@PreAuthorize 不起作用

最新推荐文章于 2024-01-10 16:28:35 发布
最新推荐文章于 2024-01-10 16:28:35 发布
阅读量1.3w 收藏 5
点赞数 7
分类专栏: idea java相关
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41195786/article/details/84439384
版权

前情提要:

我使用的是springboot 2.02 oauth2组合。

使用场景:根据业务需要,我需要对用户进行一个区分,比如说普通用户与超级用户管理员的区分。

spring security 官网 https://docs.spring.io/spring-security/site/docs/5.2.0.RELEASE/reference/htmlsingle/

参考文档:https://stackoverflow.com/questions/19525380/difference-between-role-and-grantedauthority-in-spring-security

但是,在使用了

@PreAuthorize("hasRole('USER')")之后发现并没有效果

条件1,你需要在你的配置项中添加这一行代码

@EnableGlobalMethodSecurity(prePostEnabled=true)

我在网上搜索到的答案大部分都是这样的,并且也都是在这种形式。这里我要提一下,我的授权服务器同时也是资源服务器,所以在我的另外一个资源里面,也要添加这一行代码的,否则光授权有,另外一个资源服务器没有这行代码是不起作用的。

然后使用方法是在controller层的方法上添加

@PreAuthorize("hasRole('USER')")这行代码就行,更具体的表达式请参考这个老哥的博客http://blog.csdn.net/w605283073/article/details/51327182

到这里网上几乎就是这种回答了,但是我的问题是,我不可能说我手动的在auth.inMemoryAuth...().withUser()方法里面一个个添加用户然后做角色判断的,我数据库表里几千个用户,一个个手动添加那完蛋了。有一种取巧的是,我只对管理员进行添加(个人不建议这种)。

然后第二种的话,肯定是从数据库里面添加了。

看图,关键点在这行代码

AuthorityUtils.commaSeparatedStringToAuthorityList("ROLE_USER"),里面的参数不是"USER",切记。

我图上的是对所有用户进行user角色的添加,如果要添加admin的话,那只要事先对用户标记,然后再进行角色添加就行了,无非是多几个if判断而已。好了,做到这里如果还是没有效果,请先在控制台里执行mvn clean compile

到这一步就结束了

 

