Spring Security中hasAnyAuthority和hasAuthority的区别

已于 2023-05-29 17:01:47 修改
阅读量2.8k 收藏 3
点赞数 1
文章标签: java spring 开发语言
于 2023-05-29 17:00:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46533227/article/details/130931992
版权

1、区别

hasAnyAuthority和hasAuthority都是Spring Security中的表达式语言,用于实现访问控制。它们之间的 区别 在于:

  1. hasAuthority只能判断一个权限,格式为"ROLE_XXX",例如"ROLE_USER"。 hasAnyAuthority可以判断多个权限,用逗号分隔,例如"ROLE_USER, ROLE_ADMIN",只要用户拥有其中一个权限即可访问被保护的资源。

  2. hasAuthority可以与其他表达式结合使用,例如hasAuthority('ROLE_ADMIN') and hasIpAddress('192.168.1.0/24'),表示用户需要同时拥有"ROLE_ADMIN"权限和来自IP地址为"192.168.1.0/24"的请求才能访问被保护的资源。 hasAnyAuthority不能与其他表达式结合使用,如果需要判断多个条件,需要使用Spring Security提供的其他表达式,例如hasRole和hasIpAddress等。

因此,hasAuthority更适用于只需要判断一个权限的场景,而hasAnyAuthority则更适用于需要判断多个权限的场景。

2、举例:

假设我们有一个控制器方法,需要用户具有"ROLE_ADMIN"或"ROLE_USER"权限才能访问:

@GetMapping("/dashboard")

@PreAuthorize("hasAnyAuthority('ROLE_ADMIN', 'ROLE_USER')")

public String dashboard() {

// 业务逻辑 return "dashboard";

}

在上面的例子中,我们使用了hasAnyAuthority表达式来判断用户是否具有"ROLE_ADMIN"或"ROLE_USER"权限。如果用户拥有其中一个权限,就可以访问该方法。

而如果我们需要控制器方法只能被具有"ROLE_ADMIN"权限的用户访问:

@GetMapping("/admin")

@PreAuthorize("hasAuthority('ROLE_ADMIN')")

public String admin() {

// 业务逻辑 return "admin";

}

在上面的例子中,我们使用了hasAuthority表达式来判断用户是否具有"ROLE_ADMIN"权限。只有拥有该权限的用户才能访问该方法。

或者可以需要用户同时拥有两种权限(  ROLE_ADMIN 和 ROLE_ADD )才可以访问资源

@GetMapping("/admin")

@PreAuthorize("hasAuthority('ROLE_ADMIN') and hasAuthority('ROLE_ADD')")

public String admin() {

// 业务逻辑 return "admin";

