Spring Security中的@PreAuthorize注解拦截失效

最新推荐文章于 2024-07-31 19:37:41 发布
最新推荐文章于 2024-07-31 19:37:41 发布
阅读量1.1k 收藏 1
点赞数 3
文章标签: spring java 数据库 spring boot 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/an715396887/article/details/132194909
版权
文章讲述了在SpringBoot中使用SpringSecurity时,@PreAuthorize注解的拦截失效问题,分析了原因——未启用全局方法级安全,提供了相应的解决方案——在配置类上添加@EnableGlobalMethodSecurity(prePostEnabled=true)注解。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Spring Security中的@PreAuthorize注解拦截失效

在Spring Boot下Spring Security权限认证时,使用@PreAuthorize注解发现并没有拦截成功。经过排查发现。Spring Security配置类( 也就是继承了WebSecurityConfigurerAdapter的类上面 )上添加@EnableGlobalMethodSecurity(prePostEnabled = true)注解,以启用全局方法级安全性。
具体如下:

package com.javaandvue.config;


import com.javaandvue.common.security.*;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;


@Configuration
@EnableWebSecurity //添加 @EnableWebSecurity 注解,您可以自定义和配置应用程序的 Web 安全性规则。
//@EnableGlobalMethodSecurity(prePostEnabled = true)  是Spring Security中的一个注解,用于启用全局方法级安全性。
//通过将 prePostEnabled 设置为 true ,它允许使用 @PreAuthorize 和 @PostAuthorize 注解来保护单个方法。 
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private LoginSuccessHandler loginSuccessHandler;

    @Autowired
    private LoginFailureHandler loginFailureHandler;

    @Autowired
    private MyUserDetailServiceImpl myUserDetailService;

    @Autowired
    private JwtAuthenticationEntryPoint jwtAuthenticationEntryPoint;

    @Autowired
    private JwtLogoutSuccessHandler jwtLogoutSuccessHandler;


    // 定义白名单URL路径数组
    private static final String URL_WHITELIST[] = {
            "/login",
            "/logout",
            "/captcha",
            "/password",
            "/image/**"
    };

    @Bean
    JwtAuthenticationFilter jwtAuthenticationFilter() throws Exception {
        JwtAuthenticationFilter jwtAuthenticationFilter=new JwtAuthenticationFilter(authenticationManager());
        return jwtAuthenticationFilter;
    }


    //默认密码加密配置
    @Bean
    BCryptPasswordEncoder bCryptPasswordEncoder(){
        return new BCryptPasswordEncoder();
    }

    /**
     * 配置应用程序的安全规则
     * 开启跨域资源共享(CORS)功能,并关闭跨站请求伪造(CSRF)攻击防护
     * 配置登录相关设置
     * 禁用会话(session)的创建
     * 配置拦截规则
     * @param http HttpSecurity对象,用于配置应用程序的安全规则
     * @throws Exception 配置过程中可能抛出的异常
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .cors() // 开启CORS功能(跨域)
                .and()
                .csrf().disable() // 关闭CSRF攻击防护
                .formLogin() // 配置登录相关设置
                .successHandler(loginSuccessHandler) // 自定义登录成功处理器
                .failureHandler(loginFailureHandler) // 自定义登录失败处理器
                 .and()
                 .logout() // 配置注销设置(如果需要)
                 .logoutSuccessHandler(jwtLogoutSuccessHandler) // 自定义注销成功处理器(如果需要)
                .and()
                //session禁用配置
                .sessionManagement()
                .sessionCreationPolicy(SessionCreationPolicy.STATELESS) // 禁用会话的创建(无状态)
                .and()
                .authorizeRequests()
                .antMatchers(URL_WHITELIST).permitAll() // 白名单中的URL路径允许无需身份验证/permitAll放行所有
                .anyRequest().authenticated() // 其他所有请求需要身份验证

        //异常处理配置
                .and()
                .exceptionHandling()
                .authenticationEntryPoint(jwtAuthenticationEntryPoint)

        //自定义过滤器配置
        .and()
                .addFilter(jwtAuthenticationFilter());//添加filter
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(myUserDetailService);
    }