cc-shuang
关注
  • 7
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity 3.0.1.RELEASE.CHM
03-21
序言 I. 入门 1. 介绍 1.1. Spring Security是什么? 1.2. 历史 1.3. 发行版本号 1.4. 获得Spring Security 1.4.1. 项目模块 1.4.1.1. Core - spring-security-core.jar 1.4.1.2. Web - spring-security-web.jar 1.4.1.3. Config - spring-security-config.jar 1.4.1.4. LDAP - spring-security-ldap.jar 1.4.1.5. ACL - spring-security-acl.jar 1.4.1.6. CAS - spring-security-cas-client.jar 1.4.1.7. OpenID - spring-security-openid.jar 1.4.2. 获得源代码 2. Security命名空间配置 2.1. 介绍 2.1.1. 命名空间的设计 2.2. 开始使用安全命名空间配置 2.2.1. 配置web.xml 2.2.2. 最小 <http>配置 2.2.2.1. auto-config包含了什么? 2.2.2.2. 表单和基本登录选项 2.2.3. 使用其他认证提供器 2.2.3.1. 添加一个密码编码器 2.3. 高级web特性 2.3.1. Remember-Me认证 2.3.2. 添加HTTP/HTTPS信道安全 2.3.3. 会话管理 2.3.3.1. 检测超时 2.3.3.2. 同步会话控制 2.3.3.3. 防止Session固定攻击 2.3.4. 对OpenID的支持 2.3.4.1. 属性交换 2.3.5. 添加你自己的filter 2.3.5.1. 设置自定义 AuthenticationEntryPoint 2.4. 保护方法 2.4.1. <global-method-security>元素 2.4.1.1. 使用protect-pointcut添加安全切点 2.5. 默认的AccessDecisionManager 2.5.1. 自定义AccessDecisionManager 2.6. 验证管理器和命名空间 3. 示例程序 3.1. Tutorial示例 3.2. Contacts 3.3. LDAP例子 3.4. CAS例子 3.5. Pre-Authentication例子 4. Spring Security社区 4.1. 任务跟踪 4.2. 成为参与者 4.3. 更多信息 II. 结构和实现 5. 技术概述 5.1. 运行环境 5.2. 核心组件 5.2.1. SecurityContextHolder, SecurityContext 和 Authentication对象 5.2.1.1. 获得当前用户的信息 5.2.2. UserDetailsService 5.2.3. GrantedAuthority 5.2.4. 小结 5.3. 验证 5.3.1. 什么是Spring Security的验证呢? 5.3.2. 直接设置SecurityContextHolder的内容 5.4. 在web应用中验证 5.4.1. ExceptionTranslationFilter 5.4.2. AuthenticationEntryPoint 5.4.3. 验证机制 5.4.4. 在请求之间保存SecurityContext。 5.5. Spring Security中的访问控制(验证) 5.5.1. 安全和AOP建议 5.5.2. 安全对象和AbstractSecurityInterceptor 5.5.2.1. 配置属性是什么? 5.5.2.2. RunAsManager 5.5.2.3. AfterInvocationManager 5.5.2.4. 扩展安全对象模型 5.6. 国际化 6. 核心服务 6.1. The AuthenticationManager, ProviderManager 和 AuthenticationProviders 6.1.1. DaoAuthenticationProvider 6.2. UserDetailsService实现 6.2.1. 内存认证 6.2.2. JdbcDaoImpl 6.2.2.1. 权限分组 6.3. 密码加密 6.3.1. 什么是散列加密? 6.3.2. 为散列加点儿盐 6.3.3. 散列和认证 III. web应用安全 7. 安全过滤器链 7.1. DelegatingFilterProxy 7.2. FilterChainProxy 7.2.1. 绕过过滤器链 7.3. 过滤器顺序 7.4. 使用其他过滤器 —— 基于框架 8. 核心安全过滤器 8.1. FilterSecurityInterceptor 8.2. ExceptionTranslationFilter 8.2.1. AuthenticationEntryPoint 8.2.2. AccessDeniedHandler 8.3. SecurityContextPersistenceFilter 8.3.1. SecurityContextRepository 8.4. UsernamePasswordAuthenticationFilter 8.4.1. 认证成功和失败的应用流程 9. Basic(基本)和Digest(摘要)验证 9.1. BasicAuthenticationFilter 9.1.1. 配置 9.2. DigestAuthenticationFilter 9.2.1. Configuration 10. Remember-Me认证 10.1. 概述 10.2. 简单基于散列标记的方法 10.3. 持久化标记方法 10.4. Remember-Me接口和实现 10.4.1. TokenBasedRememberMeServices 10.4.2. PersistentTokenBasedRememberMeServices 11. 