}

Fangzhiy
关注
spring security原理机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)用户授权 (Authorization)两个部分,这两点也是 Spring
SpringSecurity 授权详解
流楚丶格念的博客
09-18 1861
在前面讲解了认证中所有常用配置,主要是对 http.formLogin()进行操作。而在配置类中 http.authorizeRequests()主要是对 url 进行控制,也就是我们所说的授权(访问控制)。url 匹配规则 . 权限控制方法通过上面的格式可以有很多 url 匹配规则很多权限控制方法。这些内容进行各种组合就形成了 Spring Security 中的授权。在所有匹配规则中取所有规则的交集。配置顺序影响了之后授权效果,越是具体的应该放在前面,越是笼统的应该放到后面。
Spring-Security@PreAuthorize(“hasAuthority(‘‘)“)源码分析
z69183787的专栏
12-28 1810
Spring-Security@PreAuthorize(“hasAuthority(’’)”)源码分析@PreAuthorize(“hasAuthority(‘xxx’)”)用来鉴别当前登录用户所拥有的角色是否有xxx权限访问该接口。SpringBoot Security Oauth2角色及权限鉴权注解方法hasRole及hasAuthority的使用区别_控制器中定义的权限字符,如:@preauthorize(`@ss.hasrole('admin')`-CSDN博客。
其它权限校验方法
Leon_Jinhai_Sun的博客
06-08 1040
权限
SpringSecurity数据权限注解
最新发布
qq_61744701的博客
03-28 213
定义bean,创建判断方法/*** 验证用户是否具备某权限* @param permission 权限字符串* @return 用户是否具备某权限*///未知使用方法,当参数传递,会被SpEL解析执行。
第04讲:Security之用户授权
分享日常工作技术
12-16 669
如果返回false,则页面提示http状态码为403,表示请求被拒绝。在SecurityService类中添加授权的逻辑(用户被授予的权限):如果返回false,则页面提示http状态码为403,表示请求被拒绝。在SecurityService类中添加授权的逻辑(用户被授予的角色)在SecurityConfig配置类中设置访问资源的权限的逻辑。在SecurityConfig配置类中设置访问资源的角色的逻辑。
Spring-Security hasAuthority hasRole源码处理
qq_18398239的博客
07-02 597
SecurityExpressionRoot hasAuthority hasRole org.springframework.security.access.expression.SecurityExpressionRoot public abstract class SecurityExpressionRoot implements SecurityExpressionOperations { protected final Authentication authentication; pr
SpringSecurity(十一)--配置权限以及相关限制(下)
学习不止境的博客
10-24 1864
本章我们将承接上篇文章的项目为基础学习,所以没有搭建好项目的小伙伴请先去查看上一篇文章把项目理解并且搭建好,当然大家也可以用自己的方式进行搭建学习,不用啥都按部就班,尤其是编程这块儿,具有极大的灵活性,没准你的方法才是最适合的。但是对于后面的代码,我将以上篇搭建好的代码为架构基础进行展示。
spring security学习笔记(二)--授权
bjjx123456的博客
10-01 697
例:只有这个user在其对应的role对应的menu表中的perms字段(权限字段)中有sys:student:operation才可以访问。我们知道springboot中有全局异常处理器,当发生异常后会如果没在controller层,service层或者dao层进行处理会向上抛出给全局异常处理器,从而统一返回结果。SpringSecurity也有异常处理机制,我们还希望在认证失败或者是授权失败的情况下也能我们的接口一样返回相同结构的json,这样可以让前端能对响应进行统一的处理。
SpringSecurity入门使用——资源授权
a_lllk的博客
11-17 2078
上一篇大概陈述了一下关于SpringSecurity的用户登录,从使用不同的方式进行用户登录做了一个简单的介绍。在开头我也曾提到过,SpringSecurity主要有两大功能,第一个就是用户登录,第二个就是资源授权。这篇就来大概描述一下资源授权的整个过程。 一.实现configure(HttpSecurity http)方法 在配置类中重写configure(HttpSecurity http)方法,注意参数是HTTPSecurity,在这里做一个最简单的登录成功失败Url配置。 @Over
SpringSecurity Web 权限方案
m0_62946761的博客
01-20 4664
介绍spring security基本功能,包括自定义登录i页面,自定义403页面,相关注解方法的使用。
我的BUG日志(2020082601):spring security问题,hasAuthority方法无法获取权限的原因
王和平的第三个果园
08-26 1734
这里是spring security初始化用户详情信息 public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { //省略获取权限列表的代码 return new org.springframework.security.core.userdetails.User(userName, password, authList); } 然后是Controller的调用部分(注意hasAut
SpringSecurity使用教程
weixin_65019617的博客
