springSecurity 角色权限控制操作

最新推荐文章于 2025-03-19 21:49:03 发布
最新推荐文章于 2025-03-19 21:49:03 发布
阅读量796 收藏 1
点赞数 1
分类专栏: spring security 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_45678613/article/details/119463300
版权
本文详细介绍了如何在Spring Security中配置XML文件以实现基于注解的权限控制。内容包括开启注解权限控制、配置拦截规则、登录与退出处理、用户认证管理以及前端页面的权限展示。同时,展示了Controller层的权限注解使用和前端页面的标签库应用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

后端代码

spring-security.xml配置文件

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xmlns:security="http://www.springframework.org/schema/security"
       xmlns:context="http://www.springframework.org/schema/context"
       xmlns:mvc="http://www.springframework.org/schema/mvc"
       xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security.xsd http://www.springframework.org/schema/context https://www.springframework.org/schema/context/spring-context.xsd http://www.springframework.org/schema/mvc https://www.springframework.org/schema/mvc/spring-mvc.xsd">

    <!--基于注解的权限控制-->



    <!--开启注解方式权限控制-->
    <!--
        在Controller层方法上使用
        @PreAuthorize("hasAuthority('add')")//表示用户必须拥有add权限才能调用当前方法
        @PreAuthorize("hasRole('ROLE_ADMIN')")//表示用户必须拥有ROLE_ADMIN角色才能调用当前方法
     -->
    <security:global-method-security pre-post-annotations="enabled" />

    <!--
    【重要】【重要】【重要】
    这里面的所有路径必须以/开头,否则启动报错
    -->

    <!--
        http:用于定义相关权限控制
        指定哪些资源不需要进行权限校验,可以使用通配符
        静态资源过滤
    -->
    <security:http security="none" pattern="/js/**" />
    <security:http security="none" pattern="/css/**" />
    <!--  静态资源过滤 匿名访问security="none"  -->
    <security:http pattern="/login.html" security="none"/>
    <security:http pattern="/fail.html" security="none"/>

    <!--  拦截规则配置  -->
    <!--  auto-config: 自动配置,自动生成login页面,login处理,退出处理
            use-expressions: 是否使用spel表达式 true: access的值可以填表达式(hasRole, hasAuthority, hasAny....)
                             false: ROEL_角色名(必须是ROLE_打,否则启动报错), 或 security写死的几个常量
                             开启对表达式的支持
     -->

    <security:http auto-config="true" use-expressions="true">

        <!--  pattern="/**" 拦截所有的路径  access="ROLE_ADMIN"
              要访问符合pattern的url时,登陆用户必须有ROLE_ADMIN的角色,如果没有则不能访问
            security:intercept-url: 拦截的url,pattern 拦截的url对应的格式,格式满足就拦截,可以配置多个
            access:需要什么权限或角色才可以访问符合pattern的url
            pattern="/**" access="ROLE_ADMIN": 只有ROLE_ADMIN角色的人才可以访问我的系统
        -->
        <!--只要认证通过就可以访问-->
        <security:intercept-url pattern="/**"  access="isAuthenticated()" />

        <!--
            login-page:指定登陆页面login.html
            login-processing-url: 告诉security哪个url请求才是做登陆认证,如果将来你的请求符合这个url,security就会帮我们去校验用户与密码,controller中的访问路径
            username-parameter: 登陆时前端传过来的用户名的参数名, request.getParameter("参数名 abc"),前端的name属性值
            password-parameter: 登陆时前端传过来的密码的参数名, request.getParameter("参数名 bbb"),前端的name属性值
            authentication-failure-url: 登陆失败时跳转的路径
            default-target-url: 默认登陆成功后跳转的路径
            always-use-default-target: true:登陆成功后强制跳转到default-target-url里
                                       false:登陆成功后跳转到未登录前访问的页面
        -->
        <security:form-login
                login-page="/login.html"
                login-processing-url="/login"
                username-parameter="abc"
                password-parameter="bbb"
                authentication-failure-url="/fail.html"
                default-target-url="/index.html"
                always-use-default-target="true"
        />

        <!--关闭跨域访问控制-->
        <security:csrf disabled="true"/>

        <!--
            logout:退出登录
            logout-url:退出登录操作对应的请求路径
            logout-success-url:退出登录后的跳转页面
        -->
        <security:logout logout-url="/logout"
                         logout-success-url="/login.html" invalidate-session="true"/>

