfigureradapter_深入理解 WebSecurityConfigurerAdapter「源码篇」
weixin_39924584的博客
11-23 534
我们继续来撸 Spring Security 源码,今天来撸一个非常重要的 WebSecurityConfigurerAdapter。我们的自定义都是继承自 WebSecurityConfigurerAdapter 来实现的,但是对于 WebSecurityConfigurerAdapter 内部的工作原理,配置原理,很多小伙伴可能都还不太熟悉,因此我们今天就来捋一捋。我们先来看一张 WebSec...
SpringBoot - HttpSecurity是什么?
记录并分享
08-11 1080
HttpSecurity用于在实际的业务场景中针对不同的URL采用不同的权限处理策略。一般会在重载WebSecurityConfigurerAdapter基的configure(HttpSecurity httpSecurity)方法中完成权限策略的处理。HttpSecuritySecurityBuilder接口的一个实现,这是一个HTTP安全相关的构建器。当然我们在构建时可能需要一些配置,当我们调用HttpSecurity对象的方法时,实际上就是在进行配置。...
Springboot整合Oauth2.0spring security项目数据库
09-25
说明: 1、附件使用的MySQL数据的sql文件 2、sql主要包含Oauth2.0使用的数据源数据库库表及用户管理系统库表 3、使用Navicat for mySql可一键恢复数据库库表结构
SpringBoot2.0实战教程
06-30
基于SpringBoot 2.x版本, 目前相对比较全的SpringBoot教学视频,以通俗易懂的方式讲解SpringBoot核心技术, 适合初学者的教程,让你少走弯路! 课程内容包括: 1.SpringBoot简介、优点 2.SpringBoot应用 3.配置...
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
2. **配置Spring Security**:我们需要在Spring Cloud Gateway项目中引入Spring Security依赖,并配置相关的安全配置。这包括定义认证和授权的规则,例如基于JWT(JSON Web Tokens)的认证,或者基于OAuth2的授权...
SpringBoot2.0实战 | 第三十章:整合SpringSecurity之基于SpEL表达式实现动态方法鉴权
死牛胖子的技术随笔
03-23 865
在前面的文章中,我们已经实现了对登录操作,实现数据库鉴权,对当前登录用户的登录状态实现了权限控制。 第二十四章:整合SpringSecurity之最简登录方法鉴权 第二十五章:整合SpringSecurity之使用数据库实现登录鉴权 用户登录成功后,会加载当前用户的角色至内存,至于哪个角色可以访问哪些方法,则是通过 SpringSecurity 提供的方法鉴权来实现。 通过 @EnableG...
spirng框架之spring security(二)使用access()方法实现RBAC权限模型(另包涵简单动态菜单实现)
u011529483的博客
03-27 1487
spirng框架之spring security(二) 使用access()方法实现RBAC权限模型(另包涵简单动态菜单实现)
Springboot实战19 服务授权:如何基于 Spring Security 确保请求安全访问?
sucaiwa的博客
04-10 221
18 讲中,我们集中讨论了如何通过 WebSecurityConfigurerAdapter 完成对用户认证体系的构建。这一讲我们将继续使用这个配置完成对服务访问的授权控制。在日常开发过程中,我们需要对 Web 应用中的不同 HTTP 端点进行不同粒度的权限控制,并且希望这种控制方法足够灵活。而借助 Spring Security 框架,我们就可以对其进行简单实现,下面我们一起来看下。在一个 Web 应用中,权限管理的对象是通过 Controller 层暴露的一个个 HTTP 端点,而这些 HTTP 端点
Spring Security 详解与实操第二节 授权和基础案例
fegus的博客
05-01 865
访问授权:如何对请求的安全访问过程进行有效配置? 通过前面几讲的介绍,相信你已经对 Spring Security 中的认证流程有了更全面的了解。认证是实现授权的前提和基础,通常我们在执行授权操作时需要明确目标用户,只有明确目标用户才能明确它所具备的角色和权限,用户、角色和权限也是 Spring Security 中所采用的授权模型,今天我就和你一起探讨授权模型的实现过程以及在日常开发过程中的应用方式。 Spring Security 中的权限和角色 实现访问授权的基本手段是使用配置方法,我们已经在“用户认
security access角色名称
weixin_44261856的博客
03-19 584
出现这个错误 经查找资料了解access的角色名称必须以 **ROLE_**开头
spring security 登录、权限管理配置
热门推荐
Abel.lin的专栏
04-24 1万+
登录流程 1)容器启动(MySecurityMetadataSource:loadResourceDefine加载系统资源与权限列表)  2)用户发出请求  3)过滤器拦截(MySecurityFilter:doFilter)  4)取得请求资源所需权限(MySecurityMetadataSource:getAttributes)  5)匹配用户拥有权限和请求权限(MyAcce
初步理解Spring Security并实践
weixin_44742132的博客
06-06 126
Spring Security主要做两件事,一件是认证,一件是授权。1.Spring Security初体验Spring Security如何使用,先在你的项目pom.x...
springboot访问请求放行_SpringBoot2系列教程88-SpringBoot整合SpringSecurity实现认证拦截...
06-07
可以通过在Spring Security的配置中添加WebSecurityConfigurerAdapter来实现对请求的放行。 示例代码如下: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值