Springboot +spring security,方法权限注解

已于 2023-12-11 14:02:01 修改
阅读量2.3k 收藏 4
点赞数
分类专栏: SpringBoot spring security Java开发 文章标签: spring spring boot java
于 2023-05-27 21:12:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40991408/article/details/130905828
版权

一.简介

这篇文章来讲下Spring Security的方法权限注解。

二.注解介绍

  1. @PostAuthorize:在目标方法执行之后进行权限校验
  2. @PostFilter:在目标方法执行之后对方法的返回结果进行过滤
  3. @PreAuthorize:在目标方法执行之前进行权限校验。
  4. @PreFilter:在目标方法执行之前对方法参数进行过滤。
  5. @Secured:访问目标方法必须具备相应的角色
  6. @DenyAll:拒绝所有访问
  7. @PermitAll: 允许所有访问
  8. @RolesAlowed:访问目标方法必须具有的角色

三.权限表达式

  1. hasRole(role):当前用户是否具备指定角色
  2. hasAnyRole(role …):当前用户是否具备指定角色中的任意一个
  3. hasAuthority(authority):当前用户是否具备指定的权限
  4. hasAnyAuthority(authority …):当前用户是否具备指定的权限任意一个
  5. principal:当前登录主体
  6. authentication:context中authentication对象
  7. permitAll():允许所有请求
  8. denyAll():拒绝所有请求
  9. isAnonymous():当前用户是否是一个匿名用户

四.创建项目

如何创建一个SpringSecurity项目,前面文章已经有说明了,这里就不重复写了。

依赖:

org.springframework.security:spring-security-test

五.基本用法

5.1权限注解用法

UserService类,代码如下:

@Service
public class UserService {
    @PreAuthorize("hasRole('ADMIN')")
    public String hello() {
        return "hello";
    }
    @PreAuthorize("hasRole('ADMIN') and authentication.name=='lglbc'")
    public String hello2() {
        return "hello";
    }
    @PreAuthorize("hasRole('ADMIN') and authentication.name==#name")
    public String hello3(String name) {
        return "hello";
    }

    @PreFilter(value = "filterObject.id%2!=0",filterTarget = "users")
    public void addUsers(List<User> users, Integer other) {
        System.out.println("users = " + JSON.toJSONString(users));
    }
    @PostFilter("filterObject.id%2==0")
    public List<User> getAll() {
        List<User> users = new ArrayList<>();
        for (int i = 0; i < 10; i++) {
            users.add(new User(i, "lglbc_:" + i));
        }
        return users;
    }

    @Secured({"ROLE_ADMIN","ROLE_USER"})
    public User getUserByUsername(String username) {
        return new User(99, username);
    }

    @DenyAll
    public String denyAll() {
        return "DenyAll";
    }

    @PermitAll
    public String permitAll() {
        return "PermitAll";
    }
    @RolesAllowed({"ADMIN","USER"})
    public String rolesAllowed() {
        return "RolesAllowed";
    }
}

ApplicationTest类,代码如下:

@SpringBootTest
public class ApplicationTest {
    @Autowired
    private UserService userService;

    @Test
    @WithMockUser(roles = "ADMIN")
    void preauthorizeTest01() {
        String result = userService.hello();
        assertNotNull(result);
    }

    @Test
    @WithMockUser(roles = "ADMIN", username = "lglbc")
    void preauthorizeTest02() {
        String result = userService.hello2();
        assertNotNull(result);
    }

    @Test
    @WithMockUser(roles = "ADMIN", username = "lglbc")
    void preauthorizeTest03() {
        String result = userService.hello3("lglbc");
        assertNotNull(result);
    }

    @Test
    @WithMockUser(username = "lglbc")
    void preFilterTest01() {
        List<User> users = new ArrayList<>();
        for (int i = 0; i < 10; i++) {
            users.add(new User(i, "lglbc_:" + i));
        }
        userService.addUsers(users, 99);
    }

    @Test
    @WithMockUser(roles = "ADMIN")
    void postFilterTest01() {
        List<User> all = userService.getAll();
        assertNotNull(all);
        assertEquals(5, all.size());
        assertEquals(2, all.get(1).getId());
    }

    @Test
    @WithMockUser(roles = "ADMIN")
    void securedTest01() {
        User user = userService.getUserByUsername("lglbc");
        assertNotNull(user);
        assertEquals(99, user.getId());
        assertEquals("lglbc", user.getUserName());
    }

    @Test
    @WithMockUser(username = "lglbc")
    void denyAllTest01() {
//        userService.denyAll();
    }

    @Test
    @WithMockUser(username = "lglbc")
    void permitAllTest01() {
        String s = userService.permitAll();
        assertNotNull(s);
        assertEquals("PermitAll", s);
    }

    @Test
    @WithMockUser(roles = "ADMIN")
    void rolesAllowedTest01() {
        String s = userService.rolesAllowed();
        assertNotNull(s);
        assertEquals("RolesAllowed", s);
    }
}

3.2权限表达式用法

SecurityExpressService 类,代码如下:

import org.springframework.security.access.prepost.PreAuthorize;
import org.springframework.stereotype.Service;

