Spring Security 中的权限注解很神奇吗?

最新推荐文章于 2025-06-03 21:47:04 发布
原创 最新推荐文章于 2025-06-03 21:47:04 发布 · 1.5k 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #spring #spring boot

本文探讨了Spring Security中的@PreAuthorize权限注解的使用,通过讲解SpEL(Spring Expression Language)来帮助理解其工作原理。文章首先介绍了SpEL的基础知识,包括表达式的解析和执行,以及如何在表达式中引用对象和调用方法。接着,文章详细解释了@PreAuthorize注解的权限检查流程,涉及到Spring Security的FilterSecurityInterceptor和PreInvocationAuthorizationAdviceVoter。最后,文章强调了学习SpEL的重要性,以便更好地理解和利用Spring Security的注解授权。

最近有个小伙伴在微信群里问 Spring Security 权限注解的问题:

很多时候事情就是这么巧,松哥最近在做的 tienchin 也是基于注解来处理权限问题的,所以既然大家有这个问题,咱们就一块来聊聊这个话题。

当然一些基础的知识我就不讲了,对于 Spring Security 基本用法尚不熟悉的小伙伴,可在公众号后台回复 ss,有原创的系列教程。

1. 具体用法

先来看看 Spring Security 权限注解的具体用法,如下:

@PreAuthorize("@ss.hasPermi('tienchin:channel:query')")
@GetMapping("/list")
public TableDataInfo getChannelList() {
    startPage();
    List<Channel> list = channelService.list();
    return getDataTable(list);
}

类似于上面这样,意思就是说,当前用户需要具备 tienchin:channel:query 权限,才能执行当前的接口方法。

那么要搞明白 @PreAuthorize 注解的原理,我觉得得从两个方面入手:

  • 首先明白 Spring 中提供的 SpEL。
  • 其次搞明白 Spring Security 中对方法注解的处理规则。

我们一个一个来看。

2. SpEL

Spring Expression Language(简称 SpEL)是一个支持查询和操作运行时对象导航图功能的强大的表达式语言。它的语法类似于传统 EL,但提供额外的功能,最出色的就是函数调用和简单字符串的模板函数。

SpEL 给 Spring 社区提供一种简单而高效的表达式语言,一种可贯穿整个 Spring 产品组的语言。这种语言的特性基于 Spring 产品的需求而设计,这是它出现的一大特色。

在我们离不开 Spring 框架的同时,其实我们也已经离不开 SpEL 了,因为它太好用、太强大了,SpEL 在整个 Spring 家族中也处于一个非常重要的位置。但是很多时候,我们对它的只了解一个大概,其实如果你系统的学习过 SpEL,那么上面 Spring Security 那个注解其实很好理解。

我先通过一个简单的例子来和大家捋一捋 SpEL。

为了省事,我就创建一个 Spring Boot 工程来和大家演示,创建的时候不用加任何额外的依赖,就最最基础的依赖即可。

代码如下:

String expressionStr = "1 + 2";
ExpressionParser parser = new SpelExpressionParser();
Expression exp = parser.parseExpression(expressionStr);

expressionStr 是我们自定义的一个表达式字符串,这个字符串通过一个 ExpressionParser 对象将之解析为一个 Expression,接下来就可以执行这个 exp 了。

执行的时候有两种方式,对于我们上面这种不带任何额外变量的,我们可以直接执行,直接执行的方式如下:

Object value = exp.getValue();
System.out.println(value.toString());

这个打印结果为 3。

我记得之前有个小伙伴在群里问想执行一个字符串表达式,但是不知道怎么办,js 中有 eval 函数很方便,我们 Java 中也有 SpEL,一样也很方便。

不过很多时候,我们要执行的表达式可能比较复杂,这时候上面这种调用方式就不太够用了。

此时我们可以为要调用的表达式设置一个上下文环境,这个时候就会用到 EvaluationContext 或者它的子类,如下:

StandardEvaluationContext context = new StandardEvaluationContext();
System.out.println(exp.getValue(context));

当然上面这个表达式不需要设置上下文环境,我举一个需要设置上下文环境的例子。

例如我现在有一个 User 类,如下:

public class User {
    private Integer id;
    private String username;
    private String address;
    //省略 getter/setter
}

现在我的表达式是这样:

String expression = "#user.username";
ExpressionParser parser = new SpelExpressionParser();
Expression exp = parser.parseExpression(expression);
StandardEvaluationContext ctx = new StandardEvaluationContext();
User user = new User();
user.setAddress("广州");
user.setUsername("javaboy");
user.setId(99);
ctx.setVariable("user", user);
String value = exp.getValue(ctx, String.class);
System.out.println("value = " + value);

