SpringSecurity:授权

已于 2022-10-23 20:52:11 修改
阅读量1.2k 收藏 3
点赞数 1
文章标签: servlet java 开发语言
于 2022-10-23 20:51:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51992178/article/details/127480158
版权

目录

SpringSecurity 有两种授权方式

基于角色的授权

基于权限的授权

使用注解判断权限

过滤器

用户登录后会根据用户的身份进行角色划分,比如登录图书馆系统,一般就有管理员和普通学生等不同角色。

用户的一个操作实际上就是在访问我们提供的`接口`(编写的对应访问路径的 Servlet),比如登陆,就需要调用`/login`接口,退出登陆就要调用/`logout`接口,因此,决定用户能否使用某个功能,只需要决定用户是否能够访问对应的 Servlet

SpringSecurity 有两种授权方式

- 基于权限的授权:只要拥有某权限的用户,就可以访问某个路径

- 基于角色的授权:根据用户属于哪个角色来决定是否可以访问某个路径

基于角色的授权

需要配置 SpringSecurity决定哪些角色可以访问哪些页面

http
        .authorizeRequests()
        .antMatchers("/static/**").permitAll()
  		.antMatchers("/index").hasAnyRole("user", "admin")   //index页面可以由user或admin访问
        .anyRequest().hasRole("admin")   //除了上面以外的所有内容,只能是admin访问

可以创建一个实体类来接收用户的信息

@Data
public class AuthUser {
    String username;
    String password;
    String role;
}

修改一下用于验证用户信息的service

@Override
public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
    AuthUser user = mapper.getPasswordByUsername(s);
    if(user == null)
        throw new UsernameNotFoundException("登录失败,用户名或密码错误!");
    return User
            .withUsername(user.getUsername())
            .password(user.getPassword())
            .roles(user.getRole())
            .build();
}

基于权限的授权

基于权限的授权与角色类似,需要以`hasAnyAuthority`或`hasAuthority`进行判断

例子

.anyRequest().hasAnyAuthority("page:index")

@Override

public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {

    AuthUser user = mapper.getPasswordByUsername(s);

    if(user == null)

        throw new UsernameNotFoundException("登录失败,用户名或密码错误!");

    return User

            .withUsername(user.getUsername())

            .password(user.getPassword())

            .authorities("page:index")

            .build();

}

使用注解判断权限

首先需要在相应的配置类(注意只是在 Mvc 的配置类上添加,就只针对 Controller 进行过滤,因为所有的 Controller 是由 Mvc 配置类进行注册的,如果需要为 Service 或其他 Bean 也启用权限判断,则需要在 Security 的配置类上添加)上开启

@EnableGlobalMethodSecurity(prePostEnabled = true)

public class SecurityConfiguration extends WebSecurityConfigurerAdapter

接着就可以直接在需要添加权限验证的请求映射上添加注解

通过添加`@PreAuthorize`注解,在执行之前判断判断权限,如果没有对应的权限或是对应的角色,将无法访问页面

@PreAuthorize("hasRole('user')")   //判断是否为user角色,只有此角色才可以访问

@RequestMapping("/index")

public String index(){

    return "index";

}

同样的还有`@PostAuthorize`注解,它是在方法执行之后再进行拦截

@PostAuthorize("hasRole('user')")

@RequestMapping("/index")

public String index(){

    System.out.println("执行了");

    return "index";

}

只要是由 Spring 管理的 Bean 都可以使用注解形式来控制权限,只要不具备访问权限,那么就无法执行方法并且会返回 403 页面

@Service

public class UserService {

    @PreAuthorize("hasAnyRole('user')")

    public void test(){

        System.out.println("成功执行");

    }

}

过滤器

使用`@PreFilter`和`@PostFilter`对集合类型的参数或返回值进行过滤

@PreFilter("filterObject.equals('zzp')")   //filterObject代表集合中每个元素,只要满足条件的元素才会留下

public void test(List<String> list){

    System.out.println("成功执行"+list);

}

@RequestMapping("/index")

public String index(){

    List<String> list = new LinkedList<>();

list.add("zzp")

    service.test(list);

    return "index";

}

当有多个集合时,需要使用`filterTarget`进行指定

@PreFilter(value = "filterObject.equals('lbwnb')", filterTarget = "list2")

public void test(List<String> list, List<String> list2){

    System.out.println("成功执行"+list);