@Service
public class SecurityExpressService {
    @PreAuthorize("@permission.check(#value)")
    public String customPermission(String value){
        return value;
    }
    @PreAuthorize("hasAuthority('ROLE_admin')")
    public String hasAuthority(String value){
        return value;
    }
    @PreAuthorize("hasAnyAuthority('ROLE_admin','ROLE_user')")
    public String hasAnyAuthority(String value){
        return value;
    }
    @PreAuthorize("hasRole('admin')")
    public String hasRole(String value){
        return value;
    }
    @PreAuthorize("hasAnyRole('admin','user')")
    public String hasAnyRole(String value){
        return value;
    }
    @PreAuthorize("principal.username=='lglbc'")
    public String principal(String value){
        return value;
    }
    @PreAuthorize("permitAll()")
    public String permitAll(String value){
        return value;
    }
    @PreAuthorize("denyAll()")
    public String denyAll(String value){
        return value;
    }
}

SecurityExpressTest 类,代码如下:

import org.junit.jupiter.api.Test;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.boot.test.context.SpringBootTest;
import org.springframework.security.access.prepost.PreAuthorize;
import org.springframework.security.test.context.support.WithMockUser;

@SpringBootTest
public class SecurityExpressTest {
    @Autowired
    private SecurityExpressService securityExpressService;
    @Test
    @WithMockUser(roles = "admin")
    public void hasAuthority(){
        securityExpressService.hasAuthority("hello");
    }
    @Test
    @WithMockUser(roles = "admin")
    public void hasAnyAuthority(){
        securityExpressService.hasAnyAuthority("hello");
    }
    @Test
    @WithMockUser(roles = "admin")
    public void hasRole(){
        securityExpressService.hasRole("hello");
    }
    @Test
    @WithMockUser(roles = "user")
    public void hasAnyRole(){
        securityExpressService.hasAnyRole("hello");
    }
    @Test
    @WithMockUser(roles = "admin",username = "lglbc")
    public void principal(){
        securityExpressService.principal("hello");
    }
    @Test
    @WithMockUser()
    public void permitAll(){
        securityExpressService.permitAll("hello");
    }
    @Test
    @WithMockUser(roles = "admin")
    public void denyAll(){
        securityExpressService.denyAll("hello");
    }
    @Test
    @WithMockUser(roles = "admin")
    public void customPermission(){
        securityExpressService.customPermission("lglbc");
    }
}
刘德华一不小心就打代码
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
springboot+springsecurity动态权限
weixin_43740982的博客
10-26 222
WebSecurityConfigurerAdapter 关键配置 .accessDeniedHandler(new MyAccessDeniedHandler())//权限不足是报错类 .and().authorizeRequests().withObjectPostProcessor(new ObjectPostProcessor<FilterSecurityInterceptor>() { @Override ..
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解权限验证
08-26
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解权限验证,可根据注解的格式不同,做到角色权限控制,角色加资源权限控制等,粒度比较细化。 @PreAuthorize("hasAnyRole('ADMIN','USER')"):具有admin或...
详细分析SpringSecurity中的@PreAuthorize注解
码农研究僧的博客
01-27 7630
Java中,`@PreAuthorize` 是Spring Security框架中的一个注解,用于在方法调用之前对用户的权限进行验证。 允许在方法级别定义访问控制规则,确保只有满足指定条件的用户才能调用该方法 这个注解通常与Spring的AOP(面向切面编程)结合使用,推荐阅读: Spring框架从入门到学精(全) java框架 零基础从入门到精通的学习路线 附开源项目面经等(超全)
springboot整合security实现权限控制
最新发布
Amour恋空的博客
05-22 1242
Spring Security 的前身是 Acegi Security ,是。Spring Security 为基于J2EE企业应用软件提供了全面安全服务。特别是使用领先的J2EE解决方案-Spring框架开发的企业软件项目。人们使用Spring Security有很多种原因,不过通常吸引他们的是在J2EE Servlet规范或EJB规范中找不到典型企业应用场景的解决方案。特别要指出的是他们不能再WAR 或 EAR 级别进行移植。
