Spring security

SpringSecurity权限控制详解
最新推荐文章于 2024-04-20 16:32:09 发布
原创 最新推荐文章于 2024-04-20 16:32:09 发布 · 227 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#JAVA  #Spring

本文深入探讨SpringSecurity框架,解析其强大的身份验证和访问控制功能。通过实例展示如何使用@PreAuthorize、@PostAuthorize、@PreFilter和@PostFilter注解进行细粒度的权限控制,包括基于角色和条件的访问限制。

Spring security

Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它是用于保护基于Spring的应用程序的实际标准。
Spring Security 是一个自定义程度高的安全框架
Spring Security可以通过表达式来控制权限,它提供了四个注解,@PreAuthorize,@PostAuthorize,@PreFilter,@PostFilter
@PreAuthorize是用来在方法调用前对权限进行验证的,可以决定该方法是否被调用

用法如下:

@Service

public class UserServiceImpl implements UserService {

   @PreAuthorize("hasRole('ROLE_ADMIN')")

   public void addUser(User user) {

      System.out.println("addUser................" + user);

   }

   @PreAuthorize("hasRole('ROLE_USER') or hasRole('ROLE_ADMIN')")

   public User find(int id) {

      System.out.println("find user by id............." + id);

      return null;

   }

}

在上面的代码中我们定义了只有拥有角色ROLE_ADMIN的用户才能访问adduser()方法,而访问find()方法需要有ROLE_USER角色或ROLE_ADMIN角色。使用表达式时我们还可以在表达式中使用方法参数。

public class UserServiceImpl implements UserService {

   /**

    * 限制只能查询Id小于10的用户

   */

  @PreAuthoriz e("#id<10")

   public User find(int id) {

      System.out.println("find user by id........." + id);

      return null;

   }

   /**

    * 限制只能查询自己的信息

    */

   @PreAuthorize("principal.username.equals(#username)")

   public User find(String username) {

      System.out.println("find user by username......" + username);

      return null;

   }

   /**

    * 限制只能新增用户名称为abc的用户

    */

   @PreAuthorize("#user.name.equals('abc')")

   public void add(User user) {

      System.out.println("addUser............" + user);

