spingsecurity中haspermission用法以及配置自定义PermissionEvaluator

最新推荐文章于 2024-07-24 21:47:59 发布
最新推荐文章于 2024-07-24 21:47:59 发布
阅读量1.5w 收藏 17
点赞数 2
分类专栏: Spring 文章标签: java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xmj_0422/article/details/107971712
版权

一、原理剖析

先看一段官方文档对haspermission的描述(文档链接:https://docs.spring.io/spring-security/site/docs/5.2.7.BUILD-SNAPSHOT/reference/htmlsingle/#el-permission-evaluator

开头的意思是haspermission的注解会委托给PermissionEvaluator接口,而这个接口默认实现是DenyAllPermissionEvaluator(源码如下) 这个类的两个方法直接返回了false,所以我们必须自己实现一个PermissionEvaluator 并且把它注入到默认DefaultWebSecurityExpressionHandler类中(注意与DefaultMethodSecurityExpressionHandler区分,这两个类都持有permissionEvaluator 应该一个是web环境一个是SE环境,我这里是web环境,故而是DefaultWebSecurityExpressionHandler类)

二、实现

大概理解需要做什么了,首先实现一个自己的PermissionEvaluator实现类,其次将它注入到DefaultMethodSecurityExpressionHandler中。

代码如下:

1、定义自己的MyPermissionEvaluator类实现PermissionEvaluator接口(注:@Sl4j 是日志门面,lombok插件提供的,不需要的可以不用,@Component 必须要,是表明 他是spring的bean 需要交给spring ioc 容器管理,方便后面使用自动注入)

2、接着定义一个配置类继承WebSecurityConfigurerAdapter,将自定义好的MyPermissionEvaluator类注入到DefaultWebSecurityExpressionHandler类中(下图红色圈出)即可

3、验证

验证成功

4、关于DefaultMethodSecurityExpressionHandler和DefaultWebSecurityExpressionHandler 下面的继承类图

 

 

 

 