这个表达式就表示获取 user 对象的 username 属性。将来创建一个 user 对象,

最低0.47元/天 解锁文章
Security6.2 中的SpEL 表达式应用(权限注解使用)
慢慢来的博客
02-20 1369
最近学习若依框架,里面的权限注解涉及到了SpEL表达式 @PreAuthorize("@ss.hasPermi('system:user:list')"),若依项目中用的是自己写的方法进行权限处理, 也可以只用security 来实现权限逻辑代码,下面写如何用security 实现。1、securityConfig文件上加入注解@EnableMethodSecurity,且引入自定义评估器:CustomPermissionEvaluator。2、编写CustomPermissionEvaluator文件。
若依前后端分离框架学习-5:权限管理
热门推荐
liuzixin_lzx的博客
02-05 4万+
    上一章自己创建了一个模块,我们注意到前端代码中对于按钮有v-hasPermi="[‘xxx:testxxx:add’]“这种代码。服务端有@PreAuthorize(”@ss.hasPermi(‘xxx:testxxx:add’)")这种代码。这是为了分别在前端和服务端限制用户进行非权限操作的。接下来,我们举个例子进行具体分析。     我们来看“新增”按钮对应的前端代码: <el-col :span="1.5"
若依后台管理系统-其他
06-12
一直想做一款后台管理系统,看了很多优秀的开源项目但是发现没有合适自己的。于是利用空闲休息时间开始自己写一套后台系统。如此有了若依管理系统。她可以用于所有的Web应用程序,如网站管理后台,网站会员中心,CMS,CRM,OA。所有前端后台代码封装过后十分精简易上手,出错效率低。同时支持移动客户端访问。系统会陆续更新一些实用功能。 您是否在找一套合适后台管理系统。 您是否在找一套代码易读易懂后台管理系统。 那么,现在若依来了。诚意奉献之作 若依是给刚出生的女儿取的名字 寓意:你若不离不弃,我必生死相依 内置功能 用户管理:用户是系统操作者。 部门管理:配置系统组织机构。 岗位管理:岗位是用户所属职务。 菜单管理:配置系统菜单(支持控制到按钮)。 角色管理:角色菜单权限分配。 字典管理:对系统中经常使用的一些较为固定的数据进行维护。 操作日志:系统操作日志记录(含异常)。 登录日志:系统登录情况记录(含异常)。 在线用户:当前系统中活跃用户状态监控。 连接池监视:监视当期系统数据库连接池状态,可进行分析SQL找出系统性能瓶颈。 为何选择若依 是一个完全响应式,基于Bootstrap3.3.6最新版本开发的主题。 她可以用于所有的Web应用程序,如网站管理后台,网站会员中心,CMS,CRM,OA。 拥有良好的代码结构,层次结构清晰。内置一系列基础功能。 操作权限控制精密细致,对所有管理链接都进行权限验证,可控制到按钮。 提供在线功能代码生成工具,提高开发效率及质量。 提供常用工具类封装,日志、国际化、缓存、验证、字典等数据。 兼容目前最流行浏览器(IE7+、Chrome、Firefox)手机移动端也支持。 技术选型 1、后端 核心框架:Spring Boot 安全框架:Apache Shiro 模板引擎:Thymeleaf 持久层框架:MyBatis 数据库连接池:Druid 缓存框架:Ehcache 日志管理:SLF4J 工具类:Apache Commons Fastjson POJO:Lombok 2、前端 框架:Bootstrap 数据表格:Bootstrap Table 客户端验证:JQuery Validation 树结构控件:zTree 弹出层:layer 3、平台 服务器中间件:SpringBoot内置 数据库支持:目前仅提供MySql数据库的支持,但不限于数据库 开发环境:Java、Eclipse、Maven、Git
Security方法注解权限控制过程及自定义权限表达式
pscool的博客
05-02 1961
(也可以采用若依的方法,自定义权限表达式,其实就是利用了el表达式,但是通过自定义权限表达式的过程,可以更加清楚security处理方法权限时的整个处理过程)
登陆认证&amp;权限控制(2)—— 基于Spring security 安全框架的权限管理 &amp; 注解权限控制 &amp; RABC模型_security权限控制注解
2401_84281594的博客
04-14 863
1.Spring Security的使用,结合MySQL,Redis实现基于JWT的注解式的权限认证,并且可以实现给不同的用户显示不同的前端页面;2.项目中的快速应用和使用,拦截器的设置,安全框架的配置;3.权限表的设计,基于角色的访问控制RABC模型;4.启动注解的配置,通过注解实现权限的控制;5.给不同的用户显示不同的页面,相关的SQL以及前端页面;
全栈开发实战:Springfox-Swagger与SpringSecurity整合指南
最新发布
AI天才研究院
06-03 944
在全栈开发中,我们常常需要为API生成详细的文档,方便前后端开发人员的沟通与协作。Springfox-Swagger就是一个能帮助我们自动生成API文档的强大工具。而SpringSecurity则是保障应用安全的关键组件,它可以对应用的访问进行严格的权限控制。本文的目的就是教大家如何将这两个工具整合起来,让我们在保障API安全的同时,还能轻松获取详细的API文档。我们的范围将涵盖从核心概念的理解到实际项目中的整合操作。