   }

}

在上面代码中我们定义了调用find(int id)方法时,只允许参数id小于10的调用;调用find(String username)时只允许username为当前用户的用户名;定义了调用add()方法时只有当参数user的name为abc时才可以调用。
有时候可能你会想在方法调用完之后进行权限检查,这种情况比较少,但是如果你有的话,Spring Security也为我们提供了支持,通过@PostAuthorize可以达到这一效果。使用@PostAuthorize时我们可以使用内置的表达式
returnObject表示方法的返回值。


```java
@PostAuthorize("returnObject.id%2==0")

   public User find(int id) {

      User user = new User();

      user.setId(id);

      return user;

   }

上面这一段代码表示将在方法find()调用完成后进行权限检查,如果返回值的id是偶数则表示校验通过,否则表示校验失败,将抛出AccessDeniedException。需要注意的是@PostAuthorize是在方法调用完成后进行权限检查,它不能控制方法是否能被调用,只能在方法调用完成后检查权限决定是否要抛出AccessDeniedException。
使用@PreFilter和@PostFilter进行过滤
使用@PreFilter和@PostFilter可以对集合类型的参数或返回值进行过滤。使用@PreFilter和@PostFilter时,Spring Security将移除使对应表达式的结果为false的元素。

 @PostFilter("filterObject.id%2==0"public List<User> findAll() {

      List<User> userList = new ArrayList<User>();

      User user;

      for (int i=0; i<10; i++) {

         user = new User();

         user.setId(i);

         userList.add(user);

      }

      return userList;

   }

上述代码表示将对返回结果中id不为偶数的user进行移除。filterObject是使用@PreFilter和@PostFilter时的一个内置表达式,表示集合中的当前对象。当@PreFilter标注的方法拥有多个集合类型的参数时,需要通过@PreFilter的filterTarget属性指定当前@PreFilter是针对哪个参数进行过滤的。
如下面代码就通过filterTarget指定了当前@PreFilter是用来过滤参数ids的。

   @PreFilter(filterTarget="ids", value="filterObject%2==0")
 
   public void delete(List<Integer> ids, List<String> usernames) {
 
      ...
 
   }

Spring Security允许我们在定义URL访问或方法访问所应有的权限时使用Spring EL表达式,在定义所需的访问权限时如果对应的表达式返回结果为true则表示拥有对应的权限,反之则无。Spring Security可用表达式对象的基类是SecurityExpressionRoot,其为我们提供了如下在使用Spring EL表达式对URL或方法进行权限控制时通用的内置表达式。

表达式 
hasRole([role]) 当前用户是否拥有指定角色。
hasAnyRole([role1,role2]) 多个角色是一个以逗号进行分隔的字符串。如果当前用户拥有指定角色中的任意一个则返回truehasAuthority([auth]) 等同于hasRole
hasAnyAuthority([auth1,auth2]) 等同于hasAnyRole
Principle 代表当前用户的principle对象
authentication 直接从SecurityContext获取的当前Authentication对象
permitAll 总是返回true,表示允许所有的
denyAll 总是返回false,表示拒绝所有的
isAnonymous() 当前用户是否是一个匿名用户
isRememberMe() 表示当前用户是否是通过Remember-Me自动登录的
isAuthenticated() 表示当前用户是否已经登录认证成功了。
isFullyAuthenticated() 如果当前用户既不是一个匿名用户,同时又不是通过Remember-Me自动登录的,则返回true

参看了优快云大佬的笔记 仅用作个人总结 侵权立即删除!

SpringBoot集成Spring security 2024.10(Spring Security 6.3.3)
10-22
SpringBoot集成Spring security是当前许多Java Web开发人员关注的热点,因为安全是互联网应用不可或缺的一部分。Spring Security 为基于Spring的应用提供了一个全面的安全解决方案。它不仅提供了认证...
精选资源
SpringSecurity笔记,编程不良人笔记
10-28
SpringSecurityJava领域中一款强大的安全框架,主要用于Web应用程序的安全管理。它提供了全面的身份验证、授权、会话管理以及安全相关的功能,可以帮助开发者构建安全的Web应用。在本笔记中,我们将深入探讨Spring...
Shiro同一个账号不允许登陆两次
chuannie2342的博客
09-17 1028
步骤如下: 1、获取所有在线用户的Session信息。 2、获取当前登陆人的sessionId。 3、设置与当前登录账号相同,但sessionId不同的session信息超时。 代码如下: if (!Global.TRUE.equals(Global.getConfig("user....
java 得到登陆用户的id_java – REST – 发送用户ID与从Principal中获取用户ID
weixin_32392583的博客
02-25 1544
我想知道为通用用例定义RESTful服务的正确方法.我正在编写一个RESTful API来更新当前用户的个人资料.我们应该在请求中发送当前用户的ID吗?这将需要在服务器端进行验证,以便用户只能编辑自己的详细信息.所以我需要添加对用户ID和Principal对象的检查.此外,客户端必须在某处维护当前用户ID.POST /user/{id}或者,我可以跳过发送用户ID并从Principal对象获取用户...
