@EnableGlobalMethodSecurity三方法详解

于 2022-10-09 16:51:23 发布
阅读量2.4k 收藏 9
点赞数 3
分类专栏: Spring Spring Boot 文章标签: java 开发语言
原文链接:https://www.jianshu.com/p/77b4835b6e8e
版权

@EnableGlobalMethodSecurity三方法详解

要开启Spring方法级安全,在添加了@Configuration注解的类上再添加@EnableGlobalMethodSecurity注解即可

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled=true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
}

其中注解@EnableGlobalMethodSecurity有几个方法:

  • prePostEnabled 确定 前置注解[@PreAuthorize,@PostAuthorize,..] 是否启用
  • securedEnabled 确定安全注解 [@Secured] 是否启用
  • jsr250Enabled 确定 JSR-250注解 [@RolesAllowed..]是否启用

在同一个应用程序中,可以启用多个类型的注解,但是只应该设置一个注解对于行为类的接口或者类。如:

  • 一个程序启用多个类型注解:

    @Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true))
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    ...
}

  • 但是只应该设置一个注解对于行为类的接口或者类

    public interface UserService {
  List<User> findAllUsers();

  @PreAuthorize("hasAnyRole('user')")
  void updateUser(User user);

    // 下面不能设置两个注解,如果设置两个,只有其中一个生效
    // @PreAuthorize("hasAnyRole('user')")
  @Secured({ "ROLE_user", "ROLE_admin" })
  void deleteUser();
}

启用securedEnabled

先启用securedEnabled

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(securedEnabled = true))
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    ...
}

在调用的接口或方法使用如下:

public interface UserService {
    List<User> findAllUsers();
    
    @Secured({"ROLE_user"})
    void updateUser(User user);

    @Secured({"ROLE_admin", "ROLE_user1"})
    void deleteUser();
}

@Secured注解是用来定义业务方法的安全配置。在需要安全[角色/权限等]的方法上指定 @Secured,并且只有那些角色/权限的用户才可以调用该方法。

@Secured缺点(限制)就是不支持Spring EL表达式。不够灵活。并且指定的角色必须以ROLE_开头,不可省略。

在上面的例子中,updateUser 方法只能被拥有user权限的用户调用。deleteUser 方法只能够被拥有admin 或者user1 权限的用户调用。而如果想要指定"AND"条件,即调用deleteUser方法需同时拥有ADMINDBA角色的用户,@Secured便不能实现。

这时就需要使用prePostEnabled提供的注解@PreAuthorize/@PostAuthorize

启用prePostEnabled

先启用prePostEnabled

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    ...
}

在调用的接口或方法使用:

public interface UserService {
    List<User> findAllUsers();

    @PostAuthorize ("returnObject.type == authentication.name")
    User findById(int id);

    @PreAuthorize("hasRole('ADMIN')")
    void updateUser(User user);
    
    @PreAuthorize("hasRole('ADMIN') AND hasRole('DBA')")
    void deleteUser(int id);
}

该注解更适合方法级的安全,也支持Spring 表达式语言,提供了基于表达式的访问控制。参见常见内置表达式了解支持表达式的完整列表

上面只使用到了一个注解@PreAuthorize,启用prePostEnabled后,提供有四个注解:

  • @PreAuthorize 进入方法之前验证授权。可以将登录用户的roles参数传到方法中验证。

    一些用法:

    // 只能user角色可以访问
@PreAuthorize ("hasAnyRole('user')")
// user 角色或者 admin 角色都可访问
@PreAuthorize ("hasAnyRole('user') or hasAnyRole('admin')")
// 同时拥有 user 和 admin 角色才能访问
@PreAuthorize ("hasAnyRole('user') and hasAnyRole('admin')")
// 限制只能查询 id 小于 10 的用户
@PreAuthorize("#id < 10")
User findById(int id);

// 只能查询自己的信息
 @PreAuthorize("principal.username.equals(#username)")
User find(String username);

// 限制只能新增用户名称为abc的用户
@PreAuthorize("#user.name.equals('abc')")
void add(User user)

  • @PostAuthorize 该注解使用不多,在方法执行后再进行权限验证。 适合验证带有返回值的权限。Spring EL 提供 返回对象能够在表达式语言中获取返回的对象returnObject。如:

    // 查询到用户信息后,再验证用户名是否和登录用户名一致
@PostAuthorize("returnObject.name == authentication.name")
@GetMapping("/get-user")
public User getUser(String name){
    return userService.getUser(name);
}
// 验证返回的数是否是偶数
@PostAuthorize("returnObject % 2 == 0")
public Integer test(){
    // ...
    return id;
}

  • @PreFilter 对集合类型的参数执行过滤,移除结果为false的元素

    // 指定过滤的参数,过滤偶数
@PreFilter(filterTarget="ids", value="filterObject%2==0")
public void delete(List<Integer> ids, List<String> username)

  • @PostFilter 对集合类型的返回值进行过滤,移除结果为false的元素

    @PostFilter("filterObject.id%2==0")
public List<User> findAll(){
    ...
    return userList;
}

对于前面使用@Secured注解的缺点,现在使用@PreAuthorize/@PostAuthorize

public interface UserService {
    List<User> findAllUsers();

    @PostAuthorize ("returnObject.type == authentication.name")
    User findById(int id);

    @PreAuthorize("hasRole('ADMIN')")
    void updateUser(User user);
    
    @PreAuthorize("hasRole('ADMIN') AND hasRole('DBA')")
    void deleteUser(int id);
}

启用jsr250Enabled

jsr250Enabled注解比较简单,只有

  • @DenyAll 拒绝所有访问
  • @RolesAllowed({"USER", "ADMIN"}) 该方法只要具有"USER", "ADMIN"任意一种权限就可以访问。这里可以省略前缀ROLE_,实际的权限可能是ROLE_ADMIN
  • @PermitAll 允许所有访问

