SpringSecurity基于注解的访问权限控制(四)

最新推荐文章于 2024-07-15 10:30:00 发布
最新推荐文章于 2024-07-15 10:30:00 发布
阅读量379 收藏 1
点赞数 2
分类专栏: # SpringSecurity 文章标签: SpringSecurity 注解 403
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42047611/article/details/115720881
版权

处理403权限不足页面

/**
 * Created by Monologue_zsj on 2021/4/15 12:17
 * Author:小脸儿红扑扑
 * Description:403访问受限错误解决处理器
 *          当访问发生403错误的时候,SpringSecurity自动调用
 *          SpringSecurity想调用类中的方法,处理403错误,必须能在Spring容器中获取对象。
 */
@Component
public class MyAccessDeniedHandler implements AccessDeniedHandler {

    /**
     * 处理403错误的真实方法
     * @param request    请求对象
     * @param response   响应对象
     * @param e     异常
     * @throws IOException
     * @throws ServletException
     */
    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException e) throws IOException, ServletException {

        //设置响应状态
        response.setStatus(HttpServletResponse.SC_FORBIDDEN);
        //设置响应类型
        response.setContentType("text/html;charset=UTF-8");
        //响应输出
        response
                .getWriter()
                .println("<html><body><div style='width=800px; text-align=center; margin: auto; font-size=24px'>权限不足,请联系管理员...</div></body></html>");
        //刷新输出流的缓冲区
        response.getWriter().flush();
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
		...
        //配置403访问错误处理器
        http.exceptionHandling().accessDeniedHandler(myAccessDeniedHandler);

        //关闭CSRF安全协议,关闭是为了完整流程的可用
        http.csrf().disable();
    }


    @Autowired
    private MyAccessDeniedHandler myAccessDeniedHandler;

基于注解的访问权限控制

/**
 * Created by Monologue_zsj on 2021/4/14 13:54
 * Author:小脸儿红扑扑
 * Description:SpringSecurity默认环境中,拦截所有请求,要求必须认证(登录)后才能访问。
 * 默认环境中,用户名是user,每次启动的时候,动态生成一个长度128字节的密码。在控制台输出。
 * 默认环境中,提供登录页面的请求地址是/login, 请求方式是GET
 * 默认环境中,处理登录请求的地址是/login, 请求方式是POST
 *
 * @EnableGlobalMethodSecurity   -   开启SpringSecurity注解扫描的
 *      默认扫描当前类所在包及所有子孙包中的Security注解
 *      在部分的版本中,只要声明注解,所有的属性自动赋值为true
 *      大多数版本中,注解的属性值默认值都是false
 */
@SpringBootApplication(scanBasePackages = {"com.monologue.security.*"})
@MapperScan("com.monologue.security.mapper")
@EnableGlobalMethodSecurity(securedEnabled = true, prePostEnabled = true) //开启SpringSecurity注解扫描的
public class FirstSecurity {
    public static void main(String[] args) {

        SpringApplication.run(FirstSecurity.class, args);
    }
}

/**
 * Created by Monologue_zsj on 2021/4/14 19:54
 * Author:小脸儿红扑扑
 * Description:
 */
@Controller
public class AccountController {

    @GetMapping("/toLogin")
    public String toLogin() {
        return "/login";
    }

    @GetMapping("/toMain")
    public String toMain() {
        return "/main";
    }

    @GetMapping("/failure")
    public String failure() {

        return "/failure";
    }

    /**
     * antMatchers("/admin/read").hasRole("管理员");
     * 只能是管理员角色访问
     * @Secured :校验登录用户是否有需要的角色
     *      属性value:String[] 类型,相当于hasAnyRole
     *      注解不能自动拼接角色前缀
     * @return
     */
    @Secured("ROLE_管理员")
    @GetMapping("/admin/read")
    @ResponseBody
    public String adminRead() {
        return "管理员读取";
    }

    /**
     * antMatchers("/guest/read").hasRole("访客");
     * 只能是访客角色访问
      * @return
     */
    @Secured("ROLE_访客")
    @GetMapping("/guest/read")
    @ResponseBody
    public String guestRead() {
        return "访客读取";
    }

    /**
     * antMatchers("/all/read").hasAnyRole("访客", "管理员");
     * 必须有访客或管理员角色访问
     * @return
     */
    @Secured({"ROLE_管理员", "ROLE_访客"})
    @GetMapping("/all/read")
    @ResponseBody
    public String allRead() {
        return "任意用户读取";
    }

