springSecurity基于表达式鉴权

最新推荐文章于 2025-06-28 22:26:06 发布
原创 最新推荐文章于 2025-06-28 22:26:06 发布 · 1.9k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#springSecurity #springboot #方法级别 #method

本文深入探讨了如何使用Spring Security的表达式语言进行权限控制,包括URL安全表达式、自定义Bean鉴权以及方法级别的访问控制。文章通过示例详细讲解了PreAuthorize和PostAuthorize注解的使用,并提供了源码链接供读者进一步研究。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

前言

上一篇文章已经介绍了springSecurity的使用了,本篇文章主要介绍一下使用spring EL表达式来控制授权,允许在表达式中使用复杂的布尔逻辑来控制访问的权限

常见的表达式

Spring Security可用表达式对象的基类是SecurityExpressionRoot

表达式 描述
hasRole([role]) 用户拥有指定的角色时返回true(hasRole()默认会将配置中的 role 带有 ROLE_ 前缀再和用户的角色权限 进行对比)
hasAnyRole([role1,role2]) 用户拥有任意一个指定中的角色时返回true
hasAuthority([auth]) 同hasRole()但不添加前缀 ROLE_
hasAnyAuthority([auth1,auth2]) 同hasAnyRole([auth1,auth2]),但不添加前缀 ROLE_
permitAll 永远返回true
denyAll 永远返回false
anonymous 当前用户时 anonymous(匿名、未认证)时返回true
rememberMe 当前用户时 rememberMe(记住登录) 时发挥true
authentication 当前登录用户的 authentication 对象
fullAuthticated 当前用户既不是 anonymous 也不是 rememberMe 时返回true(即正常认证登录时返回true)
hasIpAddress("192.168.1.0/24") ip匹配时返回true

如果需要移除hasRole的前缀,在security配置类中添加如下代码

	@Bean
    GrantedAuthorityDefaults grantedAuthorityDefaults(){
   
   
        return new GrantedAuthorityDefaults("");//remove the ROLE_ prefix
    }

URL安全表达式

http.antMatchers("/test/*").access("hasRole('ADMIN') or hasRole('USER')")
                .anyRequest().authenticated();