ywb201314
关注
  • 3
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于java config的springSecurity(四)--启用全局方法安全
01-16
实现了认证,一般都满足不了应用的需求.使用@EnableGlobalMethodSecurity来实现授权,实现用户对某个操作是否有权限的控制.详细请参考:http://blog.csdn.net/xiejx618/article/details/42739707
Spring @Transactional工作原理详解
08-28
主要介绍了Spring @Transactional工作原理详解,具有一定借鉴价值,需要的朋友可以参考下。
Security启用@EnableGlobalMethodSecurity实现API接口权限校验
WannaRunning的博客
12-14 558
基于token的校验方式通常是作用于一个服务或应用范围,在一个应用内继续进行更细粒度的权限校验控制,就是实现用户对某个接口的调用权限控制。 @EnableGlobalMethodSecurity Security应用中的@Configuration实例上添加@EnableGlobalMethodSecurity 注解开启注解权限控制功能。 @EnableGlobalMethodSecurity(prePostEnabled = true) 其实这个注解为我们提供了prePostEnabled 、s
@EnableGlobalMethodSecurity(prePostEnabled=true)
盲目的拾荒者的博客
05-24 1万+
关于@EnableGlobalMethodSecurity(prePostEnabled=true)的解释: 开启基于方法的安全认证机制,也就是说在web层的controller启用注解机制的安全确认, @ApiOperation(value = "获取用户列表", httpMethod = "GET") @GetMapping @PreAuthorize("hasAuth...
Spring Security 之 @EnableGlobalMethodSecurity 方法级安全
点滴记录
10-14 1772
默认情况下, Spring Security 并不启用方法级的安全管控. 启用方法级的管控后, 可以针对不同的方法通过注解设置不同的访问条件. @EnableGlobalMethodSecurity(prePostEnabled = true) public class SecurityConfig extends WebSecurityConfigurerAdapter {} Spring...
SpringBoot - @EnableGlobalMethodSecurity注解详解
记录并分享
08-03 2763
使用@EnableGlobalMethodSecurity注解,用于开启Spring环境的方法级安全,如果实现该方案需要在添加了@Configuration注解的类上再添加@EnableGlobalMethodSecurity注解即可,通常是继承WebSecurityConfigurerAdapter基类,使用自定义的处理器或者过滤器,实现符合业务场景的访问控制。......
AndroidStudio中重载方法@Override的使用详解
08-19
主要介绍了AndroidStudio中重载方法@Override的使用详解,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
base href 使用方法详解
10-30
base href 使用方法详解
vue中@change兼容问题详解
10-16
主要介绍了vue中@change兼容问题详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
@EnableGlobalMethodSecurity注解详解
热门推荐
池海
03-05 4万+
作用: 当我们想要开启spring方法级安全时,只需要在任何 @Configuration实例上使用 @EnableGlobalMethodSecurity 注解就能达到此目的。同时这个注解为我们提供了prePostEnabled 、securedEnabled 和 jsr250Enabled 种不同的机制来实现同一种功能: @Configuration @EnableWebSecurity @...
spring security 注解@EnableGlobalMethodSecurity详解
weixin_34138521的博客
08-04 146
 1、Spring Security默认是禁用注解的,要想开启注解,需要在继承WebSecurityConfigurerAdapter的类上加@EnableGlobalMethodSecurity注解,来判断用户对某个控制层的方法是否具有访问权限 @Configuration@EnableWebSecurity@EnableGlobalMethodSecurity(prePostEnabled ...
@EnableGlobalMethodSecurity详解
ywb201314的专栏
10-09 1080
该注解的机制是只要其声明的角色集合(value)中包含当前用户持有的任一角色就可以访问。也就是 用户的角色集合和 @Secured 注解的角色集合要存在非空的交集。从名字就可以看出@PreAuthorize 注解会在方法执行前进行验证,而 @PostAuthorize 注解会在方法执行后进行验证。在需要安全[角色/权限等]的方法上指定 @Secured,并且只有那些角色/权限的用户才可以调用该方法。@PostFilter: 和@PreFilter 不同的是, 基于返回值相关的表达式,对返回值进行过滤。
@EnableGlobalMethodSecurity 注解
weixin_32196893的博客
02-08 783
当我们想要开启spring方法级安全时,只需要在@Configuration实例上使用@EnableGlobalMethodSecurity 注解就能达到此目的。 注解参数: @EnableGlobalMethodSecurity(jsr250Enabled = true) @EnableGlobalMethodSecurity(prePostEnabled = true) 如果prePostEnabled值为true(默认为false),以下在方法上的四个注解可用: @PreAuthorize
@EnableGlobalMethodSecurity(prePostEnabled = true)对GlobalMethodSecurityConfiguration配置
qq_37390245的博客
11-02 1216
想着捞一下PrePostAnnotationSecuriityMetadataSoure怎么进去spirng里面的 并且想用这个MetadtaSoure得到全部接口权限,实现简单的swagger代理 @EnableWebSecurity(debug = true) @EnableGlobalMethodSecurity(prePostEnabled = true) public class WebSecurityConfig extends WebSecurityConfigurerAdapter { }
@Cacheable方法详解
最新发布
08-24
@Cacheable是Spring框架中的注解,用于配置方法的结果进行缓存。当一个方法被@Cacheable注解修饰时,在调用该方法时,先检查缓存中是否存在该方法的结果。如果存在,则直接从缓存中获取结果并返回,而不再执行该方法。如果不存在,则执行该方法,并将方法的返回值存入缓存中。 @Cacheable注解有几个常用的属性,包括: 1. value:指定缓存的名称。多个缓存名称可以用逗号隔开,表示该方法的结果将会被存储在多个缓存中。 2. key:指定缓存的key。可以使用SpEL表达式来动态生成缓存的key。默认情况下,使用方法的参数作为缓存的key。 3. condition:指定条件表达式,只有满足条件时才会对方法结果进行缓存。例如,condition = "#result != null" 表示只有当方法的返回结果不为null时才进行缓存。 4. unless:指定条件表达式,只有不满足条件时才会对方法结果进行缓存。例如,unless = "#result == null" 表示只有当方法的返回结果为null时才不进行缓存。 @Cacheable注解可以应用于类和方法上。当应用于类上时,表示该类下所有的方法的结果都会被缓存;当应用于方法上时,表示该方法的结果会被缓存。 需要注意的是,@Cacheable注解依赖于具体的缓存实现,如Ehcache、Redis等。在使用@Cacheable注解之前,需要先配置好相应的缓存实现。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值