}

散漫的大学生
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring security认证授权
11-30
在这个例子中,我们将深入探讨如何使用Spring Security进行认证和授权,并结合数据库操作进行动态配置。 首先,Spring Security的核心概念包括认证(Authentication)和授权(Authorization)。认证是确认用户身份...
Spring Security 控制授权的方法
08-27
Spring Security 控制授权的方法 Spring Security 控制授权的方法是指在 Spring Security 框架中对访问控制的实现方法,该方法通过使用授权表达式来控制访问权限。下面将详细介绍 Spring Security 控制授权的方法。...
如何利用SpringSecurity进行认证与授权
qq_63218110的博客
02-14 4030
本篇博客主要介绍SpringSecurity框架的学习,主要包含快速入门,以及认证、授权等方面的介绍,还涉及一些简单的自定义授权校验方法。
SpringSecurity授权
Littewood的博客
07-24 3371
SpringSecurity授权介绍
(新)Spring Security如何实现授权(实战篇)
最新发布
weixin_55772633的博客
06-23 1073
例如一个学校图书馆的管理系统,如果是普通学生登录就能看到借书还书相关的功能,不可能让他看到并且去使用添加书籍信息,删除书籍信息等功能。但是如果是一个图书馆管理员的账号登录了,应该就能看到并使用添加书籍信息,删除书籍信息等功能。总结起来就是。这就是权限系统要去实现的效果。我们不能只依赖前端去判断用户的权限来选择显示哪些菜单哪些按钮。因为如果只是这样,如果有人知道了对应功能的接口地址就可以不通过前端,直接去发送请求来实现相关功能操作。
SpringSecurity学习(七)授权
Huathy的博客
03-15 2086
SpringSecurity:认证与授权,基于URL的权限管理、基于方法的权限管理。权限表达式、授权原理分析。授权实战——权限模型
Spring Security (三):授权
weixin_55136824的博客
08-09 99
认证:系统对用户身份的验证,用于确定访问系统的用户身份授权:系统对不同的用户开放不同的权限,用户只能访问系统授权的部分认证和授权是每一个系统都不可或缺的重要部分。Spring Security 提供全面的授权支持。授权决定谁可以访问特定资源。Spring Security通过允许基于请求的授权和基于方法的授权来提供深度防御。
SpringSecurity授权
chenxingxingxing的博客
07-15 697
RBAC(RoleBasedAccessControl)中文全称是基于角色的访问控制。在RBAC模型中,权限与角色相关联,不同的角色有不同的权限,用户通过被分配为不同的角色从而获得不同角色的权限,从而简化用户的权限管理。用户与角色关联后,同能进行自主授权和权限专营,必须通过角色来控制授权信息,实现访问控制。...
SpringSecurity授权功能快速上手
qq_53324833的博客
01-08 568
我们还希望在认证失败或者是授权失败的情况下security也能和我们的接口一样返回相同结构的json(即统一返回前端的json格式,code和msg还有data的那个类),这样可以让前端能对响应进行统一的处理。要实现这个功能我们需要知道SpringSecurity的异常处理机制。​在SpringSecurity中,如果我们在认证或者授权的过程中出现了异常会被ExceptionTranslationFilter捕获到。
spring security 认证授权实现
10-14
**Spring Security 认证授权实现** Spring Security 是一个强大的、高度可配置的安全框架,用于Java应用程序,它提供了全面的身份验证和授权服务。在本项目中,我们关注的是如何利用Spring Security来实现用户认证...
SpringSecurity:Spring Security 5x
04-08
- Spring Security 5.x提供了对OAuth2协议的支持,允许应用作为资源服务器、授权服务器或客户端。 - 可以与其他OAuth2服务提供商如Google、Facebook等进行集成,实现单一登录(SSO)。 8. **JWT支持**: - ...
spring-security:授权+资源服务器
02-09
Spring安全授权+资源服务器。 使用oauth2实现了简单的授权+资源服务器。授权服务器: 为用户,角色,客户端定义实体,存储库,服务。 将数据存储在内存H2数据库中。 定义UserDetails,UserDetailsS​​ervice,...
SpringSecurity用户认证和用户授权的理解以及对应案例
qq_53092699的博客
08-29 160
用户认证和用户授权
3.spring security授权流程
weixin_45974277的博客
02-26 3742
Spring Security的授权流程如下: 分析授权流程: 1. 拦截请求,已认证用户访问受保护的web资源将被SecurityFilterChain中的 FilterSecurityInterceptor 的子类拦截。 2. 获取资源访问策略,FilterSecurityInterceptor会从 SecurityMetadataSource 的子类 DefaultFilterInvocationSecurityMetadataSource 获取要访问当前资源所需要的权限 Collection.
Spring Security OAuth2四种授权模式总结(七)
FAIRYTAIL的博客
02-17 1754
OAuth2的四种授权模式测试
Spring Security 认证的三种方式及简单的授权
我的博客
04-07 421
在SecurityConfig配置类内重写configue(HttpSecurity http)方法,如果用户没有访问某页面的权限,会出现403页面错误,该错误页面提示可以根据自己的项目进行修改。在pom.xml文件映入SpringSecutrity依赖启动器,启动项目,访问文章列表页面时,出现默认的登录页,需要用默认用户名:user,密码源于控制台输出,也就是最基础的登录。在做好了认证方式后,想要指定不同的权限访问不同的页面,即自定义访问控制,则需要再进行一些设置。测试,登录时用数据库内存储的用户信息。
spring security 怎么自定义认证和权限
lgyt240054的博客
04-23 384
你需要实现 UserDetailsService 接口,覆写 loadUserByUsername 方法,从数据库中查询用户信息和角色信息,然后返回一个实现了 UserDetails 接口的对象。 你需要实现 UserDetails 接口,封装用户的基本信息和权限信息,使用 GrantedAuthority 接口来表示权限。 你需要在 SecurityConfig 配置类中,配置认证管理器、加密器、过滤器等组件,例如使用 DaoAuthenticationProvider 来指定 UserDetails
SpringSecurity的自定义授权
qq_58137891的博客
05-10 381
1.在LoginUser类中新增一个List属性一个List属性,包含着权限信息2.重写getAuthorities()方法(因为权限信息需要从该方法中取得),将List封装到List中对应getAuthorities方法的返回值。3.对List属性取消JSON序列化,否则反序列化会出错。
spring security6+springboot3+jwt实现权限控制
hepeike001的博客
05-12 3366
最近在学习spring security,看到网上的都是比较老的版本,所以从github上找了一个开源的最新的spring security6 的demo借鉴,然后结合官网文档自己鼓捣了一个demo出来,做个笔记方便以后忘记怎么搞了来看看,哈哈哈OVO。(本项目用的是jdk17,有些表达式jdk8是无法编译的,所以要跑起来的话记得安装17哦,反正现在也免费了)
精通Spring Security:快速指南
2. **授权**:Spring Security的授权机制允许你定义访问控制规则,比如基于角色的访问控制(RBAC)。你可以设置权限级别,限制特定用户或角色对特定资源的访问,从而实现细粒度的控制。 3. **过滤器链**:Spring ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值