这里我们定义了 /test/ URL的范围,只有拥有 ADMINUSER 权限的用户可以访问 /test/ 匹配的URL

在Web 安全表达式中引用Bean自定义鉴权

http.antMatchers("/test/*").
最低0.47元/天 解锁文章

200万优质内容无限畅学
SpringSecurity表达式
yanshendeyinji的博客
10-20 385
1前提配置: 或xml方式 2web安全表达式 (1) hasRole, hasAnyRole (2) hasAuthority, hasAnyAuthority (3)permitAll, denyAll (4) isAnonymous, isRememberMe, isAuthenticated, isFullyAuthenticated (5) principal, authentication (6) hasPermission 3这些表达式负责定义对应用程序中特定URL或方法的访问控制或授
Spring Security-基于表达式的访问控制和基于注解的访问控制
Q54665642ljf的博客
08-04 403
Spring Security-基于表达式的访问控制和基于注解的访问控制
SpringSecurity(十二)----基于表达式的访问控制
Apple_Andy的博客
10-10 353
1.access()方法使用 1)使用理由 之前学习的登录用户限判断实际上底层实现都是调用access(表达式),我们可以通过access()实现和hasAuthority,hasRole等的限控制完成相同的功能。 public ExpressionUrlAuthorizationConfigurer<H>.ExpressionInterceptUrlRegistry hasAuthority(String authority) { return this.acce
SpringSecurity
最新发布
m0_52150489的博客
06-28 215
*** 验证用户是否具备某限* @param permission 限字符串* @return 用户是否具备某限*//*** 验证用户是否不具备某限,与 hasPermi逻辑相反* @param permission 限字符串* @return 用户是否不具备某限*/= true;/*** 验证用户是否具有以下任意一个限* @param permissions 以 PERMISSION_DELIMETER 为分隔符的限列表。
Spring Security基于表达式的访问控制
koflance的博客
03-30 2941
概述相比较以前使用配置属性(configuration attributes)或access-decision voters,Spring Security 3.0提供了基于EL表达式的访问控制(authorization mechanism)。该表达式可以用于web和method访问控制(access control)。Security提供的EL表达式root object是SecurityExp
Spring Security 中自定义表达式
智的博客
10-31 483
一. SpEL中使用自定义Bean二. 通过类继承自定义表达式2.1 自定义 ExpressionRoot三. 参考文章通过编程授方法/*** 验证用户是否具备某限* @param permission 限字符串* @return 用户是否具备某限*/// 逻辑处理// ...Spring Security 将在每次方法调用时调用该Bean上的给定方法。这样做的好处是所有的授逻辑都在一个单独的类中,可以独立进行单元测试并验证其正确性。
Spring Security 基于表达式限控制
weixin_34072637的博客
08-08 271
2019独角兽企业重金招聘Python工程师标准>>> ...
springsecurity源码(有缺陷)
05-20
这通常基于角色或表达式式语言(如Spring EL)进行。 3. **可能的缺陷**: - **不完整的限检查**:如果在配置Spring Security时,没有对所有需要保护的资源进行适当的访问控制,攻击者可能能够绕过安全限制...
SpringSecurity】认证与框架SpringSecurity——授
低调做人,低调编码,神码都是浮云
06-24 1555
认证与框架SpringSecurity——授
spring security方法使用示范项目
03-01
首先,Spring Security 提供了基于注解的方法安全特性,这允许我们在方法级别定义哪些用户或者角色可以访问该方法。通过使用 `@Secured` 或者 `@PreAuthorize` 和 `@PostAuthorize` 注解,我们可以声明性地指定访问...
spring security菜单 按钮
02-26
Spring Security 是一个强大的安全框架,可以保护基于 Spring 的应用程序免受未经授的访问。对于菜单和按钮级别限控制(即细粒度),你可以通过自定义配置来实现。 ### 实现步骤 #### 1. 配置 `Security...
使用SpringSecurity3实现RBAC限管理
novelly的专栏
02-13 1244
1、 What? 什么是限管理?         具体可参见百度:http://baike.baidu.com/view/2108713.htm     名词备注:     数据级限:百科内的限管理一文解释的比较不错,但其中的“数据级限”有的人看来会觉得有点摸不着头脑。数据级限,即表示限与特定数据有联系的限,比方说,某用户只能创建100个用户。这个100,就
Spring-Security3.0自定义表结构
11-10
Spring-Security3.0自定义表结构
SpringBoot2.0实战 | 第三十章:整合SpringSecurity之基于SpEL表达式实现动态方法
死牛胖子的技术随笔
03-23 988
在前面的文章中,我们已经实现了对登录操作,实现数据库,对当前登录用户的登录状态实现了限控制。 第二十四章:整合SpringSecurity之最简登录及方法 第二十五章:整合SpringSecurity之使用数据库实现登录 用户登录成功后,会加载当前用户的角色至内存,至于哪个角色可以访问哪些方法,则是通过 SpringSecurity 提供的方法来实现。 通过 @EnableG...
springboot + spring security + token + rbac 角色限验证(前后端分离)
奔波儿灞07的博客
07-16 3979
前言:最近做项目的时候,需要角色和限的认证,前后端分离,查阅一番资料后,网上的大多都不符合项目的使用标准,于是自己个博客跟大家分享一番,有什么欠缺的地方留言讨论 文章目录: 首先需要了解Spring Security的过滤链和认证流程 其次了解流程之后需要根据项目的需求做一些认证的变动(不过大体是一样的) 建立数据库脚本,引用security的配置,开始愉快的代码了 代码放Gi...
SpringSecurity实现登录和限【真~前后端分离】
小道仙的后宫
02-24 1936
整合这个SpringSecurity花了我好几天的时间,也让我很头疼。 倒不是因为它很难,只是我搜索到的前后端分离验证,多多少少都有些问题。 下面我就把我完整的代码贡献出来、避免后面的人也走坑。 1、阐述几个问题 这里有几个问题需要表达一下,当然你也可以直接跳到第二步开始。 1-1、什么是SpringSecurity      它本质就是一个过滤器,然后...
SpringSecurity总结
m0_47612445的博客
03-16 768
SpringSecurity Spring Security简介 解决的两个核心问题:认证和授 默认存在IOC AOP 基于配置(配置类中配置限基本操作) SpringSecurity自定义登录 1.API对象 UserDetailsService:loadUserByUserName UserDetails(登录用户信息):用户名、密码、限 PasswordEncoder:encode、matches 2.自定义登录前后端 后端: 1.实现UserDetailsService接口:需要自定 义
spring security 用户授/访问控制
swadian2008的博客
09-12 2019
的方式包括 web 授方法,web授是通过 url 拦截进行授方法是通过方法拦截进行授。他们都会调用 accessDecisionManager 进行授决策,若为web授则拦截器为FilterSecurityInterceptor;若为方法则拦截器为MethodSecurityInterceptor。如果同时通过web 授方法则先执行web授,再执行方法,最后决策通过,则允许访问资源,否则将禁止访问。
spingsecurity中haspermission用法以及配置自定义PermissionEvaluator
热门推荐
xmj_0422的博客
08-13 1万+
一、原理剖析 先看一段官方文档对haspermission的描述(文档链接:https://docs.spring.io/spring-security/site/docs/5.2.7.BUILD-SNAPSHOT/reference/htmlsingle/#el-permission-evaluator) 开头的意思是haspermission的注解会委托给PermissionEvaluator接口,而这个接口默认实现是DenyAllPermissionEvaluator(源码如下) 这个类的两个
评论 13
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值