茴香豆的四种写法
关注
  • 2
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
SpringSecurity 自定义PermissionEvaluator进行数据权限校验和访问限制
明平姚的博客
12-14 1175
SpringSecurity 自定义PermissionEvaluator进行数据权限校验和访问限制
springsecurity角色和权限
12-13
Spring Security配置,我们可以定义安全拦截规则,如`@Secured`或`@PreAuthorize`注解,来指定哪些方法需要特定的角色或权限才能访问。此外,我们还可以通过`http.authorizeRequests()`方法定义URL级别的访问...
Spring Security(16)——基于表达式的权限控制
dotedy的博客
10-16 1883
EL表达式hasPermissionPreFilterPreAuthorizeSpring Security  基于表达式的权限控制 目录 1.1      通过表达式控制URL权限 1.2      通过表达式控制方法权限 1.2.1     使用@PreAuthorize和@PostAuthorize进行访问控制 1.2.2     使用@PreFilter和@Post
Springboot通过注解+切面实现接口权限校验
修行者Java的博客
03-19 760
先获取到注解@HasPermission 的内容,从redis拿到当前用户的所有权限,如果当前用户不是超级管理员并且权限不包含要请求的接口权限,就返回未授权。用户在登录时会查询数据库将所有权限存入redis,如果对该用户做权限修改时,同步修改redis,这样每次请求接口时,都能从redis拿到最新的权限。1.首先创建注解 @HasPermission ,跟普通注解创建方式基本一致。另外,还有一种权限校验的方式,可以参考若依的开源,类似这种。2.创建一个切面,用来请求接口时做前置校验。
shiro:hasPermission 标签 :验证当前用户是否拥有指定权限
热门推荐
dxyzhbb的博客
10-11 2万+
1、这些值是存在数据库里的,在哪里找呢?sys_menu permission列。 <shiro:hasPermission name=“cms:article:edit”> 他是怎么入库的呢?非菜单项的权限是怎么加入,怎么取出来使用的? 取出来的sql: SELECT a.id , a.parent_id AS "parent.id" , a.paren...
【前端 VUE】vue 角色权限使用 hasPermission
悟空—
08-12 6313
main.js设置全局变量 Vue.prototype.$hasPer=hasPermission; 设置权限函数 exportfunctionhasPermission(perm){ letpermissionBtns=store.getters.btnPermissions?JSON.parse(store.getters.btnPermissions):[] letbtnName=permissionBtns.map(res=>{...
【Shiro原理一】shiro:hasPermission 隐藏页面无权访问的资源
朱赤墨黑
09-03 5556
shiro:hasPermission 隐藏页面无权访问的资源,因为层层调用方法,下面可能有点儿乱,注意上下结合看方法名。 jsp: organ_list.jsp &lt;shiro:hasPermission name="jigouxinxi-xinzeng"&gt; &lt;button class="layui-btn layui-btn-primary" onclick="a...
spring 权限PermissionEvaluator
Alice_whj的博客
03-18 2946
Spring Security——基于表达式的权限控制 Spring Security允许我们在定义URL访问或方法访问所应有的权限时使用Spring EL表达式,在定义所需的访问权限时如果对应的表达式返回结果为true则表示拥有对应的权限,反之则无。 通过表达式控制方法权限 Spring Security定义了四个支持使用表达式的注解,分别是@PreAuthorize、@PostAuthor...
SpringSecurity页面按钮权限控制
自知的博客
08-11 2822
页面按钮权限的控制,其实就是利用RBAC1权限控制和sec:authorize标签。 一、引入pom依赖 <dependency> <groupId>org.thymeleaf.extras</groupId> <artifactId>thymeleaf-extras-springsecurity5</artifactId> </dependency> 此处使用spring-boot-starter-parent:2
spring security进级篇 V 自定义标签控制显示
04-04
这篇"Spring Security进阶篇 V 自定义标签控制显示"的博客文章显然深入探讨了如何在Spring Security实现自定义的安全控制,以便更好地管理和展示应用内容。在本文,我们将详细解析这个主题,并与"JSP自定义标签...
spring-security-project.zip- Spring Security实现RBAC权限模型demo
02-09
Spring Security 是一个强大...总结来说,"spring-security-project.zip"提供了一个使用Spring Security实现RBAC权限模型的实例,涵盖了认证、授权、角色和权限的管理,是学习和理解Spring Security安全框架的好材料。
编程不良人的spring security笔记
06-19
Spring Security 是一个强大的安全框架,主要用于Java Web应用的安全管理。它提供了一整套服务,包括认证、授权、CSRF防护、XSS防护等,确保应用免受恶意攻击。本笔记将深入探讨Spring Security的核心概念和关键组件...
Shiro 权限验证原理
PinkCoder
02-14 2103
Shiro 权限验证原理
PermissionEvaluator接口的用处
taiguolaotu的博客
01-16 3387
这篇博客接上一篇博客,请大家完整阅读。 spring security有一个PermissionEvaluator接口,其作用能够做到更好的鉴权的目的。 首先说明,我们需要先写一个类继承该接口。比如该类名字就叫做UserPermissionEvaluator,如何使该类生效,再次声明,请看上篇博客。 @PreAuthorize("hasPermission('...
VUE常用的自定义指令
从0到1的成长的博客
12-15 1350
v-directives 基于 vue 的自定义指令集合,包含 复制粘贴指令 v-copy 长按指令 v-longpress 输入框防抖指令 v-debounce 禁止表情及特殊字符 v-emoji 图片懒加载 v-LazyLoad 权限校验指令 v-premission 实现页面水印 v-waterMarker 拖拽指令 v-draggable v-copy 需求:实现一键复制文本内容,用于鼠标右键粘贴。 思路: 动态创建 textarea 标签,并设置 readOnly 属性及移
Shiro权限
Brooks Lv
11-06 4391
什么是授权 授权就是在认证的基础上给用户进行角色和权限的授予。权限定义了一个用户是否可以执行某个操作。角色是一组权限的集合,我们通常把一组权限绑定到一种角色上,再吧一个或者多个角色赋给一个用户,这样就是实现了权限的控制。 Shiro授权核心概念 权限 : 即操作资源的权利,比如访问某个页面,以及对某个模块的数据的添加,修改,删除,查看的权利 角色 : 是权限的集合,一种角色可以包含多种权限 用户 ...
Spring security权限管理
weixin_47072986的博客
04-02 3872
Spring Security是一个高度自定义的安全框架。利用Spring IoC/DI和AOP功能,为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。​ 使用Spring Secruity的原因有很多,但大部分都是发现了javaEE的Servlet规范或EJB规范的安全功能缺乏典型企业应用场景。同时认识到他们在WAR或EAR级别无法移植。因此如果你更换服务器环境,还有大量工作去重新配置你的应用程序。
Shiro haspermission 权限验证问题
gong_xucheng的专栏
10-11 1万+
Shiro haspermission 权限验证问题 &lt;shiro:hasPermission name="info:link:edit"&gt; !!! &lt;/shiro:hasPermission&gt; 呵呵,今天调试这个permission问题,发现 hasPermission的继承效果 如果定义权限组 group1  有权限 info 那么他自动拥有 info**** 的权限 ...
golang 接口
最新发布
m0_70982551的博客
07-24 1142
接口定义了一组方法,这些方法没有具体的实现。接口类型的变量可以存储任何实现了这些方法的类型的值。// 更多方法...在Go语言,接口值是指存储了实现某个接口的具体类型值的变量。接口值由两部分组成:1.动态类型:这是接口值当前存储的实际类型。2.动态值:这是实际存储的值,该值必须实现了接口定义的所有方法。
XML 自定义PermissionEvaluator方法
05-13
Spring Security ,可以通过实现 PermissionEvaluator 接口来自定义权限验证逻辑。 首先,需要在配置文件开启自定义 PermissionEvaluator 的支持: ```xml <beans:bean id="expressionHandler" class="org.springframework.security.access.expression.method.DefaultMethodSecurityExpressionHandler"> <beans:property name="permissionEvaluator" ref="customPermissionEvaluator" /> </beans:bean> <beans:bean id="customPermissionEvaluator" class="com.example.CustomPermissionEvaluator" /> ``` 接下来,实现 PermissionEvaluator 接口的 evaluate 方法: ```java public class CustomPermissionEvaluator implements PermissionEvaluator { @Override public boolean hasPermission(Authentication authentication, Object targetDomainObject, Object permission) { // 在此处编写自定义的权限验证逻辑 } @Override public boolean hasPermission(Authentication authentication, Serializable targetId, String targetType, Object permission) { // 在此处编写自定义的权限验证逻辑 } } ``` 在 evaluate 方法,第一个参数 authentication 表示当前用户的认证信息,第二个参数 targetDomainObject 表示要验证的对象,第三个参数 permission 表示要验证的权限。 如果要验证的对象是一个实体类,可以使用 @PreAuthorize 或 @PostAuthorize 注解配合 SpEL 表达式来进行验证: ```java @PreAuthorize("hasPermission(#entity, 'read')") public void doSomething(Entity entity) { // ... } ``` 在 SpEL 表达式,可以使用 #parameterName 来引用方法参数,也可以使用 #returnObject 来引用方法返回值。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值