spring security 注解的使用

已于 2023-03-28 11:04:46 修改
阅读量657 收藏 1
点赞数
分类专栏: Spring Boot java 文章标签: spring java 后端
于 2023-03-28 11:00:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45961836/article/details/129809389
版权

在spring security安全管理框架中,主要注解有

  • @EnableGlobalMethodSecurity
  • @Secured (角色认证)
  • @PreAuthorize(访问方法之前进行 权限或角色 认证)
  • @PostAuthorize(访问方法之后进行 权限或角色 认证)
  • @PreFilter (过滤参数集合)
  • @PostFilter (过滤返回值集合)
@EnableGlobalMethodSecurity

当我们需要使用 spring security 中的注解,只需要在启动类(配置类)开启注解@EnableGlobalMethodSecurity 就能达到目的。同时这个注解为我们提供了prePostEnabled 、securedEnabled 和 jsr250Enabled 三种不同的机制来实现同一种功能,其三种机制默认值均为false:

@EnableGlobalMethodSecurity(securedEnabled = true,prePostEnabled = true,jsr250Enabled = true)
  1. 机制一:prePostEnabled
    prePostEnabled = true 会解锁 @PreAuthorize 和 @PostAuthorize 两个注解
  2. 机制二:securedEnabled
    securedEnabled =true会解锁@Secured注解
  3. 机制三: jsr250Enabled
    jsr250Enabled=true 启用 JSR-250 安全控制注解,这属于 JavaEE 的安全规范(现为 jakarta 项目)。一共有五个安全注解。
    如果你在 @EnableGlobalMethodSecurity 设置 jsr250Enabled 为 true ,就开启了 JavaEE 安全注解中的以下三个:

  • @DenyAll: 拒绝所有访问

  • @RolesAllowed({“USER”, “ADMIN”}): 该方法只要具有"USER", "ADMIN"任意一种权限就可以访问。这里可以省略前缀ROLE_,实际的权限可能是ROLE_ADMIN

  • @PermitAll: 允许所有访问

@Secured

@Secured注解的作用:在用户向浏览器发送一个请求时会去访问控制器中的方法,然后在访问此控制器中的方法之前会先去UserDetailsService用户细节实现类的实现方法中return的User对象查看是否具有@Secured注解中指定的角色,如果有指定的角色,那么系统允许用户访问此控制器方法,否则,系统不允许访问此控制器方法;注意在使用@Secured设置角色名字的时候,角色名的前面一定要加上ROLE_前缀;
在这里插入图片描述

UserDetailsService用户细节实现类中的情况如下图:
在这里插入图片描述
UserDetailsService中的用户具有ROLE_user角色,因此可以访问控制器中的update方法

@PreAuthorize

@PreAuthorize注解会在方法执行前进行验证,而 @PostAuthorize 注解会在方法执行后进行验证
@PreAuthorize注解的作用:在浏览器发送一个请求后,会访问控制器中的对应的方法,@PreAuthorize注解会在访问控制器中的方法之前进行 权限或角色 认证,看看UserDetailsService用户细节实现类中对应的用户有没有相应的 权限或角色,如果有那么该用户发送的请求可以进入控制器中对应的方法,如果没有相应的权限或角色,那么用户发送的请求不能进去控制器中对应的方法
权限认证:

    @GetMapping("/update")
//    单个权限认证 hasAuthority()
//    @PreAuthorize("hasAuthority('admins')")
//    多个权限认证 hasAnyAuthority()
    @PreAuthorize("hasAnyAuthority('admins,person')")
    public String update(){
        return "update";
    }

角色认证:

    @GetMapping("/update")
//    单个角色 hasRole()
//    @PreAuthorize("hasRole('ROLE_user')")
//    多个角色 hasAnyRole()
    @PreAuthorize("hasAnyRole('ROLE_user,Role_admin')")
    public String update(){

        return "update";
    }

@PostAuthorize

@PostAuthorize注解使用不多,在方法执行后再进行权限验证。@PostAuthorize注解的作用:在访问控制器中的相关方法之后(方法的return先不执行),进行权限认证,去看看UserDetailsService用户细节实现类中用户是否有对应的权限,如果有的话,那么控制器方法的最后一句return语句会执行,否则,控制器方法的最后一句return语句不会执行。
实际用法与@PreAuthorize 相似

