spingsecurity中haspermission用法以及配置自定义PermissionEvaluator

最新推荐文章于 2024-07-02 00:50:11 发布
最新推荐文章于 2024-07-02 00:50:11 发布
阅读量1.5w 收藏 16
点赞数 2
分类专栏: Spring 文章标签: java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xmj_0422/article/details/107971712
版权

一、原理剖析

先看一段官方文档对haspermission的描述(文档链接:https://docs.spring.io/spring-security/site/docs/5.2.7.BUILD-SNAPSHOT/reference/htmlsingle/#el-permission-evaluator

开头的意思是haspermission的注解会委托给PermissionEvaluator接口,而这个接口默认实现是DenyAllPermissionEvaluator(源码如下) 这个类的两个方法直接返回了false,所以我们必须自己实现一个PermissionEvaluator 并且把它注入到默认DefaultWebSecurityExpressionHandler类中(注意与DefaultMethodSecurityExpressionHandler区分,这两个类都持有permissionEvaluator 应该一个是web环境一个是SE环境,我这里是web环境,故而是DefaultWebSecurityExpressionHandler类)

二、实现

大概理解需要做什么了,首先实现一个自己的PermissionEvaluator实现类,其次将它注入到DefaultMethodSecurityExpressionHandler中。

代码如下:

1、定义自己的MyPermissionEvaluator类实现PermissionEvaluator接口(注:@Sl4j 是日志门面,lombok插件提供的,不需要的可以不用,@Component 必须要,是表明 他是spring的bean 需要交给spring ioc 容器管理,方便后面使用自动注入)

2、接着定义一个配置类继承WebSecurityConfigurerAdapter,将自定义好的MyPermissionEvaluator类注入到DefaultWebSecurityExpressionHandler类中(下图红色圈出)即可

3、验证

验证成功

4、关于DefaultMethodSecurityExpressionHandler和DefaultWebSecurityExpressionHandler 下面的继承类图

 

 

 

 