Java for Web学习笔记(一零七):Spring框架中使用JPA(7)密码和BCrypt
愷风(Wei)的专栏
01-29 1697
密码安全存放 密码安全有两个方面: 用户密码传递的安全性,可以使用https来保护,也有将密码进行哈希(例如MD5)后进行传递的(复杂一点的,密码是参与哈希,还包含一些动态参数,例如时间戳等进行salt),或者两者结合起来数据库密码存储的安全性,一旦被拖库,或者别的被黑,仍能安全保护好用户的密码。 目前,一般可采用BCrypt加密方式,我们绝不能将密码的明文,或者经过弱哈希(如MD5和S
Spring Security简单的登陆验证授权
shanying0324的博客
07-28 2313
Spring Security的介绍就省略了,直接记录一下登陆验证授权的过程。 Spring Security的几个重要词 1.SecurityContextHolder:是安全上下文容器,可以在此得知操作的用户是谁,该用户是否已经被认证,他拥有哪些角色权限…这些都被保存在SecurityContextHolder中。 Object principal = SecurityContextHolder.getContext().getAuthentication().getPrincipal()...
Spring Boot 访问安全之认证和鉴权
热门推荐
布道
07-04 1万+
在web应用中有大量场景需要对用户进行安全校,一般人的做法就是硬编码的方式直接埋到到业务代码中,但可曾想过这样做法会导致代码不够简洁(大量重复代码)、有个性化时难维护(每个业务逻辑访问控制策略都不相同甚至差异很大)、容易发生安全泄露(有些业务可能不需要当前登录信息,但被访问的数据可能是敏感数据由于遗忘而没有受到保护)。为了更安全、更方便的进行访问安全控制,我们可以想到的就是使用springmvc的...
SpringSecurity
Java 技术专栏,从入门到精通,熟悉企业级开发
04-20 1万+
一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring Security 重要核心功能。(1)用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问 该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认 证过程。通俗点说就是系统认为用户是否能登录。(2)用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户 所具有的权限是不同的。
最详细Spring Security学习资料(源码)
11-16
Spring Security是一个功能强大且高度可定制的身份验证和授权框架,专门用于保护Java应用程序的安全性。它构建在Spring Framework基础之上,提供了全面的安全解决方案,包括身份验证、授权、攻击防护等功能。 Spring...
精选资源
springsecurity学习笔记
12-13
在"springsecurity学习笔记"中,你可能会涉及以下主题: - Spring Security的基本配置,包括web安全配置和全局安全配置。 - 如何自定义认证和授权流程,比如实现自定义的AuthenticationProvider和...
精选资源
Spring Security in Action
11-22
Spring Security 实践指南 Spring Security 是一个基于 Java 的安全框架,旨在提供身份验证、授权和访问控制等功能。下面是 Spring Security 的主要知识点: 一、身份验证(Authentication) 身份验证是指对用户...
java 登录认证注解_Java-Security(七):Spring Security方法注解认证启用
weixin_33001305的博客
02-28 650
@EnableGlobalMethodSecurity标记启用方法认证注解类型包含以下3种:prePostEnabled:确定 前置注解[@PreAuthorize,@PostAuthorize,..]是否启用securedEnabled:确定安全注解 [@Secured]是否启用jsr250Enabled:确定 JSR-250注解 [@RolesAllowed..]是否启用方法注解类型一把通过@...
boke练习: @PreAuthorize authentication.name.equals的数据绑定与验证
weixin_33974433的博客
10-29 387
boke练习: @PreAuthorize authentication.name.equals的数据绑定与验证 先看2个简单的例子: 一 @PostMapping("/{username}/post") @PreAuthorize("authentication.name.equals(#categoryVO.username)") public ResponseEntity&lt;Res...
Spring Security(17)——基于方法的权限控制
weixin_34319111的博客
12-07 160
基于方法的权限控制 目录 1.1 intercept-methods定义方法权限控制 1.2 使用pointcut定义方法权限控制 1.3 使用注解定义方法权限控制 1.3.1 JSR-250注解 1.3.2 @Secured注解 1.3.3 支持表达式的注解 1.4 方法权限控制的拦截器 ...
IDEA界面SVN回滚到历史指定版本
DoChengAoHan的博客
06-01 3573
万恶的甲方朝令夕改,苦逼程序员修修补补12点 IDEA界面SVN回滚到历史指定版本: 第一步: 第二步: 第三步: 第四步: 第五步: 你学废了吗??
关于MVC架构中的Repository模式
DoChengAoHan的博客
10-21 888
关于MVC架构中的Repository模式 个人理解:Repository模式是一个单独的分层,他介于service层和dao层之间,他是采用接口的方式来访问dao层的,并且Repository模式会让servic层在访问dao层时,dao层是不知道的,Repository充当了一个仓库管理员,service层(领域)只需要告诉Repository自己需要什么就可以了,Repository会把东...
