【SpringBoot3】Spring Security 常用注解

已于 2024-02-20 10:10:57 修改
阅读量1.3k 收藏 23
点赞数 20
分类专栏: SpringBoot 3.0 从入门到精通 文章标签: spring java spring security
于 2024-02-19 18:36:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wlddhj/article/details/136176090
版权

注:本文基于Spring Boot 3.2.1 以及 Spring Security 6.2.1

Spring Security 6 的常用注解包括以下几种,通过这些注解可以更加方便的控制资源权限。

  • @Secured :方法执行前检查,直接判断有没有对应的角色
  • @PreAuthorize:方法执行前检查,根据SpEL表达式执行结果判断是否授权
  • @PostAuthorize:方法执行后检查,根据SpEL表达式执行结果判断是否授权

要使用以前注解必须增加配置,开启校验功能

// 用于启用方法级别的安全支持
@EnableGlobalMethodSecurity(securedEnabled = true, prePostEnabled = true)

@Secured

方法执行前检查,直接判断有没有对应的角色

示例代码:

@Secured({ "ROLE_USER" })
public void create(Contact contact);

@Secured({ "ROLE_USER", "ROLE_ADMIN" })
public void update(Contact contact);

@Secured({ "ROLE_ADMIN" })
public void delete(Contact contact);

@PreAuthorize

方法执行前检查,根据SpEL表达式执行结果判断是否授权

示例代码:

// 有角色
@PreAuthorize("hasRole('ROLE_ADMIN')")
// 有任一角色
@PreAuthorize("hasAnyRole({'ROLE_USER','ROLE_ADMIN'})")
// 有任一权限
@PreAuthorize("hasAnyAuthority({'user:search','user:edit'})")

其他用法

@PreAuthorize 参数是SpEL表达式,所以还可以有其他用法

1、方法参数值判断,@PreAuthorize("#age>10")

@GetMapping("/age")
@PreAuthorize("#age>10")
public String age(Integer age) {
    return "Hello age "+ age;
}

2、调用bean的方法判断

1)创建Bean,判断是否有权限

@Component("au")
public class AuthUtils {

    public boolean check(String role) {
        Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
        if (authentication.getAuthorities().stream()
                .map(GrantedAuthority::getAuthority)
                .noneMatch(role::equals)) {
            throw new AccessDeniedException("User does not have the required permission");
        }
        return true;
    }
}

2)在方法上使用,@PreAuthorize("@au.check('ROLE_USER')")

@GetMapping("/user_au")
@PreAuthorize("@au.check('ROLE_USER')")
public String user_au() {
    return "Hello user_au";
}

@PreAuthorize配合使用的方法定义在 org.springframework.security.access.expression.SecurityExpressionOperations

在这里插入图片描述

完整代码示例

1、HttpSecurity 配置

@EnableWebSecurity
@Configuration
@EnableGlobalMethodSecurity(securedEnabled = true, prePostEnabled = true)
public class BasicSecurityConfig {
    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http
                .authorizeHttpRequests((authorize) -> authorize
                        // 放行登录页面
                        .requestMatchers("/login").permitAll()
                        // 拦截其他所有请求
                        .anyRequest().authenticated()
                )
                // 退出时,让session失效
                .logout(logout -> logout.invalidateHttpSession(true))
                // 配置登录页面 和 登录成功后页面
                .formLogin(form -> form.loginPage("/login").permitAll()
                        .loginProcessingUrl("/login").defaultSuccessUrl("/index"));
        http.exceptionHandling(e->e.accessDeniedPage("/noAuth"));
        // 开启csrf 保护
        http.csrf(Customizer.withDefaults());
        return http.build();
    }

    @Bean
    public UserDetailsService userDetailsService() {
        UserDetails user1 = User.withUsername("admin").password("{noop}123456").roles("ADMIN").build();
        UserDetails user2 = User.withUsername("user").password("{noop}123456").authorities("user:edit","ROLE_USER").build();
        return new InMemoryUserDetailsManager(user1,user2);
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return PasswordEncoderFactories.createDelegatingPasswordEncoder();
    }