12-15 1325
RBAC权限模型(Role-Based Access Control)即:基于角色的权限控制。这是目前最常被开发者使用 也是相对易用、通用权限模型。我们可以在自己定义expression包下,创建自己的权限校验方法,然后在@PreAuthorize注解中使用自己的方法。//获取当前用户的权限//判断用户权限集合中是否存在authority在SPEL表达式中使用 @ex相当于获取容器中bean的名字未ex的对象。然后再调用这个对象的 hasAuthority方法。
spring securirty 权限校验方法
weixin_44768962的博客
07-31 1013
权限校验解析
SpringSecurity(06)——权限注解
peng_gx的博客
01-15 1764
SpringSecurity权限注解
spring security如何使用sec:authorize="hasAnyAuthority('PRODUCT_DELETE')"标签 及其在方法上使用权限注解
taiguolaotu的博客
01-16 7385
废话不多说,直接上代码, 第一 我只从代码中粘贴了一部分, Configuration注解的作用,意思将给类交给spring容器管理(也可以说是被实例化) EnableWebSecurity的作用,开启spring security过滤器链 EnableGlobalMethodSecurity ,开启权限注解,首先加上此注解,我们的标签及其权限注解才可以使用 @Configuration @Ena...
Spring——Security安全框架之权限限定
专注写bug
02-22 2404
文章目录前言基于角色或权限进行访问控制hasAuthority 方法(单个权限)测试hasAnyAuthority 方法(多个权限)测试hasRole 方法(一个权限)测试异常测试hasAnyRole 方法(多个)测试loadUserByUsername中传递多个权限代码下载 前言 上一篇博客Security安全框架针对请求追加限制中,针对 部分请求 增加了 登录验证 。 只要是登录成功,就能访问被限制的请求。 但是,这种模式肯定是不够用的。 比如:淘宝商品页面。商家可以修改商品价格,但顾客只能看
[SpringSecurity]web权限方案_用户授权_基于权限访问控制_基于角色访问控制_hasAuthorityhasAnyAuthority_hasRolehasAnyRole
m0_51955470的博客
02-28 2431
基于角色或权限进行访问控制 hasAuthority 方法 如果当前的主体具有指定的权限,则返回 true,否则返回 false 在配置类设置当前访问地址有哪些 @Override protected void configure(HttpSecurity http) throws Exception { http.formLogin() //自定义自己编写的登陆页面 .loginPage("/login.html") //登陆页面设
SpringSecurity:授权
weixin_51992178的博客
10-23 1366
用户登录后会根据用户的身份进行角色划分,比如登录图书馆系统,一般就有管理员普通学生等不同角色。用户的一个操作实际上就是在访问我们提供的`接口`(编写的对应访问路径的 Servlet),比如登陆,就需要调用`/login`接口,退出登陆就要调用/`logout`接口,因此,决定用户能否使用某个功能,只需要决定用户是否能够访问对应的 Servlet。
SpringSecurity用法
09-16
Spring Security是基于Spring框架的安全认证授权框架,用于保护应用程序的安全性。下面是Spring Security的一些常用用法: 1. 配置认证: 在Spring Security中,可以通过配置类继承 WebSecurityConfigurerAdapter 来定义认证规则。可以通过重写 configure(AuthenticationManagerBuilder auth) 方法来配置认证提供程序,如内存用户存储、数据库用户存储、LDAP用户存储等。 2. 配置授权: 通过重写 configure(HttpSecurity http) 方法来配置授权规则。可以定义哪些URL需要哪些角色/权限才能访问,以及如何处理未授权的访问等。可以使用 hasRole、hasAnyRole、hasAuthorityhasAnyAuthority 等方法来指定角色/权限要求。 3. 自定义登录表单: 可以通过配置 loginPage、loginProcessingUrl、defaultSuccessUrl、failureUrl 等属性来自定义登录表单的地址、登录处理URL登录成功/失败后的跳转URL。还可以通过实现 AuthenticationSuccessHandler AuthenticationFailureHandler 接口来自定义登录成功/失败的处理逻辑。 4. 注销: 可以通过配置 logoutUrl logoutSuccessUrl 属性来自定义注销的URL注销成功后的跳转URL。 5. Remember Me: 可以通过配置 rememberMe() 方法启用 "Remember Me" 功能。可以指定 "Remember Me" 的有效期、cookie的名称等。 6. CSRF防护: Spring Security默认启用CSRF防护,可以通过配置 csrf() 方法来配置相关属性。可以定制CSRF Token的生成,以及指定某些请求不需要进行CSRF防护。 7. 方法级别的安全控制: 可以使用 @Secured、@PreAuthorize @PostAuthorize 注解来实现方法级别的安全控制。可以指定哪些角色/权限才能调用方法,以及对方法返回的结果进行判断。 除此之外,Spring Security还提供了其他功能,如对HTTP请求头的安全控制、自定义用户认证提供程序、集成第三方身份提供者(如OAuth)等。总的来说,Spring Security提供了全面的安全解决方案,可以灵活地适应各种安全需求。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值