@PreAuthorize 权限控制的原理

@PreAuthorize 注解,顾名思义是进入方法前的权限验证,@PreAuthorize 声明这个方法所需要的权限表达式,例如:@PreAuthorize("hasAuthority('sys:dept:delete')"),

根据这个注解所需要的权限,再和当前登录的用户角色所拥有的权限对比,如果用户的角色权限集Set中有这个权限,则放行;没有,拒绝

跟进hasAuthority方法:

但是,问题来了,这个用户的角色权限Set,是什么时候存入的,其流程如下:

 相关代码:

 AbstractUserDetailsAuthenticationProvider 实现了 AuthenticationProvider.authenticate(Authentication authentication)

 DaoAuthenticationProvider extends AbstractUserDetailsAuthenticationProvider,所以要实现父类抽象方法retrieveUser()

 

 

 

 

  • 2
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
@PreAuthorize()注解是Spring Security框架中的一种权限控制注解。它的底层原理是通过使用Spring AOP(面向切面编程)和Spring表达式语言(SpEL)来实现对方法的权限控制。当在方法上添加了@PreAuthorize()注解时,Spring Security会在运行时通过AOP拦截方法的调用,并根据注解中的权限表达式进行权限验证。 权限表达式可以是一个简单的布尔表达式,也可以是一个复杂的逻辑表达式。表达式的结果决定了是否允许访问该方法。例如,在@PreAuthorize("hasRole('ROLE_ADMIN')")注解中,hasRole()是SpEL中的一个函数,用于判断当前用户是否具有特定角色。如果表达式返回true,则允许访问该方法;如果返回false,则禁止访问。 为了使用@PreAuthorize()注解,需要在Spring Security配置文件中启用权限控制功能,并配置适当的拦截器和权限表达式解析器。在方法级别上使用@PreAuthorize()注解时,需要确保Spring Security已经配置了适当的权限验证机制,例如基于角色或基于权限的验证。 总之,@PreAuthorize()注解底层原理是使用Spring AOP和SpEL来实现对方法的权限控制,通过拦截方法的调用并根据注解中的权限表达式进行验证,以决定是否允许访问该方法。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [用户权限认证(方法级权限认证/路径权限认证) @RolesAllowed,@secured,@preAuthorize注解用法解析笔记](https://blog.csdn.net/zps925458125/article/details/100637432)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [Java 注解及其底层原理](https://blog.csdn.net/qq_41603102/article/details/126284014)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值