}

2、测试controller类,DemoController

import org.springframework.security.access.annotation.Secured;
import org.springframework.security.access.prepost.PreAuthorize;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
public class DemoController {

    @GetMapping("/admin")
    @Secured({"ROLE_ADMIN"})
    public String admin() {
        return "Hello admin";
    }

    @GetMapping("/user")
    @Secured({"ROLE_ADMIN","ROLE_USER"})
    public String user() {
        return "Hello user";
    }

    @GetMapping("/admin2")
    @PreAuthorize("hasRole('ROLE_ADMIN')")
    public String admin2() {
        return "Hello admin";
    }
    @GetMapping("/user2")
    @PreAuthorize("hasAnyRole({'ROLE_USER','ROLE_ADMIN'})")
    public String user2() {
        return "Hello user";
    }

    @GetMapping("/user_perm")
    @PreAuthorize("hasAnyAuthority({'user:search','user:edit'})")
    public String user_perm() {
        return "Hello user";
    }
    @GetMapping("/user_au")
    @PreAuthorize("@au.check('ROLE_USER')")
    public String user_au() {
        return "Hello user_au";
    }
    @GetMapping("/age")
    @PreAuthorize("#age>10")
    public String age(Integer age) {
        return "Hello age "+ age;
    }

    @RequestMapping("/all")
    public String all() {
        return "Hello all";
    }

}

如果需要自定义认证和授权逻辑,可以实现 UserDetailsService 和 AuthenticationProvider 接口,并在配置类中注入这些自定义的 Bean。

这就是 Spring Security 的注解验证流程。通过合理地使用注解和配置类,可以轻松地实现基于角色的访问控制、方法级别的授权等安全功能。同时,Spring Security 还提供了丰富的扩展点,允许开发者根据具体需求进行定制。

Spring Security 常见扩展点

Spring Security 提供了许多扩展点,允许开发者根据具体需求进行定制和扩展。以下是一些常见的扩展点:

  1. 过滤器链(Filter Chain)
    Spring Security 本质是一个过滤器链,开发者可以通过自定义过滤器来扩展其功能。例如,可以添加自定义的认证过滤器、授权过滤器或会话管理过滤器等。

  2. 认证机制(Authentication Mechanism)
    可以自定义认证机制,包括用户信息的加载、密码的编码和校验等。通过实现 AuthenticationProvider 接口,可以定义自己的认证逻辑。

  3. 授权决策(Authorization Decision)
    开发者可以通过实现 AccessDecisionManager 接口来自定义授权决策逻辑。这允许你根据业务逻辑来定制权限判断。

  4. 用户服务(User Service)
    通过实现 UserDetailsService 接口,可以自定义用户信息的加载方式。例如,你可以从数据库、LDAP 服务器或其他数据源中获取用户信息。

  5. 安全事件监听(Security Event Listeners)
    Spring Security 提供了安全事件监听器,允许你监听认证、授权等事件,并根据事件执行相应的操作。

  6. 方法安全(Method Security)
    除了使用注解外,你还可以通过配置 GlobalMethodSecurityConfiguration 来全局启用方法级别的安全支持,并自定义方法安全的配置。

  7. 安全表达式语言(Security Expression Language)
    Spring Security 使用了强大的安全表达式语言(SpEL),允许你在注解和配置中使用表达式来定义复杂的权限和角色要求。

  8. 会话管理(Session Management)
    可以自定义会话的创建、存储、失效等逻辑,以满足特定的业务需求。

  9. HTTP 安全配置(HTTP Security Configuration)
    通过重写 configure(HttpSecurity http) 方法,你可以自定义 HTTP 安全配置,包括 CSRF 保护、点击劫持保护、缓存控制等。

