Spring Security 之方法级的安全管控@PreAuthorize

最新推荐文章于 2024-05-01 01:30:00 发布
最新推荐文章于 2024-05-01 01:30:00 发布
阅读量2.7k 收藏 18
点赞数 4
分类专栏: springScurity
原文链接:https://www.cnblogs.com/harrychinese/p/SpringBoot_security1.html
版权

文章目录


原博文,点击这里
默认情况下, Spring Security 并不启用方法级的安全管控. 启用方法级的管控后, 可以针对不同的方法通过注解设置不同的访问条件.
Spring Security 支持三种方法级注解, 分别是 JSR-205 注解/@Secured 注解/prePostEnabled注解. 这些注解不仅可以直接加 controller 方法上, 也可以注解 Service 或 DAO 类中的方法.

启用方法级的管控代码是, 新建一个 WebSecurityConfigurerAdapter Configuration 类, 加上 @EnableGlobalMethodSecurity() 注解, 通过@EnableGlobalMethodSecurity 参数开启相应的方法级的管控.

1. JSR-205 注解

通过 @EnableGlobalMethodSecurity(jsr250Enabled=true), 开启 JSR-205 注解.

@DenyAll 注解, 拒绝所有的访问
@PermitAll 注解, 运行所有访问
@RolesAllowed({"USER","ADMIN"}), 该方法只允许有 ROLE_USER 或 ROLE_ADMIN 角色的用户访问.

2.@Secured 注解

通过 @EnableGlobalMethodSecurity(securedEnabled=true), 开启 @Secured 注解.
只有满足角色的用户才能访问被注解的方法, 否则将会抛出 AccessDenied 异常.
例子:
@Secured("ROLE_TELLER","ROLE_ADMIN"), 该方法只允许 ROLE_TELLER 或 ROLE_ADMIN 角色的用户访问.
@Secured("IS_AUTHENTICATED_ANONYMOUSLY"), 该方法允许匿名用户访问.

3.@PreAuthorize 类型的注解(支持 Spring 表达式)

3.1SPEL表达试(bean引用)

如果解析上下文已经配置,那么bean解析器能够 从表达式使用(@)符号查找bean类。

ExpressionParser parser = new SpelExpressionParser();
StandardEvaluationContext context = new StandardEvaluationContext();
context.setBeanResolver(new MyBeanResolver());

// This will end up calling resolve(context,"foo") on MyBeanResolver during evaluation
Object bean = parser.parseExpression("@foo").getValue(context);

@EnableGlobalMethodSecurity(prePostEnabled=true), 开启 prePostEnabled 相关的注解.
JSR-205 和 @Secured 注解功能较弱, 不支持 Spring EL 表达式. 推荐使用 @PreAuthorize 类型的注解.
具体有4个注解.
@PreAuthorize 注解, 在方法调用之前, 基于表达式结果来限制方法的使用.
@PostAuthorize 注解, 允许方法调用, 但是如果表达式结果为 false, 将抛出一个安全性异常.
@PostFilter 注解, 允许方法调用, 但必要按照表达式来过滤方法的结果.
@PreFilter 注解, 允许方法调用, 但必须在进入方法之前过来输入值.

例子:

@PreAuthorize("hasRole('ADMIN')") //必须有 ROLE_ADMIN 角色
public void addBook(Book book);

//必须同时具备 ROLE_ADMIN 和 ROLE_DBA 角色
@PreAuthorize("hasRole('ADMIN') AND hasRole('DBA')")
public void addBook(Book book);


@PreAuthorize ("#book.owner == authentication.name")
public void deleteBook(Book book);


@PostAuthorize ("returnObject.owner == authentication.name")
public Book getBook();

3.2 @PreAuthorize 表达式

1. returnObject 保留名

对于 @PostAuthorize 和 @PostFilter 注解, 可以在表达式中使用 returnObject 保留名, returnObject 代表着被注解方法的返回值, 我们可以使用 returnObject 保留名对注解方法的结果进行验证.
比如:

@PostAuthorize ("returnObject.owner == authentication.name")
public Book getBook();
2. 表达式中的 # 号

在表达式中, 可以使用 #argument123 的形式来代表注解方法中的参数 argument123.
比如:

@PreAuthorize ("#book.owner == authentication.name")
public void deleteBook(Book book);

还有一种 #argument123 的写法, 即使用 Spring Security @P注解来为方法参数起别名, 然后在 @PreAuthorize 等注解表达式中使用该别名. 不推荐这种写法, 代码可读性较差.