    /**
     * 必须拥有权限admin:write的登录用户,才可以访问
     * 只能是管理员角色访问
     * PreAuthorize -   方法执行前,校验权限是否满足,方法相当于access
     *      属性value -   字符串 提供access方法动态表达式,如hasRole("ROLE_xxx") hasAuthority("xxx")
     * PostAuthorize -   方法执行结束后,校验权限是否满足
     * @return
     */
    @PreAuthorize("hasAuthority('admin:write')")
    @GetMapping("/admin/write")
    @ResponseBody
    public String adminWrite() {
        return "管理员写操作";
    }

    /**
     * 必须包含admin:write或guest:write权限的登录用户,才可以访问
     * 只能是管理员角色访问
     * @return
     */
    @PreAuthorize("hasAnyAuthority('admin:write', 'guest:write')")
    @GetMapping("/all/write")
    @ResponseBody
    public String adminAll() {
        return "所有用户可写操作";
    }
}
臆想的一只猫
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Spring Security-基于表达式的访问控制和基于注解的访问控制
Q54665642ljf的博客
08-04 333
Spring Security-基于表达式的访问控制和基于注解的访问控制
Spring Security 实战内容:基于注解的接口角色访问控制
m0_66876551的博客
04-14 384
1. 前言 基于配置的接口角色访问控制[2] 我们讲解了如何通过 javaConfig 的方式配置接口的角色访问控制。其实还有一种更加灵活的配置方式 基于注解 。今天我们就来探讨一下。DEMO 获取方式在文末。 2. Spring Security 方法安全 Spring Security 基于注解的安全认证是通过在相关的方法上进行安全注解标记来实现的。 2.1 开启全局方法安全 我们可以在任何 @Configuration实例上使用 @EnableGlobalMethodSecurity 注解来启用全局方
spring-security注解开发
10-29
spring实战的的嘘唏,在第九章姐的嘘唏。对书中使用注解的方式开发进行了工程的创建学习。
springboot-30-security(三)使用注解实现权限控制
weixin_34293059的博客
08-17 322
上个博客: http://www.cnblogs.com/wenbronk/p/7381252.html中, 实现了经典5表对用户进行权限控制, 但太过于繁琐了, 官方推荐的方式是将用户和角色存储数据库, 权限直接在要访问的接口上进行控制 (我感觉更麻烦...每个接口都需要指定) 本篇基于第一个, security: http://www.cnblogs.com/wenbronk/p/73798...
springsecurity
最新发布
qq_74289024的博客
07-15 816
导入资料中前端页面信息配置security 配置,放行页面/*Security配置*/@Overridehttp//关闭跨域校验//授权//放行请求,"/js/**","/logout",".html"// 任何请求都需要认证导入前端资料到static文件夹下测试前端1.导入vo/ResponseResult类2.自定义登录认证接口 /auth/login,代替默认登录接口@Slf4j@Autowired@Service@Autowired。
SpringSecurity基于注解访问控制
超级氯化钾的博客
05-26 195
文章目录介绍`@Secured``@PreAuthorize`/`@PostAuthorize` 介绍 需要通过@EnableGlobalMethodSecurity开启后使用 @EnableGlobalMethodSecurity(securedEnabled = true,prePostEnabled = true) //开启注解访问控制 @SpringBootApplication public class LearnSpringSecurityApplication { public sta
springSecurity基于注解的访问控制
weixin_44569326的博客
01-08 264
Spring Security 中提供了一些访问控制注解。这些注解都是 默认是都不可用的,需要通过@EnableGlobalMethodSecurity 进行开启 后使用。 如果设置的条件允许,程序正常执行。如果不允许会报 500 这些注解可以写到 Service 接口或方法上上也可以写到 Controller 或 Controller 的方法上。通常情况下都是写在控制器方法上的,控制 接口 URL 是否允许被访问。 @Secured @Secured 是专门用于判断是否具有角色的。能写在方法或类上。
Vue 动态路由的实现及 Springsecurity 按钮级别的权限控制
10-16
1. **自定义权限注解**:在Spring Security中,可以通过注解控制方法的访问权限。对于按钮级别的权限控制,可以创建自定义的注解。 2. **权限检查**:通过自定义的权限注解,可以在控制器方法执行前检查用户是否...
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解权限验证
08-26