@PreFilter

@PreFilter注解对集合类型的参数执行过滤,移除结果为false的元素。基于方法入参相关的表达式,对入参进行过滤。分页慎用!该过程发生在接口接收参数之前。 入参必须为 java.util.Collection 且支持 remove(Object) 的参数。如果有多个集合需要通过 filterTarget=<参数名> 来指定过滤的集合。内置保留名称 filterObject 作为集合元素的操作名来进行评估过滤

    @GetMapping("/info")
    @PreFilter(value = "filterObject.id%2==0")
    public List<Users> info(@RequestBody List<Users> list){
        
        list.forEach(t->{
            System.out.println(t.getUserid()+"\t"+t.getUsername());
        });
        
        return list;
    }

@PostFilter

注意@PostFilter注解只有在控制器方法的return返回值是一个集合的时候才可以使用;
@PostFilter注解的作用:如果控制器方法的return返回值是一个集合,此注解可以对return的这个集合进行过滤输出。使用@PostFilte注解可以对集合类型的返回值进行过滤。使用@PostFilter时,Spring Security将移除使对应表达式即的结果为false的元素

    @GetMapping("/list")
    @PostFilter(value = "filterObject.username=='libai'")
    public List<Users> list(){

        ArrayList<Users> list = new ArrayList<Users>();
        list.add(new Users(1,"libai","666"));
        list.add(new Users(2,"dufeng","123"));
        return list;
    }