  10. 异常处理(Exception Handling)
    可以自定义认证和授权失败时的异常处理逻辑,例如返回自定义的错误页面或错误信息。

这些扩展点使得 Spring Security 非常灵活,能够适应各种不同的安全需求。通过合理利用这些扩展点,开发者可以构建出强大而安全的应用程序。

参考

顽石九变
关注
  • 20
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
SpringSecurity详解
m0_71012114的博客
10-19 4920
本文详解介绍了security原理、多种方式配置登录、角色和权限访问控制、常用注解、用户注销。
使用SSM框架(SpringBootSpringSecurity、MyBatis)开发的一个简单校园多商家食堂点餐平台.zip
04-27
使用SSM框架(SpringBootSpringSecurity、MyBatis)开发的一个简单校园多商家食堂点餐平台,可用于毕业设计。 1:在linux下使用docker安装好了redis 并且在项目test类下成功向Linux虚拟机的redis里写入了数据; 2:成功整合了redis,并在项目中使用了redis的注解缓存功能,主要配置了商品类的缓存,并且当更新商品状态时清空缓存重新在数据库中查询后再存入缓存; 搭建了Linux环境,利用docker安装好了elasticsearch,同时在项目test里测试了elasticsearch,发现springboot data ES会报错nodes找不到,而jest却能正常存值和取值
SpringBoot3+SpringSecurity整合
qq_40107343的博客
02-09 798
【代码】SpringBoot3+SpringSecurity整合。
Spring Boot 3 + JWT + Security 联手打造安全帝国:一篇文章让你掌握未来!
Innocence_0的博客
03-06 1150
已经成为java后台权限校验的第一选择.今天就通过读代码的方式带大家深入了解一下Security,本文主要是基于开源项目[spring-security)来讲解Spring Security + JWT(Json Web Token).实现用户鉴权,以及权限校验.所有代码基于jdk17+构建.现在让我们开始吧!
注解 spring boot +spring security + mybatis+druid+thymeleaf+mysql+bootstrap
12-20
注解 spring boot +spring security + thymeleaf+mybatis+druid+mysql+bootstrap 框架。 带数据库脚本和说明文件
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证
08-26
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证,可根据注解的格式不同,做到角色权限控制,角色加资源权限控制等,粒度比较细化。 @PreAuthorize("hasAnyRole('ADMIN','USER')"):具有admin或user角色的用户可以访问。 @PreAuthorize("hasRole('ADMIN') and hasRole('USER')"):具有admin和user角色的用户可以访问 文章地址:https://blog.csdn.net/fuu123f/article/details/108233463
Spring——Security安全框架之注解使用
专注写bug
02-23 5303
文章目录前言本次测试注解介绍注解使用@Secured@PreAuthorize@PostAuthorize@PostFilter@PreFilter代码下载 前言 之前security中,针对配置项进行了相关的配置和测试。 但是这些都是基于在security.config.MyConfig#configure(org.springframework.security.config.annotation.web.builders.HttpSecurity)中进行对应请求的权限限制。 如果是多个请求,各个有
SpringSecurity配置及注解说明
magicproblem的博客
10-25 1129
一、配置准备 1、引入相关pom.xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> <version>2.0.4.RELEASE</version>
5.Spring Security安全注解
相互学习 共同进步
04-24 960
Spring Security默认是禁用注解的,要想开启注解,需要在继承WebSecurityConfigurerAdapter的类上加@EnableGlobalMethodSecurity注解,并在该类中将AuthenticationManager定义为Bean如果要启用基于注解的方法安全性,要在配置类上使用**@EnableGlobalMethodSecurity**设置了securedEnabled = true,此时Spring将会创建一个切点,并将带有@Secured注解的方法防入切面中。
SpringSecurity常见注解的使用
Kk_Chosen1的博客
08-21 1545
方法级别的权限认证,只有被该注解指定的角色才能访问该方法使用该注解需要开启注解功能,在配置类或者启动类上添加在controller方法上添加@Secured注解此时如果不是这两个角色其中之一访问请求将被拒绝。
权限控制-@Secured注解
qq_38780240的博客
03-24 9870
