Spring Security 实战内容:基于注解的接口角色访问控制

最新推荐文章于 2025-03-19 21:49:03 发布
最新推荐文章于 2025-03-19 21:49:03 发布
阅读量432 收藏
点赞数
文章标签: java struts 学习 spring 程序人生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_66876551/article/details/124179523
版权
本文介绍了Spring Security如何通过注解实现接口角色访问控制。讲解了@EnableGlobalMethodSecurity、prePostEnabled、securedEnabled和jsr250Enabled的用法,以及@PreAuthorize、@PostAuthorize等注解在方法调用前后的权限控制。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1. 前言

基于配置的接口角色访问控制[2] 我们讲解了如何通过 javaConfig 的方式配置接口的角色访问控制。其实还有一种更加灵活的配置方式 基于注解 。今天我们就来探讨一下。DEMO 获取方式在文末。

2. Spring Security 方法安全

Spring Security 基于注解的安全认证是通过在相关的方法上进行安全注解标记来实现的。
2.1 开启全局方法安全

我们可以在任何 @Configuration实例上使用 @EnableGlobalMethodSecurity 注解来启用全局方法安全注解功能。该注解提供了三种不同的机制来实现同一种功能,所以我们单独开一章进行探讨。

3. @EnableGlobalMethodSecurity 注解

 @Retention(value = java.lang.annotation.RetentionPolicy.RUNTIME)
 @Target(value = {
    java.lang.annotation.ElementType.TYPE })
 @Documented
 @Import({
    GlobalMethodSecuritySelector.class })
 @EnableGlobalAuthentication
 @Configuration
 public @interface EnableGlobalMethodSecurity {
   

