SpringSecurity权限命名ROLE_问题

最新推荐文章于 2022-10-19 21:36:46 发布
最新推荐文章于 2022-10-19 21:36:46 发布
阅读量3.8w 收藏 6
点赞数 5
分类专栏: Security 安全框架 文章标签: security spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45821811/article/details/119615126
版权

SpringSecurity权限命名ROLE_问题

最近在整理知识点的时候,对于SpringSecurity中的那个ROLE_真的感觉很奇怪,今天查了不少,找到一点点东西,可以丰富一些杂识哈。😁

喜欢的话,一起坚持啦!!!

SpringBoot集成Security

一、前言:

先讲一下我的好奇点:

最近在使用Security做安全权限控制,可以看到下图,这个方法可以通过的角色是USER,但是我的表中的数据是这样的。

在这里插入图片描述

在这里插入图片描述

我就对于这个前缀ROLE_非常的好奇。(因为是许久之前的代码了,就忘记的差不多啦🐕狗头保命

我做过测试如果使用@PreAuthorize("hasAnyRole('USER')")此注解的话:总之得拼出ROLE_USER

  • 数据库上的那个权限or角色的字段必须为ROLE_USER
  • 又或者啊数据库写成 USER,但是在使用注解时写成这样也可以@PreAuthorize("hasAnyRole('ROLE_USER')")

在这里插入图片描述

在这里插入图片描述

我测试访问是可以通过的,这样我就对于为什么一定要这样,就更好奇,所以就开始了属于我的好奇之旅哈。😂

二、目前所知

看完查到的博客,暂时还没有找到security的设计者这样设计的原因,但是对于为什么要这么去写,在源码中有所提及:

/**
投票是否有任何ConfigAttribute.getAttribute()以前缀开头,表明它是一个角色。 默认前缀字符串是ROLE_ ,
但这可以覆盖为任何值。 它也可以设置为空,这意味着基本上任何属性都将被投票。 
如下文进一步描述的,空前缀的效果可能不是很理想。
如果没有配置属性以角色前缀开头,则弃权。 
如果存在与以角色前缀开头的ConfigAttribute完全匹配的GrantedAuthority ,则投票授予访问权限。 
如果没有与以角色前缀开头的ConfigAttribute完全匹配的GrantedAuthority ,则投票拒绝访问。
空的角色前缀意味着投票者将为每个 ConfigAttribute 投票。
当使用不同类别的 ConfigAttributes 时,这将不是最佳的,因为投票者将为不代表角色的属性投票。
但是,当使用没有前缀的预先存在的角色名称时,此选项可能会有一些用处,并且无法在读取它们时使用角色前缀作为前缀,
例如在org.springframework.security.core.userdetails.jdbc.JdbcDaoImpl 。
所有比较和前缀都区分大小写。
 */
public class RoleVoter implements AccessDecisionVoter<Object> {
	private String rolePrefix = "ROLE_";

	public String getRolePrefix() { return rolePrefix; }
	public void setRolePrefix(String rolePrefix) {this.rolePrefix = rolePrefix;	}

    // 这里就是判断是否符合
	public boolean supports(ConfigAttribute attribute) {
		if ((attribute.getAttribute() != null)
				&& attribute.getAttribute().startsWith(getRolePrefix())) {
			return true;
		}
		else {
			return false;
		}
	}

	public boolean supports(Class<?> clazz) {
		return true;
	}

    //判断是否授予访问权限。
	public int vote(Authentication authentication, Object object,
			Collection<ConfigAttribute> attributes) {
		if (authentication == null) {
			return ACCESS_DENIED;
		}
		int result = ACCESS_ABSTAIN;
		Collection<? extends GrantedAuthority> authorities = extractAuthorities(authentication);

		for (ConfigAttribute attribute : attributes) {
			if (this.supports(attribute)) {
				result = ACCESS_DENIED;

				// Attempt to find a matching granted authority
				for (GrantedAuthority authority : authorities) {
					if (attribute.getAttribute().equals(authority.getAuthority())) {
						return ACCESS_GRANTED;
					}
				}
			}
		}

		return result;
	}

	Collection<? extends GrantedAuthority> extractAuthorities(
			Authentication authentication) {
		return authentication.getAuthorities();
	}
}

有以下几个点:

  1. ROLE_是默认的一个前缀,可以覆盖,但是不建议为空,这点我在👉官方文档中也查询到了。因为如果为空的话,空的角色前缀意味着投票者将为每个 ConfigAttribute 投票。就是每个都可以通过的意思(自我理解)。

  2. 但是如果没有配置前缀的话,那么就会直接判定为权限不足,继而不通过。

  3. 只有以角色前缀开头ConfigAttribute完全匹配的GrantedAuthority(表示授予Authentication对象的权限) 的才能被授权访问。

    就是权限名是完全一样才能被访问,否则就被拒绝。

三、自言自语

学习必须的带上兴趣,才能变得不一样,有动力,有冲劲。😁

感兴趣的话,大家可以再试着Debug、bug、bug一下下哦。

下篇文章再见啦!!

宁在春
关注
  • 5
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity权限管理基本概念和整体架构介绍
写写平时的技术与感想
05-23 3289
Spring Security是⼀个功能强⼤、可⾼度定制的身份验证和访问控制框架。它是保护基于Spring的应⽤程序的事实标准。Spring Security是⼀个⾯向Java应⽤程序提供身份验证和安全性的框架。与所有Spring项⽬⼀样,Spring Security的真正威⼒在于它可以轻松地扩展以满⾜定制需求。是⼀个功能强⼤、可⾼度定制的身份验证和访问控制的框架。或者说⽤来实现系统中权限管理的框架。
看源码,重新审视Spring Security中的角色(roles)是怎么回事
江成军的专栏
01-27 1747
在网上看见不少的博客、技术文章,发现大家对于Spring Security中的角色(roles)存在较大的误解,最大的误解就是没有搞清楚其中角色和权限的差别(好多人在学习Spring Security时,是不是对于到底加不加“ROLE_”前缀有点犯蒙),有时候觉得在进行权限控制时用权限名称或者用角色名称都差不多(大家这种感觉是对的,如果简单应用确实差不太多)。 我们在进行角色权限控...
SpringSecurity给用户授权,一个用户能同时拥有多种身份Role,及权限鉴权注解方法hasRole及hasAuthority的使用区别
质量不太好的博客
03-13 9288
SpringSecurity给用户授权,一个用户能同时拥有多种身份Role
Spring Boot 之 Spring Security高级配置(权限和资源的关系)
探索er的博客
05-11 1048
Spring Security高级配置(权限和资源的关系)
SpringSecurity - 用户动态授权 及 动态角色权限
小毕超博客
01-09 1万+
一、SpringSecurity 动态授权 上篇文章我们介绍了SpringSecurity的动态认证,上篇文章就说了SpringSecurity 的两大主要功能就是认证和授权,既然认证以及学习了,那本篇文章一起学习了SpringSecurity 的动态授权。 上篇文章地址:https://blog.csdn.net/qq_43692950/article/details/122393435 二、SpringSecurity 授权 我们接着上篇文章的项目继续修改,上篇文章中有说到我们WebSecurity
2535-springsecurity系列--关于授权角色“ROLE”前缀的问题
zzxx1994617的博客
07-24 6601
版本信息 &lt;parent&gt; &lt;groupId&gt;org.springframework.boot&lt;/groupId&gt; &lt;artifactId&gt;spring-boot-starter-parent&lt;/artifactId&gt; &lt;version&gt;1.5.14.RELEASE&lt;/version&gt
Spring_Security权限管理_学习笔记
08-01
Spring Security是Java企业级应用中广泛使用的权限管理框架,它为应用程序提供了强大的访问控制和安全功能。在本学习笔记中,我们将深入探讨Spring Security的核心概念和配置,以及如何设计数据库表来支持权限管理。...
spring security 参考手册中文版
02-01
Spring Security 参考 1 第一部分前言 15 1.入门 16 2.介绍 17 2.1什么是Spring Security? 17 2.2历史 19 2.3版本编号 20 2.4获得Spring安全 21 2.4.1使用Maven 21 Maven仓库 21 Spring框架 22 2.4.2 Gradle 23 ...
Spring Securit权限管理
10-27
Spring Security中,权限管理是核心功能之一,允许开发人员控制不同用户对应用资源的访问权限。本篇文章将深入探讨Spring Security权限管理机制,从基础的配置到高级的定制化策略。 首先,权限管理的起点在于...
Spring-Security安全权限管理手册
08-12
在设计架构时,Spring Security 可以帮助开发者处理各种安全问题,如用户认证、权限控制、会话管理等。它支持多种认证机制,包括基于表单的登录、HTTP基本认证、OAuth2等。授权方面,Spring Security 提供了基于角色...
Spring安全权限管理
08-31
在`applicationContext.xml`中,引入Spring Security命名空间,然后定义`<http>`和`<authentication-provider>`元素。`<http>`元素用于定义访问控制策略,而`<authentication-provider>`元素则用于定义用户认证...
