SpringSecurity学习笔记(3)权限操作初体验

最新推荐文章于 2024-07-10 21:37:49 发布
最新推荐文章于 2024-07-10 21:37:49 发布
阅读量222 收藏
点赞数
分类专栏: SpringSecurity 文章标签: java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43268933/article/details/106651190
版权

概念

用户如果要访问某一个资源,我们要去检查用户是否具备这样的权限,如果具备就允许访问,如果不具备,则不允许访问

配置用户

可以通过在配置类中重写WebSecurityConfigurerAdapter中的UserDetailsService方法来添加用户,不知道其他配置的可以翻看之前的文章

   @Override
   @Bean
   protected UserDetailsService userDetailsService() {
        InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();
        manager.createUser(User.withUsername("zhangsan").password("123").roles("admin").build());
        manager.createUser(User.withUsername("lisi").password("12345").roles("user").build());
        return manager;
    }

准备测试接口

 @GetMapping("/hello")
    public String hello(){
        return "hello";
    }
    @GetMapping("/admin/hello")
    public String admin(){
        return "admin";
    }

    @GetMapping("/user/hello")
    public String user(){
        return "user";
    }

我们要实现所有登录用户均可访问/hello,admin用户可以访问/admin和/user,user可以访问/user

配置拦截规则

接下来我们来配置权限的拦截规则,在 Spring Security 的 configure(HttpSecurity http) 方法中,代码如下:

http.authorizeRequests()//开启配置
                .antMatchers("/admin/**").hasRole("admin")
                .antMatchers("/user/**").hasRole("user")
                .anyRequest().authenticated()
  • 如果请求路径满足 /admin/** 格式,则用户需要具备 admin 角色。
  • 如果请求路径满足 /user/** 格式,则用户需要具备 user 角色。
  • 剩余的其他格式的请求路径,只需要认证(登录)后就可以访问。

角色继承

要实现所有 user 能够访问的资源,admin 都能够访问,这涉及到另外一个知识点,叫做角色继承

上级可能具备下级的所有权限,如果使用角色继承,这个功能就很好实现,我们只需要在 SecurityConfig 中添加如下代码来配置角色继承关系即可:

@Bean
RoleHierarchy roleHierarchy() {
    RoleHierarchyImpl hierarchy = new RoleHierarchyImpl();
    hierarchy.setHierarchy("ROLE_admin > ROLE_user");
    return hierarchy;
}

