Spring Seucurity 有关注解

最新推荐文章于 2024-04-18 19:51:13 发布
原创 最新推荐文章于 2024-04-18 19:51:13 发布 · 887 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文深入解析Spring Security中的核心注解,包括@EnableGlobalAuthentication、@EnableGlobalMethodSecurity和@EnableWebSecurity,阐述了它们如何分别启动全局认证机制、全局方法安全注解机制和Web安全机制。同时介绍了方法级别的安全注解如@PreAuthorize、@PostAuthorize、@PreFilter和@PostFilter的使用方式,以及如何通过自定义配置类实现更复杂的权限控制。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

@EnableGlobalAuthentication – 启用全局认证机制

用在某个类上,然后这个类就变成了一个配置类,并且可以使用该配置类定制一个全局的AuthenticationManagerBuilder实例用于构建AuthenticationManager

如果在一个没有使用注解@EnableGlobalAuthentication的类中自定义全局AuthenticationManagerBuilder`实例,可能会引起不可预料的结果。

@EnableGlobalAuthentication = @Configuration + AuthenticationConfiguration

@EnableGlobalMethodSecurity – 启用全局方法安全注解机制

缺省情况下,Spring Security并不打开方法层面的安全注解机制,要想使用方法层面的安全注解,需要使用@EnableGlobalMethodSecurityWeb控制器类上。

这里所提到的方法层面的安全注解指的是 :

  • @PreAuthorize – 方法调用之前的授权控制,基于表达式计算结果来限制对方法的访问
  • @PostAuthorize – 方法调用之后的授权控制,允许方法调用,但如果表达式计算结果为false,将抛出一个安全异常
  • @PreFilter – 在方法调用前对方法集合类型的参数进行过滤,剔除表达式计算为false的元素
  • @PostFilter – 当方法返回结果是集合类型时,在方法调用后对返回结果进行过滤,剔除表达式计算为false的元素

如果想对方法层面安全做更多的自定义,可以扩展GlobalMethodSecurityConfiguration

@EnableGlobalMethodSecurity = @EnableGlobalAuthentication + GlobalMethodSecuritySelector

@EnableWebSecurity – 启用Web安全机制

配置类上使用该注解,同时实现接口WebSecurityConfigurer或者继承WebSecurityConfigurerAdapter用于配置Spring Web应用的安全:

@Configuration
@EnableWebSecurity
public class MyWebSecurityConfiguration extends WebSecurityConfigurerAdapter {

       @Override
       public void configure(WebSecurity web) throws Exception {
               web.ignoring()
               // Spring Security should completely ignore URLs starting with /resources/
                               .antMatchers("/resources/**");
       }

       @Override
       protected void configure(HttpSecurity http) throws Exception {
               http.authorizeRequests().antMatchers("/public/**").permitAll().anyRequest()
                               .hasRole("USER").and()
                               // Possibly more configuration ...
                               .formLogin() // enable form based log in
                               // set permitAll for all URLs associated with Form Login
                               .permitAll();
       }

       @Override
       protected void configure(AuthenticationManagerBuilder auth) throws Exception {
               auth
               // enable in memory based authentication with a user named "user" and "admin"
               .inMemoryAuthentication().withUser("user").password("password").roles("USER")
                               .and().withUser("admin").password("password").roles("USER", "ADMIN");
       }

       // Possibly more overridden methods ...
}

@EnableWebSecurity = @EnableGlobalAuthentication + WebSecurityConfiguration + SpringWebMvcImportSelector + OAuth2ImportSelector

