Spring Security——10,其他权限校验方法

最新推荐文章于 2024-06-05 13:58:51 发布
最新推荐文章于 2024-06-05 13:58:51 发布
阅读量421 收藏 10
点赞数 3
分类专栏: Spring security 文章标签: spring security hasanyAuthority hasrole hasanyrole
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42858422/article/details/137480128
版权

其他权限校验方法

前面都是使用@PreAuthorize注解,然后在在其中使用的是hasAuthority方法进行校验。

SpringSecurity还为我们提供了其它方法例如:hasAnyAuthority,hasRole,hasAnyRole等。

这里我们先不急着去介绍这些方法,我们先去理解hasAuthority的原理,然后再去学习其他方法你就更

容易理解,而不是死记硬背区别。并且我们也可以选择定义校验方法,实现我们自己的校验逻辑。

hasAuthority方法实际是执行到了SecurityExpressionRoot的hasAuthority,大家只要断点调试既可知道它内部的校验原理。

它内部其实是调用authentication的getAuthorities方法获取用户的权限列表。然后判断我们存入的方法参数数据在权限列表中。

一、hasAnyAuthority方法

hasAnyAuthority方法可以传入多个权限,只有用户有其中任意一个权限都可以访问对应资源。

@PreAuthorize("hasAnyAuthority('admin','test','system:dept:list')")
public String hello(){
    return "hello";	
}

二、hasRole方法

hasRole要求有对应的角色才可以访问,但是它内部会把我们传入的参数拼接上 ROLE_ 后再去比较。所

以这种情况下要用用户对应的权限也要有 ROLE_ 这个前缀才可以。

@PreAuthorize("hasRole('system:dept:list')")
public String hello(){
    return "hello";
}

三、hasAnyRole方法

hasAnyRole 有任意的角色就可以访问。它内部也会把我们传入的参数拼接上 ROLE_ 后再去比较。所以

这种情况下要用用户对应的权限也要有 ROLE_ 这个前缀才可以。

@PreAuthorize("hasAnyRole('admin','system:dept:list')")
public String hello(){
    return "hello";
}

