Spring Security-@PreAuthorize 权限注解分析

最新推荐文章于 2025-10-14 08:30:00 发布
最新推荐文章于 2025-10-14 08:30:00 发布
阅读量2.6w 收藏 4
点赞数
CC 4.0 BY-SA版权
文章标签: spring PreAuthorize
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/inthat/article/details/108225481
本文详细介绍了Spring Security的@PreAuthorize注解,用于在方法级别进行权限验证。通过@PreAuthorize("hasAuthority('xxx')"),可以检查当前用户角色是否包含特定权限。当权限匹配时允许访问,否则返回403错误。文章还探讨了如何自定义接口权限判断工具,通过SecurityContextHolder获取授权信息,并进行字符串匹配来确定权限。

文章目录

一、@PreAuthorize

@PreAuthorize 权限注解分析
参考URL: https://segmentfault.com/a/1190000023893122
Spring-Security@PreAuthorize(“hasAuthority(’’)”)源码分析
参考URL: https://blog.youkuaiyun.com/guoke2017/article/details/94439661

@PreAuthorize(“hasAuthority(‘xxx’)”)用来鉴别当前登录用户所拥有的角色是否有xxx权限访问该接口。

@PreAuthorize 注解,顾名思义是进入方法前的权限验证,@PreAuthorize 声明这个方法所需要的权限表达式,例如:@PreAuthorize(“hasAuthority(‘sys:dept:delete’)”),根据这个注解所需要的权限,再和当前登录的用户角色所拥有的权限对比,如果用户的角色权限集Set中有这个权限,则放行;没有,拒绝。

