服务器端方法级权限控制 :JSR-250注解、@Secured注解和支持表达式的注解,以及拦截后的异常处理

最新推荐文章于 2024-05-25 11:51:59 发布
最新推荐文章于 2024-05-25 11:51:59 发布
阅读量469 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44861621/article/details/106743380
版权

权限控制

导入依赖

<dependency>
            <groupId>javax.annotation</groupId>
            <artifactId>jsr250-api</artifactId>
            <version>1.0</version>
</dependency>

配置文件 (加在springmvc的配置文件中,因为这些注解都是在controler层里面生效的)

<security:global-method-security jsr250-annotations="enabled"/>

.JSR-250注解
@RolesAllowed表示访问对应方法时所应该具有的角色
示例: @RolesAllowed({“USER”, “ADMIN”}) 该方法只要具有"USER",
"ADMIN"任意一种权限就可以访问。这里可以省 略前缀ROLE_,实际
的权限可能是ROLE_ADMIN
@PermitAll表示允许所有的角色进行访问,也就是说不进行权限控制 @DenyAll是和PermitAll相反的,表示无论什么角色都不能访问

.@Secured注解

<security:global-method-security secured-annotations="enabled"/>

@Secured注解标注的方法进行权限控制的支持,其值默认为disabled

 示例:   
 @Secured("IS_AUTHENTICATED_ANONYMOUSLY")   
 public Account readAccount(Long id);   
 @Secured("ROLE_TELLER")

支持表达式的注解

<security:global-method-security pre-post-annotations="disabled"/>

@PreAuthorize 在方法调用之前,基于表达式的计算结果来限制对方法的访问
示例:
@PreAuthorize("#userId == authentication.principal.userId or hasAuthority(‘ADMIN’)") void changePassword(@P("userId") long userId ){ }
这里表示在changePassword方法执行之前,判断方法参数userId的值是否等于principal中保存的当前用户的 userId,或者当前用户是否具有ROLE_ADMIN权限,两种符合其一,就可以访问该方法

@PostAuthorize 允许方法调用,但是如果表达式计算结果为false,将抛出一个安全性异常

@PostAuthorize User getUser("returnObject.userId == authentication.principal.userId or hasPermission(returnObject, 'ADMIN')");