@PreAuthorize("#c.name == authentication.name")
public void doSomething(@P("c") Contact contact);

3. 内置表达式有:

表达式备注
hasRole([role])如果有当前角色, 则返回 true(会自动加上 ROLE_ 前缀)
hasAnyRole([role1, role2])如果有任一角色即可通过校验, 返回true,(会自动加上 ROLE_ 前缀)
hasAuthority([authority])如果有指定权限, 则返回 true
hasAnyAuthority([authority1, authority2])如果有任一指定权限, 则返回true
principal获取当前用户的 principal 主体对象
authentication获取当前用户的 authentication 对象,
permitAll总是返回 true, 表示全部允许
denyAll总是返回 false, 代表全部拒绝
isAnonymous()如果是匿名访问, 返回true
isRememberMe()如果是remember-me 自动认证, 则返回 true
isAuthenticated()如果不是匿名访问, 则返回true
isFullAuthenticated()如果不是匿名访问或remember-me认证登陆, 则返回true
hasPermission(Object target, Object permission)
hasPermission(Object target, String targetType, Object permission)

例子

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-actuator</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-freemarker</artifactId>
</dependency>

SecurityConfig 配置类

SecurityConfig 配置类开启方法级管控(仅启用 prePostEnabled 类的注解), 并 hard coded 了一个内置的用户清单.

因为没有重载 configure(HttpSecurity http) 方法, 用的是Spring security 的 basic Authentication 和内置的login form.

@EnableWebSecurity@Configuation
@EnableGlobalMethodSecurity(prePostEnabled=true)
public class SecurityConfig extends WebSecurityConfigurerAdapter{

    @Override
    public void configure(AuthenticationManagerBuilder builder)
            throws Exception {
        builder.inMemoryAuthentication()
               .withUser("123").password("123").roles("USER")
               .and()
               .withUser("ADMIN").password("ADMIN").roles("ADMIN")
               .and()
               .withUser("124").password("124").roles("USER2");
    }

    @SuppressWarnings("deprecation")
    @Bean
    public NoOpPasswordEncoder passwordEncoder() {
        return (NoOpPasswordEncoder) NoOpPasswordEncoder.getInstance();
    }
}

BookService 配置类

为BookService Service类的方法加上 @PreAuthorize 注解, 对权限进行控制.

@Service
class BookService{
    @PreAuthorize("hasRole('ADMIN')")
    public void addBook(Book book) {
        System.out.println("you have added a book successfully");
    }

    @PreAuthorize("hasAnyRole('ADMIN','USER')")
    public Book getBook() {
        Book book=new Book("A");
        return book ;
    }