一键三连有没有捏~~

五月CG
关注
  • 3
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring security实现登陆和权限角色控制
09-09
主要介绍了Spring security实现登陆和权限角色控制,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
Spring MVC-Web(4)
03-12
Spring MVC可以帮助我们轻松地管理这些交互,比如通过RESTful API设计问题和答案的增删改查接口,使用模板引擎渲染问题列表和详细页面,以及利用Spring Security实现权限控制。 在实际开发中,Spring MVC还可以与...
SpringSecurity(十一)--配置权限以及相关限制(下)
学习不止境的博客
10-24 1634
本章我们将承接上篇文章的项目为基础学习,所以没有搭建好项目的小伙伴请先去查看上一篇文章把项目理解并且搭建好,当然大家也可以用自己的方式进行搭建学习,不用啥都按部就班,尤其是编程这块儿,具有极大的灵活性,没准你的方法才是最适合的。但是对于后面的代码,我将以上篇搭建好的代码为架构基础进行展示。
Spring Security 常用的 SpEL 表达式
最新发布
2401_85480529的博客
06-05 214
可以是一个权限字符串,也可以是一个 SpEL 表达式,用于动态计算权限。:要求用户进行完全认证,即不允许使用 Remember-Me 记住我功能。:检查当前用户是否是通过 Remember-Me 记住我功能进行认证的。:检查当前用户是否具有给定权限列表中的任何一个权限。:检查当前用户是否具有给定角色列表中的任何一个角色。:拒绝所有用户访问,即不允许任何用户访问。:允许所有用户访问,即无需任何权限。:检查当前用户是否已经进行了认证。:检查当前用户是否具有指定权限。:检查当前用户是否是匿名用户。
[SpringSecurity]web权限方案_用户授权_基于权限访问控制_基于角色访问控制_hasAuthorityhasAnyAuthority_hasRolehasAnyRole
m0_51955470的博客
02-28 2382
基于角色或权限进行访问控制 hasAuthority 方法 如果当前的主体具有指定的权限,则返回 true,否则返回 false 在配置类设置当前访问地址有哪些 @Override protected void configure(HttpSecurity http) throws Exception { http.formLogin() //自定义自己编写的登陆页面 .loginPage("/login.html") //登陆页面设
SpringSecurity入门使用——资源授权
a_lllk的博客
11-17 1804
上一篇大概陈述了一下关于SpringSecurity的用户登录,从使用不同的方式进行用户登录做了一个简单的介绍。在开头我也曾提到过,SpringSecurity主要有两大功能,第一个就是用户登录,第二个就是资源授权。这篇就来大概描述一下资源授权的整个过程。 一.实现configure(HttpSecurity http)方法 在配置类中重写configure(HttpSecurity http)方法,注意参数是HTTPSecurity,在这里做一个最简单的登录成功失败Url配置。 @Over
初学spring security(四)-----角色权限控制
m0_48631806的博客
03-25 1329
在配置类中通过hasAuthority(“admin”)设置具有admin权限时才能访问。2.hasAnyAuthority(String ...) 如果用户具备给定权限中某一个,就允许访问。// 如果用户没有"adMin","admiN"这两个权限,将被拒绝访问(区分大小写)3.hasRole(String) 如果用户具备给定角色就允许访问。否则出现403。参数取值来源于自定义登录逻辑UserDetailsService实现类中创建User对象时给User赋予的授权。
spring security如何使用sec:authorize="hasAnyAuthority('PRODUCT_DELETE')"标签 及其在方法上使用权限注解
taiguolaotu的博客
01-16 7237
废话不多说,直接上代码, 第一 我只从代码中粘贴了一部分, Configuration注解的作用,意思将给类交给spring容器管理(也可以说是被实例化) EnableWebSecurity的作用,开启spring security过滤器链 EnableGlobalMethodSecurity ,开启权限注解,首先加上此注解,我们的标签及其权限注解才可以使用 @Configuration @Ena...
Spring——Security安全框架之权限限定
专注写bug
02-22 2049
文章目录前言基于角色或权限进行访问控制hasAuthority 方法(单个权限)测试hasAnyAuthority 方法(多个权限)测试hasRole 方法(一个权限)测试异常测试hasAnyRole 方法(多个)测试loadUserByUsername中传递多个权限代码下载 前言 上一篇博客Security安全框架针对请求追加限制中,针对 部分请求 增加了 登录验证 。 只要是登录成功,就能访问被限制的请求。 但是,这种模式肯定是不够用的。 比如:淘宝商品页面。商家可以修改商品价格,但顾客只能看和购
java面试——Spring面试专题.zip
09-26
AOP常用于日志记录、性能监控、事务管理、权限校验等跨切面关注点的实现。 10. **Spring面试问题** - 什么是Spring框架的核心特性? - 如何在Spring中实现依赖注入? - 解释一下Spring的IoC容器是如何工作的。...
考试类精品--前后端分离模式,基于Spring Cloud、Vue的考试系统,使用Spring Security O.zip
02-06
《构建基于Spring Cloud和Vue的前后端分离考试系统——深度解析Spring Security》 在现代Web开发领域,前后端分离已经成为主流架构模式,它能够有效提高开发效率,优化用户体验。本项目是一个考试系统的实现,采用...
项目实战spring—mvc.zip
06-24
同时,Spring MVC与Spring其他模块如Spring Data JPA、Spring Security等集成,可以实现数据库操作、权限控制等功能,进一步完善Web应用。 在本项目实战中,你将会学习到如何搭建Spring MVC环境,编写Controller,...
Springboot+Vue+shiro实现前后端分离、权限控制的示例代码
08-18
Springboot中集成Shiro,可以创建Filter进行登录验证和权限校验: ```java @Configuration @EnableWebSecurity public class ShiroConfig extends WebSecurityConfigurerAdapter { @Autowired private ...