在这里插入图片描述查看该注解源码,根据描述,进入方法前判断el表达式。

el表达式返回true通过,返回false 拒绝访问403。

了解本专栏 订阅专栏 解锁全文 超级会员免费看
SpringBoot方法级安全(@PreAuthorize)全解:从基础到高阶的细粒度权限控制实战
本博客聚焦 YOLOv11 全流程落地,涵盖架构优化、数据集处理、训练技巧与多场景部署,兼及国产数据库、Java 开发与 AI 模型应用,内容兼顾理论与工程实践,为开发者提供系统干货,助力高效提升技术能力。
06-06 2250
本文介绍了Spring Security中方法级安全控制的核心概念与@PreAuthorize注解的使用。文章首先通过小区门禁的比喻,说明传统URL级别安全控制的局限性,强调方法级安全的重要性。随后详细讲解了Spring Security的基础配置,包括@EnableMethodSecurity注解的启用方式,以及认证对象、安全上下文和权限角色等核心概念。重点分析@PreAuthorize注解的工作原理,展示如何通过SpEL表达式实现细粒度的权限控制,如"hasRole('ADMIN') or
SpringSecurity@PreAuthorize如何实现自定义权限校验方法
2301_76607156的博客
05-05 1784
在我们一般的web系统中必不可少的就是权限的配置,也有经典的RBAC权限模型,是基于角色的权限控制。这是目前最常被开发者使用也是相对易用、通用权限模型。当然已经实现了权限的校验,但是不够灵活,我们可以自己写一下校验条件,从而更加的灵活!很多开源框架中也是用的比较多,小编看了一下若依是自己写了一个注解实现的,pig是使用来实现自己的校验方式,小编以pig框架的为例。这样就完成了自定义校验,具体的校验可以自己在配置里进行修改,当然也可以自己写一个注解来进行自定义校验,可以参考若依的注解
15.Spring Boot 使用Spring security
编码语言Codelang
01-03 3万+
玩转Spring Boot 使用Spring security Spring Boot与Spring Security在一起开发非常简单,充分体现了自动装配的强大,Spring SecuritySpring Boot官方推荐使用的安全框架。配置简单,功能强大。接下来将说说Spring Boot使用Spring security进行安全控制。
若依框架基于@PreAuthorize注解权限控制
weixin_49561506的博客
01-28 1万+
介绍了Java注解的使用与定义以及对若依框架的权限控制进行解析
Spring Security6 中 @PreAuthorize 注解详解
最新发布
a_beiyo的博客
10-14 632
摘要:@PreAuthorizeSpring Security提供的方法级权限控制注解,支持SpEL表达式实现细粒度的安全校验。需配合@EnableMethodSecurity启用,支持角色(hasRole)、权限(hasAuthority)等校验,并可与方法参数结合实现数据级权限。适用于API保护、业务方法权限控制等场景,提供比URL级更精准的安全控制。需注意性能影响,可与@PostAuthorize等注解配合使用,测试时可通过@WithMockUser模拟权限。该注解是构建安全应用的重要工具。
详细分析SpringSecurity中的@PreAuthorize注解
码农研究僧的博客
01-27 1万+
在Java中,`@PreAuthorize` 是Spring Security框架中的一个注解,用于在方法调用之前对用户的权限进行验证。 允许在方法级别定义访问控制规则,确保只有满足指定条件的用户才能调用该方法 这个注解通常与Spring的AOP(面向切面编程)结合使用,推荐阅读: Spring框架从入门到学精(全) java框架 零基础从入门到精通的学习路线 附开源项目面经等(超全)
Spring Security 之方法级的安全管控@PreAuthorize
weixin_42030357的博客
03-07 3478
文章目录1. JSR-205 注解2.@Secured 注解3.@PreAuthorize 类型的注解(支持 Spring 表达式)3.1SPEL表达试(bean引用)3.2 @PreAuthorize 表达式1. returnObject 保留名2. 表达式中的 # 号3. 内置表达式有:例子SecurityConfig 配置类BookService 配置类 原博文,点击这里 默认情况下, Spring Security 并不启用方法级的安全管控. 启用方法级的管控后, 可以针对不同的方法通过注解设置不同
SpringSecurity中的@PreAuthorize注解具体介绍与使用
欢迎来到 ABin-阿斌的博客:写一生代码,创一世佳话,筑一览芳华。
10-26 2540
指定用户认证的规则、设置用户的身份验证方式,例如基于内存、数据库、LDAP 等方式,并定义用户的角色和权限
基于SpringSecurity@PreAuthorize实现自定义权限校验方法
小王博客基地
08-15 6935
在我们一般的web系统中必不可少的就是权限的配置,也有经典的RBAC权限模型,是基于角色的权限控制。这是目前最常被开发者使用也是相对易用、通用权限模型。当然已经实现了权限的校验,但是不够灵活,我们可以自己写一下校验条件,从而更加的灵活!很多开源框架中也是用的比较多,小编看了一下若依是自己写了一个注解实现的,pig是使用来实现自己的校验方式,小编以pig框架的为例。这样就完成了自定义校验,具体的校验可以自己在配置里进行修改,当然也可以自己写一个注解来进行自定义校验,可以参考若依的注解!...
SpringSecurity使用@PreAuthorize、@PostAuthorize实现Web系统权限认证
u011930054的博客
07-17 5292
SpringSecurity可以使用@PreAuthorize和@PostAuthorize进行访问控制,下面进行说明。 项目使用Springboot2.3.3+SpringSecurtiy+Mbatis实现。 首先先引入pom.xml <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artif
@PreAuthorize注解
先知三日
01-12 7163
例如,v-hasPermi="['monitor:job:add']"会检查用户是否具有monitor:job:add这个权限,如果有,那么相关的UI元素就会显示。用户此时已经登陆系统,假设用户操作的是角色管理模块的查询按钮,当点击该按钮时,会通过网络映射到后端的接口方法。通过这种方式,RuoYi框架可以实现精细的基于权限的访问控制,确保只有具有相应权限的用户才能访问特定的资源。如果当前用户的权限集合中,包含当前被@PreAuthorize标注的方法的权限,则返回true。等集合信息返回给前端。
Spring Security 之方法级的权限管控 @PreAuthorize 使用详解
LoveSummer
01-22 1万+
默认情况下, Spring Security 并不启用方法级的安全管控. 启用方法级的管控后, 可以针对不同的方法通过注解设置不同的访问条件.Spring Security 支持三种方法级注解, 分别是 JSR-205 注解 /@Secured 注解 / prePostEnabled 注解. 这些注解不仅可以直接加 controller 方法上, 也可以注解 Service 或 DAO 类中的方法.
