spring-security use-expressions详解

最新推荐文章于 2021-10-14 14:18:57 发布
原创 最新推荐文章于 2021-10-14 14:18:57 发布 · 301 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java

本文介绍如何使用Spring表达式语言(SpEL)配置基于角色的访问控制,通过启用use-expressions属性并使用hasRole方法检查角色,实现更复杂的投票规则。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

使用 Spring 表达式语言配置访问控制
基于角色标准投票机制的标准实现是使用 RoleVoter ,还有一种替代方法可用来定义语法复杂的投票规则即使用 Spring 表达式语言( SpEL )。要实现这一功能的直接方式是在 <http> 配置元素上添加 use-expressions 属性:
<http auto-config="true" use-expressions="true">
添加后将要修改用来进行拦截器规则声明的 access 属性,改为 SpEL 表达式。 SpEL 允许使用特定的访问控制规则表达式语言。与简单的字符串如 ROLE_USER 不同,配置文件可以指明表达式语言触发方法调用、引用系统属性、计算机值等等。
SpEL 的语法与其他的表达式语言很类似,如在 Tapestry 等框架中用到的 Object Graph Notation Language (OGNL) ,以及用于 JSP 和 JSF 的 Unified Expression Language 。它的语法面很广,已经超出了本书的覆盖范围,我们将会通过几个例子为你构建表达式提供一些确切的帮助。
需要注意的重要一点是,如果你通过使用 use-expressions 属性启用了 SpEL 表达式访问控制,将会使得自动配置的 RoleVoter 实效,后者能够使用角色的声明,正如在前面的例子所见到的那样:
<intercept-url pattern="/*" access="ROLE_USER"/>
这意味着如果你仅仅想通过角色来过滤请求的话,访问控制声明必要要进行修改。幸运的的是,这已经被充分考虑过了,一个 SpEL 绑定的方法 hasRole 能够检查角色。如果我们要使用表达式来重写例子的配置,它可能看起来如下所示:
<http auto-config="true" use-expressions="true">
<intercept-url pattern="/*" access="hasRole('ROLE_USER')"/>
</http>
分布式服务CAS单点登陆详解Spring-Security整合CAS实现单点登陆
weixin_44232093的博客
02-07 1322
分布式系统存在诸多子系统,而这些子系统是分别部署在不同的服务器中,那么使用传统方式的session是无法解决的,我们需要使用相关的单点登录技术来解决 1. 什么是单点登陆 单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统 2. 什么是CAS CAS 是 Ya...
spring-security + ldap的认证配置
saizzzzzz的专栏
08-07 7698
使用spring-security模块 1.      Maven依赖和版本 2.      配置xml和对象 2.1. 配置ldap 2.2. 配置登录后处理 3.      重定向和反向代理 4.      Cookie的path设置 5.      配置过程中遇到的问题   1.      Maven的依赖和版本 在引入spring-security依赖时.最开始使用的4
Spring securityuse-expressions的配置问题
weixin_43148691的博客
03-23 722
use-expressions是是否使用SPEL表达式的配置, 如果声明为true,那么在access属性要用hasRole()这样写: 如果声明为false(默认),那么access直接就是
use-expressions="false"和use-expressions="true"
时间(实践)是检验真理的唯一标准
06-01 2127
如果声明为true,那么在access属性要用hasRole()这样写:&lt;intercept-url pattern="/secure/extreme/**" access="hasRole(‘ROLE_SUPERVISOR‘)"/&gt;如果声明为false(默认),那么access直接就是&lt;intercept-url pattern="/secure/extreme/**" acc...
SpringSecurity学习(一)
feijingguan的博客
08-08 616
由于是刚搬到广州找工作,所以对公司的选择要求并不是很高。进了一家技术并不那么新的公司,其他的都懂,就是公司使用的SpringSecurity框架实在没有使用过,所以从官方文档开始读起,并开始做一些笔记 二、SpringSecurity起步 安全的核心概念 认证 1)凭证:            系统用于鉴别当前使用者是否是合法用户的资料 2)两要素认证:        要求输入帐
一文搞懂SpringSecurityspring-security配置文件详解,史上最全
zeng的博客
10-14 5119
一、认证和授权概念 1.、在生产环境下我们如果不登录系统是否能对业务进行操作? 答案显然是否定的,要操作这些功能必须首先登录到系统才可以。 2、是不是所有用户,只要登录成功就都可以操作所有功能呢? 答案是否定的,并不是所有的用户都可以操作这些功能。不同的用户可能拥有不同的权限,这就需要进行授权了。 二、Spring Security简介 Spring SecuritySpring提供的安全认证服务的框架。 使用Spring Security可以帮助我们来简化认证和授权的过程。官网:https://spr
Spring security实现记住我下次自动登录功能过程详解