SSM框架下,使用SpringSecurity进行身份识别和权限控制,后端通过@Security进行权限控制。 使用步骤: 1、在SpringSecurity的配置文件Spring-security.xml中开启注解。 <security:global-method-security secured-annotations="enabled"/> 2、在相关方法用@Secured进行...
基于springBoot+springSecurity+jwt实现前后端分离用户权限认证
12-09
springSecurity也有很多种权限认证方式,本项目主要实现基于接口授权,也就是说通过注解给controller赋予权限,用户只有拥有某个接口的权限才能成功访问这个接口,从而实现不同用户拥有不同访问权限;
springboot+security+mybatis+redis+jwt,鉴权框架搭建
06-22
本项目集成了springboot+security+mybatis+redis+jwt用于学习security鉴权功能,其中有集成了redis,mybatis,jasypt,jwt,thymeleaf,knife4j,mybatis-plus 项目搭建已经比较成熟,能够直接进行使用,通过代码...
基于SpringBootSpring Security,JWT,Vue & Element 的前后端分离权限管理系统.zip
最新发布
04-24
2,使编码变得简单,SpringBoot采用 JavaConfig的方式对Spring进行配置,并且提供了大量的注解,极大的提高了工作效率,比如@Configuration和@bean注解结合,基于@Configuration完成类扫描,基于@bean注解把返回值...
SpringSecurity(二): @Secured、@PreAuthorize、@PostAuthorize、@PostFilter、@PreFilter注解说明
qq_39198749的博客
11-11 1196
1. SpringSecurity注解说明 1.1 @Secured 判断是否具有角色,注意这里匹配的字符串需要添加前缀“ROLE_” 先要开启注解功能 @EnableGlobalMethodSecurity(securedEnabled = true) 在控制器方法上添加注解 @Secured({"ROLE_read"}) @RequestMapping(value = "/testSecured") @ResponseBody public String tes
spring security注解(1)
11-03 274
Chapter15.基于表达式的权限控制 Spring Security 3.0介绍了使用Spring EL表达式的能力,作为一种验证机制 添加简单的配置属性的使用和访问决策投票,就像以前一样。 基于表达式的安全控制是建立在相同架构下的,但是允许使用复杂的布尔逻辑 包含在单独的表达式中。 15.1.概述 Spring Security使用Spring El...
SpringSecurity-用户授权-注解使用
qq_43297569的博客
03-10 442
SpringSecurity-用户授权-注解使用,认证授权的注解使用(五个注解)@Secured,@PreAuthorize,@PostAuthorize
Spring Security5.0.1 总结之如何让认证失败(登录失败)消息自定义在前端页面显示
闲时不练功,忙时一场空
07-22 2618
开发环境ssm+Spring Security 5.0.1.RELEASE 在自定义登录页面输入的帐号密码错误,页面中没有任何错误消息提示,所以需要将提示信息显示出来 Spring Security 框架将所有的错误信息都定义成了异常,并且提供了国际化的资源文件。这个资源文件在 spring-security-core-5.0.1.RELEASE.jar文件中 这里说下Idea国际...
Springboot 3 + Spring Security 6 + OAuth2 入门级最佳实践
热门推荐
m0_64469199的博客
05-03 1万+
当我的项目基于 SpringBoot 3 而我想使用Spring Security,最终不幸得到WebSecurityConfigurerAdapter被废弃的消息。本文档就是在这样的情况下产生的。
Springboot+SpringSecurity+Mybatis
05-27
Spring Boot是一个用于快速构建企业级应用的Java框架,它提供了各种功能强大的特性,例如自动配置、快速启动、监控等。Spring Security是一个基于Spring框架的安全框架,它提供了身份验证、授权、攻击防护等安全功能。MyBatis是一个Java持久化框架,它通过XML或注解方式将Java对象映射到数据库表中。 SpringBoot + SpringSecurity + MyBatis可以用于构建安全可靠的企业级应用程序。其中,SpringBoot提供了快速启动和自动配置的特性,简化了应用程序的开发和部署。SpringSecurity提供了各种安全功能,例如身份验证、授权、攻击防护等。MyBatis提供了Java与数据库之间的映射功能,使得开发者可以很方便地操作数据库。 在使用SpringBoot + SpringSecurity + MyBatis时,一般可以采用前后端分离的方式,前端使用Vue或React等框架,后端使用SpringBoot + SpringSecurity + MyBatis进行开发。前端向后端发送请求时,后端使用SpringSecurity进行身份验证和授权,然后使用MyBatis操作数据库进行数据查询和更新,最终将结果返回给前端。 当然,具体的实现方式还需要根据具体的业务需求和技术栈进行选择。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

顽石九变

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值