}
an715396887
关注
25. Spring Boot 2.x 最佳实践之 Spring Security+ Swagger+自定义拦截器Token权限校验
极客星云-优快云博客
05-17 2693
这篇博文来总结下Spring Boot 2.x+ Spring Security+ 自定义拦截器实现带Token权限控制最佳实战攻略.
Springboot+SpringSecurity实现权限控制(四、授权)
一念永恒
03-09 1062
345
spring security @PreAuthorize在controller中配置失效解决方法
臣本布衣,躬耕于南阳
08-12 6755
springmvc和spring security整合。在@Controller层 加@PreAuthorize注释没效果,囧(´Д`) 分析:一般配置文件是不会报错,但就是不起作用   初步分析如下: @Controller, @Service不要重复扫描.  会重复创建bean.  spring mvc 的servlet容器是spring 容器的子容器, 里面创建的bean(一般
@PreAuthorize 不起作用
laozengsky的博客
04-09 1219
第三步:解决An Authentication object was not found in the SecurityContext 异常和捕捉AccessDeniedException全局异常。使用springsecurity进行权限管理的时候发现该注解并不起作用。第二步:让PreAuthorize注解生效。第一步:自定义权限实现,
SpringSecurity权限认证@preAuthorize失效
Gufang617的博客
08-25 3513
. 原因分析 1.跟着老师搭载的SSO(单点登录)项目,没有进行sys:res:update的授权,但是SpringSecurity就是不对其进行拦截,结果前端返回的response.data中只有"doUpdate resource (update) ok" 2.授权被拦截而执行的方法,没有执行.map中没有put入message. 3.故导致前端页面alert(response.data.message),message都是undefined 解决办法:在图片中红线位置加这局注解即可. 原理:@
SpringSecurity注解@PreAuthorize失效问题
与其苟延残喘,不如纵情燃烧
01-10 978
原因:调用roles方法时源码会重新new一个list将authorities的数据覆盖,导致配置失效。所以delete权限在用户的权限数据里不存在。问题:测试响应式框架时,测试框架对于权限与角色的拦截问题,对于/delete的访问报错访问拒绝,但是数据里面配置了权限。解决:可以自己封装数据库里面的数据,将权限与角色信息分开处理。
@PreAuthorize注解不起作用?
zcents的博客
09-03 3010
1.将prePostEnabled设置为true:@EnableGlobalMethodSecurity(prePostEnabled=true) 2.如果还是不起作用查看是否缺少aop依赖(小编当时不起作用就是缺少这个依赖): spingboot中 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>.
掌握Spring AOP:开发中的切面编程与案例分析
热门推荐
张彦峰的博客
05-12 167万+
本文介绍了 Spring AOP(面向切面编程) 的基本理论和实际应用。首先,详细解释了 AOP 中的关键概念,如连接点、切点、通知等,并通过切点表达式和正则规则的使用,展示了如何在不同场景下灵活应用 AOP。接着,结合多个实际开发案例,讲解了如何使用 AOP 实现方法自动打印、mock 赋能干预、业务处理和异步操作等功能。最后,文章总结了 AOP 的开发注意事项及最佳实践,帮助开发者避免常见的陷阱并提高代码的可维护性和扩展性。
Spring Security 详解
最新发布
As_Yua的博客
07-31 1万+
用户认证通过后,为了避免用户的每次操作都进行认证可将用户的信息保证在会话中。会话就是系统为了保持当前用户的登录状态所提供的机制,常见的有基于session方式、基于token方式等。
SpringSecurity@PreAuthorize(“hasRole(‘ROLE_USER‘)“) 不起作用的原因
weixin_44263023的博客
07-05 1291
PreAuthorize(“hasRole(‘ROLE_USER’)”) 不起作用的原因可能确实是用户信息中没有包含正确的角色信息,但也可能由其他几个因素导致。
PreAuthorize 拦截无效 不起作用
奇异天马的魔法书
10-21 3101
@PreAuthorize不起作用 解决:将security:global-method-securitySpringSecurity.xml中转移到SpringMVC.xml配置文件中即可解决 &amp;lt;security:global-method-security pre-post-annotations=“enabled” jsr250-annotations=“enabled” secur...