SpringBoot项目在启动时发生了什么?
DoChengAoHan的博客
06-17 872
SpringBoot项目在启动时发生了什么? SpringBoot 项目在启动时,首先基于启动入口类上的注解描述,进行自动配置并扫描指定包以及子包中的类进行加载,然后检测类上是否有Spring框架中指定的注解描述(例如@Component,@Controller,@Service 等)。假如有,则将类交给Spring框架中的BeanFactory工厂接口的实现类对象,此工厂对象会基于反基于反射创建Bean的实例假如指定了生命周期方法,还会调用生命周期方法。当实例创建以后,Spring框架还会基于类的作用域
Nginx(新手入门)
DoChengAoHan的博客
03-13 776
Nginx 什么是Nginx: Nginx是一个高性能的HTTP反向代理WEB服务器 Nginx的特点: 设计语言:C语言开发 1:内存少 服务占用系统内存不超过3M 2:并发内力强 官方测试为五万/ NGginx下载安装: 根据自己的系统选择相应的版本! 网盘我上传了一个windows老版本的 需要的话自取: 链接:https://pan.baidu.com/s/1hpgJSONXBZ64fs...
MySql调优总结
DoChengAoHan的博客
11-21 584
数据库优化的作用: 数据库优化一方面是找出系统的瓶颈,提高MySQL数据库的整体性能,而另一方面需要合理的结构设计和参数调整,以提高用户的相应速度,同时还要尽可能的节约系统资源,以便让系统提供更大的负荷. 数据库优化分为软优化,硬优化两种! 软优化一般只需操作数据库,而硬优化,而硬优化则是操作服务器硬件及参数设置. 软优化 1查询语句的优化 1.1优化子查询 在MySQL中,尽量使用JOIN来代替...
SPringsecurity
最新发布
09-21
Spring SecuritySpring 生态系统中的核心组件,也是一个功能强大且高度可定制的身份验证和访问控制框架,是保护基于 Spring 的应用程序的事实上的标准,致力于为 Java 应用程序提供身份验证和授权,通过提供认证(Authentication)与授权(Authorization)和针对常见攻击等一系列安全功能,为开发者构建安全稳定的应用提供强有力的支持,且可轻松扩展以满足自定义需求 [^1][^2]。 ### 使用指南 Spring Security 会对 `/login` 的 POST 请求做拦截,校验表单中用户名和密码,这一功能由 `UsernamePasswordAuthenticationFilter` 实现 [^3]。在实际使用时,通常要创建一个配置类来定制 Spring Security 的行为。以下是一个简单示例: ```java import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.web.SecurityFilterChain; @Configuration public class SecurityConfig { @Bean public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception { http .authorizeRequests() .anyRequest().authenticated() .and() .formLogin() .and() .httpBasic(); return http.build(); } } ``` 上述代码配置了所有请求都需要认证,支持表单登录和 HTTP 基本认证。 ### 配置方法 Spring Security 的配置主要通过 Java 配置类和注解来完成。 - **Java 配置类**:继承 `WebSecurityConfigurerAdapter`(Spring Boot 2.7.x 之前)或者使用 `SecurityFilterChain` Bean(Spring Boot 2.7.x 及之后)来配置安全策略。 ```java import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.web.SecurityFilterChain; @Configuration public class CustomSecurityConfig { @Bean public SecurityFilterChain filterChain(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/public/**").permitAll() .anyRequest().authenticated() .and() .formLogin() .loginPage("/login") .permitAll() .and() .logout() .permitAll(); return http.build(); } } ``` 以上代码配置了 `/public` 路径下的请求无需认证,其他请求需要认证,自定义了登录页面,并允许注销操作。 - **注解**:使用 `@EnableWebSecurity` 启用 Spring Security 的 Web 安全支持。 ### 最佳实践 - **使用 HTTPS**:在生产环境中,使用 HTTPS 来加密数据传输,防止数据被窃取和篡改。 - **密码加密**:在存储用户密码时,使用安全的加密算法,如 BCrypt。 ```java import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder; import org.springframework.security.crypto.password.PasswordEncoder; public class PasswordEncoderExample { public static void main(String[] args) { PasswordEncoder encoder = new BCryptPasswordEncoder(); String encodedPassword = encoder.encode("password123"); System.out.println(encodedPassword); } } ``` - **细粒度的访问控制**:根据用户角色和权限,对不同的资源和 URL 进行细粒度的访问控制。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值