SpringSecurity详解
m0_71012114的博客
10-19 4963
本文详解介绍了security原理、多种方式配置登录、角色和权限访问控制、常用注解、用户注销。
spring security 在多用户条件下的写法
不以人人的意志为转义乃天道
07-12 1190
多个角色表达式springsecurities不表达式 逗号access: role,admin,user用表达式hasanyrole('a','b','c')hasrole('a') or hasrole('b') or hasrole('c')
SpringSecurity--角色继承、动态权限
吴声子夜歌的博客
02-08 2567
角色继承 用户表user: 角色表role: 中间表user_role: 一般来说,角色之间是有关系的,例如ROLE_admin一般既具有admin的权限,又具有user的权限。 在Spring Security中只需要开发者提供一个RoleHierarchy即可。 假设ROLE_dba是终极大Boss,具有所有的权限,ROLE_admin具有ROLE_user的权限,ROLE_user则是...
spring boot 加入 spring-security配置 角色前缀 静态资源访问
张林强的专栏
09-16 3698
对于spring-boot开发应用,基于起步依赖很容易将spring-security集成进去,下面分享一下自己的基础配置 @Configuration @EnableWebSecurity @EnableGlobalMethodSecurity(prePostEnabled = true)//开启基于方法的声明式权限控制 public class SecurityConfig extend
Spring Boot集成Security使用数据库用户角色权限ROLE_问题
禅与计算机程序设计艺术
04-30 8844
问题描述 日志打出来的ROLE是USER,代码里调用的是@PreAuthorize("hasRole('USER')"),为什么权限却是不对? 后台打印日志: username is jack, USER LoginFilter:{ "accountNonExpired":true, "accountNonLocked":true, "authoritie...
SpringBoot整合SpringSecurity(五)权限控制
fulinlin的博客
07-02 8185
Spring Security具有强大的权限验证。 权限有些人认为是页面的隐藏,其实不然。权限可以理解为是否可以访问资源,页面隐藏什么的是客户友好度的事情,所以对于web而言,系统的安全不安全,最终取决于对url的控制。 本文章代码可以参考 https://gitee.com/Maoxs/security-test中的 security-permission 准备 页面 首先呢是登陆 <...
2.Spring Security 用户,角色和权限 详解
热门推荐
妖怪的博客
08-26 1万+
本文主要介绍Spring Security使用数据库存储角色和权限,并在此情况下进行登录操作,同时介绍了记住我操作
Spring Security 参考手册(二)
bigKylin的专栏
05-13 7512
授权 在Spring Security的高级授权功能是其受欢迎的最有说服力的原因之一,无论您如何选择如何进行身份验证-是否使用提供的机制和提供程序的Spring Security,或整合与一个容器或其他non-Spring Security 认证机构-你会发现授权服务可以在您的应用程序中使用一个一致的和简单的方式. 在这一部分我们将探讨不同的` abstractsecuri
spring security 接收用户名NONE_PROVIDED
最新发布
06-03
当用户在登录时没有提供任何用户名时,Spring Security 会将用户名设置为“NONE_PROVIDED”,以表示该用户没有提供任何有效的用户名。这通常会触发一个异常,因为用户名不能为空。 为了避免这种情况,你可以在登录页面上添加必填项验证,确保用户必须输入一个有效的用户名。另外,你还可以在 Spring Security 的配置文件中设置一个默认的用户名,以防止出现“NONE_PROVIDED”的情况。具体来说,你可以使用`org.springframework.security.authentication.AuthenticationServiceException`异常来处理这种情况,例如: ```java @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { if (StringUtils.isBlank(username) || "NONE_PROVIDED".equals(username)) { throw new AuthenticationServiceException("用户名不能为空"); } // TODO: 根据用户名加载用户信息 } ``` 这里使用了`StringUtils.isBlank()`方法来判断用户名是否为空,如果为空或为“NONE_PROVIDED”,则抛出一个`AuthenticationServiceException`异常。你也可以根据具体情况自定义异常类型。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值