会话管理 11.1. SessionManagementFilter 11.2. SessionAuthenticationStrategy 11.3. 同步会话 12. 匿名认证 12.1. 概述 12.2. 配置 12.3. AuthenticationTrustResolver IV. 授权 13. 验证架构 13.1. 验证 13.2. 处理预调用 13.2.1. AccessDecisionManager 13.2.2. 基于投票的AccessDecisionManager实现 13.2.2.1. RoleVoter 13.2.2.2. AuthenticatedVoter 13.2.2.3. Custom Voters 13.3. 处理后决定 14. 安全对象实现 14.1. AOP联盟 (MethodInvocation) 安全拦截器 14.1.1. 精确的 MethodSecurityIterceptor 配置 14.2. AspectJ (JoinPoint) 安全拦截器 15. 基于表达式的权限控制 15.1. 概述 15.1.1. 常用内建表达式 15.2. Web 安全表达式 15.3. 方法安全表达式 15.3.1. @Pre 和 @Post 注解 15.3.1.1. 访问控制使用 @PreAuthorize 和 @PostAuthorize 15.3.1.2. 过滤使用 @PreFilter 和 @PostFilter V. 高级话题 16. 领域对象安全(ACLs) 16.1. 概述 16.2. 关键概念 16.3. 开始 17. 预认证场景 17.1. 预认证框架类 17.1.1. AbstractPreAuthenticatedProcessingFilter 17.1.2. AbstractPreAuthenticatedAuthenticationDetailsSource 17.1.2.1. J2eeBasedPreAuthenticatedWebAuthenticationDetailsSource 17.1.3. PreAuthenticatedAuthenticationProvider 17.1.4. Http403ForbiddenEntryPoint 17.2. 具体实现 17.2.1. 请求头认证(Siteminder) 17.2.1.1. Siteminder示例配置 17.2.2. J2EE容器认证 18. LDAP认证 18.1. 综述 18.2. 在Spring Security里使用LDAP 18.3. 配置LDAP服务器 18.3.1. 使用嵌入测试服务器 18.3.2. 使用绑定认证 18.3.3. 读取授权 18.4. 实现类 18.4.1. LdapAuthenticator实现 18.4.1.1. 常用功能 18.4.1.2. BindAuthenticator 18.4.1.3. PasswordComparisonAuthenticator 18.4.1.4. 活动目录认证 18.4.2. 链接到LDAP服务器 18.4.3. LDAP搜索对象 18.4.3.1. FilterBasedLdapUserSearch 18.4.4. LdapAuthoritiesPopulator 18.4.5. Spring Bean配置 18.4.6. LDAP属性和自定义UserDetails 19. JSP标签库 19.1. 声明Taglib 19.2. authorize标签 19.3. authentication 标签 19.4. accesscontrollist 标签 20. Java认证和授权服务(JAAS)供应器 20.1. 概述 20.2. 配置 20.2.1. JAAS CallbackHandler 20.2.2. JAAS AuthorityGranter 21. CAS认证 21.1. 概述 21.2. CAS是如何工作的 21.3. 配置CAS客户端 22. X.509认证 22.1. 概述 22.2. 把X.509认证添加到你的web系统中 22.3. 为tomcat配置SSL 23. 替换验证身份 23.1. 概述 23.2. 配置 A. 安全数据库表结构 A.1. User表 A.1.1. 组权限 A.2. 持久登陆(Remember-Me)表 A.3. ACL表 A.3.1. Hypersonic SQL A.3.1.1. PostgreSQL B. 安全命名空间 B.1. Web应用安全 - <http>元素 B.1.1. <http>属性 B.1.1.1. servlet-api-provision B.1.1.2. path-type B.1.1.3. lowercase-comparisons B.1.1.4. realm B.1.1.5. entry-point-ref B.1.1.6. access-decision-manager-ref B.1.1.7. access-denied-page B.1.1.8. once-per-request B.1.1.9. create-session B.1.2. <access-denied-handler> B.1.3. <intercept-url>元素 B.1.3.1. pattern B.1.3.2. method B.1.3.3. access B.1.3.4. requires-channel B.1.3.5. filters B.1.4. <port-mappings>元素 B.1.5. <form-login>元素 B.1.5.1. login-page B.1.5.2. login-processing-url B.1.5.3. default-target-url B.1.5.4. always-use-default-target B.1.5.5. authentication-failure-url B.1.5.6. authentication-success-handler-ref B.1.5.7. authentication-failure-handler-ref B.1.6. <http-basic>元素 B.1.7. <remember-me>元素 B.1.7.1. data-source-ref B.1.7.2. token-repository-ref