 	/**
 	 * 基于表达式进行方法访问控制
 	 */
 	boolean prePostEnabled() default
最低0.47元/天 解锁文章
Dale Lucy
关注
Spring Security-基于表达式的访问控制和基于注解访问控制
Q54665642ljf的博客
08-04 393
Spring Security-基于表达式的访问控制和基于注解访问控制
Spring Security技术实战:通过注解表达式控制方法权限
wdj_yyds的博客
02-11 1621
Spring Security权限控制机制 Spring Security中可以通过表达式控制方法权限,其中有四个支持使用表达式的注解,分别是@PreAuthorize、@PostAuthorize、@PreFilter和@PostFilter。其中前两者可以用来在方法调用前或者调用后进行权限检查,后两者可以用来对集合类型的参数或者返回值进行过滤。 启动Security机制的配置 它们的定义能够对我们的方法的调用产生影响我们需要设置global-method-security元素的pre-post-a
Spring Security 实战干货:基于注解接口角色访问控制
码农小胖哥
11-19 3521
1. 前言 欢迎阅读 Spring Security 实战干货[1] 系列文章 。在上一篇 基于配置的接口角色访问控制[2] 我们讲解了如何通过 javaConfig 的方式配置接口角色访问控制。其实还有一种更加灵活的配置方式 基于注解 。今天我们就来探讨一下。DEMO 获取方式在文末。 2. Spring Security 方法安全 Spring Security 基于注解的安全...
SpringSecurity——基于角色权限控制和资源权限控制
最新发布
gege_0606的博客
03-19 1160
直接在resources/static/error下面配置页面即可Spring Boot 内置了一个默认的错误处理机制。当应用返回错误状态码(例如 403)时,Spring Boot 会自动查找与该状态码匹配的错误页面。如果在下存在对应名称(如403.html)的页面,系统就会直接返回该静态页面,而无需额外配置或编写代码。这种设计符合 Spring Boot “约定优于配置” 的理念,简化了错误处理的配置过程。
玩转SpringSecurity之五基于注解访问控制
xtho62的博客
02-15 377
在实际开发中,我们往往需要对一些方法访问进行控制,这样会更加灵活,能够更好的控制,给程序设计有更多的自由度。 在Spring Security中提供了一些访问控制注解。这些注解都是默认是都不可用的,需要通过@EnableGlobalMethodSecurity进行开启后使用。如果设置的条件允许,程序正常执行,如果不允许会报500错误。 这些注解可以写到Service接口或方法上,也可以写Controller或Controller的方法上。通常情况下都是写在控制器方法上的,控制接口URL是否允许被访问。 @
Spring Security 实战干货:基于配置的接口角色访问控制
码农小胖哥
11-14 4453
1. 前言 欢迎阅读 Spring Security 实战干货 系列文章 。对于受限的访问资源,并不是对所有认证通过的用户开放的。比如 A 用户的角色是会计,那么他就可以访问财务相关的资源。B 用户是人事,那么他只能访问人事相关的资源。我们在 一文中也对基于角色访问控制的相关概念进行了探讨。在实际开发中我们如何对资源进行角色粒度的管控呢?今天我来告诉你 Spring Security 是如何来...
SpringSecurity(十三)----基于注解访问控制
Apple_Andy的博客
10-10 266
一.开启方式 在Spring Security中提供了一些访问控制注解。这些注解都是默认是都不可用的,需要在启动类中添加@EnableGlobalMethodSecurity注解进行开启。 如果不开启就使用注解会报500 二.常用注解 1.@Secured @Secured是专门用于判断是否具有角色的。能写在方法或类上。@Secured参数要以ROLE_开头。 1.1实现步骤 1)开启注解 在启动类(也可以在配置类等能够扫描的类上)上添加@EnableGlobalMethodSecurity(secur
Spring Security 实战内容:如何实现不同的接口不同的安全策略
m0_66876551的博客
04-15 384
1. 前言 最近有开发小伙伴提了一个有趣的问题。他正在做一个项目,涉及两种风格,一种是给小程序接口,安全上使用无状态的JWT Token;另一种是管理后台使用的是Freemarker,也就是前后端不分离的Session机制。用Spring Security该怎么办? 2. 解决方案 我们可以通过多次继承WebSecurityConfigurerAdapter构建多个HttpSecurity。HttpSecurity 对象会告诉我们如何验证用户的身份,如何进行访问控制,采取的何种策略等等。 如果你看过之前.
Spring Security 实战内容:用户信息UserDetails相关入门
V539413949的博客
04-09 1693
1. 前言 从今天开始我们来一步步窥探它是如何工作的。我们又该如何驾驭它。本篇将通过 Spring Boot 2.x 来讲解 Spring Security 中的用户主体UserDetails。以及从中找点乐子。 2. Spring Boot 集成 Spring Security 这个简直老生常谈了。不过为了照顾大多数还是说一下。集成 Spring Security 只需要引入其对应的 Starter 组件。Spring Security 不仅仅能保护Servlet Web 应用,也可以保护Reactiv.
Spring Security 实战内容:动态权限控制实现2
m0_68064743的博客
04-15 379
1. 前言 访问的路径需要什么样的角色和权限? 它就是 FilterSecurityInterceptor ,正是我们需要的那个轮子。 2.FilterSecurityInterceptor 过滤器排行榜第 32 位!肩负对 http 接口权限认证的重要职责。我们来看它的过滤逻辑: public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOExceptio.
