Spring Security 4 使用@PreAuthorize,@PostAuthorize, @Secured, EL实现方法安全

最新推荐文章于 2025-06-17 04:16:51 发布
转载 最新推荐文章于 2025-06-17 04:16:51 发布 · 1.2w 阅读 · 8
文章标签:

#spring security

本文介绍如何使用SpringSecurity4中的@PreAuthorize、@PostAuthorize、@Secured和SpringEL表达式来实现方法级别的安全控制。具体包括如何配置这些注解以实现不同权限级别的访问控制。

原文地址: http://blog.youkuaiyun.com/w605283073/article/details/51327182
本文探讨Spring Security 4 基于@PreAuthorize, @PostAuthorize, @Secured和 Spring EL表达式的方法级的安全。

想要开启Spring方法级安全,你需要在已经添加了@Configuration注解的类上再添加@EnableGlobalMethodSecurity注解:

package com.websystique.springsecurity.configuration;  

import org.springframework.beans.factory.annotation.Autowired;  
import org.springframework.context.annotation.Configuration;  
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;  
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;  
import org.springframework.security.config.annotation.web.builders.HttpSecurity;  
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;  
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;  

@Configuration  
@EnableWebSecurity  
@EnableGlobalMethodSecurity(prePostEnabled = true)  
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {  


    @Autowired  
    public void configureGlobalSecurity(AuthenticationManagerBuilder auth) throws Exception {  
        auth.inMemoryAuthentication().withUser("bill").password("abc123").roles("USER");  
        auth.inMemoryAuthentication().withUser("admin").password("root123").roles("ADMIN");  
        auth.inMemoryAuthentication().withUser("dba").password("root123").roles("ADMIN","DBA");  
    }  

    @Override  
    protected void configure(HttpSecurity http) throws Exception {  

      http.authorizeRequests()  
        .antMatchers("/", "/home").access("hasRole('USER') or hasRole('ADMIN') or hasRole('DBA')")  
        .and().formLogin().loginPage("/login")  
        .usernameParameter("ssoId").passwordParameter("password")  
        .and().exceptionHandling().accessDeniedPage("/Access_Denied");  
    }  
}

@EnableGlobalMethodSecurity 开启Spring Security 全局方法安全,等价的XML配置如下:

[html] view plain copy 在CODE上查看代码片派生到我的代码片 

package com.websystique.springsecurity.service;  

import org.springframework.security.access.annotation.Secured;  


public interface UserService {  

    List<User> findAllUsers();  

    @Secured("ROLE_ADMIN")  
    void updateUser(User user);  

    @Secured({ "ROLE_DBA", "ROLE_ADMIN" })  
    void deleteUser();  

}

在上面的例子中,updateUser 方法只能被拥有ADMIN 权限的用户调用。deleteUser 方法只能够被拥有DBA 或者ADMIN 权限的用户调用。

如果有不具有声明的权限的用户调用此方法,将抛出AccessDenied异常。

如果你想指定AND(和)这个条件,我的意思说deleteUser 方法只能被同时拥有ADMIN & DBA 。但是仅仅通过使用 @Secured注解是无法实现的。

但是你可以使用Spring的新的注解@PreAuthorize/@PostAuthorize(支持Spring EL),使得实现上面的功能成为可能,而且无限制。

@PreAuthorize / @PostAuthorize
Spring的 @PreAuthorize/@PostAuthorize 注解更适合方法级的安全,也支持Spring 表达式语言,提供了基于表达式的访问控制。

@PreAuthorize 注解适合进入方法前的权限验证, @PreAuthorize可以将登录用户的roles/permissions参数传到方法中。

@PostAuthorize 注解使用并不多,在方法执行后再进行权限验证。

所以它适合验证带有返回值的权限。Spring EL 提供 返回对象能够在表达式语言中获取返回的对象returnObject。

请参考 Common Built-In Expressions 获取支持的表达式.

现在言归正常,使用@PreAuthorize / @PostAuthorize注解

package com.websystique.springsecurity.service;  

import org.springframework.security.access.prepost.PostAuthorize;  
import org.springframework.security.access.prepost.PreAuthorize;  

import com.websystique.springsecurity.model.User;  


public interface UserService {  

    List<User> findAllUsers();  

    @PostAuthorize ("returnObject.type == authentication.name")  
    User findById(int id);  

    @PreAuthorize("hasRole('ADMIN')")  
    void updateUser(User user);  

    @PreAuthorize("hasRole('ADMIN') AND hasRole('DBA')")  
    void deleteUser(int id);  

}

由于 @PreAuthorize可以使用Spring 表达式语言, 使用EL表达式可以轻易的表示任意条件. deleteUser方法 可以被拥有ADMIN & DBA角色的用户调用 .

