(新)Spring Security其它权限校验方法&自定义权限校验方法

于 2024-06-23 15:49:06 发布
阅读量462 收藏 15
点赞数 9
分类专栏: Spring Security 文章标签: spring java 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_55772633/article/details/139900951
版权

一、其它权限校验方法(了解)

我们前面都是使用@PreAuthorize注解,然后在在其中使用的是hasAuthority方法进行校验。

SpringSecurity还为我们提供了其它方法例如:hasAnyAuthority,hasRole,hasAnyRole等。

这里我们先不急着去介绍这些方法,我们先去理解hasAuthority的原理,然后再去学习其他方法你就更容易理解,而不是死记硬背区别。并且我们也可以选择定义校验方法,实现我们自己的校验逻辑。

hasAuthority方法实际是执行到了SecurityExpressionRoot的hasAuthority,大家只要断点调试既可知道它内部的校验原理。

它内部其实是调用authentication的getAuthorities方法获取用户的权限列表。然后判断我们在接口上定义的权限是否被包含于用户的权限列表,如果有则返回ture放行,反之false拦截。

hasAnyAuthority方法可以传入多个权限,只有用户有其中任意一个权限都可以访问对应资源。

@PreAuthorize("hasAnyAuthority('admin','test','system:dept:list')")
public String hello(){
      return "hello";
}

 

hasRole要求有对应的角色才可以访问,但是它内部会把我们传入的参数拼接上 ROLE_ 后再去比较。所以这种情况下要用用户对应的权限也要有 ROLE_ 这个前缀才可以。

@PreAuthorize("hasRole('system:dept:list')")
public String hello(){
    return "hello";
}

hasAnyRole 有任意的角色就可以访问。它内部也会把我们传入的参数拼接上 ROLE_ 后再去比较。所以这种情况下要用用户对应的权限也要有 ROLE_ 这个前缀才可以。

@PreAuthorize("hasAnyRole('admin','system:dept:list')")
public String hello(){
    return "hello";
}

二、自定义权限校验方法(掌握)

我们也可以定义自己的权限校验方法,在@PreAuthorize注解中使用我们的方法。

@Component("ex")
public class SGExpressionRoot {
    public boolean hasAuthority(String authority) {
        //获取当前用户的权限
        Authentication authentication =
                SecurityContextHolder.getContext().getAuthentication();
        LoginUser loginUser = (LoginUser) authentication.getPrincipal();
        List<String> permissions = loginUser.getPermissions();
        //判断用户权限集合中是否存在authority
        return permissions.contains(authority);
    }
}

在SPEL表达式中使用 @ex相当于获取容器中bean的名字未ex的对象。然后再调用这个对象的

hasAuthority方法

@RequestMapping("/hello")
@PreAuthorize("@ex.hasAuthority('system:dept:list')")
public String hello(){
    return "hello";
}

三、基于配置的权限控制

我们也可以在配置类中使用使用配置的方式对资源进行权限控制。

eg:.antMatchers("/testCors").hasAuthority("system:dept:list222")

 @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
//关闭csrf
                .csrf().disable()
//不通过Session获取SecurityContext
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                .and()
                .authorizeRequests()
// 对于登录接口 允许匿名访问
                .antMatchers("/user/login").anonymous()
                .antMatchers("/testCors").hasAuthority("system:dept:list222")
// 除上面外的所有请求全部需要鉴权认证
                .anyRequest().authenticated();
//添加过滤器
        http.addFilterBefore(jwtAuthenticationTokenFilter,
                UsernamePasswordAuthenticationFilter.class);
//配置异常处理器
        http.exceptionHandling()
//配置认证失败处理器
                .authenticationEntryPoint(authenticationEntryPoint)
                .accessDeniedHandler(accessDeniedHandler);
//允许跨域
        http.cors();
    }

四、CSRF

CSRF是指跨站请求伪造(Cross-site request forgery),是web常见的攻击之一。

CSRF攻击与防御(写得非常好)_注销账号可以防范csrf吗-CSDN博客

SpringSecurity去防止CSRF攻击的方式就是通过csrf_token。后端会生成一个csrf_token,前端发起请求的时候需要携带这个csrf_token,后端会有过滤器进行校验,如果没有携带或者是伪造的就不允许访问。

我们可以发现CSRF攻击依靠的是cookie中所携带的认证信息。但是在前后端分离的项目中我们的认证信息其实是token,而token并不是存储中cookie中,并且需要前端代码去把token设置到请求头中才可以,所以CSRF攻击也就不用担心了。

 