@PostFilter 允许方法调用,但必须按照表达式来过滤方法的结果
@PreFilter 允许方法调用,但必须在进入方法之前过滤输入值

异常处理

有三种处理方式

  1. 在spring-securi
最低0.47元/天 解锁文章
皮埃no
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringSecurity Oauth2 - 08 SpEL权限表达式源码分析及两种权限控制方式原理
你今天真好看呀
11-10 1227
SpringSecurity提供的权限管理功能主要有两种类型:① 基于过滤器的权限管理(FilterSecurityInterceptor):用来拦截HTTP请求,拦截下来之后,根据HTTP请求地址进行权限校验;请求首先到大过滤器FilterSecurityInterceptor,在其执行过程中,首先会由前置处理器去判断发起请求的用户是否具备响应的权限,如果具备则继续向下走,到达目标方法后执行完毕。拦截请求的url,这种权限管理方式粒度较粗。
【Spring Security】安全框架学习(十二)
Jerry‘s word
09-06 1715
这个就是我们之前在filter中存入到holder当中的对象,即UsernamePasswordAuthenticationToken,可以知道这里userAuthorities拿到了我们的权限对象,最终就调用到了我们自己在LoginUser类中重写的方法里去。但是回到hasAnyAuthorityName 方法中,传进去的prefix前缀的值实际上是null,也就是说实际上并没有做一个拼接,没有前缀,最终的结果也就是原本的字符串。但是我们并不用关心它在内部的调用链路,只需要关注核心的实现代码就可以了。
Java SSM 项目实战 day08 方法别的权限操作 服务器端权限控制JSR-250注解)(支持表达式注解)(@Secured
最新发布
2401_85192735的博客
05-25 393
DenyAll是和PermitAll相反的,表示无论什么角色都不能访问。
Spring Boot集成Spring Security
我是一只蘑菇17的博客
11-02 1455
开发Web应用,对页面的安全控制通常是必须的。比如:对于没有访问权限的用户需要转到登录表单页面。要实现访问控制方法多种多样,可以通过Aop、拦截器实现,也可以通过框架实现,例如:Apache Shiro、Spring Security。很多成熟的大公司都会有专门针对用户管理方面有一套完整的SSO(单点登录),ACL(权限访问控制),UC(用户中心)系统。 但是在我们开发中小型系统的时候,往往还是优先选择轻量可用的业内通用的框架解决方案。Spring Security 就是一个Spring生态中关于安全方
Spring Security(16)——基于表达式权限控制
dotedy的博客
10-16 1880
EL表达式hasPermissionPreFilterPreAuthorizeSpring Security  基于表达式权限控制 目录 1.1      通过表达式控制URL权限 1.2      通过表达式控制方法权限 1.2.1     使用@PreAuthorize和@PostAuthorize进行访问控制 1.2.2     使用@PreFilter和@Post
SpringSecurity(十一)--配置权限以及相关限制(下)
学习不止境的博客
10-24 1635
本章我们将承接上篇文章的项目为基础学习,所以没有搭建好项目的小伙伴请先去查看上一篇文章把项目理解并且搭建好,当然大家也可以用自己的方式进行搭建学习,不用啥都按部就班,尤其是编程这块儿,具有极大的灵活性,没准你的方法才是最适合的。但是对于后面的代码,我将以上篇搭建好的代码为架构基础进行展示。
详解Spring注解--@Autowired、@Resource和@Service
08-30
@Resource是JavaJSR-250规范中定义的注解,用于解决依赖注入问题。它可以将Bean自动装配到需要的地方,减少了配置文件的体积和复杂度。@Resource可以用于字段、Setter方法和构造函数上。 例如,在下面的代码中,...
JSR303校验注解和自定义校验注解的使用
10-14
在实际应用中,这些注解通常与Spring MVC的控制方法结合使用,通过`@Validated`或`@Valid`注解来触发验证过程。当验证失败时,Spring会自动将错误信息填充到模型对象中,以便在视图层展示给用户。 总结起来,JSR...
jsr354-api:JSR 354-货币和货币API
05-12
JSR 354:货币和货币API JSR 354提供了一个API,用于表示,传输和执行Money和Currency的综合计算。 有关更多详细信息,请参见主页: : 这是获得以下许可的JSR 354的API模块: Apache许可证版本2.0(LICENCE.txt...
23 Spring Core参数校验之JSR303_JSR-349注解-慕课专栏1
08-03
Spring Core提供了一种优雅的方式来处理参数校验,特别是通过JSR 303、JSR 349和JSR 380这些标准注解,实现了高效且易于维护的验证机制。 JSR 303最初定义了JavaBean验证的标准,而JSR 349是其修订版,主要增加了对...
spring3零配置注解实现Bean定义(包括JSR-250JSR-330)
08-05
spring3零配置注解实现Bean定义(包括JSR-250JSR-330)
页面端标签控制权限详解
weixin_42613538的博客
10-24 1535
页面端标签控制权限 在jsp页面中我们可以使用spring security提供的权限标签来进行权限控制 maven导入 &lt;dependency&gt; &lt;groupId&gt;org.springframework.security&lt;/groupId&gt; &lt;artifactId&gt;spring-security-taglibs&lt;/artifactId&...
SpringSecurity权限控制
我是一只蘑菇17的博客
10-31 712
我们可以自定义权限不足处理器来处理权限不足时候的操作。的权限,我们将这块代码改造一下:当登录用户为。中,我们给当前登录用户授予了。
SpringBoot集成SpringSecurity(五)授权控制
xinshengdelei的专栏
03-31 742
授权控制 授权包括web授权、方法注解授权。 web授权 SpringSecurity通过http.authorizeRequests()对web请求(URL访问)进行授权保护。 一、请求匹配 1、antMatchers("/login","/getver"):匹配到的请求。此时实际上访问这些路径的用户为匿名用户anonymousUser,其权限列表为[ROLE_ANONYMOUS]。 antMatchers中可以添加多个字符串,每个字符串支持?(单个字符)、*(0或任意个字符)、**(0或更多
Java SSM 项目实战 day08 方法别的权限操作 服务器端权限控制JSR-250注解)(支持表达式注解)(@Secured)以及页面端的权限控制
2301_78416672的博客
05-03 568
《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》,点击传送门,即可获取!//查询全部产品@RequestMapping(“/findAll.do”)@RolesAllowed(“ADMIN”)public ModelAndView findAll() throws Exception {ModelAndView mv = new ModelAndView();List ps = productService.findAll();mv.addObject(“productList”
【Spring Security】如何设置hasIpAddress及获取客户端请求的IP进行有效配置
yidragon88xx的专栏
08-06 3075
首先第一个问题,设置hasIpAddress的方法为: 在实现WebSeurityConfig配置文件中的WebSecurity部分设置,例如 http.authorizeRequests().antMatchers("/admin/user/getByUserName").access("hasIpAddress('127.0.0.1')... 当通过服务发现方式来调用时,由于客户机可能存在多个网卡的情况,导致这个配置IP不准确的情况,这个时候需要通过Spring Security Web源.
Spring Security(三)保护方法应用
逝去的往事的博客
07-10 1027
使用@Secured注解限制方法调用 SecurityWebInitializer.java public class SecurityWebInitializer extends AbstractSecurityWebApplicationInitializer{} MethodSecureConfig.java @Configuration @EnableGlobalMetho...
关于SpringSecurity自定义方法权限
c_z_z的博客
07-01 533
关于SpringSecurity自定义方法权限
springboot权限控制_Spring Security 中的四种权限控制方式
weixin_39632397的博客
11-21 1224
Spring Security 中对于权限控制默认已经提供了很多了,但是,一个优秀的框架必须具备良好的扩展性,恰好,Spring Security 的扩展性就非常棒,我们既可以使用 Spring Security 提供的方式做授权,也可以自定义授权逻辑。一句话,你想怎么玩都可以!今天松哥来和大家介绍一下 Spring Security 中四种常见的权限控制方式。表达式控制 URL 路径权限表达式控...
Spring注解注入属性实战:@Autowired与@Resource
"本文主要介绍了如何在Spring框架中使用注解进行属性注入,包括传统的XML配置方式以及使用@Autowired和@Resource注解的实践方法。" 在Spring框架中,注解的使用极大地简化了bean的配置和依赖注入过程。在介绍Spring...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值