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解权限验证,可根据注解的格式不同,做到角色权限控制,角色加资源权限控制等,粒度比较细化。 @PreAuthorize("hasAnyRole('ADMIN','USER')"):具有admin或...
SpringBoot集成Spring Security实现权限控制【完整源码+数据库】
02-16
SpringBoot集成Spring Security是现代Java应用中常见的安全框架组合,它们为开发者提供了强大的权限管理和访问控制功能。Spring Security是一个全面的、高度可配置的安全框架,它涵盖了认证、授权以及会话管理等多个...
Spring Security 注解方式权限控制
qq_65142821的博客
01-29 1279
Spring Security除了可以在配置文件中配置权限校验规则,还可以使用注解方式控制类 中方法的调用。例如Controller中的某个方法要求必须具有某个权限才可以访问,此时就 可以使用Spring Security框架提供的注解方式进行控制
Spring security中的注解
godkzz的博客
09-11 815
一、@Secured 作用:用户具有某个角色,可以访问方法 使用: 在启动类或配置内开启注解 @EnableGlobalMethodSecurity(securedEnabled = true) 在Controller的方法上加注解(注意要在角色名前加上ROLE_) @RestController public class MyController { @RequestMapping(value = "/test") @Secured({"ROLE_normal","RO
重新梳理了一下Spring Security注解访问权限控制
码农小胖哥
04-15 1952
Spring Security提供基于注解的访问控制。开启方法注解访问控制Spring Security默认是关闭方法注解的,开启它只需要通过引入@EnableGlobalMethodSecurity注解即可:/** *开启方法安全注解 * *@authorfelord.cn */ @EnableGlobalMethodSecurity(prePostEn...
玩转SpringSecurity之五基于注解的访问控制
xtho62的博客
02-15 323
在实际开发中,我们往往需要对一些方法访问进行控制,这样会更加灵活,能够更好的控制,给程序设计有更多的自由度。 在Spring Security中提供了一些访问控制注解。这些注解都是默认是都不可用的,需要通过@EnableGlobalMethodSecurity进行开启后使用。如果设置的条件允许,程序正常执行,如果不允许会报500错误。 这些注解可以写到Service接口或方法上,也可以写Controller或Controller的方法上。通常情况下都是写在控制器方法上的,控制接口URL是否允许被访问。 @
Spring Security注解详解】
samsung_samsung的专栏
05-06 795
Spring Security 是一个强大的、高度可定制的身份验证和访问控制框架,广泛用于Java应用程序中以确保安全。它提供了多种注解来简化安全控制的实现,特别是在方法级别的权限控制上。
基于注解Spring Security原理解析
热门推荐
icarusliu的专栏
12-07 1万+
概述:Spring Security就是引入了一系列的SecurityFilter,将其添加到Spring中去了;在有请求时,根据URL是否符合每个Filter的规则来判断是否需要该Filter来进行处理。
SpringSecurity注解讲解
上善若泪
09-08 787
test:是一个注册在Spring容器中的Bean,对应的类是 cn.test.PermissionService;是类中定义的方法;当Spring EL 表达式返回TRUE,则权限校验通过;
SpringSecurity 注解使用
weixin_47277897的博客
12-28 1288
注解使用 @Secured 判断是否具有角色,另外需要注意的是这里匹配的字符串需要添加前缀“ROLE_“。 使用注解先要开启注解功能! @EnableGlobalMethodSecurity(securedEnabled=true) @SpringBootApplication @EnableGlobalMethodSecurity(securedEnabled=true) public class DemosecurityApplication { public s...
Spring Security使用注解达到接口权限控制
05-31
Spring Security还提供了注解方式来实现接口的权限控制,主要有以下两种注解: 1. @Secured:基于角色的访问控制,可以在方法上加上@Secured注解,指定可以访问该方法的角色,例如@Secured("ROLE_ADMIN")。 2. @PreAuthorize/@PostAuthorize:基于表达式的访问控制,可以在方法上加上@PreAuthorize注解或@PostAuthorize注解,使用SpEL表达式来指定访问该方法的条件,例如@PreAuthorize("hasRole('ROLE_ADMIN')")。 使用注解方式进行权限控制,需要在Spring Security的配置类中开启注解支持,可以通过@EnableGlobalMethodSecurity注解来实现,例如@EnableGlobalMethodSecurity(prePostEnabled = true)。 需要注意的是,使用注解方式进行权限控制,只能在方法级别进行控制,不能对类或者接口进行控制。同时,注解方式相对于拦截器方式来说,更加简洁、灵活,但也有一定的局限性,例如无法实现动态授权等需求。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值