    </security:http>

    <!--  认证管理器  -->
    <security:authentication-manager>
        <!--添加类实现UserDetailService接口,实现loadByUsername方法,且要返回UserDetails对象(用户名,数据库中的密码,用户所拥有的权限集合)-->
        <!--  认证信息提供者,认证信息的来源
              提供登陆用户信息  用户名、密码、权限集合
              users-service-ref 指向spring容器中一个bean对象, 实现这个UserDetailsService的对象, 提供用户的名称、密码、权限集合
              一旦配置了user-service-ref,就不要配置security:users-service
        -->
        <security:authentication-provider user-service-ref="userService">
            <security:password-encoder ref="encoder"/>
            <!--   登陆用户信息由我们自己来提供         -->
            <!--<security:users-service>
                &lt;!&ndash;   security:users 硬编码一个用户对象在内存中,就不需要去查询数据库了
                       将来应该使用从数据库查询
                       name: 登陆的用户名  password:登陆的密码
                       authorities: 指定的权限(既可以是角色名也可以权限名) authorities与上面access一致才能访问

                       {noop}使用的是明文,no operation 不要对密码做处理
                 &ndash;&gt;
                <security:users name="admin" password="{noop}admin" authorities="ROLE_ADMIN"/>
            </security:users-service>-->
        </security:authentication-provider>
    </security:authentication-manager>

    <bean id="encoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder"/>

    <!--登陆用户信息的提供者-->
    <bean id="userService" class="com.heima.service.UserService"/>

</beans>

Controller层

@Controller
@RequestMapping
public class UserController {

    @RequestMapping("/add")
    @PreAuthorize("hasAuthority('add')")//表示用户必须拥有add权限才能调用当前方法
    public String add(){
        System.out.println("add...");
        return "/success";
    }

    @RequestMapping("/update")
    @PreAuthorize("hasRole('ROLE_ADMIN')")//表示用户必须拥有ROLE_ADMIN角色才能调用当前方法
    public String update(){
        System.out.println("update...");
        return "/success";
    }

    @RequestMapping("/delete")
    @PreAuthorize("hasRole('ABC')")//表示用户必须拥有ABC角色才能调用当前方法
    public String delete(){
        System.out.println("delete...");
        return "/success";
    }

}

前端页面

注意:以下操作的必须是在jsp文件中。

在前端页面顶部添加如下:

<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%>
<%@ taglib prefix="security"  uri="http://www.springframework.org/security/tags"%>

获取当前用户

当前用户:<FONT color="red"> <security:authentication property="principal.username"/> </FONT>

设置访问权限

只有ROLE_ADMIN角色才能访问
<security:authorize access="hasRole('ROLE_ADMIN')">
		<TD class=menuSmall>-用户管理</TD>
</security:authorize>

<security:authorize>标签的使用方法

<security:authorize>是一个流程控制标签,能够在满足特定安全需求的条件下显示它的内容体。它有三个互斥的参数: 
ifAllGranted——是一个由逗号分隔的权限列表,用户必须拥有所有列出的权限时显示; 
ifAnyGranted——是一个由逗号分隔的权限列表,用户必须至少拥有其中的一个权限时才能显示; 
ifNotGranted——是一个由逗号分隔的权限列表,用户未拥有所有列出的权限时才能显示。 
 
<security:authentication>获得属性的值
比如要获得用户名可以这么写: 
<security:authentication property="principal.username"></security:authentication> 
他有三个属性,property是必须的,另外scope和varvar定义一个变量,scope定义var存在的范围
例子:
有时需要在页面显示用户名,或者根据用户角色显示或者不显示一些内容。这需要使用到spring security提供的标签库。
在页面中引入标签库:

使用jstl表达式

<%@ taglib uri="http://java.sun.com/jsp/jstl/core" prefix="c" %>
SpringSecurity、RBAC角色权限控制
user__kk的博客
09-12 1477
RBAC 全称为用户角色权限控制,通过角色关联用户,角色关联权限,这种方式,间阶的赋予用户的权限。对于通常的系统而言,存在多个用户具有相同的权限,在分配的时候,要为指定的用户分配相关的权限,修改的时候也要依次的对这几个用户的权限进行修改,有了角色这个权限,在修改权限的时候,只需要对角色进行修改,就可以实现相关的权限的修改。这样做增加了效率,减少了权限漏洞的发生。权限是资源的集合,这里的资源指的是软件中的所有的内容,即,对页面的操作权限,对页面的访问权限,对数据的增删查改的权限。
springboot springsecurity动态权限控制
09-18
在这个“springboot springsecurity动态权限控制”的主题中,我们将深入探讨如何在Spring Boot项目中集成Spring Security,实现动态权限控制,让菜单权限的管理更加灵活和高效。 首先,我们需要理解Spring Security...
Spring security实现登陆和权限角色控制
09-09
主要介绍了Spring security实现登陆和权限角色控制,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
spring-security实现角色权限的控制
qq_34796981的博客
07-28 1260
spring-security实现角色权限的控制 spring-security提供了方便的权限控制方法,我们只需进行简单的配置就可以实现而不再需要使用「硬代码」的方式来进行编写。 这样开发人员就可以专注于业务逻辑的编写。 访问url按照用户角色进行授权 请先访问我以前写的前后端分离的实现spring-security实现前后端分离登录 在以上的基础上再进行授权的访问分配。 @Configuration @EnableWebSecurity(debug = true) public class Secu
SpringSecurity——基于角色权限控制和资源权限控制
最新发布
gege_0606的博客
03-19 1180
直接在resources/static/error下面配置页面即可Spring Boot 内置了一个默认的错误处理机制。当应用返回错误状态码(例如 403)时,Spring Boot 会自动查找与该状态码匹配的错误页面。如果在下存在对应名称(如403.html)的页面,系统就会直接返回该静态页面,而无需额外配置或编写代码。这种设计符合 Spring Boot “约定优于配置” 的理念,简化了错误处理的配置过程。
Spring Security 实战:基于配置的接口角色访问控制
程序猿DD
12-19 1254
点击上方蓝色“程序猿DD”,选择“设为星标”回复“资源”获取独家整理的学习资料!作者 | 码农小胖哥来源 |公众号「码农小胖哥」1. 前言欢迎阅读Spring Security 实战...
springsecurity角色和权限
12-13
为了实现更细粒度的权限控制,Spring Security提供了一个`PermissionEvaluator`接口。你可以自定义实现来处理业务逻辑,判断用户是否有特定的权限。同时,`@PreAuthorize`和`@PostAuthorize`注解可以接受SpEL...
Vue 动态路由的实现及 Springsecurity 按钮级别的权限控制
10-16
这些示例展示了如何实现Vue动态路由以及Spring Security按钮级别的权限控制,并且给出了具体的代码实现。通过这种方式,我们可以构建出具有动态权限控制的复杂Web应用,同时保证了应用的安全性和灵活性。
SpringBoot集成Spring Security实现权限控制【完整源码+数据库】
02-16
总的来说,这个项目为学习者提供了一个实际的、完整的SpringBoot集成Spring Security的示例,通过它,你可以了解如何配置和使用Spring Security进行权限控制,同时掌握如何将数据库集成到Spring Boot应用中。...
java中自定义Spring Security权限控制管理示例(实战篇)
08-31
在本文中,我们将深入探讨如何在Java项目中自定义Spring Security权限控制管理。这通常涉及到对URL和HTTP方法的细粒度控制,允许某些角色仅访问特定的资源或执行特定的操作。 首先,我们需要了解项目的背景。假设...
springsecurity角色管理
健康平安的活着的专栏
09-11 744
一 查询角色和权限 角色权限表:
SpringSecurity实现角色权限控制(SpringBoot+SpringSecurity+JWT)
lans_g的博客
05-14 8717
通过springboot整合jwt和security,以用户名/密码的方式进行认证和授权。认证通过jwt+数据库的,授权这里使用了两种方式,分别是SpringSecurity自带的hasRole方法+SecurityConfig和 我们自定义的permission+@PreAuthorize注解。用来存储和获取当前线程关联的 SecurityContext 对象的类。
使用 Spring Security 实现角色和权限管理
FireFox1997
07-04 1268
Spring Security 提供了一套强大且灵活的机制来实现角色和权限的管理。本文将详细介绍如何使用 Spring Security 实现角色和权限管理,从基本概念到具体实现步骤,并提供示例代码来帮助你理解和应用这些概念。Spring Security 提供了强大的功能来处理复杂的权限控制需求,包括角色、权限的定义和分配,以及在应用程序中的细粒度访问控制。配置 Spring Security 以使用自定义的用户详细信息服务,并定义角色和权限。通常,权限是更细粒度的控制,而角色是权限的组合。
Spring Security- 基于角色的访问控制
射手座的程序媛的专栏
01-17 1463
spring security 基于角色的访问控制
Spring Security角色与权限管理
qq_61829974的博客
09-09 1818
除了内置的角色和权限检查外,还可以通过自定义bean来实现更复杂的认证逻辑。例如,定义一个名为ss// 实现具体的逻辑// 示例返回值通过本文的学习,我们了解了Spring Security角色继承、权限控制方面的强大功能及其配置细节。合理地利用这些特性,可以帮助开发者构建出既安全又灵活的应用程序。尽管在实际应用过程中可能会遇到一些挑战,但只要掌握了正确的配置方法和解决问题的思路,就能有效地应对各种复杂场景。
使用spring security实现角色继承的权限控制
funyule
07-28 522
springsecurity通过启用方法拦截,控制访问权限。
SpringBoot整合Spring Security实现用户角色验证以及权限控制
爱吃鸡腿的明仔
01-14 8517
文章目录一。Spring Security介绍二。工程搭建1.工程结构图:2.导入依赖3.编写security配置类4.编写UserDetailsService验证类5.Dao层6.model层7.控制器层8.工具类9.配置文件10.jsp示例登录页面11.启动类三。数据库结构t_user(用户表)t_role(角色表)t_permission(权限表)t_user_role(用户角色表)t_permission(角色权限表)四。测试1.用户登录验证2.用户权限验证五。项目地址 一。Spring Secu
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值