Spring SecurityhasAnyAuthorityhasAuthority的区别
weixin_46533227的博客
05-29 1889
hasAuthority可以与其他表达式结合使用,例如hasAuthority('ROLE_ADMIN') and hasIpAddress('192.168.1.0/24'),表示用户需要同时拥有"ROLE_ADMIN"权限和来自IP地址为"192.168.1.0/24"的请求才能访问被保护的资源。hasAnyAuthority可以判断多个权限,用逗号分隔,例如"ROLE_USER, ROLE_ADMIN",只要用户拥有其中一个权限即可访问被保护的资源。如果用户拥有其中一个权限,就可以访问该方法
SpringSecurity学习笔记
成熟的标题
10-12 461
Spring Security 项目搭建使用流程 1. 搭建项目 创建好springboot框架 在pom文件导入springsecurity框架的依赖包 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 编写
springsecurity
xlj778的博客
08-10 149
引入依赖 <!-- 引入springsecurity--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency>...
Spring Security实现用户身份验证及权限管理
个人学习笔记库,一篇一篇记录成长的足迹
03-26 5738
Spring SecuritySpring生态的一个成员,提供了一套Web应用安全性的完整解决方案。Spring Security 旨在以一种自包含的方式进行操作,因此你不需要在 Java 运行时环境中放置任何特殊的配置文件。这种设计使部署极为方便,因为可以将目标工件(无论是 JAR还是WAR)从一个系统复制到另一个系统,并且它可以立即工作。spring Security,这是一种基于 Spring AOP 和 Servlet 过滤器的安全框架。
Spring Security 中的 hasRolehasAuthority 差异引发的思考及解决从数据库从查出来的ROLE对不上
qq1480371991的博客
06-20 776
hasRolehasAuthority的底层实现方式是类似的,功能是一样的,hasRolehasAuthority判断的都是有没有权限,区别就是hasRole对应的权限有前缀ROLE_,而hasAuthority没有。hasRolehasAuthority的工作原理都是判断角色所拥有的权限有没有对应的字段,一般角色所拥有的权限从数据库中查出来,然后封装在user类中覆写的getAuthorities方法中,如下。
springboot3整合SpringSecurity实现登录校验权限认证(万字超详细讲解)
热门推荐
2301_78646673的博客
12-11 1万+
用户提交登录请求Spring Security 将请求交给 UsernamePasswordAuthenticationFilter 过滤器处理。UsernamePasswordAuthenticationFilter 获取请求中的用户名和密码,并生成一个 AuthenticationToken 对象,将其交给 AuthenticationManager 进行认证。
帮我用springsecurity写一段权限校验代码
03-22
好的,以下是一个简单的使用 Spring Security 进行权限校验的代码示例: 首先,需要在 pom.xml 文件中添加 Spring Security 的依赖: ```xml <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-web</artifactId> <version>5.4.2</version> </dependency> ``` 然后,在 Spring 的配置文件中配置 Spring Security: ```xml <security:http auto-config="true"> <security:intercept-url pattern="/admin/**" access="ROLE_ADMIN" /> <security:form-login login-page="/login" default-target-url="/home" authentication-failure-url="/login?error" /> <security:logout logout-success-url="/login?logout" /> </security:http> <security:authentication-manager> <security:authentication-provider> <security:user-service> <security:user name="admin" password="{noop}admin" authorities="ROLE_ADMIN" /> <security:user name="user" password="{noop}user" authorities="ROLE_USER" /> </security:user-service> </security:authentication-provider> </security:authentication-manager> ``` 上面的配置中,我们定义了两个用户:admin 和 user,分别具有 ROLE_ADMIN 和 ROLE_USER 两种角色。我们还定义了一个拦截规则,即访问 /admin/** 的 URL 必须具有 ROLE_ADMIN 角色才能访问。 最后,我们可以在代码中使用 Spring Security 进行权限校验: ```java @RequestMapping("/admin") public String adminPage() { Authentication authentication = SecurityContextHolder.getContext().getAuthentication(); String currentPrincipalName = authentication.getName(); return "Hello, " + currentPrincipalName + ", welcome to admin page!"; } ``` 在上面的代码中,我们首先获取当前用户的认证信息,然后获取当前用户的用户名,最后返回一个欢迎页面。 希望这个示例能够帮助你理解如何使用 Spring Security 进行权限校验

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值