用户权限认证(方法级权限认证/路径权限认证) @RolesAllowed,@secured,@preAuthorize注解用法解析笔记

最新推荐文章于 2024-05-03 01:21:26 发布
最新推荐文章于 2024-05-03 01:21:26 发布
阅读量6.4k 收藏 6
点赞数 1
文章标签: java springsecurity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zps925458125/article/details/100637432
版权

@RolesAllowed JSR250权限控制

  1. 在pom文件导入坐标
        <dependency>
            <groupId>javax.annotation</groupId>
            <artifactId>jsr250-api</artifactId>
            <version>1.0</version>
        </dependency>
  1. 在spring-security.xml文件中配置开启权限控制

<security:global-method-security jsr250-annotations="enabled" />
  1. 在方法上加注解 @RolesAllowed(“角色名”)
    这样配置,只有角色匹配的用户才可以访问该方法.

@Secured

  1. 在spring-security.xml文件中配置开启权限控制

<security:global-method-security secured-annotations="enabled" />
  1. 在方法上加注解 @Secured (“ROLE_”+“角色名”)
    这样配置,只有角色匹配的用户才可以访问该方法.这种方法需要在角色名前面加上前缀 “ROLE_” 否则不生效;

@PreAuthorize

  1. 在spring-security.xml文件中配置开启权限控制

<security:global-method-security pre-post-annotations="enabled" />
  1. 在方法上加注解 @PreAuthorize()

这种方式可以再括号内写表达式

@PreAuthorize(hasRole(‘ROLE_角色名’))
hasRole(‘角色名’) 返回true 表示可以访问,返回为false 表示不能访问

authentication–令牌对象
principal–用户详情对象
username–属性
@PreAuthorize(authentication.principal.username == ‘tom’)
返回true表示可以访问,返回为false 表示不能访问
这个表达式通过用户登录之后将用户令牌(Token)存储在一个securityContext对象中,这个令牌对象中有用户详情信息,这个注解工作原理就是从这个令牌对象中获得用户信息,在做判断;

url路径检查权限认证

  1. 让自己的 UserInfo 对象实现了 UserDetails 接口,让它包含更全面的信息(角色,权限url)
    原来spring security 自带的User 包含的信息不全(只有角色信息),UserDetails是springSecurity的一个接口.
  2. 自定义检查 url 权限的方法
@Service("securityService")
public class SecurityService {

    // 检查某个 url 是否能够被访问(根据用户权限)
    public boolean accessiable(UsernamePasswordAuthenticationToken authentication, HttpServletRequest request) {
        // 1. 获取当前请求的 url 地址
        String uri = request.getRequestURI(); //   /ssm/user/findAll.do
        String path = request.getContextPath();// 获取虚拟路径
        uri = uri.replace(path, "");

        // 2. 获取用户详情, 因为认证时已经替换为自己的 UserInfo对象了,所以可以强转
        //从底层代码看出UsernamePasswordAuthenticationToken对象将用户详细信息封装进了principal这个属性中;
        UserInfo userInfo = (UserInfo) authentication.getPrincipal();

        // 3. 获取用户所有的 url
        List<String> urls = new ArrayList<>();
        List<Role> roles = userInfo.getRoles();
        for (Role role : roles) {
            List<Permission> permissions = role.getPermissions();
            for (Permission permission : permissions) {
                urls.add(permission.getUrl());
            }
        }

        // 4. 判断是否可以访问
        return urls.contains(uri);
    }
}

3.包扫描,扫描到刚才的securityService,在 spring-security.xml中

<context:component-scan base-package="com.itheima.ssm.security"/>

4.添加 url 路径权限检查

<!-- 对于controller 路径,做【认证 + url 路径权限】

* isAuthenticated() :判断是否认证(是否成功登录),如果认证了,再检查url是否合法
* @securityService.accessiable:是调用 securityService 的方法做 url 路径权限检查
* @securityService.accessiable(authentication, request)括号中的参数必须是这两个,要与上面的securityService对应
-->
<sec:intercept-url pattern="/user/**" 
  access="isAuthenticated() and @securityService.accessiable(authentication, request)"/>
<sec:intercept-url pattern="/product/**" 
  access="isAuthenticated() and @securityService.accessiable(authentication, request)"/>
<sec:intercept-url pattern="/orders/**" 
  access="isAuthenticated() and @securityService.accessiable(authentication, request)"/>
<sec:intercept-url pattern="/role/**" 
  access="isAuthenticated() and @securityService.accessiable(authentication, request)"/>
<sec:intercept-url pattern="/permission/**"
  access="isAuthenticated() and @securityService.accessiable(authentication, request)"/>

