Spring Security基于表达式的访问控制

最新推荐文章于 2025-02-19 15:25:16 发布
最新推荐文章于 2025-02-19 15:25:16 发布
阅读量2.9k 收藏 3
点赞数
CC 4.0 BY-SA版权
分类专栏: 教程系列 专案系列
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/koflance/article/details/68486268
本文介绍了Spring Security 3.0引入的基于EL表达式的访问控制机制,用于web和method级别的访问控制。内容包括如何针对URL和Method使用表达式控制访问,详细讲解了@PreAuthorize、@PostAuthorize、@PreFilter和@PostFilter等注解的用法,并提到了参数名称的处理和自定义注解的使用,以增强访问控制的灵活性和效率。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

概述

相比较以前使用配置属性(configuration attributes)或access-decision voters,Spring Security 3.0提供了基于EL表达式的访问控制(authorization mechanism)。该表达式可以用于web和method访问控制(access control)。

Security提供的EL表达式root object是SecurityExpressionRoot,注意使用时,如果是role的参数,则不需要加上“ROLE_”前缀,系统会自动加上,如果需要修改该前缀,请使用DefaultWebSecurityExpressionHandler.

在SecurityExpressionRoot的子类WebSecurityExpressionRoot可以使用request访问HttpServletRequest。

常见用法

针对URL访问控制

<http>
    <intercept‐url pattern="/admin*" access="hasRole('admin') and hasIpAddress('192.168.1.0/24')"/>
</http>

除了使用SecurityExpressionRoot内部定义的方法,也可以自己定义,比如:

public class WebSecurity {
    public boolean check(Authentication authentication, HttpServletRequest request)     {
        ...
    }
}
<http>
    <intercept‐url pattern="/user/{userId}/**" access="@webSecurity.checkUserId(authentication,#userId)"/>
</http>

或者

http.authorizeRequests().antMatchers("/user/{userId}/**").access("@@webSecurity.checkUserId(authentication,#userId)")

针对Method访问控制

针对方法级别的访问控制比较复杂,Spring Security提供了四种注解,分别是@PreAuthorize , @PreFilter , @PostAuthorize 和 @PostFilter,如果需要使用该注解,还需要进行配置,如下:

<globalmethodsecurity prepostannotations="enabled"/>

  • @PreAuthorize

    用于判断用户是否有权限使用,如下所示,只有“ROLE_USER”的用户才有权限调用。

    @PreAuthorize("hasRole('USER')")
public void create(Contact contact);

    如果EL表达式需要使用method的入参,则可以使用#标注(其他请查看DefaultSecurityParameterNameDiscoverer),例如:

    @PreAuthorize("hasPermission(#contact, 'admin')")
public void deletePermission(Contact contact, Sid recipient, Permission permission);

    在JDK8以前,接口的参数名称会丢失,此时采用上面的方法将会无法工作,这是需要使用@P注解或@Param(使用AnnotationParameterNameDiscoverer),例如:

    @PreAuthorize("#c.name == authentication.name")
public void doSomething(@P("c") Contact contact);

@PreAuthorize("#n == authentication.name")
Contact findContactByName(@Param("n") String name);

    在JDK8,可以使用-parameters参数,以使得编译时带上source,获取接口参数名称。而 Spring 4+ 支持这种。

  • @PostAuthorize

    用于在方法调用后执行授权,可在表达式中使用 returnObject获取返回值。

  • @PreFilter和@PostFilter

    两者用于过滤collections and arrays,对满足条件的item进行删除,可以使用filterObject访问输入输出对象。Spring Security会遍历这个容器,并对每一个item执行el表达式,如果结果为false,则删除。对于输入参数,如果有多个collection,需要通过属性filterTarget指定。

    注意对数据量特别大的参数,不建议使用,因为效率不高。为了简化访问控制写法,可以自定义annotation,例如:

    @Retention(RetentionPolicy.RUNTIME)
@PreAuthorize("#contact.name == authentication.name")
public @interface ContactPermission {}
Spring Security-基于表达式访问控制和基于注解的访问控制
Q54665642ljf的博客
08-04 402
Spring Security-基于表达式访问控制和基于注解的访问控制
SpringSecurity(十二)----基于表达式访问控制
Apple_Andy的博客
10-10 353
1.access()方法使用 1)使用理由 之前学习的登录用户权限判断实际上底层实现都是调用access(表达式),我们可以通过access()实现和hasAuthority,hasRole等的权限控制完成相同的功能。 public ExpressionUrlAuthorizationConfigurer<H>.ExpressionInterceptUrlRegistry hasAuthority(String authority) { return this.acce
Spring Security(七) 基于表达式/注解的访问控制
奥迪的博客
09-29 984
一、 基于表达式访问控制 1 access() 方法使用 之前学习的登录用户权限判断实际上底层实现都是调用access(表达式) 可以通过 access()实现和之前学习的权限控制完成相同的功能。 1.1 以 hasRole 和 和 permitAll 举例 下面代码和直接使用 permitAll()和 hasRole()是等效的。 2 使用自定义方法 虽然这里面已经包含了很多的表达式(方法)但是在实际项目中很有可能出现需要自己自定义逻辑的情况。 判断登录用户是否具有访问当...
Spring Security 表达式介绍
白石的专栏
12-11 316
在本教程中,我们将重点关注 Spring Security 表达式和使用这些表达式的实际示例。
spring security 表达式
蜗牛跑的快
11-26 1183
hasRole判定是否有指定的角色,若指定的角色中没有以”ROLE_”开头,则会自动加上,如hasRole(“admin”) 则表示判断是否有”ROLE_admin”角色,而非判断是否有”admin”角色.”ROLE_”可以在DefaultWebSecurityExpressionHandler类中修改默认设置.hasAnyRole判断是否有指定角色中的任意一个.hasAuthority判断是否有指
Spring Security 基于表达式的权限控制
weixin_38927257的博客
11-22 676
文章目录前言常见的表达式URL安全表达式在Web安全表达式中引用beanRbacServiceImplMethod安全表达式使用method注解PreAuthorizePostAuthorizePreAuthorize 针对参数进行过滤PostFilter 针对返回结果进行过滤 前言 spring security 3.0已经可以使用spring el表达式来控制授权,允许在表达式中使用复杂的布...
springSecurity基于表达式鉴权
jamesluozhiwei的博客
07-11 1942
文章目录前言常见的表达式URL安全表达式在Web 安全表达式中引用Bean自定义鉴权Method安全表达式使用method注解开启方法级别的注解配置在方法上使用注解PreAuthorizePostAuthorizePreAuthorize针对参数进行过滤源码 前言 在上一篇文章已经介绍了springSecurity的使用了,本篇文章主要介绍一下使用spring EL表达式来控制授权,允许在表达式中...
Spring Security--基于表达式访问控制 access的使用
我和井盖都笑了博客
04-05 5314
文章目录    基于表达式访问控制      1 access()方法使用      1.1 以 hasRole 和 permitAll 举例       2 使用自定义方法&n...
SpringSecurity基于配置方法控制访问权限:MVC匹配器、Ant匹配器
最新发布
pan_junbiao的博客
02-19 1295
Spring Security 是一个功能强大且高度可定制的身份验证和访问控制框架。在 Spring Security 中,可以通过配置方法来控制访问权限。认证是实现授权的前提和基础,在执行授权操作前需要明确目标用户,只有明确目标用户才能明确它所具备的角色和权限。Spring Security 中所采用的授权模型也是由用户、角色和权限组成的。Spring Security 实现配置方法控制访问权限很简单,只需要使用基于 HttpSecurity 对象提供的一组工具方法就能实现复杂场景下的访问控制
Spring Security访问控制
Jake Weng
08-17 862
Spring Security简介 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统...
SpringSecurity学习笔记之 入门 八 (Access表达式权限控制&注解权限控制)
m0_49194578的博客
08-10 1193
uri通过传参导入请求数据以及权限信息,导出数据进行逻辑判断。
SpringSecurity权限表达式
weixin_30889885的博客
04-10 143
* 当我们想要使用多个权限表达式的时候,是不能直接级联调用的,也就是说,我们只能手写了。 1 @Override 2 protected void configure(HttpSecurity http) throws Exception { 3 http.formLogin() 4 .and...
spring security 权限控制表达式
cfeng1718的博客
06-16 314
@PreAuthorize:该注解用来确定一个方法是否应该被执行。该注解后面跟着的是一个表达式,如果表达式的值为真,则该方法会被执行。 如 @PreAuthorize("hasRole('ROLE_USER')")就说明只有当前用户具有角色 ROLE_USER的时候才会执行。 @PostAuthorize:该注解用来在方法执行完之后进行访问控制检查。 @PostFilter:该注解用来对...
SpringSecurity配置访问控制
苏朋达
01-09 847
1- 配置用户 @Configuration public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { // 用户详情创建一个配置类 InMemoryUserDetailsManagerConfigurer<Authenticat
SpringBoot整合SpringSecurity系列(9)-表达式访问控制
TianXinCoord的博客
04-24 617
一、表达式判断 之前登录用户权限判断底层实现都是调用access(表达式) /** * Allows specifying that URLs are secured by an arbitrary expression * @param attribute the expression to secure the URLs (i.e. "hasRole('ROLE_USER') * and hasRole('ROLE_SUPER')") * @return the {@link Express
SpringSecurity表达式
yanshendeyinji的博客
10-20 385
1前提配置: 或xml方式 2web安全表达式 (1) hasRole, hasAnyRole (2) hasAuthority, hasAnyAuthority (3)permitAll, denyAll (4) isAnonymous, isRememberMe, isAuthenticated, isFullyAuthenticated (5) principal, authentication (6) hasPermission 3这些表达式负责定义对应用程序中特定URL或方法的访问控制或授权
SpringSecurity系列——其他的权限控制,基于access表达式的权限控制day6-2(源于官网5.7.2版本)
qq_51553982的博客
07-27 514
当然我们也可以自定义access表达式来完成自定义的权限控制}}
Spring Security访问控制示例
一名可爱的技术搬运工
05-25 190
Spring Security中,访问控制或授权很容易实现。 请参阅以下代码段: <http auto-config="true"> <intercept-url pattern="/admin*" access="ROLE_ADMIN" /> </http> 这意味着,只有具有“ ROLE_ADMIN ”权限的用户才能访问URI / ad...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值