B.1.7.3. services-ref B.1.7.4. token-repository-ref B.1.7.5. key属性 B.1.7.6. token-validity-seconds B.1.7.7. user-service-ref B.1.8. <session-management> 元素 B.1.8.1. session-fixation-protection B.1.9. <concurrent-control>元素 B.1.9.1. max-sessions属性 B.1.9.2. expired-url属性 B.1.9.3. error-if-maximum-exceeded属性 B.1.9.4. session-registry-alias和session-registry-ref属性 B.1.10. <anonymous>元素 B.1.11. <x509>元素 B.1.11.1. subject-principal-regex属性 B.1.11.2. user-service-ref属性 B.1.12. <openid-login>元素 B.1.13. <logout>元素 B.1.13.1. logout-url属性 B.1.13.2. logout-success-url属性 B.1.13.3. invalidate-session属性 B.1.14. <custom-filter>元素 B.2. 认证服务 B.2.1. <authentication-manager>元素 B.2.1.1. <authentication-provider>元素 B.2.1.2. 使用 <authentication-provider> 来引用一个 AuthenticationProvider Bean B.3. 方法安全 B.3.1. <global-method-security>元素 B.3.1.1. secured-annotations和jsr250-annotations属性 B.3.1.2. 安全方法使用<protect-pointcut> B.3.1.3. <after-invocation-provider> 元素 B.3.2. LDAP命名空间选项 B.3.2.1. 使用<ldap-server>元素定义LDAP服务器 B.3.2.2. <ldap-provider>元素 B.3.2.3. <ldap-user-service>元素
SpringSecurity权限认证@preAuthorize失效
Gufang617的博客
08-25 3001
. 原因分析 1.跟着老师搭载的SSO(单点登录)项目,没有进行sys:res:update的授权,但是SpringSecurity就是不对其进行拦截,结果前端返回的response.data中只有"doUpdate resource (update) ok" 2.授权被拦截而执行的方法,没有执行.map中没有put入message. 3.故导致前端页面alert(response.data.message),message都是undefined 解决办法:在图片中红线位置加这局注解即可. 原理:@
@PreAuthorize注解不起作用?
zcents的博客
09-03 2733
1.将prePostEnabled设置为true:@EnableGlobalMethodSecurity(prePostEnabled=true) 2.如果还是不起作用查看是否缺少aop依赖(小编当时不起作用就是缺少这个依赖): spingboot中 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>.
PreAuthorize 拦截无效 不起作用
奇异天马的魔法书
10-21 2997
@PreAuthorize不起作用 解决:将security:global-method-security从SpringSecurity.xml中转移到SpringMVC.xml配置文件中即可解决 &amp;lt;security:global-method-security pre-post-annotations=“enabled” jsr250-annotations=“enabled” secur...
Spring security实现权限管理示例
08-31
主要介绍了Spring security实现权限管理示例,这里整理了详细的代码,具有一定的参考价值,感兴趣的小伙伴们可以参考一下。
SpringSecurity使用@PreAuthorize进行角色校验无效
wsb_2526的博客
07-31 1622
错误 SpringSecurity使用@PreAuthorize进行角色校验无效 解决方法 在类上加上注解@EnableGlobalMethodSecurity(prePostEnabled = true)。
Spring Boot下Spring Security权限认证@PreAuthorize注解失效
江枫暮雪的博客
07-29 4858
Spring Boot下Spring Security权限认证@PreAuthorize注解失效 根据我的经历,一共有三种情况。如果谁还遇到其他情况可以提出来。 第一种情况。 就是网上大量出现的。没有添加**@EnableGlobalMethodSecurity**注解。 ...
SpringSecurity的注解@PreAuthorize的失效问题
最新发布
与其苟延残喘,不如纵情燃烧
01-10 580
原因:调用roles方法时源码会重新new一个list将authorities的数据覆盖,导致配置失效。所以delete权限在用户的权限数据里不存在。问题:测试响应式框架时,测试框架对于权限与角色的拦截问题,对于/delete的访问报错访问拒绝,但是数据里面配置了权限。解决:可以自己封装数据库里面的数据,将权限与角色信息分开处理。
spring security中PreAuthorize注解中配置了AccessDeniedHandler没有生效问题
shan165310175的专栏
04-09 8176