<!-- 剩余的,仅作【认证检查】-->
<sec:intercept-url pattern="/**" access="isAuthenticated()"/>
干饭两斤半
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
SpringSecurity的授权
qq_40750315的博客
11-16 174
    上篇文章写了一个SpringSecurity简单的认证,这次说一下授权怎么操作。     所谓授权,其实就是在一些系统里面,特别是公司的内部管理系统,很多操作不是说每个人都能去做的,而是需要判断一下,操作人是否具有某操作的权限,如果具有该权限才能继续,否则直接告知:你不具备该权限。     那么SpringSecurity是怎么做的呢?具体操作步骤如下: 数据库的准备工作:准备好u
SpringSecurity服务器端方法权限控制@RolesAllowed注解不起作用的解决
weixin_41931278的博客
06-24 3805
JSR-250的使用 1.在maven导入依赖 <dependency> <groupId>javax.annotation</groupId> <artifactId>jsr250-api</artifactId> <version>1.0</version> </dependency> 2.开启注解 在服务器端我们可以通过Spring security
2024年最全极简权限认证必须掌握【代码+原理+建议收藏】_权限验证代码
最新发布
2401_84263282的博客
05-03 389
当然滴多少次卡验证多少次,取决于你要去哪里,对应设置多少道安全关卡。
Spring Security 实现权限控制功能(8)
Java是世界上最好的语言
04-26 1070
1. 权限注解 Spring Security权限控制可以配合授权注解使用。 Spring Security提供了三种不同的安全注解Spring Security自带的@Secured注解; JSR-250的@RolesAllowed注解; 表达式驱动的注解,包括@PreAuthorize、@PostAuthorize、@PreFilter和 @PostFilter。 1.1 @SecuredSpring-Security.xml中启用@Secured注解: <global-m
Sping实战第十四章:保护方法应用
li_wulang的博客
05-04 242
前面Spring Security是保护应用的Web层,限制URL别访问,此处是方法别的保护; 一、使用注解保护方法 Spring Security提供了三种不同的安全注解Spring Security自带的@Secured注解:能够基于用户所授予的权限限制对方法的访问 JSR-250的@RolesAllowed注解:能够基于用户所授予的权限限制对方法的访问 表达式驱动的注解,包...
Spring-security中控制方法访问权限注解的使用
wuxudong12138的博客
08-12 3015
控制方法访问的注解使用JSR-250的介绍使用步骤第一步:在spring-security.xml中开启第二步:导入maven依赖第三步:在指定的方法上添加注解另外在web.xml中可以配置403出错的页面@Secured注解的使用第一步:在spring-security文件中开启注解第二步:在对应的方法上添加注解表达式使用的介绍第一步:在spring-security中开启配置第二步:使用,可以...
5.Spring Security安全注解
相互学习 共同进步
04-24 1203
Spring Security默认是禁用注解的,要想开启注解,需要在继承WebSecurityConfigurerAdapter的类上加@EnableGlobalMethodSecurity注解,并在该类中将AuthenticationManager定义为Bean如果要启用基于注解方法安全性,要在配置类上使用**@EnableGlobalMethodSecurity**设置了securedEnabled = true,此时Spring将会创建一个切点,并将带有@Secured注解方法防入切面中。
Spring security用户URL权限FilterSecurityInterceptor使用解析
08-25
它通常与`@PreAuthorize`、`@PostAuthorize`、`@Secured`等注解一起使用,允许你基于表达式进行更细粒度的权限检查。例如: ```java @Service public class UserService { @PreAuthorize("hasRole('ADMIN')") ...
SpringSecurity权限控制实现原理解析
08-24
注解是指在 Java 代码中使用的注解,例如 @Controller、@RequestMapping 等,用于标识控制器和方法的访问权限。配置文件是指在 SpringSecurity 中使用的配置文件,例如 spring-security.xml,用于配置安全域、权限等...
SpringBoot+Vue前后端分离,使用SpringSecurity完美处理权限问题的解决方法
08-28
1. 使用SpringSecurity注解来标记权限,例如@Secured注解。 2. 使用SpringSecurity的GrantedAuthority来管理权限。 3. 使用SpringSecurity的AccessDecisionManager来管理权限的决策。 五、快速部署 为了快速部署...