08-24
Spring Security 实现记住我下次自动登录功能过程详解 Spring Security 是一个功能强大且广泛使用的 Java 认证和授权框架,提供了许多功能强大的功能,例如认证、授权、RememberMe 等。在本文中,我们将详细介绍...
CAS快速入门(cas+spring_security)
QAQ
04-30 557
一、服务端 很多cas改密码配置就不说了 启动tomcat,浏览器输入: http://localhost:8080/cas 账户和密码是admin
如何基于spring security实现在线用户统计
08-19
Spring Security 在线用户统计实现详解 在本文中,我们将详细介绍如何基于 Spring Security 实现在线用户统计。在线用户统计是指在系统中实时统计当前活跃用户的数量,以便更好地监控和管理系统的使用情况。 ...
spring security四种实现方式
热门推荐
不学习就淘汰
09-18 12万+
spring security实现方式大致可以分为这几种: 1.配置文件实现,只需要在配置文件中指定拦截的url所需要权限、配置userDetailsService指定用户名、密码、对应权限,就可以实现。 2.实现UserDetailsService,loadUserByUsername(String userName)方法,根据userName来实现自己的业务逻辑返回User...
Spring Security
所得皆惊喜
10-24 440
①. 前言 1>. 认证和授权概念 认证:只需要用户表就可以了,在用户登录时可以查询用户表t_user进行校验,判断 用户输入的用户名和密码是否正确 授权过程:用户必须完成认证之后才可以进行授权,首先可以根据用户查询其角色,再 根据角色查询对应的菜单,这样就确定了用户能够看到哪些菜单。然后再根据用户的角 色查询对应的权限,这样就确定了用户拥有哪些权限 2>. Spring ...
Spring Security http标签的use-expressions="true"属性
weixin_30617737的博客
11-26 353
如果声明为true,那么在access属性要用hasRole()这样写: <intercept-url pattern="/secure/extreme/**" access="hasRole('ROLE_SUPERVISOR')"/> 如果声明为false(默认),那么access直接就是 <intercept-url pattern="/secure/extreme/*...
Spring Security(16)——基于表达式的权限控制
dotedy的博客
10-16 1969
EL表达式hasPermissionPreFilterPreAuthorizeSpring Security  基于表达式的权限控制 目录 1.1      通过表达式控制URL权限 1.2      通过表达式控制方法权限 1.2.1     使用@PreAuthorize和@PostAuthorize进行访问控制 1.2.2     使用@PreFilter和@Post
apache shiro 如何升级_(八) SpringBoot起飞之路-整合Shiro详细教程(MyBatis、Thymeleaf)
weixin_39622710的博客
11-25 536
注:如果觉得不清楚,可以去看我博客或者最下面扫,看清晰的版本,知乎上传时图片可能被压缩了兴趣的朋友可以去了解一下前几篇,你的赞就是对我最大的支持,感谢大家!(一) SpringBoot起飞之路-HelloWorld(二) SpringBoot起飞之路-入门原理分析(三) SpringBoot起飞之路-YAML配置小结(入门必知必会)(四) SpringBoot起飞之路-静态资源处理(五) Spri...
Spring Security访问控制示例
一名可爱的技术搬运工
05-25 190
Spring Security中,访问控制或授权很容易实现。 请参阅以下代码段: <http auto-config="true"> <intercept-url pattern="/admin*" access="ROLE_ADMIN" /> </http> 这意味着,只有具有“ ROLE_ADMIN ”权限的用户才能访问URI / ad...
权限控制:spring 3.0 security配置例子
guoyiqi
03-31 231
我几年前自己写过一个后台权限管理的东西,也是基于用户-角色-权限这样的结构,说实话代码结构写得不好,因为是硬编码的形式,虽然功能其实用起来还是挺好用的,用户、角色及权限的管理均可在后台轻松完成,但现在如果再用硬编码的形式写这样的系统就说不过去了。目前关于权限管理的java开源系统比较多,有的比较有名,有的不出名,比如像Spring Security就很出名,在权限管理方面做得也非常全面,子猴这篇文...
springSecurity源码分析-spring-security.xml文件配置
Leon_Jinhai_Sun的博客
02-22 390
spring-security.xml文件中配置 在配置文件中我们主要使用标签来过多成配置 <!-- 配置不拦截的资源 --> <security:http pattern="/login.jsp" security="none"/> <security:http pattern="/failer.jsp" security="none"/> <s...
Spring-security hasanyrole
04-05
This method can be used in various Spring Security configurations, such as in the access control expressions of the "authorizeRequests" method in the WebSecurityConfigurerAdapter class. It helps to ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值