Maiko Star
关注
  • 9
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
利用Spring Security做角色权限校验
12-10
综上所述,利用Spring Security进行角色权限校验是一个多步骤的过程,涉及认证、授权、动态数据查询和自定义配置等多个方面。通过灵活的配置和扩展,我们可以构建一个安全、高效且符合业务需求的权限管理系统。在...
SpringBoot+SpringSecurity整合(实现了登录认证和权限验证)完整案例,基于IDEA项目
02-16
SpringBoot+SpringSecurity整合示例代码,实现了从数据库中获取信息进行登录认证和权限认证。 本项目为idea工程,请用idea2019导入(老版应该也可以)。 本项目用户信息所需sql文件,在工程的resources文件夹下,...
其它权限校验方法
Leon_Jinhai_Sun的博客
06-08 899
权限
SpringSecurity给用户授权,一个用户能同时拥有多种身份Role,及权限鉴权注解方法hasRole及hasAuthority的使用区别
质量不太好的博客
03-13 9307
SpringSecurity给用户授权,一个用户能同时拥有多种身份Role
基于SpringSecurity的@PreAuthorize实现自定义权限校验方法
小王博客基地
08-15 5598
在我们一般的web系统中必不可少的就是权限的配置,也有经典的RBAC权限模型,是基于角色的权限控制。这是目前最常被开发者使用也是相对易用、通用权限模型。当然已经实现了权限校验,但是不够灵活,我们可以自己写一下校验条件,从而更加的灵活!很多开源框架中也是用的比较多,小编看了一下若依是自己写了一个注解实现的,pig是使用来实现自己的校验方式,小编以pig框架的为例。这样就完成了自定义校验,具体的校验可以自己在配置里进行修改,当然也可以自己写一个注解来进行自定义校验,可以参考若依的注解!...
@PreAuthorize 权限控制的原理
05-19 3574
@PreAuthorize 注解,顾名思义是进入方法前的权限验证,@PreAuthorize 声明这个方法所需要的权限表达式,例如:@PreAuthorize("hasAuthority('sys:dept:delete')"), 根据这个注解所需要的权限,再和当前登录的用户角色所拥有的权限对比,如果用户的角色权限集Set中有这个权限,则放行;没有,拒绝 跟进hasAuthority方法: 但是,问题来了,这个用户的角色权限Set,是什么时候存入的,其流程如下: 相关代码: ...
@PreAuthorize注解
最新发布
先知三日
01-12 2614
例如,v-hasPermi="['monitor:job:add']"会检查用户是否具有monitor:job:add这个权限,如果有,那么相关的UI元素就会显示。用户此时已经登陆系统,假设用户操作的是角色管理模块的查询按钮,当点击该按钮时,会通过网络映射到后端的接口方法。通过这种方式,RuoYi框架可以实现精细的基于权限的访问控制,确保只有具有相应权限的用户才能访问特定的资源。如果当前用户的权限集合中,包含当前被@PreAuthorize标注的方法权限,则返回true。等集合信息返回给前端。
Spring Security验证流程剖析及自定义验证方法
08-27
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。这篇文章主要介绍了Spring Security验证流程剖析及自定义验证方法,需要的朋友可以参考下
定义Spring Security的身份验证失败处理方法
08-25
定义Spring Security的身份验证失败处理方法Spring Security 中,身份验证失败处理方法是一个非常重要的组件,它能够帮助我们处理身份验证失败的情况。然而,默认的身份验证失败处理方法并不总是能够满足我们...
SpringBoot + SpringSecurity + JPA 实现用户角色权限登录认证
09-10
SpringSecurity的配置中,会定义一个自定义的AuthenticationProvider来处理用户的登录认证,以及UserDetailsService来获取用户信息。此外,还需要配置HttpSecurity以拦截特定URL,根据用户的角色和权限决定是否...
Spring Security 中的 hasRole 和 hasAuthority 差异引发的思考及解决从数据库从查出来的ROLE对不上
qq1480371991的博客
06-20 765
hasRole和 hasAuthority的底层实现方式是类似的,功能是一样的,hasRole和hasAuthority判断的都是有没有权限,区别就是hasRole对应的权限有前缀ROLE_,而hasAuthority没有。hasRole和hasAuthority的工作原理都是判断角色所拥有的权限有没有对应的字段,一般角色所拥有的权限从数据库中查出来,然后封装在user类中覆写的getAuthorities方法中,如下。
SpringBoot Security Oauth2角色及权限鉴权注解方法hasRole及hasAuthority的使用区别
ipifei的博客
09-06 7154
SpringBoot Security Oauth2角色及权限鉴权注解方法hasRole及hasAuthority的使用区别