springSecurity基于注解访问控制
weixin_44569326的博客
01-08 312
Spring Security 中提供了一些访问控制注解。这些注解都是 默认是都不可用的,需要通过@EnableGlobalMethodSecurity 进行开启 后使用。 如果设置的条件允许,程序正常执行。如果不允许会报 500 这些注解可以写到 Service 接口或方法上上也可以写到 Controller 或 Controller 的方法上。通常情况下都是写在控制器方法上的,控制 接口 URL 是否允许被访问。 @Secured @Secured 是专门用于判断是否具有角色的。能写在方法或类上。
基于springsecurity的用户角色权限
08-24
适合初学者使用,代码简单,未连接数据库,全部集成在.xml中。有注释,注释全面。可以进行二次开发。
Spring security中的注解
godkzz的博客
09-11 874
一、@Secured 作用:用户具有某个角色,可以访问方法 使用: 在启动类或配置内开启注解 @EnableGlobalMethodSecurity(securedEnabled = true) 在Controller的方法上加注解(注意要在角色名前加上ROLE_) @RestController public class MyController { @RequestMapping(value = "/test") @Secured({"ROLE_normal","RO
spring security入门--基于角色实现用户登录访问
xiaoheihai666的博客
08-31 544
接上篇,我们搭建好了基本框架之后,怎么实现自定义用户及角色来登录不同的系统呢?一、首先创建一个自定义的配置类,继承WebSecurityConfigurerAdapter类。使用zhangsan账号登录 helloUser 方法成功。二、在controller类中编写不同角色登录的代码。三、运行启动类进行测试。...
spring security 注解@EnableGlobalMethodSecurity详解
anita9999的博客
06-14 937
1、Spring Security默认是禁用注解的,要想开启注解, 需要在继承WebSecurityConfigurerAdapter的类上加@EnableGlobalMethodSecurity注解, 来判断用户对某个控制层的方法是否具有访问权限 @Configuration @EnableWebSecurity @EnableAutoConfiguration @EnableGlobalMethodSecurity(prePostEnabled =true) public class We.
简单且实用的spring security认证和授权(国庆day3)
weixin_44342753的博客
10-05 285
1 认证 Spring Security认证分为两种:表单认证(如用户名、密码),HTTP基础认证,就是把账号信息放到请求头。 1.1 认证过程 认证过程如下图,我们可以按照下图来编写认证的代码,构建Authentication是框架帮我做的,我们接着往下写代码。 1.2 表单认证 1.2.1 配置AuthenticationManager public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Autowir
SpringBoot学习笔记(十四:Spring Security安全管理 )
2401_83330193的博客
04-10 817
@Overridepublic void onLogoutSuccess(HttpServletRequest req, HttpServletResponse resp, Authentication authentication) throws IOException, ServletException {resp.setContentType(“application/json;charset=utf-8”);PrintWriter out = resp.getWriter();out.write(“
@PerAuthorize用作授权的使用方法
热门推荐
qq_42507357的博客
08-14 1万+
@PerAuthorizr 这个注解我相信很多不使用SpringSecurity的小伙伴都不是很了解。 使用他的初衷是最近需要做一个对授权的客户做判断,让他买了哪些模块的代码才能使用哪些模块的代码,需要进行一波模块过滤。 @PreAuthorize是可以用来控制一个方法或类是否能够被调用的,通俗一点就是看看你有没有权利用被注解的东西。怎么用呢?直接上代码吧。 /** * 获取部门列表 */ @PreAuthorize("@ac.hasPermi('dept:list')"
基于SpringSecurity的@PreAuthorize实现自定义权限校验方法
小王博客基地
08-15 6457
在我们一般的web系统中必不可少的就是权限的配置,也有经典的RBAC权限模型,是基于角色的权限控制。这是目前最常被开发者使用也是相对易用、通用权限模型。当然已经实现了权限的校验,但是不够灵活,我们可以自己写一下校验条件,从而更加的灵活!很多开源框架中也是用的比较多,小编看了一下若依是自己写了一个注解实现的,pig是使用来实现自己的校验方式,小编以pig框架的为例。这样就完成了自定义校验,具体的校验可以自己在配置里进行修改,当然也可以自己写一个注解来进行自定义校验,可以参考若依的注解!...
SpringSecurity实战案例:基础到高级应用示例解析
Spring Security是一个功能强大且可高度定制的身份验证和访问控制框架,它专门用于Java应用程序的安全性。Spring Security致力于为Spring生态系统提供全面的安全解决方案。下面,我们将详细介绍标题中提到的两个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值