整合Spring+Spring security基于RBAC模型实现通用的权限控制和用户管理系统(适合新手了解学习权限相关技术)
06-21
4.后台接口权限控制:对后台接口启用权限控制,对应的接口若不满足权限或角色要求,则请求失败,使用@Secured实现; 5.用户-角色-权限使用常规RBAC的模型,用户到角色,角色到权限均为多对多关系映射; 6、用到的...
用户角色权限重新开放下载
05-29
例如,Spring Security通过定义AccessDecisionManager、AuthorizationManager等组件,以及使用@Secured、@PreAuthorize注解,可以灵活地实现细粒度的权限控制。 Layui是一个轻量的前端UI框架,它提供了一套完整...
区别: @Secured(), @PreAuthorize() 及 @RolesAllowed()
WGH100817的博客
03-29 1346
Spring security的使用中,为了对方法进行权限控制,通常采用的三个注解,就是@Secured(), @PreAuthorize() 及 @RolesAllowed()。 但是着三者之间的区别,我之前也不是很清楚,现在看看,做个小小的记录,备忘吧! 现在举例,比如修改用户密码,必须是ADMIN的权限才可以。则可以用下面三种方法: @Secured({"ROLE_A...
Spring Security 权限控制
m0_48922996的博客
07-16 8433
项目版本BootSecurity官网文档在前面的文章中,所有的接口只需要登录就能访问。并没有对每个接口进行权限限制。在正式的系统中,一个用户会拥有一个或者多个角色,而不同的角色会拥有不同的接口权限。如果要实现这些功能,需要重写中的。HttpSecurity用于构建一个安全过滤器链SecurityFilterChain,可以通过它来进行自定义安全访问策略。@Bean}@Override.and()}@Overridehttp.authorizeRequests()//开启配置。...
jsr250的 @RolesAllowed("ADMIN")不生效解决办法
qq_37605486的博客
12-15 1378
security中jsr250的 @RolesAllowed(“ADMIN”)不生效解决办法 在springmvc.xml中添加即可,开启对于AOP的支持,如下: <aop:aspectj-autoproxy proxy-target-class=“true”></aop:aspectj-autoproxy> ...
Spring 实战》--读书笔记
回归心灵的专栏
03-07 464
1.1.2 依赖注入 1.构造器注入:在类的构造器中不自行创建新的对象(任务),而是把对象作为参数传入。这个参数类型可以是一个接口,这样只要某个类实现了该接口,则其类的实例对象可以作为参数传入构造器。这就实现了松耦合,该类不需要知道具体是哪个实现类。 1.1.3 应用切面。在XML中配置bean,然后再配置aop。 1.1.4 使用模版消除样板式代码 1.2 容纳你的Bean Spring自带...
springSecurity 基于方法权限控制@RolesAllowed @Serured @PreAuthorize 与 页面端标签控制权限...
weixin_34416754的博客
10-25 410
基于方法权限控制有三种,但都是基于aop的,所以使用需要在springmvc.xml中开启<aop:aspectj-autoproxy proxy-target-class="true"></aop:aspectj-autoproxy> 一.JSR-250注解 @RolesAllowed 表示访问对应方法时所应该具有的角色 使用前需要导入Jsr-250-api依...
Spring实战—使用注解保护方法,附上spring全家桶!
java3456的博客
07-04 236
尽管Spring Security为我们提供了Web层的安全保护,我们依旧有可能会疏忽而导致用户通过正常访问路径访问到不应该访问的方法,所以除了在web层实施保护以外,我们还需要给底层的方法施加保护层。这样就能保证如果用户不具备权限的话,就无法执行相应的逻辑 文末分享的一线架构师的Spring全家桶笔记Spring+Spring Boot+Spring Cloud+Spring MVC,如果你想要一起学习那就添加小助手VX:xuanwo008免费领取不要错过哦 Spring Security 提供.
Spring Security实现接口基于路径的动态权限控制
荔枝当大佬的博客
10-24 1549
在荔枝之前的一篇博客中,已经对Spring Security的鉴证授权的相关知识进行了梳理,弄清楚了为什么使用JWT以及用户登录后台执行的相关的鉴证授权的逻辑。在下面的文章中荔枝主要是补充梳理一下在真实的项目中如何使用Spring Security来实现接口动态权限控制的功能。
@PreAuthorize、@PostAuthorize、@Secured使用方法
04-23
@PreAuthorize、@PostAuthorize、@SecuredSpring Security 提供的注解,用于控制方法或者类的访问权限。其中 @PreAuthorize 和 @PostAuthorize 注解是基于表达式的权限控制,用于在方法执行前后进行权限的验证。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

干饭两斤半

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值