SpringSecurity：@PreAuthorize如何实现自定义权限校验方法

最新推荐文章于 2025-03-28 10:15:00 发布

搬山道猿

最新推荐文章于 2025-03-28 10:15:00 发布

阅读量1.6k

点赞数

文章标签： spring java servlet

本文链接：https://blog.youkuaiyun.com/2301_76607156/article/details/130504876

版权

一、前言

在我们一般的web系统中必不可少的就是权限的配置，也有经典的RBAC权限模型，是基于角色的权限控制。这是目前最常被开发者使用也是相对易用、通用权限模型。当然SpringSecurity已经实现了权限的校验，但是不够灵活，我们可以自己写一下校验条件，从而更加的灵活！

很多开源框架中也是用的比较多，小编看了一下若依是自己写了一个注解实现的，pig是使用@PreAuthorize来实现自己的校验方式，小编以pig框架的为例。

二、SpringSecurity的@PreAuthorize

@PreAuthorize("hasAuthority('system:dept:list')")
@GetMapping("/hello")
public String hello (){
    return "hello";
}
复制代码

我们进去源码方法中看看具体实现，我们进行模仿！

// 调用的方法
@Override
public final boolean hasAuthority(String authority) {
	return hasAnyAuthority(authority);
}

@Override
public final boolean hasAnyAuthority(String... authorities) {
	return hasAnyAuthorityName(null, authorities);
}

private boolean hasAnyAuthorityName(String prefix, String... roles) {
	Set<String> roleSet = getAuthoritySet

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

搬山道猿

关注关注

0
点赞
踩
3

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

Spring Security-@PreAuthorize 权限注解分析

西京刀客

09-18

2万+

@PreAuthorize @PreAuthorize

springSecurity标签，特别是@PreAuthorize

qq_37857224的博客

08-08

2万+

spring security中可以通过表达式控制方法权限： @PreAuthorize @PostAuthorize @PreFilter @PostFilter 其中前两者可以用来在方法调用前或者调用后进行权限检查，后两者可以用来对集合类型的参数或者返回值进行过滤。使用@PreAuthorize和@PostAuthorize进行访问控制 @PreAuthorize可以用来控制一个方法是否能够被调用 Controller层 /** * 根据用户编号获取详细信息 */

参与评论您还未登录，请先登录后发表或查看评论

基于SpringSecurity的@PreAuthorize实现自定义权限校验方法

小王博客基地

08-15

6475

在我们一般的web系统中必不可少的就是权限的配置，也有经典的RBAC权限模型，是基于角色的权限控制。这是目前最常被开发者使用也是相对易用、通用权限模型。当然已经实现了权限的校验，但是不够灵活，我们可以自己写一下校验条件，从而更加的灵活！很多开源框架中也是用的比较多，小编看了一下若依是自己写了一个注解实现的，pig是使用来实现自己的校验方式，小编以pig框架的为例。这样就完成了自定义校验，具体的校验可以自己在配置里进行修改，当然也可以自己写一个注解来进行自定义校验，可以参考若依的注解！...

Spring Security 之方法级的权限管控 @PreAuthorize 使用详解

LoveSummer

01-22

1万+

默认情况下, Spring Security 并不启用方法级的安全管控. 启用方法级的管控后, 可以针对不同的方法通过注解设置不同的访问条件.Spring Security 支持三种方法级注解, 分别是 JSR-205 注解 /@Secured 注解 / prePostEnabled 注解. 这些注解不仅可以直接加 controller 方法上, 也可以注解 Service 或 DAO 类中的方法.

热门推荐

明明如月的技术博客

05-06

5万+

利用@PreAuthorize注解自定义权限校验

weixin_47345400的博客

09-18

2万+

利用@PreAuthorize注解自定义权限校验使用场景: 由于项目中,需要对外开放接口,要求做请求头校验,不做其他权限控制.所以准备对开放的接口全部放行,不做登录校验.想到之前用这个注解来实现管理后台的权限校验,所以为了方便在需要对外开放的接口贴上注解即可.记录一下实现过程. 开启@EnableGlobalMethodSecurity(prePostEnabled = true)注解, 在继承 WebSecurityConfigurerAdapter 这个类的类上面贴上这个注解.并且prePostEn

15.Spring Boot 使用Spring security

编码语言Codelang

01-03

3万+

玩转Spring Boot 使用Spring security Spring Boot与Spring Security在一起开发非常简单，充分体现了自动装配的强大，Spring Security是Spring Boot官方推荐使用的安全框架。配置简单，功能强大。接下来将说说Spring Boot使用Spring security进行安全控制。

@PreAuthorize实现自定义权限校验

01-04

### 使用 `@PreAuthorize` 注解实现自定义权限校验为了使用 `@PreAuthorize` 进行自定义权限校验，在应用程序中需要确保启用了方法级别的安全配置。这通常通过在配置类上添加特定注解来完成。 #### 启用方法级别...

