Spring Security权限注解@PreAuthorize通俗讲解

已于 2022-05-21 00:33:22 修改
阅读量6.1k 收藏 9
点赞数 3
CC 4.0 BY-SA版权
分类专栏: 后端及Java 文章标签: 后端
于 2022-05-20 23:49:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_53370922/article/details/124892123
本文详细阐述了后端接口权限与前端展示控制的分离原则,强调后端接口权限不受前端菜单布局影响,只需确保权限字符串在用户权限范围内。用户登录获取权限后,前端根据权限显示相应按钮。同时,介绍了前端如何根据后端返回的权限列表动态控制界面元素的显示。总结了权限验证的核心在于后端接口权限字符串与用户权限的匹配。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

写在前面:后端就是后端,后端接口权限和前端可以想成没有任何关系,千万不要被所谓的路由、所谓的那些按钮、权限标识在哪个菜单下所迷惑(只要保证接口权限字符串在用户菜单权限下即可,除此之外,在哪个菜单或按钮都行)!(后端的我们就用接口测试工具测试,所以不要被前端界面的这些东西所迷惑)
在这里插入图片描述图1
简单举例子说,后端有这么一个接口,图2,这个权限标识不一定非得放在图1所示的菜单下才起作用。比如admin用户拥有所有菜单的权限,那么你将test: one:testForm:list放到任何一个菜单下,用户admin都可以访问这个list接口,但是不能放到某个用户没有权限的菜单下。再换种说法就是,当一个用户登录的时候,会获得该用户能看到的菜单权限,只要你的接口权限标识在这个用户能看到的菜单下(任何一个地方),那么你带着这个用户的token用postman测试后端list接口,就可以访问,如图3所示,相反则不行。
在这里插入图片描述
图2
在这里插入图片描述
图3
补充知识点:
在这里插入图片描述
图4
图4有三个权限字符串,是或的关系,也就是说,你的用户token(该用户所拥有的菜单)里边有这三个权限字符串的任何一个都可以访问queryById接口。
前端权限讲解(后续看了看前端,最终的补充)
将后端传回的permissions存到本地缓存,将前端的权限字符串遍历对比本地缓存的permissions列表,若存在,则显示该前端按钮,若不存在,则不显示。说白了,不管是后端接口的权限还是前端按钮的权限都是在和数据库做对比,菜单只是起到了限制用户permissions数量。