注意,在配置时,需要给角色手动加上 ROLE_ 前缀,上面的配置表示 ROLE_admin 自动具备 ROLE_user 的权限

测试

user身份登入
在这里插入图片描述
在这里插入图片描述

admin身份登入
在这里插入图片描述
在这里插入图片描述

OriSu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security 资料合集
01-24
这三份资料——"实战Spring Security 3.x.pdf"、"Spring Security 3.pdf" 和 "Spring Security使用手册.pdf" 将深入探讨这些概念,并提供实践指导,帮助读者掌握如何在实际项目中应用Spring Security。通过学习这些...
acegi权限控制学习笔记
06-06
Acegi权限控制学习笔记 Acegi安全框架是Spring Security的前身,它提供了一种强大的、灵活的、基于组件的安全解决方案,用于实现企业级应用的安全控制。在这个学习笔记中,我们将探讨两个关键点:身份认证成功后的...
SpringBoot服务端数据校验
longqiyuye925的博客
05-17 225
SpringBoot服务端数据校验 第一步:首先对需要校验的pojo类,添加注解 /** * @Description: * @NotNull对基本类型的对象类型做非空校验 * @NotBlank 对字符串类型做非空校验 * @NotEmpty 对集合类型做非空校验 * @author: wsc * @Param: * @Return: * @Date: 2020 05 2020/5/17 */ public class Users { @NotNull(message = "{N
Spring Security学习笔记(4)结合MyBatis Plus对数据库进行操作权限认证
OriSu
06-15 668
数据库结构 本地随便找的一张user表,其实只要有id,username, password, role即可 注意role的命名要以ROLE_权限名,关于权限基本操作请参考:权限操作体验 准备实体类 这里使用了MyBatis Plus Generator 来自动生成,然后User类需要实现UserDetails接口 @Data @EqualsAndHashCode(callSuper = false) @Accessors(chain = true) public class User impleme
Spring Security学习笔记
小夏陌的博客
11-21 3823
简介 Spring Security,这是一种基于 Spring AOP 和 Servlet 过滤器的安全框架,能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架,在 Web 请求级和方法调用级处理身份确认和授权。为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。(Spring Boot使Spring Security更加易用,也使...
学习笔记:尚硅谷Spring6基础篇
D_boj的博客
08-14 2135
本章介绍,Spring6基础使用、Spring的IOC原理、Spring6整合日志框架、容器IOC、面向切面AOP以及依赖注入的方式、自动装配和依赖注入等
Spring Security笔记
tiantiantbtb的博客
01-14 1514
注意User这个类,可能和我们平时定义的User注意要区分,另外 User里面的password是数据库查出来的,而不是前端传进来的。大概原理是这样,前端传进来一个userName,然后我们去查数据库,没有,那么就没有,有的话,将密码,权限,什么乱七八糟的交给它。首先,第一点,即使我不觉得你的登录页面丑,用户名,密码总要去数据库查询出来的,不可能,每次用user,然后去看控制台。,当用户名,密码输入错误的时候, 比如说,当某些时候,我需要让它去error页面的情况如何操作呢。
学习笔记——在Springboot中使用spring security(一):体验
TIANQIcode
11-07 196
一、前言 一提到spring security,就难免提起java 领域老牌的权限管理框架 Shiro 。对于这两款框架,各有优劣。但是说某个东西好与不好,前提就是你必须用过。所以,作为开发者,两种框架还是都需要适当的掌握。所以今天就先来简单搞一搞这个spring security。 二、开整 Springboot为spring security的配置带来了极大的便利。只需要在pom.xml文件中加入下面的依赖,启动项目,spring security就已经开始为你的项目提供保护了。 <!--
Spring Security——入门介绍
代码星辰的博客
10-05 2570
Spring Security——入门介绍
SpringCloud学习笔记十:深入理解Spring Cloud Security OAuth2及JWT
不了痕的博客
03-11 8395
什么是OAuth2? OAuth2是一个关于授权的开放标准,核心思路是通过各类认证手段(具体什么手段OAuth2不关心)认证用户身份,并颁发token(令牌),使得第三方应用可以使用该令牌在限定时间、限定范围访问指定资源。 这里要先明确几个OAuth2中的几个重要概念: resource owner: 拥有被访问资源的用户 user-agent: 一般来说就是浏览器 client:...
优质高效!阿里保姆级Spring Security机密笔记限时分享!
A1867350的博客
04-19 906
互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!转存中…(img-jUqLlr2Z-1713518307812)]《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!
基于ssm云的学习笔记系统.zip
03-21
【SSM云学习笔记系统】是一个综合性的项目,主要基于Java技术栈,结合Spring、SpringMVC和MyBatis(SSM)框架构建,并利用云计算技术实现云端存储和访问。这个系统旨在为用户提供一个便捷、高效的学习笔记管理平台,...
java学习笔记
12-27
本资源是 Java 开发者的学习笔记,涵盖了项目管理、权限管理、自动编号、Ajax 访问 servlet、数据库查询、字符串处理、数据加密、jQuery 弹框插件、乱码解决方案、版本控制、流程中加载 Java 事件、页面警告弹框、...
appfuse学习笔记(三)解决乱码和菜单设置
03-16
在本篇“appfuse学习笔记(三)解决乱码和菜单设置”中,我们将深入探讨在使用AppFuse框架时遇到的编码问题以及如何定制应用程序的菜单。AppFuse是一款开源项目,它提供了一个快速开发Web应用的基础,特别是对于Java...
配置Java开发环境
最新发布
Broken_x的博客
07-10 627
Java开发环境配置
关于static定义始化块和静态变量以及始化块的执行顺序问题
你我约定有三的博客
07-08 225
第二步:在类加载的时候,按照从上到下执行static修饰的代码,此时执行static Test2 test1 = new Test2(),也就是创建出一个名为test1的对象。第六步:此时除了main方法,所有由static修饰的代码全部执行完毕(static修饰的代码只执行一次),类始化完成,开始执行main方法,main方法中只有一条语句(中的代码,此时输出aa以及a的值(由于第一步没赋值,并且给了默认值为0 所以输出0)//首先输出a的值为10 然后输出bb,最后将a的值定义为11。
java Object 转 Integer
servepeople的博客
07-09 1125
在 Java 中,可以通过多种方法将一个Object转换为Integer。
java占位符替换五种方式
weixin_61478518的博客
07-08 280
在业务开发中,经常需要输出文本串。其中,部分场景下大部分文本内容是一样的,只有少部分点是不一样。简单做法是直接拼接字段,但是这会有个问题。后面如果想要修改内容,那么每个地方都要修改,这不符合设计模式中的开闭原则,面向应该对扩展开放,对修改关闭。如何解决这个问题?先来看现实生活中的例子,个人信息填写。一般会要填写表格,已经定义好了姓名,性别,年龄等字段,只要填写对应的个人信息就好了。在程序开发中,我们会预先定义好一个字符串模板,需要改动的点使用占位符。
SpringSecurity安全权限管理手册
05-12
通过本手册的学习,读者能够掌握Spring Security的使用技巧,进而在实际项目中进行安全权限管理的开发和应用。我们希望本手册能够成为读者在学习和实践过程中的良师益友,助力于构建安全可靠的系统。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值