SpringSecurity使用@PreAuthorize、@PostAuthorize实现Web系统权限认证

u011930054的博客

07-17

5188

SpringSecurity可以使用@PreAuthorize和@PostAuthorize进行访问控制，下面进行说明。项目使用Springboot2.3.3+SpringSecurtiy+Mbatis实现。首先先引入pom.xml <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artif

这个注解啥意思：@PreAuthorize

02-19

`@PreAuthorize` 是 **Spring Security** 提供的注解，用于在 **方法执行前** 进行权限校验。它基于 **SpEL（Spring Expression Language）** 表达式，允许开发者通过简单的逻辑控制方法调用的访问权限。 --- ### ...

@PreAuthorize注解

gmjian203828的博客

03-18

1703

是Spring Security框架提供的注解之一，用于在方法级别进行访问控制的设置。它可以标注在Controller层或Service层的方法上，以便在方法执行之前进行权限验证。注解是一个自定义的用于方法和类级别访问控制的注解，在运行时保留，可应用在方法和类上，并且具有继承性。注解可以嵌套在自定义的注解中，以实现复杂的权限验证逻辑。注解标注在Service层的方法上，确保只有具备相应权限的用户能够执行该方法。注解，可以对该方法的安全性进行进一步的定制，从而覆盖类级别的安全规则。即可以标注在方法或类上。

Spring Security @PreAuthorize @PostAuthorize 权限控制

时光冉冉,我们都在变

11-07

524

hasAuthority，对应 public final boolean hasAuthority(String authority) 方法，含义同 hasRole，不同点在于这是权限，而不是角色，区别就在于权限往往带有前缀（如默认的ROLE_），而角色只有标识。hasRole，对应 public final boolean hasRole(String role) 方法，含义为必须含有某角色（非ROLE_开头），如有多个的话，必须同时具有这些角色，才可访问对应资源。

Spring Security 之方法级的安全管控@PreAuthorize

weixin_42030357的博客

03-07

3364

文章目录1. JSR-205 注解2.@Secured 注解3.@PreAuthorize 类型的注解(支持 Spring 表达式)3.1SPEL表达试（bean引用）3.2 @PreAuthorize 表达式1. returnObject 保留名2. 表达式中的 # 号3. 内置表达式有:例子SecurityConfig 配置类BookService 配置类原博文，点击这里默认情况下, Spring Security 并不启用方法级的安全管控. 启用方法级的管控后, 可以针对不同的方法通过注解设置不同

SpringSecurity方法安全：@PreAuthorize与SpEL表达式

程序媛学姐的博客

03-27

1393

方法级安全是Spring Security的核心特性之一，它允许开发者在方法执行前、执行后甚至执行过程中应用安全控制。与基于URL的安全控制相比，方法级安全提供了更细粒度的访问控制机制，特别适合复杂业务场景下的权限管理需求。方法级安全可以基于用户角色、权限、方法参数甚至是返回值进行控制，使得安全规则能够与业务逻辑紧密结合。要启用Spring Security的方法级安全，需要在配置类上添加@EnableMethodSecurity注解。

spring安全性_具有PreAuthorize的Spring方法安全性

最佳 Java 编程

07-07

2150

spring安全性朋友不允许朋友写用户身份验证。厌倦了管理自己的用户？立即尝试Okta的API和Java SDK。数分钟之内即可在任何应用程序中对用户进行身份验证，管理和保护。本教程将探讨使用Spring Security在Spring Boot中配置身份验证和授权的两种方法。一种方法是创建WebSecurityConfigurerAdapter并使用流畅的API覆盖HttpSe...

Method Security

qq_40800349的博客

04-08

365

支持表达式的注解 Spring Security中定义了四个支持使用表达式的注解，分别是@PreAuthorize、@PostAuthorize、@PreFilter和@PostFilter。其中前两者可以用来在方法调用前或者调用后进行权限检查，后两者可以用来对集合类型的参数或者返回值进行过滤。要使它们的定义能够对我们的方法的调用产生影响我们需要设置global-method-sec...

具有PreAuthorize的Spring方法安全性

最佳 Java 编程

06-13

1514

朋友不允许朋友写用户身份验证。厌倦了管理自己的用户？立即尝试Okta的API和Java SDK。在几分钟之内即可对任何应用程序中的用户进行身份验证，管理和保护。本教程将探讨使用Spring Security在Spring Boot中配置身份验证和授权的两种方法。一种方法是创建WebSecurityConfigurerAdapter并使用流畅的API覆盖HttpSecurity对象...