springsecurity开启方法级的授权源码分析
python15397的博客
02-28 1450
至于 @PreAuthorize 注解的拦截器是如何生效的那就要靠 @EnableMethodSecurity 注解,因为该注解中导入了 @Import({MethodSecuritySelector.class}) 并接入到了IOC容器,因此只需要看 MethodSecuritySelector 类具体是怎么处理方法级的认证的即可。使用了方法权限注解开启了方法级的权限鉴定之后,就可以使用如下注解直接在控制器上使用方法级的权限鉴定了。处理器,其中的这部分源码解释可以看出如何使用表达式的过程。
计算机毕业设计选题推荐-旅游管理系统-Java项目实战
IT研究室的博客
10-04 105
随着社会的发展和人们生活水平的提高,旅游业已经成为了一个重要的经济支柱。越来越多的人选择旅游作为休闲娱乐的方式,旅游市场的需求不断扩大。然而,随着旅游业的快速发展,旅游管理方面也面临着越来越多的挑战。如何提高旅游管理的效率和服务质量,成为了亟待解决的问题。因此,开发一款实用的旅游管理系统具有重要的现实意义。本项目旨在设计并实现一套基于Java技术的旅游管理系统,通过对旅游业务的深入分析,设计出合理的系统架构和功能模块。本系统将采用B/S架构,用户通过浏览器访问系统,方便快捷。
3.spring security授权流程
weixin_45974277的博客
02-26 3716
Spring Security的授权流程如下: 分析授权流程: 1. 拦截请求,已认证用户访问受保护的web资源将被SecurityFilterChain中的 FilterSecurityInterceptor 的子类拦截。 2. 获取资源访问策略,FilterSecurityInterceptor会从 SecurityMetadataSource 的子类 DefaultFilterInvocationSecurityMetadataSource 获取要访问当前资源所需要的权限 Collection.
Springboot +spring security方法权限注解
weixin_40991408的博客
05-27 2327
Springboot +spring security方法权限注解
Spring——Security安全框架之权限限定
专注写bug
02-22 2036
文章目录前言基于角色或权限进行访问控制hasAuthority 方法(单个权限)测试hasAnyAuthority 方法(多个权限)测试hasRole 方法(一个权限)测试异常测试hasAnyRole 方法(多个)测试loadUserByUsername中传递多个权限代码下载 前言 上一篇博客Security安全框架针对请求追加限制中,针对 部分请求 增加了 登录验证 。 只要是登录成功,就能访问被限制的请求。 但是,这种模式肯定是不够用的。 比如:淘宝商品页面。商家可以修改商品价格,但顾客只能看和购
SpringSecurity权限校验详解说明(附完整代码)
qq_51076413的博客
02-19 3601
SpringSecurity安全检验、SpringSecurity权限认证、SpringSecurity权限校验SpringSecurity定义校验SpringSecurity定义校验规则、SpringSecurity异常处理器
Spring Security实现用户身份验证及权限管理
个人学习笔记库,一篇一篇记录成长的足迹
03-26 5598
Spring SecuritySpring生态的一个成员,提供了一套Web应用安全性的完整解决方案。Spring Security 旨在以一种自包含的方式进行操作,因此你不需要在 Java 运行时环境中放置任何特殊的配置文件。这种设计使部署极为方便,因为可以将目标工件(无论是 JAR还是WAR)从一个系统复制到另一个系统,并且它可以立即工作。spring Security,这是一种基于 Spring AOP 和 Servlet 过滤器的安全框架。
springsecurity 权限校验逻辑
05-12
Spring Security 是一个基于 Spring 的安全框架,提供了一套完整的安全性解决方案,其中包括身份验证、授权、攻击防护等功能。在 Spring Security 中,权限校验逻辑是通过拦截器和过滤器来实现的,其具体的实现流程如下: 1. 用户登录时,Spring Security 会拦截登录请求,并调用配置的身份验证逻辑对用户进行身份验证。 2. 验证成功后,Spring Security 会将用户信息保存在一个称为 SecurityContext 的上下文对象中,并将其存储在 HttpSession 中,以便后续的访问可以共享该信息。 3. 当用户访问需要授权的资源时,Spring Security 会拦截请求,并调用配置的授权逻辑对用户进行授权。 4. 授权成功后,用户可以访问所请求的资源。 在 Spring Security 中,授权逻辑是通过访问决策器(Access Decision Manager)来实现的。访问决策器是一个负责判断用户是否有权限访问某个资源的对象,它基于一组访问控制规则(Access Control Rules)来进行决策,这些规则可以通过配置文件或代码来定义。 总的来说,Spring Security权限校验逻辑是基于拦截器、过滤器和访问决策器实现的,可以通过配置文件或代码来定义和定制。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值