spring security oauth2.0 client集成第三方登录
weixin_40693633的博客
01-21 1万+
   大家上网的时候可能会遇见这样的一个问题,就是我们去访问一个网站,但是又不想去注册这个网站的账号,账号太多了实在是记不来,于是我们可以用qq或者微信登录这个网站,简直不要太方便有没有。    这么神奇的事情怎么能不去一探究竟呢,今天我们就来给他说道说道。    其实那些第三方服务他们都是使用了Oauth2.0这个协议,做的事情都是差不多,只是细节不同而已。 什么是 OAuth 2.0?    ...
精选资源
SpringMagic
03-10
SpringMagic,这个名字巧妙地将Spring框架的灵活性与魔术般的便捷性融合在一起,暗示了Spring在软件开发中的神奇力量。本文将深入探讨Spring框架的核心概念、主要功能以及如何在实际项目中充分利用SpringMagic。 一...
SpringSecurity(06)——权限注解
peng_gx的博客
01-15 2103
SpringSecurity权限注解
Security方法注解权限访问控制及原理剖析
pscool的博客
03-27 3591
案例 引入依赖 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.or
Springboot +spring security,方法权限注解
weixin_40991408的博客
05-27 2777
Springboot +spring security,方法权限注解
Spring Security 注解方式权限控制
qq_65142821的博客
01-29 2139
Spring Security除了可以在配置文件中配置权限校验规则,还可以使用注解方式控制类 中方法的调用。例如Controller中的某个方法要求必须具有某个权限才可以访问,此时就 可以使用Spring Security框架提供的注解方式进行控制。
Spring Security介绍(四)权限校验
w_t_y_y的博客
02-29 2809
(1)自定义拦截器或者AOP校验:对需要鉴权的接口做拦截,用户的权限SecurityContextHolder中获取,接口访问权限可以通过自定义Annotation注入,具体参照。用户认证+授权后,就可以进行接口权限控制。思路是拿用户(已授予的)权限与接口所需权限进行比较,不包含则视为无权。和shiro类似,sercurity也提供了注解权限校验。
自定义接口并设置权限验证
qq_53480941的博客
10-29 5515
我们可以通过形如@PreAuthorize("@ss.hasPermi('system:xxx:xxx')")的格式授予前端访问的权限;我们可以通过在学生系统里边自定义一个权限验证的按钮;首先打开菜单管理里边的学生信息管理系统里添加一个按钮plain>权限验证debugTestalert("验证成功!");},后端在MystudentsController里边添加");}此时打开学生信息管理系统 里边多了一个权限验证按钮点击权限验证按钮。
若依系统权限控制
qq_52477152的博客
06-30 5779
@PreAuthorize("@ss.hasPermi('system:role:add')")注解的含义
【若依】@PreAuthorize
weixin_45995287的博客
12-01 1万+
Spring Security提供了Spring EL表达式,允许我们在定义接口访问的方法上面添加注解,来控制访问权限来源于若依官方文档,记一下帮助记忆!
权限校验—接口检验
一起加油吧~
08-08 4918
获取传入用户的信息判断用户信息的权限信息集合中是否含有定义的权限/*** @Description: 自定义权限实现*//** 所有权限标识 *//*** 验证用户是否具备某权限* @param permission 权限字符串* @return 用户是否具备某权限*///判断是否传入权限字符//获取用户信息//判断是否有用户信息,或者用户信息中是否包含权限集合//将权限设置到请求头中//判断是否包含权限/*** 判断是否包含权限
SpringSecurity注解@PreAuthorize(“@ss.hasPermi(‘system:config:list‘)“)实现流程
zouyang920的博客
04-07 9644
实现思路就是使用SpringSecurity框架,开启权限校验@EnableGlobalMethodSecurity注解,第二步自动校验规则的方法hasPermi()方法,逻辑自己实现,第三步就可以使用@PreAuthorize注解,被此注解标注的方法就是走你hasPermi()方法的逻辑,返回布尔值,从来决定是否有权限访问。参考链接。
Spring Security中文API指南:深入权限控制细节
Spring Security中,授权通常发生在认证之后,通过一系列的安全拦截器进行。 **知识点二:核心组件** Spring Security 的核心组件包括: - SecurityContextHolder:用于存储安全上下文,其中包含当前经过身份...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值