想要控制好权限,这八个注解你必须知道!
麦叔
08-22 1084
在讲数据权限之前,我们有必要先和大家介绍一下 Spring Security 中的权限注解,把这个捋清楚了,再去看 TienChin 项目的权限注解,你就会发现非常容易了。
SpringBoot AOP切面实现权限校验,实例演示与注解全解
qq_50523945的博客
05-30 2701
面向切面思想,是Spring的三大核心思想之一(两外两个:IOC-控制反转、DI-依赖注入)。那么AOP为何那么重要呢?在我们的程序中,经常存在一些系统性的需求,比如权限校验、日志记录、统计等,这些代码会散落穿插在各个业务逻辑中,非常冗余且不利于维护。例如下面这个示意图:有多少业务操作,就要写多少重复的校验和日志记录代码,这显然是无法接受的。
Springboot-权限注解
LifeBackwards的专栏
03-03 3382
权限注解作用在Controller的方法上,作用是调用者是否有权限调用该接口。(本文代码参考若依项目) 1.权限示例 1.数据权限示例 // 符合system:user:list权限要求 @PreAuthorize(hasPermi = "system:user:list") @GetMapping("/list") public TableDataInfo list(SysUser user) { startPage(); List<SysUser> list
一个注解搞定Spring Security 忽略拦截
小魏的奇妙世界
12-20 4364
一个注解搞定spring-security忽略拦截, 减少开发硬编码配置
Spring boot自定义注解
eugene03的博客
04-26 1810
Target(ElementType . PARAMETER) // 形式参数声明 @Retention(RetentionPolicy . RUNTIME) @Documented public @interface checkLogin {/**/*** 默认请求次数* @return/*** 默认时间 秒为单位 默认60秒内不能超过10次* @return/*** 限制时间 超过请求次数限制60秒 (以秒为单位)* @return​。
SpringBoot+SpringSecurity+WebSocket
04-11
在"SpringBoot+SpringSecurity"的组合中,SpringSecurity负责处理用户身份验证和权限管理,确保只有经过授权的用户才能访问特定的资源和服务。这在WebSocket应用中尤为重要,因为WebSocket连接一旦建立,就可能长期...
基于springboot+springSecurity+jwt实现的基于token的权限管理
02-24
这个基于"springboot+springSecurity+jwt实现的基于token的权限管理"的示例项目,旨在帮助开发者理解和实践这些技术。 首先,Spring BootSpring框架的简化版,它提供了快速构建和部署应用程序的能力。通过自动...
springboot--全注解式的权限管理系统源码
08-30
spring security注解式的权限管理/动态配置权限,角色和资源,权限控制到按钮粒度/采用token进行权限校验,禁用session,未登录返回401,权限不足返回403 /采用redis存储token及权限信息
springboot+security+mybatis+redis+jwt,鉴权框架搭建
06-22
本项目集成了springboot+security+mybatis+redis+jwt用于学习security鉴权功能,其中有...项目搭建已经比较成熟,能够直接进行使用,通过代码可以学习security权限配置,菜单权限注解权限等 有学习SPI机制的学习
基于springboot+springSecurity+jwt实现的基于token的权限管理的一个demo,适合新手
02-25
本示例项目“基于springboot+springSecurity+jwt实现的基于token的权限管理的一个demo”提供了一个易于理解的起点,让新手可以快速掌握如何在Spring Boot应用中集成Spring Security和JSON Web Token (JWT)来实现用户...
八、权限注解
Class雷
02-05 341
@RequiresAuthentication : 表示当前Subject已经通过login进行了身份验证;即Subject.isAunthentication() 返回true @RequiresUser : 表示当前Subject已经身份验证或者通过记住我登录的 @RequiresGuest : 表示当前Subject没有身份验证或者记住我登录过,即...
SpringSecurity权限校验详解说明(附完整代码)
qq_51076413的博客
02-19 3619
SpringSecurity安全检验、SpringSecurity权限认证、SpringSecurity权限校验、SpringSecurity自定义校验、SpringSecurity自定义校验规则、SpringSecurity异常处理器
登陆认证&amp;权限控制(2)—— 基于Spring security 安全框架的权限管理 &amp; 注解权限控制 &amp; RABC模型_security权限控制注解
2401_84281594的博客
04-14 621
1.Spring Security的使用,结合MySQL,Redis实现基于JWT的注解式的权限认证,并且可以实现给不同的用户显示不同的前端页面;2.项目中的快速应用和使用,拦截器的设置,安全框架的配置;3.权限表的设计,基于角色的访问控制RABC模型;4.启动注解的配置,通过注解实现权限的控制;5.给不同的用户显示不同的页面,相关的SQL以及前端页面;
Spring Security用户认证和权限控制(默认实现)
jingke_1524的博客
09-25 1361
1 背景 实际应用系统中,为了安全起见,一般都必备用户认证(登录)和权限控制的功能,以识别用户是否合法,以及根据权限来控制用户是否能够执行某项操作。 Spring Security是一个安全相关的框架,能够与Spring项目无缝整合,本文主要是介绍Spring Security默认的用户认证和权限控制的使用方法和原理,但不涉及到自定义实现。 Spring Security用户认证和权限控制(自定义实现)这篇文章专门讲解用户认证和权限控制相关的自定义实现。 2 实战示例 2.1 创建工程 创建一个
SpringBoot 整合SpringSecurity示例实现前后分离权限注解+JWT登录认证
程序员小明1024
10-05 976
.markdown-body { line-height: 1.75; font-weight: 400; font-size: 16px; overflow-x: hidden; color: rgba(51, 51, 51, 1) } .markdown-body h1, .markdown-body h2, .markdown-body h3, .markdown-body h4, .ma...
springboot+springsecurity实现权限模块设计
02-22
Spring BootSpring Security可以协同工作,来实现权限模块的设计。首先,可以使用Spring Security提供的拦截器,来处理用户的访问请求,验证用户的身份。其次,可以使用Spring Boot的相关注解,来标记用户的角色,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

刘德华一不小心就打代码

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值