SpringBoot方法级安全(@PreAuthorize)全解:从基础到高阶的细粒度权限控制实战
专注Java开发与国产数据库技术分享,涵盖达梦DM8/OceanBase/GaussDB核心原理与实战,兼及DeepSeek大模型部署、YOLOv11训练等AI技术,为开发者提供从基础到进阶的技术干货。
06-06 1855
摘要 文章介绍了Spring Security中的方法级安全机制(@PreAuthorize),与URL级安全相比,它提供了更精细的方法级别权限控制。主要内容包括:方法级安全的概念及优势、环境配置步骤、@PreAuthorize注解的语法和常用表达式、基础使用示例以及基于SpEL表达式的高级用法。方法级安全适用于复杂业务场景,能实现基于角色、权限或自定义逻辑的访问控制,相比URL级安全具有更高的灵活性和更小的性能影响。文章还提供了配置示例、权限表达式对照表以及工作流程示意图,帮助开发者快速掌握这一安全机制。
Spring Security-@PreAuthorize 权限注解分析
西京刀客
09-18 2万+
@PreAuthorize @PreAuthorize
详细分析SpringSecurity中的@PreAuthorize注解
码农研究僧的博客
01-27 1万+
在Java中,`@PreAuthorize` 是Spring Security框架中的一个注解,用于在方法调用之前对用户的权限进行验证。 允许在方法级别定义访问控制规则,确保只有满足指定条件的用户才能调用该方法 这个注解通常与Spring的AOP(面向切面编程)结合使用,推荐阅读: Spring框架从入门到学精(全) java框架 零基础从入门到精通的学习路线 附开源项目面经等(超全)
Spring Security 之方法级的安全管控@PreAuthorize
weixin_42030357的博客
03-07 3408
文章目录1. JSR-205 注解2.@Secured 注解3.@PreAuthorize 类型的注解(支持 Spring 表达式)3.1SPEL表达试(bean引用)3.2 @PreAuthorize 表达式1. returnObject 保留名2. 表达式中的 # 号3. 内置表达式有:例子SecurityConfig 配置类BookService 配置类 原博文,点击这里 默认情况下, Spring Security 并不启用方法级的安全管控. 启用方法级的管控后, 可以针对不同的方法通过注解设置不同
15.Spring Boot 使用Spring security
编码语言Codelang
01-03 3万+
玩转Spring Boot 使用Spring security Spring Boot与Spring Security在一起开发非常简单,充分体现了自动装配的强大,Spring SecuritySpring Boot官方推荐使用的安全框架。配置简单,功能强大。接下来将说说Spring Boot使用Spring security进行安全控制。
Spring Security 之方法级的权限管控 @PreAuthorize 使用详解
LoveSummer
01-22 1万+
默认情况下, Spring Security 并不启用方法级的安全管控. 启用方法级的管控后, 可以针对不同的方法通过注解设置不同的访问条件.Spring Security 支持三种方法级注解, 分别是 JSR-205 注解 /@Secured 注解 / prePostEnabled 注解. 这些注解不仅可以直接加 controller 方法上, 也可以注解 Service 或 DAO 类中的方法.
spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
全栈开发:Spring Security 权限管理详解
最新发布
AI天才研究院
06-07 925
在全栈开发中,权限管理是系统安全的核心——小到“普通用户能否删除他人评论”,大到“财务系统能否隔离不同部门数据”,都依赖权限管理的精准控制。本文聚焦Spring Security框架,覆盖从基础概念到实战落地的全流程,帮助开发者理解“为什么这么做”和“如何做得更好”。本文从生活案例引出核心概念,依次讲解认证与授权的底层逻辑、过滤器链的“安检流程”、RBAC模型的代码实现,最后通过实战案例演示动态权限控制,并讨论前后端分离场景的优化方案。认证(Authentication)
Spring Boot入门(06):Spring Boot常用注解大全:让你不再为注解而困惑
**My Coding Family**
08-15 2万+
想要在Spring Boot中快速开发,熟悉常用的注解是非常重要的。本文详细介绍了常用的Spring Boot注解,包括@Controller、@Service、@Component、@Configuration、@Autowired等等,让你不再为注解而困惑。无论是初学者还是有一定经验的开发者,都能从中获得收获。阅读本文,让你轻松驾驭Spring Boot中的注解
那是不是说,如果我直接定义@PreAuthorize("true")也是可以的,或者参数是一个方法,方法返回布尔值
02-19
好的,我现在需要回答用户关于Spring Security@PreAuthorize注解的问题。用户问,是否可以直接写@PreAuthorize("true"),或者参数是否可以是返回布尔值的方法。首先,我得回想之前关于@PreAuthorize的知识,并结合...
史上最简单的Spring Security教程(十二):@PreAuthorize注解实现权限控制
银河架构师的博客
07-17 3万+
我们前面讲的所有的例子,都是没有权限控制的,也就是只要登录就可以访问任何资源,不需要其它的权限。但是,现实生活中肯定不是这样。 比如你是普通员工,只能查看自己的工作记录;而部门经理作为领导,则可以查看整个部门员工的工作记录;再如企业老板,作为最大的权限拥有者,可以查看整个公司员工的工作记录。这就是所谓的权限控制,不同角色拥有的不同资源。 而Spring Security框架最大的功用就在于此。当然,实现权限控制体系非常复杂,我们一步一步来,本次先讲一个如何通过注解实现权限控制需求。 Spri...
Spring Security @PreAuthorize注解
疯一样的码农
11-20 843
Spring Security 的一个注解,用于指定在方法调用前应评估的表达式,以确定调用者是否有权执行该方法。本教程介绍了如何使用 Spring 方法级安全和注解来保护 RestController 方法。通过这些步骤,您可以确保只有具有适当角色或权限的用户才能访问特定的 REST API。
Spring Security 4 使用@PreAuthorize,@PostAuthorize, @Secured, EL实现方法安全(带源码)
热门推荐
明明如月的技术博客
05-06 5万+
【相关已翻译的本系列其他文章,点击分类里面的spring security 4】 上一篇:Spring Security 4 整合Hibernate 实现持久化登录验证(带源码) 原文地址:http://websystique.com/spring-security/spring-security-4-method-security-using-preauthorize-postaut
Springboot整合SpringSecurity(五)——Spring Security使用@PreAuthorize,@PostAuthorize
lyy的博客
01-12 9790
我要先吐槽一下,关于这方面的知识,网上很多博客都是直接翻译的官方文档,emmmm,里面有很多翻译不准确的地方,以及没有强调的关键地方,(好多博客都代码不全),导致我实现这个功能花了好多时间,不过还是实现了。下面就一如既往的简单粗暴的施展罗列代码大法。 第一步:准备一个实体类 package com.example.learnsecurity.learnsecurity.enti...
SpringSecurity方法安全:@PreAuthorize与SpEL表达式
程序媛学姐的博客
03-27 1535
方法级安全是Spring Security的核心特性之一,它允许开发者在方法执行前、执行后甚至执行过程中应用安全控制。与基于URL的安全控制相比,方法级安全提供了更细粒度的访问控制机制,特别适合复杂业务场景下的权限管理需求。方法级安全可以基于用户角色、权限、方法参数甚至是返回值进行控制,使得安全规则能够与业务逻辑紧密结合。要启用Spring Security的方法级安全,需要在配置类上添加@EnableMethodSecurity注解
springSecurity标签,特别是@PreAuthorize
qq_37857224的博客
08-08 2万+
spring security中可以通过表达式控制方法权限@PreAuthorize @PostAuthorize @PreFilter @PostFilter 其中前两者可以用来在方法调用前或者调用后进行权限检查,后两者可以用来对集合类型的参数或者返回值进行过滤。 使用@PreAuthorize和@PostAuthorize进行访问控制 @PreAuthorize可以用来控制一个方法是否能够被调用 Controller层 /** * 根据用户编号获取详细信息 */
具有PreAuthorizeSpring方法安全性
最佳 Java 编程
06-13 1565
朋友不允许朋友写用户身份验证。 厌倦了管理自己的用户? 立即尝试Okta的API和Java SDK。 在几分钟之内即可对任何应用程序中的用户进行身份验证,管理和保护。 本教程将探讨使用Spring SecuritySpring Boot中配置身份验证和授权的两种方法。 一种方法是创建WebSecurityConfigurerAdapter并使用流畅的API覆盖HttpSecurity对象...
Spring Security @PreAuthorize @PostAuthorize 权限控制
时光冉冉,我们都在变
11-07 562
hasAuthority,对应 public final boolean hasAuthority(String authority) 方法,含义同 hasRole,不同点在于这是权限,而不是角色,区别就在于权限往往带有前缀(如默认的ROLE_),而角色只有标识。hasRole,对应 public final boolean hasRole(String role) 方法,含义为必须含有某角色(非ROLE_开头),如有多个的话,必须同时具有这些角色,才可访问对应资源。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

海是倒过来的天呀

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值