@PreAuthorize安全表达式hasRole、hasAnyRole、hasAuthority区别

最新推荐文章于 2023-01-07 17:59:48 发布
最新推荐文章于 2023-01-07 17:59:48 发布
阅读量3.9k 收藏 7
点赞数
分类专栏: spring 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xsq123/article/details/125363416
版权

使用授权时可以使用注解进行权限控制,比较常用的有hasRole,hasAnyRole, hasAuthority 。

通过添加角色授权码:

List<SysRole> sysRoleList = sysRoleService.listByUserId(userInfo.getId());
        List<SimpleGrantedAuthority> authorities = new ArrayList<>();
        sysRoleList.forEach(e -> authorities.add(new SimpleGrantedAuthority(e.getCode())));
@Slf4j
@RestController
public class TestController {
 
    //返回true
    @GetMapping(value = "get")
    @PreAuthorize("hasRole('ROLE_TEST')")
    public Object get(Authentication authentication){
        return "权限测试1";
    }
    //返回false
    @GetMapping(value = "get2")
    @PreAuthorize("hasRole('role_test')")
    public Object get2(Authentication authentication){
        return "权限测试2";
    }
    //返回true
    @GetMapping(value = "get3")
    @PreAuthorize("hasRole('TEST')")
    public Object get3(Authentication authentication){
        return "权限测试3";
    }
    //返回false
    @GetMapping(value = "get4")
    @PreAuthorize("hasRole('test')")
    public Object get4(Authentication authentication){
        return "权限测试4";
    }
    //返回true
    @GetMapping(value = "get5")
    @PreAuthorize("hasAnyRole('ROLE_TEST')")
    public Object get5(Authentication authentication){
        return "权限测试5";
    }
    //返回false
    @GetMapping(value = "get6")
    @PreAuthorize("hasAnyRole('role_test')")
    public Object get6(Authentication authentication){
        return "权限测试6";
    }
    //返回true
    @GetMapping(value = "get7")
    @PreAuthorize("hasAnyRole('TEST')")
    public Object get7(Authentication authentication){
        return "权限测试7";
    }
    //返回false
    @GetMapping(value = "get8")
    @PreAuthorize("hasAnyRole('test')")
    public Object get8(Authentication authentication){
        return "权限测试8";
    }
    //返回true
    @GetMapping(value = "get9")
    @PreAuthorize("hasAnyAuthority('ROLE_TEST')")
    public Object get9(Authentication authentication){
        return "权限测试9";
    }
    //返回false
    @GetMapping(value = "get10")
    @PreAuthorize("hasAnyAuthority('role_test')")
    public Object get10(Authentication authentication){
        return "权限测试10";
    }
    //返回false
    @GetMapping(value = "get11")
    @PreAuthorize("hasAnyAuthority('TEST')")
    public Object get11(Authentication authentication){
        return "权限测试11";
    }
    //返回false
    @GetMapping(value = "get12")
    @PreAuthorize("hasAnyAuthority('test')")
    public Object get12(Authentication authentication){
        return "权限测试12";
    }
 
}
hasRole,hasAnyRole:是角色授权,授权代码,在我们返回的UserDetails的Authority需要加ROLE_前缀,所以当授权码为ROLE_TEST时,不论是ROLE_TEST,还是TEST都是返回true。

hasAuthority:是权限授权,自定义的权限,返回的UserDetails的Authority只要与这里匹配就可以。所以当授权码为ROLE_TEST时,只有是ROLE_TEST才会返回true。

注:权限标识判断是区分大小写的。

主要常用表达式说明:
permitAll    永远返回true
denyAll    永远返回false
anonymous    当前用户是anonymous时返回true
rememberMe    当前用户是rememberMe用户时返回true
authenticated    当前用户不是anonymous时返回true
fullAuthenticated    当前用户既不是anonymous也不是rememberMe用户时返回true
hasRole(role)    用户拥有指定的角色权限时返回true
hasAnyRole([role1,role2])    用户拥有任意一个指定的角色权限时返回true
hasAuthority(authority)    用户拥有指定的权限时返回true
hasAnyAuthority([authority1,authority2])    用户拥有任意一个指定的权限时返回true
hasIpAddress('127.0.0.1')    请求发送的Ip匹配时返回true