Spring Security介绍
li123128的博客
11-03 2万+
文章主要分三部分 1、Spring Security的架构及核心组件:(1)认证;(2)权限拦截;(3)数据库管理;(4)权限缓存;(5)自定义决策; 2、环境搭建与使用,使用当前热门的Spring Boot来搭建环境,结合项目中实际的例子来做几个Case; 3、Spring Security的优缺点总结,结合第二部分中几个Case的实现来总结Spring Security的优点和缺点。 1、Spring Security介绍 ​ 整体介绍,Spring Security为基于J2EE开发的企业应用软件
SSM框架+spring security实现用户权限——jsr-250注解使用学习笔记
TL的博客
08-14 1966
SSM框架+spring security实现用户权限——jsr-250注解使用学习笔记 jsr-250注解有三个方法实现权限控制:@RolesAllowed、@PermitAll、@DenyAll @RolesAllowed:表示具有定义的角色时才可以访问对应的方法 @PermitAll:允许所有角色进行访问,等于不进行权限控制 @DenyAll:此方法跟@PermitAll...
权限控制与安全认证 Spring Security
张锦的博客
06-11 1550
仅为个人学习使用。
SpringSecurity(一)
学习记录和总结
04-06 1万+
SpringSecurity结构介绍和认证流程
SpringSecurity详解
我认不到你的博客
06-08 2926
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。...
Spring Security 详解
wynn的博客
08-10 2182
Spring Security是一个高度自定义的安全框架。利用Spring IoC/DI和AOP功能,为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。使用Spring Secruity的原因有很多,但大部分都是发现了javaEE的Servlet规范或EJB规范中的安全功能缺乏典型企业应用场景。同时认识到他们在WAR或EAR级别无法移植。因此如果你更换服务器环境,还有大量工作去重新配置你的应用程序。
Spring Security OAuth2.0 认证协议【12】“记住我” 功能
LawssssCat的博客
04-05 753
上一篇:https://lawsssscat.blog.youkuaiyun.com/article/details/105321389 前面的代码下载:https://github.com/LawssssCat/v-security/tree/v2.3 三部分 记住我功能基本原理 记住我功能具体实现 记住我功能Spring Security源码解析 记住我功能基本原理 当用户登录时,发起...
Spring Security 学习使用
weixin_42385438的博客
08-29 203
SpringBoot+Spring Security+Thymeleaf
spring security——基本介绍(一)
热门推荐
随笔记
01-16 40万+
一、spring security 简介 spring security 的核心功能主要包括: 认证 (你是谁) 授权 (你能干什么) 攻击防护 (防止伪造身份) 其核心就是一组过滤器链,项目启动后将会自动配置。最核心的就是 Basic Authentication Filter 用来认证用户的身份,一个在spring security中一种过滤器处理一种认证方式...
手把手教你spring security入门
yangfenggh的博客
11-24 2216
spring Security权限控制
Spring Security详细学习第一篇
最新发布
weixin_62513677的博客
04-18 1350
本文是作者学习三更老师的Spring Security课程所记录的学习心得和笔记知识,希望能帮助到大家。
Spring-Curity 前后端分离 - 跨域处理
123123123的专栏
12-11 390
各种问题卡了一段时间,下面正文开始 前端 配置axios,使其允许携带Cookie // 创建axios实例 const service = axios.create({ // api 的 base_url baseURL: process.env.BASE_API, // 请求超时时间 timeout: 60000, //允许携带Cookie withCredenti...
Spring Security(Acegi)实现原理与应用二
胡小远的专栏
10-29 1124
接上篇—– 1.FilterSecurityInterceptor 上篇说到如下代码会自动初始化FilterChainProxy ,当然了那是 spring自己默认的初始化,这个就不多说了,我们直接从自定义开始来进步了解这个过程,这样也便于我们灵活的去运用,我们重点关注FilterSecurityInterceptor http auto-config='true'> i
springcurity前后端分离,使用动态请求url做鉴权及session共享
小猪奋斗
08-29 803
前言: 首先springcurity集成是不能直接适配前后端分离的, 需要简单的修改。 1.前后端分离登录接口需要返回登录成功或失败标识 2.无权限时,也需要返回无权限标识,而不是请求重定向 3.跨域处理 如何集成 增加maven依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifac
spring-security(二)java config加载机制-@EnableGlobalAuthentication
高枫的博客
02-11 2310
前言 在上一篇文章中通过对EnableWebSecurity注解中的配置类WebSecurityConfiguration的探讨,我们知道了filter各种各样的filter以及鉴权用的AccessDecisionManager是怎么加载进来的,但是具体用来认证的AuthenticationManager怎么加载还没有说明,这篇文章,我们就重点分析下各种各样的AuthenticationMa...
Spring Security 解析(二) —— 认证过程
hopelgl的博客
04-20 593
Spring Security 解析(二) —— 认证过程 在学习Spring Cloud 时,遇到了授权服务oauth 相关内容时,总是一知半解,因此决定先把Spring Security 、Spring Security Oauth2 等权限、认证相关的内容、原理及设计学习并整理一遍。本系列文章就是在学习的过程中加强印象和理解所撰写的,如有侵权请告知。 项目环境: JDK1.8 Spr...
spring Security
xiaoxinxiaoxing的专栏
02-09 433
@EnableWebSecurity 启动登录拦截 @EnableGlobalMethodSecurity 启动方法拦截,权限校验 @EnableGlobalAuthentication包含在@EnableWebSecurity中,加载AuthenticationConfiguration,又加载AuthenticationManagerBuilder的全局bean和对应的SecurityConfigurer<AuthenticationManager, AuthenticationMana.
@EnableWebSecurity的作用
weixin_42849689的博客
05-08 4万+
@EnableWebSecurity的作用 首先,EnableWebSecurity注解是个组合注解,他的注解中,又使用了@EnableGlobalAuthentication注解: 在这里插入代码片
Spring Security Config : 注解 EnableWebSecurity 启用Web安全
wangooo的博客
02-22 6899
@EnableWebSecurity是Spring Security用于启用Web安全的注解。典型的用法是该注解用在某个Web安全配置类上(实现了接口WebSecurityConfigurer或者继承自WebSecurityConfigurerAdapter)。 典型的使用例子如下 : @Configuration @EnableWebSecurity public class MyWebSecurityConfiguration extends WebSecurityConfigurer...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值