    @PreAuthorize("hasRole('ADMIN')")
    public void deleteBook(Book book) {
        System.out.println("Book deleted");
    }
}
伍华锋
关注
  • 4
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security方法的权限管控 @PreAuthorize 使用详解
LoveSummer
01-22 1万+
默认情况下, Spring Security 并不启用方法安全管控. 启用方法管控后, 可以针对不同的方法通过注解设置不同的访问条件.Spring Security 支持三种方法注解, 分别是 JSR-205 注解 /@Secured 注解 / prePostEnabled 注解. 这些注解不仅可以直接加 controller 方法上, 也可以注解 Service 或 DAO 类中的方法.
Spring Security权限注解@PreAuthorize通俗讲解
m0_53370922的博客
05-20 5962
写在前面:后端就是后端,后端接口权限和前端可以想成没有任何关系,千万不要被所谓的路由、所谓的那些按钮、权限标识在哪个菜单下所迷惑(只要保证接口权限字符串在用户菜单权限下即可,除此之外,在哪个菜单或按钮都行)!(后端的我们就用接口测试工具测试,所以不要被前端界面的这些东西所迷惑) 图1 简单举例子说,后端有这么一个接口,图2,这个权限标识不一定非得放在图1所示的菜单下才起作用。比如admin用户拥有所有菜单的权限,那么你将test: one:testForm:list放到任何一个菜单下,用户admin都可以访
SpringSecurity——Web权限方案用户授权(注解使用)
最新发布
程序员阿皓的博客
05-01 240
SpringSecurity——Web权限方案用户授权(注解使用)
SpringSecurity安全框架学习——@PreAuthorize的实现原理
笔落墨成&博客
11-23 3767
Spring Security 预处理实现原理
SpringSecurity使用@PreAuthorize、@PostAuthorize实现Web系统权限认证
u011930054的博客
07-17 4758
SpringSecurity可以使用@PreAuthorize和@PostAuthorize进行访问控制,下面进行说明。 项目使用Springboot2.3.3+SpringSecurtiy+Mbatis实现。 首先先引入pom.xml <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artif
说一下Spring Security中@PermitAll和@PreAuthorize的使用
qq_55754838的博客
11-25 2155
本文主要来自于看Java开源项目,方便理解开源项目的代码是怎么实现的,加深自己的基本功。
基于SpringSecurity的@PreAuthorize实现自定义权限校验方法
小王博客基地
08-15 5640
在我们一般的web系统中必不可少的就是权限的配置,也有经典的RBAC权限模型,是基于角色的权限控制。这是目前最常被开发者使用也是相对易用、通用权限模型。当然已经实现了权限的校验,但是不够灵活,我们可以自己写一下校验条件,从而更加的灵活!很多开源框架中也是用的比较多,小编看了一下若依是自己写了一个注解实现的,pig是使用来实现自己的校验方式,小编以pig框架的为例。这样就完成了自定义校验,具体的校验可以自己在配置里进行修改,当然也可以自己写一个注解来进行自定义校验,可以参考若依的注解!...
Spring Security实现不同接口安全策略方法详解
09-07
Spring Security中,实现不同接口的安全策略是一项关键任务,尤其在处理多种应用场景,如无状态的JSON Web Token (JWT) 和基于Session的传统后端渲染应用时。本文将深入探讨如何利用Spring Security为不同接口定制...
详解spring security安全防护
08-27
详解Spring Security安全防护 Spring Security是一个广泛使用的Java安全框架,提供了 Comprehensive和灵活的安全解决方案。下面将详细介绍Spring Security中的安全防护机制,主要包括XSS攻击防护、CSRF攻击防护、...
详解springSecurity之java配置篇
08-18
Spring Security 之 Java 配置篇 Spring Security 是一个功能强大且灵活的安全框架,用于保护基于 Java 的 Web 应用程序。Spring Security 的 Java 配置是指使用 Java 代码来配置 Spring Security,以便更好地控制...
安全框架Spring Security深入浅出视频教程
03-23
首先,SSM环境中我们通过xml配置的方式,从源码渗入开始,完成Spring Security基本的“认证”和“授权”功能讲解,其中还会融合“记住我”,CSRF拦截等技术。 然后,我们会在SpringBoot环境中,继续展开Spring ...
Spring Security 强制退出指定用户的方法
08-27
Spring Security 强制退出指定用户的方法 Spring Security 是一个功能强大且广泛使用的身份验证和授权框架,它提供了许多实用的功能来保护我们的应用程序。但是,在某些情况下,我们需要强制退出指定的用户,例如,...
spring security学习笔记(二)--授权
bjjx123456的博客
10-01 566