Spring Security权限注解@PreAuthorize通俗讲解
m0_53370922的博客
05-20 6272
写在前面:后端就是后端,后端接口权限和前端可以想成没有任何关系,千万不要被所谓的路由、所谓的那些按钮、权限标识在哪个菜单下所迷惑(只要保证接口权限字符串在用户菜单权限下即可,除此之外,在哪个菜单或按钮都行)!(后端的我们就用接口测试工具测试,所以不要被前端界面的这些东西所迷惑) 图1 简单举例子说,后端有这么一个接口,图2,这个权限标识不一定非得放在图1所示的菜单下才起作用。比如admin用户拥有所有菜单的权限,那么你将test: one:testForm:list放到任何一个菜单下,用户admin都可以访
Spring Security 4 使用@PreAuthorize,@PostAuthorize, @Secured, EL实现方法安全(带源码)
热门推荐
悟鸣的技术博客
05-06 5万+
【相关已翻译的本系列其他文章,点击分类里面的spring security 4】 上一篇:Spring Security 4 整合Hibernate 实现持久化登录验证(带源码) 原文地址:http://websystique.com/spring-security/spring-security-4-method-security-using-preauthorize-postaut
Spring Security @PreAuthorize注解
疯一样的码农
11-20 1057
Spring Security 的一个注解,用于指定在方法调用前应评估的表达式,以确定调用者是否有权执行该方法。本教程介绍了如何使用 Spring 方法级安全和注解来保护 RestController 方法。通过这些步骤,您可以确保只有具有适当角色或权限的用户才能访问特定的 REST API。
springSecurity标签,特别是@PreAuthorize
qq_37857224的博客
08-08 2万+
spring security中可以通过表达式控制方法权限@PreAuthorize @PostAuthorize @PreFilter @PostFilter 其中前两者可以用来在方法调用前或者调用后进行权限检查,后两者可以用来对集合类型的参数或者返回值进行过滤。 使用@PreAuthorize和@PostAuthorize进行访问控制 @PreAuthorize可以用来控制一个方法是否能够被调用 Controller层 /** * 根据用户编号获取详细信息 */
史上最简单的Spring Security教程(十二):@PreAuthorize注解实现权限控制
银河架构师的博客
07-17 3万+
我们前面讲的所有的例子,都是没有权限控制的,也就是只要登录就可以访问任何资源,不需要其它的权限。但是,现实生活中肯定不是这样。 比如你是普通员工,只能查看自己的工作记录;而部门经理作为领导,则可以查看整个部门员工的工作记录;再如企业老板,作为最大的权限拥有者,可以查看整个公司员工的工作记录。这就是所谓的权限控制,不同角色拥有的不同资源。 而Spring Security框架最大的功用就在于此。当然,实现权限控制体系非常复杂,我们一步一步来,本次先讲一个如何通过注解实现权限控制需求。 Spri...
@PreAuthorize 注解
susu1083018911的博客
11-03 1万+
以前也写过登录,但是没有研究过 spring-security ,在新项目中看到这个注解还是一脸的懵,下面简单的梳理一下此注解(题外话:其实好多都可以通过名字的大概意思猜一猜): @PreAuthorize 注解方法前拦截判断是否有权限 进入方法前判断el表达式 查找到我们项目中定义了一个接口,接口中定义了常量 常量值的定义,我们可以在SecurityExpressionRoot类中看到 el表达式返回true:通过 false:拒绝访问 对上述el表达式 ...
Spring Security 中的 `@PreAuthorize` 注解如何工作?
08-27
### `@PreAuthorize` 注解的工作机制 `@PreAuthorize` 是 Spring Security 提供的一个用于实现方法级权限控制的注解,它基于 Spring 表达式语言(SpEL)进行权限判断,允许开发者在方法调用前进行访问控制。其核心机制是通过 AOP(面向切面编程)拦截目标方法的调用,并在调用前执行表达式求值,以决定是否允许执行该方法[^1]。 在 Spring Security 内部,`@PreAuthorize` 的处理依赖于 `MethodSecurityInterceptor`,它是一个方法拦截器,会在方法执行前对权限表达式进行评估。表达式可以是简单的角色检查,如 `hasRole('ADMIN')`,也可以是更复杂的逻辑,例如调用自定义的权限服务方法,如 `@ss.hasPermi('attendance:attendance:list')`。在评估过程中,Spring Security 会解析 SpEL 表达式,并结合当前用户的认证信息(`Authentication`)和权限信息(`GrantedAuthority`)来决定是否允许访问[^2]。 要使用 `@PreAuthorize`,必须在配置类中启用方法级安全控制,通常是通过 `@EnableGlobalMethodSecurity(prePostEnabled = true)` 注解来实现的。这将启用对 `@PreAuthorize`、`@PostAuthorize` 等注解的支持。如果没有启用此功能,即使在方法上添加了注解,也不会生效[^3]。 在实际使用中,若表达式中引用了自定义的 Bean(如 `@ss`),则该 Bean 必须被正确注册为 Spring 容器中的组件,并且位于组件扫描路径下。否则,Spring 将无法解析表达式中的引用,导致权限控制失效。例如: ```java @Service public class PermissionService { public boolean hasPermi(String permission) { // 实现权限判断逻辑 return true; // 示例返回值 } } ``` 在 Controller 中使用该服务的示例如下: ```java @PreAuthorize("@ss.hasPermi('attendance:attendance:list')") @GetMapping("/list") public TableDataInfo list(LoginRecord loginRecord) { startPage(); List<LoginRecord> list = loginRecordService.selectLoginRecordList(loginRecord); return getDataTable(list); } ``` 若 `PermissionService` 没有被注册为 Bean,或者未被正确扫描到,Spring 将无法解析 `@ss`,从而抛出表达式解析异常。此外,表达式的语法必须正确,包括方法名、参数类型和返回值的处理逻辑。例如,`hasPermi` 方法必须接受一个 `String` 类型的参数,否则表达式求值将失败[^4]。 ###
评论 3
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

西京刀客

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值