controller层_使用Spring Security做方法层的权限拦截
weixin_39541212的博客
11-26 1670
Spring Security中可以通过Authentication(认证)和Authorization(授权)的功能,识别用户身份并完成用户授权。通常的做法是在用户访问某些资源时,通过拦截器方法确认用户身份,如果当前用户身份不明(未登录或者是匿名用户)且被访问资源是非公开资源时,系统会强制跳转至登录页面,在用户登录完成后再跳转回原地址,继续访问资源。这些拦截功能基本都是使用Filter...
SpringSecurity注解@PreAuthorize失效
y964137520的博客
04-01 1347
1、配置类里这两个注解都加了还无法生效甚至无法注入service对象 @EnableWebSecurity @EnableGlobalMethodSecurity(prePostEnabled = true) 原因:加注解的方法使用了private修饰导致的,改为public即可
Spring Boot 3.x.x Spring Security 6.x.x @PreAuthorize 失效
珍惜当下
12-13 950
@PreAuthorize 打debug,发现不走该注解的认证。最近在搞一个后端项目,登录、接口权限、token认证。@PreAuthorize 失效,没有走认证。
Spring Security @PreAuthorize 拦截无效
weixin_30778805的博客
10-31 549
1. 在使用spring security的时候使用注解@PreAuthorize("hasAnyRole('ROLE_Admin')") 放在对方法的访问权限进行控制失效,其中配置如: @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter ...
spring boot security拦截_SpringBoot服务整合安全认证Security
weixin_39646658的博客
01-25 1097
前言有这么个需求:客户端不能直接访问后端服务,需经过网关进行权鉴及安全认证后在将请求转发到后端。但如果开发人员过用户知道后端地址这个时候完全可以跳过网关服务直接请求到后端,这样后端服务就会承受安全风险,这个时候我们就要用到Spring SecuritySpring Security简介Spring Security,这是一种基于 Spring AOP 和 Servlet 过滤器的安全框架。它提供...
springsecurity权限控制注解不生效问题解决
qq_43765528的博客
06-08 441
2,controller里面进行权限控制的方法,使用private进行修饰会导致注解失效(我就是这种情况),将private改为public即可解决。问题描述:使用springsecurity进行权限控制,方法上加了对应的注解,运行时不管当前对象有没有对应权限都能访问,好像注解没生效一样。需要知道security在进行权限控制时使用到了aop,但是private修饰的方法并不会被代理。1,security的配置类上没有加@EnableGlobalMethodSecurity
springboot 的F版本以后spring-boot-security拦截设置
别抢我蓝buff
02-10 1724
@SpringBootApplication @EnableEurekaServer @EnableWebSecurity public class EurekaStarter extends WebSecurityConfigurerAdapter { public static void main(String[] args) { SpringApplication.run(EurekaSta...
@PreAuthorize注解
09-19
@PreAuthorize注解Spring Security提供的一种权限验证注解。它可以在方法执行前进行权限验证,并支持使用Spring EL表达式进行条件判断。在使用@PreAuthorize注解时,需要先通过@EnableGlobalMethodSecurity(prePostEnabled=true)开启方法级别的权限验证功能。 在使用@PreAuthorize注解时,可以将验证条件写在注解的参数中,例如@PreAuthorize("@ss.hasPermi('system:user:remove')")。这里的@ss.hasPermi是一个自定义的权限验证方法,用于验证当前用户是否具有执行指定操作的权限。当方法被调用时,Spring Security会根据@PreAuthorize注解中的验证条件进行权限验证,如果验证失败则会抛出异常。 除了使用默认的权限验证方法外,还可以自定义权限验证方法。通过自定义权限验证方法,可以实现更加灵活的权限控制策略。例如,可以根据用户的角色或资源权限进行细粒度的控制。在自定义权限验证方法时,需要在Spring Security的配置类中进行相应的配置。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值