xsqsharp
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring cloud Oauth2中@PreAuthorize安全表达式hasRolehasAnyRolehasAuthority区别
灰太狼
12-21 7233
使用授权时可以使用注解进行权限控制,比较常用的有hasRolehasAnyRolehasAuthority 。 通过添加角色授权码: List<SysRole> sysRoleList = sysRoleService.listByUserId(userInfo.getId()); List<SimpleGrantedAuthority> authorities = new ArrayList<>(); sysRole..
使用Spring安全表达式控制系统功能访问权限问题
08-25
从spring security 3.0开始已经可以使用spring Expression表达式来控制授权,允许在表达式中使用复杂的布尔逻辑来控制访问的权限...这篇文章主要介绍了使用Spring安全表达式控制系统功能访问权限,需要的朋友可以参考下
角色权限管理系统.doc
12-23
课程设计做的一个权限管理小系统实验报告,希望能够帮到大家。不足之处请大家多提意见~!
@ jobo.ro「@jobo.ro」-crx插件
03-14
Google Chrome扩展程序,可以在jobo.ro上轻松发布。 扩展了浏览器的Google Chrome浏览器维护许可范围,并使用了可想象的工作场所。 支持语言:română
spel-maven-plugin:Maven插件,可在构建过程中扫描您的源代码,并在PreAuthorize等注释中查找Spring Expressions并对其进行验证
05-19
SpEL Maven插件 该插件扫描您的类文件以查找配置的注释,然后验证注释中包含的所有Spring Expressions。 这个插件是做什么的? 在表达式中查找语法错误,直到运行时您才可能找到 对表达式进行基本的静态分析,以查看它们是否正在更正,以调用上下文根的方法。 验证类型 将表达式解析为SpelExpression (可选)验证对配置的上下文根的任何顶级方法引用。 不验证Bean引用@myBean.foo或变量#foo.bar ,可能永远不会 当前不验证类型引用T(fully.qualified.name.Type).isFoo()但这些似乎是下一个添加的不错的选择。 这个怎么运作 插件将类路径用于项目,以便加载配置的注释和可选的根上下文。 Reflections API 用于查找所有使用已配置的注释进行注释的方法 检查每个批注以查看其配置的属性是否具有字符串值 字符串值
Spring @Scheduler使用cron表达式时的执行问题详解
08-26
Spring给程序猿们带来了许多便利。下面这篇文章主要给大家介绍了关于Spring @Scheduler使用cron表达式时的执行问题的相关资料,文中通过示例代码介绍的非常详细,需要的朋友们下面随着小编来一起学习学习吧
security安全表达式介绍
wh柒八九的博客
10-27 919
本文来说下security中常见的概念,在学习security的时候,可能觉得security上手比较难,一个关键的原因就是security中有比较多的概念,增加了理解上的难度。再加上RBAC等权限控制,进一步提高了security框架的门槛。 ...
Spring——Security安全框架之权限限定
专注写bug
02-22 1997
文章目录前言基于角色或权限进行访问控制hasAuthority 方法(单个权限)测试hasAnyAuthority 方法(多个权限)测试hasRole 方法(一个权限)测试异常测试hasAnyRole 方法(多个)测试loadUserByUsername中传递多个权限代码下载 前言 上一篇博客Security安全框架针对请求追加限制中,针对 部分请求 增加了 登录验证 。 只要是登录成功,就能访问被限制的请求。 但是,这种模式肯定是不够用的。 比如:淘宝商品页面。商家可以修改商品价格,但顾客只能看和购
一篇文章轻松搞定SpringSecurity权限框架!
路漫漫其修远兮,吾将上下而求索
01-07 2373
Spring Security是非常流行的安全(权限)框架,Web应用框架。主要有两大作用:一个是认证,一个是授权。本质上,它就是Filter过滤器。而且是过滤器链。SpringSecurity与Shiro的区别Spring Security的特点:Spring家族的,能很好的整合Spring。专门为Web应用开发设计的。提供专业全面的权限。重量级的。依赖于很多其他组件。在SSM中整合比Shiro麻烦。但在springboot中提供了自动配置方案。
SpringSecurity入门
傻了积威的博客
09-18 304
SpringSecurity springsecurity本质上是一个过滤器链(多个过滤器组成) 过滤器加载 配置DelegatingFilterProxy、在doFilter中调用initDelegate()获取过滤链(FilterChainProxy)对象,在过滤链对象中获取Security的所有过滤器 UserDetailsService 通过数据库查询用户信息 PasswordEncoder 对密码进行加密 设置用户名和密码 通过配置文件 spring: security: user:
【SpringCloud】Spring Security解决跨域问题、自定义校验方法
See_Star的博客
04-03 1828
SpringSecurity前后端解决跨域问题、权限校验方法等
详解Spring 框架中切入点 pointcut 表达式的常用写法
08-30
主要介绍了详解Spring 框架中切入点 pointcut 表达式的常用写法,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
RESTEasy @path 与正则表达式映射
04-20
NULL 博文链接:https://flycun2.iteye.com/blog/1894553
面向网络安全的多维正则表达式匹配算法分析.pdf
09-20
面向网络安全的多维正则表达式匹配算法分析.pdf
Spring-security
weixin_44962939的博客
07-16 207
hasRole: 角色授权:授权代码,在我们返回的UserDetails的Authority需要加ROLE_前缀,Controller上使用时不要加前缀; hasAuthority: 权限授权:用户自定义的权限,返回的UserDetails的Authority只要与这里匹配就可以,这里不需要加ROLE_,名称保持一至即可 另外的安全表达式还有: 表达式 说明 permitAll 永远返回true denyAll 永远返回false anonymous 当前用户是anonymous时返回true rememb
[SpringSecurity]web权限方案_用户授权_基于权限访问控制_基于角色访问控制_hasAuthority和hasAnyAuthority_hasRolehasAnyRole
m0_51955470的博客
02-28 2362
基于角色或权限进行访问控制 hasAuthority 方法 如果当前的主体具有指定的权限,则返回 true,否则返回 false 在配置类设置当前访问地址有哪些 @Override protected void configure(HttpSecurity http) throws Exception { http.formLogin() //自定义自己编写的登陆页面 .loginPage("/login.html") //登陆页面设
SpringBoot Security Oauth2角色及权限鉴权注解方法hasRolehasAuthority的使用区别
ipifei的博客
09-06 7004
SpringBoot Security Oauth2角色及权限鉴权注解方法hasRolehasAuthority的使用区别
Spring Security
qq_43761240的博客
06-24 332
创建springboot项目在pom.xml文件添加依赖 创建controller包并创建TestController类 启动后输入http://localhost:8080/test/add会出现登录页面输入账户名为:user,密码在控制台里面找:Using generated security password: 5bc472f4-65d4-4db5-9ae6-2c6a078dfbba后才能访问页面。设置登录的用户名和密码在application.properties写入配置 第二种方式:通过
Spring-Security@PreAuthorize("hasAuthority('')")源码分析
热门推荐
cloud的博客
07-02 4万+
Spring-Security@PreAuthorize(“hasAuthority(’’)”)源码分析 @PreAuthorize(“hasAuthority(‘xxx’)”)用来鉴别当前登录用户所拥有的角色是否有xxx权限访问该接口。 点进去看看security是如何来鉴权的。 这里authority即为我们传入的权限,比如prod:create,接下来再看this.hasAnyAutho...
若依@PreAuthorize
最新发布
08-17
如果您使用注解@PreAuthorize,它可以用来在方法级别对请求进行授权验证。在Spring Security中,@PreAuthorize注解基于SpEL表达式(Spring Expression Language)来定义授权规则。这样,您可以在方法上方使用@PreAuthorize注解,并在括号内编写适当的SpEL表达式来验证用户是否有权访问该方法。 例如,假设您有一个方法需要管理员权限才能访问,您可以这样使用@PreAuthorize注解: ```java @PreAuthorize("hasRole('ROLE_ADMIN')") public void adminOnlyMethod() { // 执行需要管理员权限的操作 } ``` 在上述示例中,只有具有"ROLE_ADMIN"角色的用户才能成功调用adminOnlyMethod()方法。如果用户没有该角色,则将抛出访问被拒绝的异常。 除了hasRole()函数,@PreAuthorize还支持其他许多SpEL表达式和函数,如hasAnyRole()、hasAuthority()、hasAnyAuthority()等。您可以根据具体需求编写适当的表达式来实现细粒度的授权验证。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值