另外,我们增加了带有@PostAuthorize注解的findById()方法。通过@PostAuthorize注解 method(User object)的返回值在Spring表达式语言中可以通过returnObject 来使用。在例子中我们确保登录用户只能获取他自己的用户对象。

上面就是@Secured, @PreAuthorize, @PostAuthorize 和EL的使用

Spring Boot+Spring Security:注解:@PreAuthorize,@PostAuthorize, @Secured, EL实现方法安全 - 第20篇
悟纤学院
03-19 3万+
需求缘起 在之前的章节中我们介绍过通过注解的方式进行权限的控制了,这里再详细的讲解下方法安全的几个注解。 一、注解式方法安全开启 需要在WebSecuirtyConfig添加配置: @Configuration @EnableWebSecurity //启用Spring Security. ////会拦截注解了@PreAuthrize注解的...
Spring Security方法级的权限管控 @PreAuthorize 使用详解
LoveSummer
01-22 1万+
默认情况下, Spring Security 并不启用方法级的安全管控. 启用方法级的管控后, 可以针对不同的方法通过注解设置不同的访问条件.Spring Security 支持三种方法级注解, 分别是 JSR-205 注解 /@Secured 注解 / prePostEnabled 注解. 这些注解不仅可以直接加 controller 方法上, 也可以注解 Service 或 DAO 类中的方法.
SpringSecurity6.0自定义数据库登录认证详细注释与两个关键点
lfl_jeetoon的博客
01-29 6105
直接把安全认证的两个关键点找了出来,让大家明白自定登录我要从哪里入手。第一是重写SecurityFilterChain,第二是重写UserDetailsService。
Spring Security 优化鉴权注解:自定义鉴权注解的崭新征程
学IT,找陈寒
01-19 6644
Spring Security是一个功能强大且灵活的安全框架,用于保护Spring应用程序中的资源。它提供了身份验证(Authentication)和授权(Authorization)等安全性功能,可用于Web应用程序和非Web应用程序。自定义鉴权注解是指根据业务需求,在Spring Security基础上创建符合具体场景的鉴权注解。相对于接下来,让我们通过一个实际的例子来演示如何实现自定义鉴权注解。假设我们有一个场景,只有在特定时间段内才能执行某个操作,我们可以创建一个注解。@Target({
Spring Boot + Spring Security + 自定义注解实现数据权限控制(含前后端代码)
最新发布
ldwtxwh的专栏
06-17 1071
*** 租户字段名(默认tenant_id)*//*** 部门字段名(默认dept_id)*//*** 用户字段名(默认user_id)*//*** 数据范围类型*//*** 额外过滤条件*/// 数据范围枚举ALL, // 所有数据TENANT, // 当前租户DEPT, // 当前部门DEPT_AND_SUB, // 当前部门及子部门SELF, // 仅自己数据CUSTOM // 自定义条件2.2.2 字段权限注解/*** 角色类型。
Spring Security 注解方式权限控制
qq_65142821的博客
01-29 2056
Spring Security除了可以在配置文件中配置权限校验规则,还可以使用注解方式控制类 中方法的调用。例如Controller中的某个方法要求必须具有某个权限才可以访问,此时就 可以使用Spring Security框架提供的注解方式进行控制。
Security注解:@PreAuthorize,@PostAuthorize, @Secured
京北游戏官方
12-04 2万+
一、注解式方法安全开启 需要在WebSecuirtyConfig添加配置: @Configuration @EnableWebSecurity //启用Spring Security. ////会拦截注解了@PreAuthrize注解的配置. @EnableGlobalMethodSecurity(prePostEnabled=true) public class WebSecurit...
详细分析SpringSecurity中的@PreAuthorize注解
码农研究僧的博客
01-27 1万+
在Java中,`@PreAuthorize` 是Spring Security框架中的一个注解,用于在方法调用之前对用户的权限进行验证。 允许在方法级别定义访问控制规则,确保只有满足指定条件的用户才能调用该方法 这个注解通常与Spring的AOP(面向切面编程)结合使用,推荐阅读: Spring框架从入门到学精(全) java框架 零基础从入门到精通的学习路线 附开源项目面经等(超全)
Spring 系列——Spring Security 4 使用@PreAuthorize,@PostAuthorize, @Secured, EL实现方法安全
m0_37941483的博客
05-29 565
翻译自 http://websystique.com/spring-security/spring-security-4-method-security-using-preauthorize-postauthorize-secured-el/ 本文探讨Spring Security 4 基于@PreAuthorize, @PostAuthorize, @SecuredSpring EL表达式...