茴香豆的四种写法
关注
  • 2
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
SpringSecurity 自定义PermissionEvaluator进行数据权限校验和访问限制
明平姚的博客
12-14 1162
SpringSecurity 自定义PermissionEvaluator进行数据权限校验和访问限制
java global edit_Java PermissionService.hasPermission方法代碼示例
weixin_31414515的博客
02-16 263
本文整理匯總了Javaorg.kuali.rice.kim.api.permission.PermissionService.hasPermission方法的典型用法代碼示例。如果您正苦於以下問題:Java PermissionService.hasPermission方法的具體用法Java PermissionService.hasPermission怎麽用?Java PermissionS...
Spring 整合Shiro 并扩展使用EL表达式的实例详解
08-27
Shiro是一个轻量级的权限控制框架,应用非常广泛。本文的重点是介绍Spring整合Shiro,并通过扩展使用Spring的EL表达式。需要的朋友可以参考下
Shiro 权限验证原理
PinkCoder
02-14 2086
Shiro 权限验证原理
Spring Security(16)——基于表达式的权限控制
dotedy的博客
10-16 1871
EL表达式hasPermissionPreFilterPreAuthorizeSpring Security  基于表达式的权限控制 目录 1.1      通过表达式控制URL权限 1.2      通过表达式控制方法权限 1.2.1     使用@PreAuthorize和@PostAuthorize进行访问控制 1.2.2     使用@PreFilter和@Post
SpringSecurity页面按钮权限控制
自知的博客
08-11 2802
页面按钮权限的控制,其实就是利用RBAC1权限控制和sec:authorize标签。 一、引入pom依赖 <dependency> <groupId>org.thymeleaf.extras</groupId> <artifactId>thymeleaf-extras-springsecurity5</artifactId> </dependency> 此处使用spring-boot-starter-parent:2
Shiro haspermission 权限验证问题
热门推荐
gong_xucheng的专栏
10-11 1万+
Shiro haspermission 权限验证问题 &lt;shiro:hasPermission name="info:link:edit"&gt; !!! &lt;/shiro:hasPermission&gt; 呵呵,今天调试这个permission问题,发现 hasPermission的继承效果 如果定义权限组 group1  有权限 info 那么他自动拥有 info**** 的权限 ...
SpringBoot 集成 Spring Security 自定义权限逻辑备忘
nangongyanya的专栏
03-28 2415
继上一次记录《SpringBoot 集成 Spring Security 自定义认证逻辑备忘》之后,这次记录一下SpringBoot 集成 Spring Security 自定义权限逻辑 源码位置:码云地址、CSDN下载地址 主要分为三步:1、用户自定义认证通过后获取数据库栏目地址列表;2、添加自定义权限校验器SecurityPermissionEvaluator; 3、注入自定...
springsecurity角色和权限
12-13
Spring Security配置,我们可以定义安全拦截规则,如`@Secured`或`@PreAuthorize`注解,来指定哪些方法需要特定的角色或权限才能访问。此外,我们还可以通过`http.authorizeRequests()`方法定义URL级别的访问...
spring security进级篇 V 自定义标签控制显示
04-04
这篇"Spring Security进阶篇 V 自定义标签控制显示"的博客文章显然深入探讨了如何在Spring Security实现自定义的安全控制,以便更好地管理和展示应用内容。在本文,我们将详细解析这个主题,并与"JSP自定义标签...
spring-security实现复杂的权限管理
09-11
spring-security3.17复杂的权限管理实现,包括数据库等,能直接运行!
spring-security-project.zip- Spring Security实现RBAC权限模型demo
02-09
Spring Security 是一个强大...总结来说,"spring-security-project.zip"提供了一个使用Spring Security实现RBAC权限模型的实例,涵盖了认证、授权、角色和权限的管理,是学习和理解Spring Security安全框架的好材料。
编程不良人的spring security笔记
06-19
Spring Security 是一个强大的安全框架,主要用于Java Web应用的安全管理。它提供了一整套服务,包括认证、授权、CSRF防护、XSS防护等,确保应用免受恶意攻击。本笔记将深入探讨Spring Security的核心概念和关键组件...
Spring Security入门宝典(三)末篇
长夜漫漫,无心睡眠
10-11 387
虽然这里面已经包含了很多的表达式(方法)但是在实际项目很有可能出现需要自己自定义逻辑的情况。判断登录用户是否具有访问当前URL权限。
Shiro介绍以及各功能的使用
weixin_43967582的博客
12-18 997
Shiro学习 官方文档 什么是shiro Apache Shiro 是一个强大而灵活的开源安全框架,可是实现身份验证、授权、企业会话管理和加密。 整体框架 Subject:当前与软件交互的实体(用户、第 3 方服务、cron 作业等)的特定于安全的“视图”。 SecurityManager: 是 Shiro 的心脏;所有具体的交互都通过 SecurityManager 进行拦截并控制;它管理着所有 Subject、且负责进行认证和授权、及会话、缓存的管理 Authenticator:认证
基于SpringMVC的注解式权限控制
研客驿站的博客
02-10 565
1. 开发目标 在Shiro的权限分配,存在@RequiresPermissions注解进行权限的控制,该注解规定了所进行了注解的方法,只能被具有某些权限的人进行访问,且权限之间为&的关系。这个权限控制是不符合我们所需要的权限控制需求的。(我们所需要的是具有某些权限之一的用户可以访问,同时具有这些权限的子权限也可以访问与具有这些权限本身和其父权限才能进行访问的这两种情况区分开)...
@shiro.hasPermission 使用
ywb201314的专栏
10-26 3342
在页面上加上@shiro.hasPermission 如下用.ftl为例子: 当加上shiro标签后,会与后台代码结合使用: 需要继承AuthorizingRealm 下的protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection)进行业务的处理。 关系点:@shiro.hasPermission name=的值要与authorizatio...
Spring Security 初识(五)--保护方法应用
只有变秃 才能变强
12-30 2071
Spring Security 初识(五)–保护方法应用在Spring Securoty实现方法级别的安全性最常见的方法是使用特定的注解.将这些注解应用到需要保护的方法上.Spring Security 提供了三种不同方式的安全注解. Spring 自带的 @Security 注解. JSR-250 的 @RolesAllow 注解. 表达式驱动的注解: @PreAythorize , @PostA
10.javaSE基础_JDBC编译程序(Driver+Statement+Connection+mysql数据库连接)
最新发布
m0_61086522的博客
07-02 1233
JDBC是的缩写。它是Sun的Javasoft公司制定的Java数据库连接技术,是一套标准接口java.sql包提供了JDBC API,通过它连接到各种数据库系统,编写访问数据库的程序。JDBC API不能直接访问数据库,它依赖于数据库厂商提供的JDBC Driver(JDBC驱动程序)
XML 自定义PermissionEvaluator方法
05-13
Spring Security ,可以通过实现 PermissionEvaluator 接口来自定义权限验证逻辑。 首先,需要在配置文件开启自定义 PermissionEvaluator 的支持: ```xml <beans:bean id="expressionHandler" class="org.springframework.security.access.expression.method.DefaultMethodSecurityExpressionHandler"> <beans:property name="permissionEvaluator" ref="customPermissionEvaluator" /> </beans:bean> <beans:bean id="customPermissionEvaluator" class="com.example.CustomPermissionEvaluator" /> ``` 接下来,实现 PermissionEvaluator 接口的 evaluate 方法: ```java public class CustomPermissionEvaluator implements PermissionEvaluator { @Override public boolean hasPermission(Authentication authentication, Object targetDomainObject, Object permission) { // 在此处编写自定义的权限验证逻辑 } @Override public boolean hasPermission(Authentication authentication, Serializable targetId, String targetType, Object permission) { // 在此处编写自定义的权限验证逻辑 } } ``` 在 evaluate 方法,第一个参数 authentication 表示当前用户的认证信息,第二个参数 targetDomainObject 表示要验证的对象,第三个参数 permission 表示要验证的权限。 如果要验证的对象是一个实体类,可以使用 @PreAuthorize 或 @PostAuthorize 注解配合 SpEL 表达式来进行验证: ```java @PreAuthorize("hasPermission(#entity, 'read')") public void doSomething(Entity entity) { // ... } ``` 在 SpEL 表达式,可以使用 #parameterName 来引用方法参数,也可以使用 #returnObject 来引用方法返回值。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值