SpringSecurity(06)——权限注解

原创 已于 2024-01-30 22:36:13 修改 · 1.8k 阅读 · 14 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring #java

于 2024-01-15 20:42:10 首次发布

注解使用

Spring Security默认是禁用注解的,要想开启注解,需要加上@EnableMethodSecurity注解

  1. 使用@Secured需要在配置类中添加注解***@EnableGlobalMethodSecurity(securedEnabled=true)***才能生效
  2. 使用@PreAuthorize和@PostAuthorize需要在配置类中配置注解***@EnableGlobalMethodSecurity(prePostEnable=true)***才能生效

注解方法

  1. hasAuthority(String):判断角色是否具有特定权限

http.authorizeRequests().antMatchers(“/main1.html”).hasAuthority(“admin”)

  1. hasAnyAuthority(String …):如果用户具备给定权限中某一个,就允许访问

http.authorizeRequests().antMatchers(“/admin/read”).hasAnyAuthority(“xxx”,“xxx”)

  1. hasRole(String):如果用户具备给定角色就允许访问,否则出现403

http.authorizeRequests().antMatchers(“/admin/read”).hasRole(“ROLE_管理员”)

  1. hasAnyRole(String …):如果用户具备给定角色的任意一个,就允许被访问

http.authorizeRequests().antMatchers(“/guest/read”).hasAnyRole(“ROLE_管理员”, “ROLE_访客”)

  1. hasIpAddress(String):请求是指定的IP就允许访问

http.authorizeRequests().antMatchers(“/ip”).hasIpAddress(“127.0.0.1”)

  1. permitAll():允许所有人(可无任何权限)访问
  2. denyAll():不允许任何(即使有最大权限)访问。
  3. isAnonymous():为可匿名(不登录)访问。
  4. isAuthenticated():为身份证认证后访问。
  5. isRememberMe():为记住我用户操作访问。
  6. isFullyAuthenticated():为非匿名且非记住我用户允许访问

@Secured

角色校验,请求到来访问控制单元方法时必须包含XX角色才能访问

注意:

  1. 角色必须添加ROLE_前缀
  2. 如果要求只有同时拥有admin和user的用户才能访问某个方法时,@Secured就无能为力了
@Component
public class UserDetailServiceImpl implements UserDetailsService {
   
   

    @Resource
    private PasswordEncoder passwordEncoder;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
   
   
        if (username.equals("root")) {
   
   
            return new User(username, passwordEncoder.encode("123"), AuthorityUtils.createAuthorityList("ROLE_read"));
        } else if (username.equals("user")) {
   
   
            return new User(username, passwordEncoder.encode("123"), AuthorityUtils.createAuthorityList("ROLE_write"));
        }
        return new User(username, passwordEncoder.encode("123"), AuthorityUtils.createAuthorityList("read"));
    }
}

@RestController
public class HelloController {
   
   