版本: spring security 2.1.0.RELEASE 出现情况的配置: 在接口中增加了注解: @PreAuthorize("hasRole('ROLE_AAA')") @RequestMapping("/hello0") public String hello(){ return "HELLO"; } 在WebSecurityConfigurerAda...
RepairAgency:维修机构宠物项目
05-17
维修机构宠物项目 项目介绍 功能齐全的维修公司。 拥有自己的权限的角色有4个: 用户 经理 行政 掌握 用户可以创建订单。 经理可以接受或拒绝提供价格和说明的订单。 师父可以按顺序报名,然后最终完成订单。 然后,用户可以为完成订单的主人留下评论。 另外,还有Admin可以用不同于用户的角色注册用户,并且他可以查看所有订单和用户信息。 技术栈 JDBC PostgreSQL JUnit的 莫基托 Log4j Tomcat Servlet,JSP,JSTL 玛文 Jasypt用于密码加密 Apache公地 建筑特色 自己的Jsp标签用于验证,安全性和分页 验证注释(@ Nullable,@ Valid),安全性(@PreAuthorize)和RequestMethod限制(@ GetMapping,@ PostMapping) 使用带有路由器的策略模式进行请求处理,该路由器决定应执
spel-maven-plugin:Maven插件,可在构建过程中扫描您的源代码,并在PreAuthorize等注释中查找Spring Expressions并对其进行验证
05-19
当前不验证类型引用T(fully.qualified.name.Type).isFoo()但这些似乎是下一个添加的不错的选择。 这个怎么运作 插件将类路径用于项目,以便加载配置的注释和可选的根上下文。 Reflections API 用于查找所有使用已...
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证
08-26
@PreAuthorize("hasAnyRole('ADMIN','USER')"):具有admin或user角色的用户可以访问。 @PreAuthorize("hasRole('ADMIN') and hasRole('USER')"):具有admin和user角色的用户可以访问 文章地址:...
spring security @PreAuthorize在controller中配置失效解决方法
臣本布衣,躬耕于南阳
08-12 6522
springmvc和spring security整合。在@Controller层 加@PreAuthorize注释没效果,囧(´Д`) 分析:一般配置文件是不会报错,但就是不起作用   初步分析如下: @Controller, @Service不要重复扫描.  会重复创建bean.  spring mvc 的servlet容器是spring 容器的子容器, 里面创建的bean(一般
关于Spring Boot下Spring Security权限访问设置@PreAuthorize(“hasRole(‘ROLE_ADMIN‘)“)没有用
xiaokanfuchen86的博客
10-10 2863
承接上篇:Spring Security整合后post数据不了,403拒绝访问 前几天想要限制不同角色的访问权限,于是就直接使用: @PreAuthorize("hasRole('ROLE_ADMIN')") 注解来标注一个实现类的方法上,但是其他权限依然可以访问 orz,于是我怀疑是放的位置不对,于是放在了Service接口里的方法上,也未果。于是直接放在Controller层的访问方法上,还是未果 ==||| 好了,上网查了一番:Spring Security @PreAuthorize 拦.
我的BUG日志(2020082601):spring security问题,hasAuthority方法无法获取权限的原因
王和平的第三个果园
08-26 1625
这里是spring security初始化用户详情信息 public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { //省略获取权限列表的代码 return new org.springframework.security.core.userdetails.User(userName, password, authList); } 然后是Controller的调用部分(注意hasAut
Spring Security中的@PreAuthorize注解拦截失效
an715396887的博客
08-09 809
在Spring Boot下Spring Security权限认证时,使用@PreAuthorize注解发现并没有拦截成功。Spring Security配置类( 也就是继承了。注解,以启用全局方法级安全性。
SpringBoot - @PreAuthorize注解详解
热门推荐
记录并分享
08-21 7万+
@PreAuthorize注解会在方法执行前进行权限验证,支持Spring EL表达式。只有当@EnableGlobalMethodSecurity(prePostEnabled=true)的时候,@PreAuthorize才可以使用。
@PreAuthorize注解的作用
08-30
@PreAuthorize注解是Spring Security框架提供的一种权限控制注解,用于在方法执行前对用户的权限进行验证。它可以用于Controller的方法、Service的方法或者其他组件的方法上。 通过在方法上添加@PreAuthorize注解,并指定相应的权限表达式,可以实现对方法的访问权限进行控制。权限表达式可以使用特定的语法,根据用户的角色、权限等信息来判断是否有权访问该方法。 当一个方法被调用时,Spring Security会先检查当前用户是否具有满足权限表达式的权限,如果不满足则会抛出AccessDeniedException异常,从而阻止方法的执行。 总之,@PreAuthorize注解的作用就是在方法执行前进行权限验证,确保只有具有合适权限的用户才能访问该方法。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值