例:只有这个user在其对应的role对应的menu表中的perms字段(权限字段)中有sys:student:operation才可以访问。我们知道springboot中有全局异常处理器,当发生异常后会如果没在controller层,service层或者dao层进行处理会向上抛出给全局异常处理器,从而统一返回结果。SpringSecurity也有异常处理机制,我们还希望在认证失败或者是授权失败的情况下也能和我们的接口一样返回相同结构的json,这样可以让前端能对响应进行统一的处理。
SpringSecurity的注解@PreAuthorize(“@ss.hasPermi(‘system:config:list‘)“)实现流程
zouyang920的博客
04-07 6058
实现思路就是使用SpringSecurity框架,开启权限校验@EnableGlobalMethodSecurity注解,第二步自动校验规则的方法hasPermi()方法,逻辑自己实现,第三步就可以使用@PreAuthorize注解,被此注解标注的方法就是走你hasPermi()方法的逻辑,返回布尔值,从来决定是否有权限访问。参考链接。
微服务架构,使用spring security,通过PreAuthorize注解控制权限,各个服务读取所有的值,存入数据库
CoderOu
02-08 2989
思路: 1、首先将此功能写在公共模板,每一个服务都会依赖公共模板,都将获得此功能。 2、其次,利用springboot的ApplicationListener机制,监听ApplicationStartedEvent事件(springboot启动完成),利用spring来读取所有的注解的值,然后解析出对应我们想要的值 3、然后使用FeignClient调用到远程对应的服务 4、存储的时候进行判断,是否已经存在了,如果存在了,就不在添加了 各个项目的架构不一致,核心还是获取到注解的所有值,只需要核心关注第一步
学习笔记【Spring Security快速入门】
qq_53273362的博客
01-28 182
Spring Security Web应用的安全性包括 用户认证(Authentication) 和 用户授权(Authorization) 两个部分,这两点也是SpringSecurity重要核心功能。 通俗点说: 用户认证就是系统认为用户是否登录 用户授权就是系统判断用户是否有权限去做某些事 SpringSecurity特点 和Spring无缝整合 全面的权限控制 专门为Web开发而设计 重量 Shiro特点 轻量 好处:不局限于Web环境,可以脱离Web环境使用 缺陷:Web环境下一些特
SpringSecurity权限认证@preAuthorize失效
Gufang617的博客
08-25 3114
. 原因分析 1.跟着老师搭载的SSO(单点登录)项目,没有进行sys:res:update的授权,但是SpringSecurity就是不对其进行拦截,结果前端返回的response.data中只有"doUpdate resource (update) ok" 2.授权被拦截而执行的方法,没有执行.map中没有put入message. 3.故导致前端页面alert(response.data.message),message都是undefined 解决办法:在图片中红线位置加这局注解即可. 原理:@
Spring-Security@PreAuthorize("hasAuthority('')")源码分析
热门推荐
cloud的博客
07-02 4万+
Spring-Security@PreAuthorize(“hasAuthority(’’)”)源码分析 @PreAuthorize(“hasAuthority(‘xxx’)”)用来鉴别当前登录用户所拥有的角色是否有xxx权限访问该接口。 点进去看看security是如何来鉴权的。 这里authority即为我们传入的权限,比如prod:create,接下来再看this.hasAnyAutho...
Spring Boot+Spring Security:注解:@PreAuthorize,@PostAuthorize, @Secured, EL实现方法安全 - 第20篇
悟纤学院
03-19 3万+
需求缘起 在之前的章节中我们介绍过通过注解的方式进行权限的控制了,这里再详细的讲解下方法安全的几个注解。 一、注解式方法安全开启 需要在WebSecuirtyConfig添加配置: @Configuration @EnableWebSecurity //启用Spring Security. ////会拦截注解了@PreAuthrize注解的...
springsecurity @PreAuthorize
09-24
@PreAuthorize注解是Spring Security框架提供的一种权限控制注解。它可以用于方法别的权限控制,即在方法执行前对用户角色进行验证。通过在方法上使用@PreAuthorize注解,可以根据需要对用户的角色、权限进行限制,只有满足条件的用户才能执行该方法。 @PreAuthorize注解的工作原理是,当一个方法上使用了该注解时,在方法执行之前,Spring Security会通过配置的权限控制规则对用户进行验证,只有验证通过的用户才能继续执行方法,否则将抛出AccessDeniedException异常。 该注解中的value属性是一个Spring-EL表达式类型的字符串,用于指定权限控制规则。可以在表达式中使用Spring Security框架封装的专门针对Spring Security框架本身的Spring-EL表达式解析类SecurityExpressionRoot中定义的方法和属性。通过使用这些方法和属性,可以灵活地定义权限控制规则。 举个例子,假设我们有一个方法需要验证用户是否具有ROLE_ADMIN角色才能执行,可以在方法上添加@PreAuthorize注解,并设置value属性为"hasRole('ROLE_ADMIN')"。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值