    @RequestMapping("/read")
    @Secured(value = {
   
   "ROLE_read"})
    public String read() {
   
   
        return "read";
    }

    @RequestMapping("/write")
    @Secured(value = {
   
   "ROLE_write"})
    public String write() {
   
   
        return "write";
    }

	// 错误实例
    @RequestMapping("/read2")
    @Secured(value = {
   
   "read"})
最低0.47元/天 解锁文章

200万优质内容无限畅学
Spring Security 注解方式权限控制
qq_65142821的博客
01-29 2023
Spring Security除了可以在配置文件中配置权限校验规则,还可以使用注解方式控制类 中方法的调用。例如Controller中的某个方法要求必须具有某个权限才可以访问,此时就 可以使用Spring Security框架提供的注解方式进行控制。
Springboot +spring security,方法权限注解
weixin_40991408的博客
05-27 2651
Springboot +spring security,方法权限注解
spring security 权限(注解)
ProGram_BlackCat的博客
05-14 5089
写在前边整理的知识点都是从其他博客中来,如有侵,立删! 参考:https://blog.youkuaiyun.com/qq_32867467/article/details/103097190 正题: Spring Security 默认是禁用注解的,要想开启注解,要在继承 WebSecurityConfigurerAdapter 的类加 @EnableMethodSecurity 注解,并在该类中将 AuthenticationManager 定义为 Bean。 @Configuration @EnableWeb
Spring Security 6 功能详解及与老版本差异对比
最新发布
csdn_tom_168的博客
06-14 914
Spring Security 6通过。
SpringSecurity权限控制的注解使用
weixin_46278059的博客
12-15 881
SpringSecurity权限控制的注解使用
SpringSecurity数据权限注解
qq_61744701的博客
03-28 373
定义bean,创建判断方法/*** 验证用户是否具备某权限* @param permission 权限字符串* @return 用户是否具备某权限*///未知使用方法,当参数传递,会被SpEL解析执行。
Spring Security注解详解】
samsung_samsung的专栏
05-06 1212
Spring Security 是一个强大的、高度可定制的身份验证和访问控制框架,广泛用于Java应用程序中以确保安全。它提供了多种注解来简化安全控制的实现,特别是在方法级别的权限控制上。
深入解析 Spring Security —— 打造高效安全的权限管理体系
cooldream2009的博客
12-10 1469
随着互联网技术的发展,安全性已经成为每个应用程序的核心要素。Spring Security 作为 Java 生态中的强大安全框架,提供了全面的认证和授支持。本文将重点介绍 Spring Security 的核心功能及其实现方式,为开发者提供构建安全应用的最佳实践。
SpringSecurity】认证与框架SpringSecurity——授
低调做人,低调编码,神码都是浮云
06-24 1539
认证与框架SpringSecurity——授
SpringSecurity系列——简单配置上手day4-3(源于官网5.7.2版本)
qq_51553982的博客
07-23 1131
本片开启SpringSecurity入门上手实例,基于官方5.7.2的最新稳定版,springboot2.7.2版,jdk17,我对官方实例进行了一定程度上的修改,增加了其他一些实例代码。
Spring Security框架——安全访问控制解决方案
3. **安全方法**:Spring Security支持通过注解来控制方法级别的安全性,常用的注解包括@PreAuthorize、@PostAuthorize、@Secured等。 4. **OAuth2**:Spring Security提供了OAuth2的支持,OAuth2是一种开放标准的...
Security注解:@PreAuthorize,@PostAuthorize, @Secured
热门推荐
京北游戏官方
12-04 2万+
一、注解方法级安全开启 需要在WebSecuirtyConfig添加配置: @Configuration @EnableWebSecurity //启用Spring Security. ////会拦截注解了@PreAuthrize注解的配置. @EnableGlobalMethodSecurity(prePostEnabled=true) public class WebSecurit...
SpringSecurity权限控制
我是一只蘑菇17的博客
10-31 782
我们可以自定义权限不足处理器来处理权限不足时候的操作。的权限,我们将这块代码改造一下:当登录用户为。中,我们给当前登录用户授予了。
SpringSecurity开启注解权限
知识追寻者(Inheriting the spirit of open source, Spreading technology knowledge;)
03-25 1488
1.@EnableGlobalMethodSecurity 注解介绍 Spring Security默认是在配置类中使用URL进行拦截,禁用使用注解,想要开启注解使用则需要在配置类上加上 如下注解@EnableGlobalMethodSecurity; 注解源码如下,共支持 prePostEnabled, securedEnabled,jsr250Enabled,proxyTargetClass 四种参数; @Retention(RetentionPolicy.RUNTIME) @Target({Eleme
SpringSecurity注解讲解
上善若泪
09-08 1066
test:是一个注册在Spring容器中的Bean,对应的类是 cn.test.PermissionService;是类中定义的方法;当Spring EL 表达式返回TRUE,则权限校验通过;
Spring Security介绍(四)权限校验
w_t_y_y的博客
02-29 2572
(1)自定义拦截器或者AOP校验:对需要的接口做拦截,用户的权限从SecurityContextHolder中获取,接口访问权限可以通过自定义Annotation注入,具体参照。用户认证+授后,就可以进行接口权限控制。思路是拿用户(已授予的)权限与接口所需权限进行比较,不包含则视为无。和shiro类似,sercurity也提供了注解权限校验。
七、SpringSecurity Web权限方案(3)——注解使用
付之一笑的专栏
01-17 387
一、注解使用 1.1、@Secured 用户具有某个角色,可以访问方法。另外需要注意的是这里匹配的字符串需要添加前缀ROLE_。 使用注解,先要开启注解功能! @EnableGlobalMethodSecurity(securedEnabled = true) 在控制器方法上添加注解 给用户设置角色 测试 登录之后直接访问:http://localhost:8081/hello/testSecured 1.2、@PreAuthorize 先开启注解功能 @EnableGlobalMethodS
SpringSecurity请求授规则配置与注解使用说明
小小默:进无止境
06-27 730
SringSecurity请求授规则配置与注解使用说明 这里主要是重写WebSecurityConfigurerAdapter 的configure方法。 ① 自定义登录 这里与 都可以实现认证成功后跳转的效果,不过具体用法上有所区别。通常建议使用,至于具体区别后面另开章节学习。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值