十年架构师分享:基于SpringSecurity实现的基本认证及OAuth2
m0_63437643的博客
03-04 555
实现安全机制 本节将介绍基于Spring Security实现的基本认证及OAuth2。 实现基本认证 如果Spring Security位于类路径上,则所有HTTP端点上默认使用基本认证,这样就能使Web应用程序得到一定的安全保障。最为快捷的方式是在依赖中添加Spring Boot Security Starter。 //依赖关系 dependencies { //该依赖用于编译阶段 compile('org.springf ramework . boot : spring-boot-s
使用 Spring Security 进行方法级别的安全控制
FireFox1997
07-03 501
除了内置的表达式,还可以创建自定义的权限表达式。// 实现自定义的权限验证逻辑 return true;} }// 实现自定义的权限验证逻辑 return true;} }// 实现自定义的权限验证逻辑 return true;} }// 实现自定义的权限验证逻辑 return true;} }// 实现自定义的权限验证逻辑 return true;} }// 实现自定义的权限验证逻辑 return true;} }
Spring Security 4 使用@PreAuthorize,@PostAuthorize, @Secured, EL实现方法安全(带源码)
热门推荐
明明如月的技术博客
05-06 5万+
【相关已翻译的本系列其他文章,点击分类里面的spring security 4】 上一篇:Spring Security 4 整合Hibernate 实现持久化登录验证(带源码) 原文地址:http://websystique.com/spring-security/spring-security-4-method-security-using-preauthorize-postaut
SpringSecurity安全框架
优快云lele666的博客
02-21 1273
springSecurity安全框架,连接数据库,将用户权限与资源绑定
Shrio + Spring Boot配置与使用
一名小码农的博客
11-05 486
文章目录一、概述1. Shiro介绍2. 基本功能3. 架构二、SpringBoot 集成 Shiro1. 引入依赖2. Shiro 中常见类(1)常见类(2)常见异常3. 通过Shiro认证账号1. 自定义 Realm 类2. ShiroConfigRBAC认证授权流程 一、概述 1. Shiro介绍 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应
SpringSecurity方法安全@PreAuthorize与SpEL表达式
程序媛学姐的博客
03-27 1605
方法安全Spring Security的核心特性之一,它允许开发者在方法执行前、执行后甚至执行过程中应用安全控制。与基于URL的安全控制相比,方法安全提供了更细粒度的访问控制机制,特别适合复杂业务场景下的权限管理需求。方法安全可以基于用户角色、权限、方法参数甚至是返回值进行控制,使得安全规则能够与业务逻辑紧密结合。要启用Spring Security方法安全,需要在配置类上添加@EnableMethodSecurity注解。
Spring Security使用 @PreAuthorize@PostAuthorize@SecuredSpring EL表达式的方法安全
HiBoyljw的博客
11-13 7456
这篇教程文章中我们来学习 Spring Security使用 @PreAuthorize@PostAuthorize@SecuredSpring EL表达式的方法安全。 为了使使用Spring方法级别安全,我们需要用注释一个 @EnableGlobalMethodSecurity类在@Configuration,如下图所示: package com.yiibai.springsec...
spring security 权限控制
weixin_34391854的博客
11-22 162
2019独角兽企业重金招聘Python工程师标准>>> ...
Spring Security用户认证和权限控制(默认实现
jingke_1524的博客
09-25 1466
1 背景 实际应用系统中,为了安全起见,一般都必备用户认证(登录)和权限控制的功能,以识别用户是否合法,以及根据权限来控制用户是否能够执行某项操作。 Spring Security是一个安全相关的框架,能够与Spring项目无缝整合,本文主要是介绍Spring Security默认的用户认证和权限控制的使用方法和原理,但不涉及到自定义实现Spring Security用户认证和权限控制(自定义实现)这篇文章专门讲解用户认证和权限控制相关的自定义实现。 2 实战示例 2.1 创建工程 创建一个
@preauthorize注解的使用
03-16
除了@PreAuthorize注解,Spring Security还提供了其他类似的注解,如@PostAuthorize@Secured等,它们可以用于实现更细粒度的安全控制。@PreAuthorizeSpring Security框架中的注解之一,用于控制方法或类的访问...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值