访问结果:
在这里插入图片描述

_Keep up
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
spring-security注解开发
10-29
在本主题中,我们将深入探讨"spring-security注解开发",这是Spring框架的一个重要组成部分,特别是在构建安全的Java Web应用程序时。Spring Security提供了一种强大而灵活的方式来管理和保护应用程序的资源,而注解...
SpringSecurity素材.rar
03-02
狂神(秦疆)的教程以SpringBoot为基础,深入讲解了如何集成和使用SpringSecurity来构建安全的Web应用程序。 在B站的视频P34中,可能涵盖了以下几个关键知识点: 1. **SpringSecurity简介**:首先会介绍Spring...
Java SSM 项目实战 day08 方法级别的权限操作 服务器端的权限控制(JSR-250注解)(支持表达式的注解)(@Secured)以及页面端的权限控制
Tx1xQn9G4的博客
03-28 572
互联网大厂比较喜欢的人才特点:对技术有热情,强硬的技术基础实力;主动,善于团队协作,善于总结思考。无论是哪家公司,都很重视高并发高可用技术,重视基础,所以千万别小看任何知识。面试是一个双向选择的过程,不要抱着畏惧的心态去面试,不利于自己的发挥。同时看中的应该不止薪资,还要看你是不是真的喜欢这家公司,是不是能真的得到锻炼。其实我写了这么多,只是我自己的总结,并不一定适用于所有人,相信经过一些面试,大家都会有这些感触。下面有部分截图希望能对大家有所帮助。
权限控制-@Secured注解
qq_38780240的博客
03-24 9909
SSM框架下,使用SpringSecurity进行身份识别和权限控制,后端通过@Security进行权限控制。 使用步骤: 1、在SpringSecurity的配置文件Spring-security.xml中开启注解。 <security:global-method-security secured-annotations="enabled"/> 2、在相关方法用@Secured进行...
Java SSM 项目实战 day08 方法级别的权限操作 服务器端的权限控制(JSR-250注解)(支持表达式的注解)(@Secured
最新发布
2401_85192735的博客
05-25 381
DenyAll是和PermitAll相反的,表示无论什么角色都不能访问。
SpringSecurity的权限校验详解说明(附完整代码)
qq_51076413的博客
02-19 3609
SpringSecurity安全检验、SpringSecurity权限认证、SpringSecurity权限校验、SpringSecurity自定义校验、SpringSecurity自定义校验规则、SpringSecurity异常处理器
5.Spring Security安全注解
相互学习 共同进步
04-24 1203
Spring Security默认是禁用注解的,要想开启注解,需要在继承WebSecurityConfigurerAdapter的类上加@EnableGlobalMethodSecurity注解,并在该类中将AuthenticationManager定义为Bean如果要启用基于注解的方法安全性,要在配置类上使用**@EnableGlobalMethodSecurity**设置了securedEnabled = true,此时Spring将会创建一个切点,并将带有@Secured注解的方法防入切面中。
@EnableGlobalMethodSecurity三方法详解
ywb201314的专栏
10-09 2432
EnableGlobalMethodSecurity三方法详解要开启Spring方法级安全,在添加了注解的类上再添加注解即可其中注解[@Secured]在同一个应用程序中,可以启用多个类型的注解,但是只应该设置一个注解对于行为类的接口或者类。如:但是只应该设置一个注解对于行为类的接口或者类。
超详细总结Spring的配置注解
m0_71777195的博客
03-29 1023
配置注解,指@,@,@Scope,@Lazy,@,@Import等注解,本篇文章将对这些注解使用进行详细总结。Springboot2.4.1Spring5.3.2Spring的配置注解,更多的是为如何向容器注册bean服务,那么这里给出容器注册bean的总结。配置类中使用@Bean注解向容器注册bean;使用@注解扫描指定包路径下的类并注册,默认扫描@Controller,@Service,@Component和@Repository注解修饰的类;使用@Import注解,有如下三种方式。
springsecurity使用配置详解
03-24
在提供的压缩包`springsecurity配置demo`中,你将找到示例代码和详细说明,这将帮助你更好地理解和实践上述概念。通过学习和实践这些示例,你将能够为自己的Spring应用程序构建强大的安全防护。
Spring Security 基本使用和配置代码
10-07
本教程将深入探讨Spring Security的基本使用和配置代码,帮助你理解和实践这个框架。 首先,Spring Security的核心功能包括用户身份验证、权限控制以及安全相关的会话管理。在开始配置之前,确保你的项目已经集成了...
Spring Security模块
09-03
Spring Security 可以通过 XML 配置、Java 配置或注解方式进行配置。XML 配置较为传统,但 Java 配置和注解方式提供了更高的灵活性和可读性。配置内容包括定义过滤器链、配置访问控制策略、指定用户详情服务等。 **...
想要控制好权限,这八个注解你必须知道!
麦叔
08-22 1077
在讲数据权限之前,我们有必要先和大家介绍一下 Spring Security 中的权限注解,把这个捋清楚了,再去看 TienChin 项目的权限注解,你就会发现非常容易了。
SpringSecurity配置及注解说明
magicproblem的博客
10-25 1142
一、配置准备 1、引入相关pom.xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> <version>2.0.4.RELEASE</version>
spring security 用户授权/访问控制
swadian2008的博客
09-12 1759
授权的方式包括 web 授权和方法授权,web授权是通过 url 拦截进行授权,方法授权是通过方法拦截进行授权。他们都会调用 accessDecisionManager 进行授权决策,若为web授权则拦截器为FilterSecurityInterceptor;若为方法授权则拦截器为MethodSecurityInterceptor。如果同时通过web 授权和方法授权则先执行web授权,再执行方法授权,最后决策通过,则允许访问资源,否则将禁止访问。
方法级权限控制-@Secured注解使用
Leon_Jinhai_Sun的博客
02-22 2233
@Secured注解 @Secured注解标注的方法进行权限控制的支持,其值默认为disabled。 示例: @Secured("IS_AUTHENTICATED_ANONYMOUSLY") public Account readAccount(Long id); @Secured("ROLE_TELLER") ...
java 登录认证注解_Java-Security(七):Spring Security方法注解认证启用
weixin_33001305的博客
02-28 541
@EnableGlobalMethodSecurity标记启用方法认证注解类型包含以下3种:prePostEnabled:确定 前置注解[@PreAuthorize,@PostAuthorize,..]是否启用securedEnabled:确定安全注解 [@Secured]是否启用jsr250Enabled:确定 JSR-250注解 [@RolesAllowed..]是否启用方法注解类型一把通过@...
Spring Security 4 使用@PreAuthorize,@PostAuthorize, @Secured, EL实现方法安全(带源码)
热门推荐
明明如月的技术博客
05-06 5万+
【相关已翻译的本系列其他文章,点击分类里面的spring security 4】 上一篇:Spring Security 4 整合Hibernate 实现持久化登录验证(带源码) 原文地址:http://websystique.com/spring-security/spring-security-4-method-security-using-preauthorize-postaut
springSecurity注解使用
04-04
Spring Security 是一个基于 Spring 框架的安全框架,可以轻松地实现身份认证和授权等安全功能。 Spring Security 提供了一些注解,用于在应用中标注安全相关的信息,例如: - @Secured:用于标注方法或类,表示该方法或类需要特定的权限才能被访问。 - @PreAuthorize:用于标注方法或类,表示该方法或类需要满足指定的条件才能被访问。 - @PostAuthorize:用于标注方法,表示该方法需要在执行后满足指定的条件才能返回结果。 - @RolesAllowed:用于标注方法或类,表示该方法或类需要特定的角色才能被访问。 - @AuthenticationPrincipal:用于标注方法的参数,表示该参数需要获取当前身份认证用户的信息。 使用这些注解可以非常方便地实现应用的安全控制,例如: ```java @RestController public class UserController { @Autowired private UserService userService; @Secured("ROLE_ADMIN") @GetMapping("/users") public List<User> getUsers() { return userService.getUsers(); } @PreAuthorize("hasRole('ADMIN') or hasRole('USER')") @GetMapping("/users/{id}") public User getUserById(@PathVariable("id") Long id) { return userService.getUserById(id); } @PostAuthorize("returnObject.username == authentication.principal.username") @PutMapping("/users/{id}") public User updateUser(@PathVariable("id") Long id, @RequestBody User user) { return userService.updateUser(id, user); } @RolesAllowed({"ADMIN", "USER"}) @DeleteMapping("/users/{id}") public void deleteUser(@PathVariable("id") Long id) { userService.deleteUser(id); } @GetMapping("/me") public User getMe(@AuthenticationPrincipal UserDetails userDetails) { return userService.getUserByUsername(userDetails.getUsername()); } } ``` 在上述代码中,我们使用Spring Security 提供的各种注解,实现了对用户资源的安全控制。例如: - getUsers 方法需要 ROLE_ADMIN 权限才能访问。 - getUserById 方法需要 ADMIN 或 USER 角色才能访问。 - updateUser 方法执行后需要满足返回对象的 username 属性等于当前用户的用户名。 - deleteUser 方法需要 ADMIN 或 USER 角色才能访问。 - getMe 方法获取当前用户的信息,使用了 @AuthenticationPrincipal 注解获取了当前身份认证用户的信息。 需要注意的是,使用注解时需要启用 Spring Security 的方法级别安全控制,即需要在 WebSecurityConfigurerAdapter 中配置如下内容: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .anyRequest().authenticated() // 其他所有请求均需要身份认证 .and() .httpBasic(); // 使用 HTTP Basic 认证方式 } @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { // 配置用户信息和密码编码器 auth.inMemoryAuthentication() .withUser("admin").password(passwordEncoder().encode("admin")).roles("ADMIN") .and() .withUser("user").password(passwordEncoder().encode("user")).roles("USER"); } @Bean public PasswordEncoder passwordEncoder() { // 选择密码编码器 return new BCryptPasswordEncoder(); } } ``` 在上述代码中,我们配置了使用 HTTP Basic 认证方式,配置了用户信息和密码编码器,启用了方法级别安全控制。这样,我们就可以使用注解来实现应用的安全控制了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

_Keep up

你的鼓励将是我创作的最大动力!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值