Spring Security3 SpEL表达式

最新推荐文章于 2024-06-05 13:58:51 发布
转载 最新推荐文章于 2024-06-05 13:58:51 发布 · 584 阅读 · 0
文章标签:

#SpringSecurity #springsecurity

本文介绍了如何在Spring Security中启用SpEL表达式,并详细解释了各种SpEL方法及属性的作用,例如hasIpAddress、hasRole等,适用于保护HTTP请求和其他类型的资源。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

启用SpELl表达式:在http元素里添加: use-expressions="true" 
如: <http auto-config="true" use-expressions="true"> ...</http>

Spring Security 3 提供的 SpEL 方法和伪属性在以下的表格中进行了描述。要注意的是没有被标明“ web only ”的方法和属性可以在保护其他类型的资源中使用,如在保护方法调用时。示例表示的方法和属性是使用在<intercept-url>  access 声明中。 

方法

Web only?

描述

示例

hasIpAddress

(ipAddress)

Yes

用于匹配一个请求的 IP 地址或一个地址的网络掩码

access="hasIpAddress('

162.79.8.30')"

access="hasIpAddress('

162.0.0.0/224')"

hasRole(role)

No

用于匹配一个使用GrantedAuthority 的角色(类似于 RoleVoter )

access="hasRole('ROLE

USER')"

hasAnyRole(role)

No

用于匹配一个使用GrantedAuthority 的角色列表。用户匹配其中的任何一个均可放行。

access="hasRole('ROLE_

USER','ROLE_ADMIN')"

除了以上表格中的方法,在 SpEL 表达式中还有一系列的方法可以作为属性。它们不需要圆括号或方法参数。

属性

Web only?

描述

例子

permitAll

No

任何用户均可访问

access="permitAll"

denyAll

NO

任何用户均不可访问

access="denyAll"

anonymous

NO

匿名用户可访问

access="anonymous"

authenticated

NO

检查用户是否认证过

access="authenticated"

rememberMe

No

检查用户是否通过remember me 功能认证的

access="rememberMe"

fullyAuthenticated

No

检查用户是否通过提供完整的凭证信息来认证的

access="fullyAuthenticated"

Spring Boot+Spring Security:基于URL动态权限:扩展access()的SpEL表达式 - 第15篇
悟纤学院
03-07 2万+
需求缘起 本节通过扩展access()的SpEL表达式实现URL动态权限。 编码思路 通过扩展SpEL表达式主要在配置具体的类和实现的方法,如下示例 .access("@authService.canAccess(request,authentication)"); 其中authService是一个类,canAccess是其中的方法: ...
Java代码审计之SpEL表达式漏洞详解
悦分享
01-23 415
Spring Expression Language(简称 SpEL)是一种功能强大的表达式语言、用于在运行时查询和操作对象图;语法上类似于 Unified EL,但提供了更多的特性,特别是方法调用和基本字符串模板函数。SpEL 的诞生是为了给 Spring 社区提供一种能够与 Spring 生态系统所有产品无缝对接,能提供一站式支持的表达式语言。
Spring Security详解/基于配置信息的Spring Security使用/使用自定义登录页面/使用数据库认证/SpEL表达式/服务器端方法级权限控制/页面端标签控制权限
ZaynFox的博客
10-15 767
一、Spring Security介绍 Spring Security 的前身是 Acegi Security ,是 Spring 项目组中用来提供安全认证服务的框架。 Spring Security 为基于J2EE企业应用软件提供了全面安全服务。特别是使用领先的J2EE解决方案——Spring框架开发的企业软件项目。人们使用Spring Security有很多种原因,不过通常吸引他们的是在J2EE Servlet规范或EJB规范中找不到典型企业应用场景的解决方案。 特别要指出的是他们不能在 WAR 或
SpringSecurity3.X--SpEL 表达式
weixin_33753845的博客
01-07 168
2019独角兽企业重金招聘Python工程师标准>>> ...
Spring Security 常用的 SpEL 表达式
最新发布
2401_85480529的博客
06-05 366
可以是一个权限字符串,也可以是一个 SpEL 表达式,用于动态计算权限。:要求用户进行完全认证,即不允许使用 Remember-Me 记住我功能。:检查当前用户是否是通过 Remember-Me 记住我功能进行认证的。:检查当前用户是否具有给定权限列表中的任何一个权限。:检查当前用户是否具有给定角色列表中的任何一个角色。:拒绝所有用户访问,即不允许任何用户访问。:允许所有用户访问,即无需任何权限。:检查当前用户是否已经进行了认证。:检查当前用户是否具有指定权限。:检查当前用户是否是匿名用户。
Spring Security
wang2963973852的博客
02-09 966
Spring提供了安全验证框架Spring Security Spring Security是基于spring的应用程序提供声明式安全保护的安全性框架,它提供了完整的安全性解决方案,能够在web请求级别和方法调用级别处理身份证验证和授权.它充分使用了依赖注入和面向切面的技术 Spring security主要是从两个方面解决安全性问题: web请求级别、方法调用级别
Spring Cloud Gateway Actuator API SpEL表达式注入命令执行 0day 漏洞复现
12-26
漏洞的根源在于Spring Cloud Gateway Actuator API 对用户输入的参数没有进行充分的验证和过滤,这使得攻击者可以通过构造恶意的SpEL表达式来执行任意系统命令。例如,当Actuator的某个端点接受到包含SpEL表达式的...
Security6.2 中的SpEL 表达式应用(权限注解使用)
慢慢来的博客
02-20 1218
最近学习若依框架,里面的权限注解涉及到了SpEL表达式 @PreAuthorize("@ss.hasPermi('system:user:list')"),若依项目中用的是自己写的方法进行权限处理, 也可以只用security 来实现权限逻辑代码,下面写如何用security 实现。1、securityConfig文件上加入注解@EnableMethodSecurity,且引入自定义评估器:CustomPermissionEvaluator。2、编写CustomPermissionEvaluator文件。
Spring Security 基于表达式的权限控制
weixin_38927257的博客
11-22 675
文章目录前言常见的表达式URL安全表达式在Web安全表达式中引用beanRbacServiceImplMethod安全表达式使用method注解PreAuthorizePostAuthorizePreAuthorize 针对参数进行过滤PostFilter 针对返回结果进行过滤 前言 spring security 3.0已经可以使用spring el表达式来控制授权,允许在表达式中使用复杂的布...
Spring Security 表达式(Expressions) - hasRole示例
weixin_30772105的博客
05-19 1027
1.概述 Spring Security使用强大的Spring Expression Language(SpEL)提供各种各样的表达式。大多数这些Security表达式是针对上下文对象(当前经过身份验证的主体)进行工作的. 这些表达式的评估由SecurityExpressionRoot执行 - 它提供了Web安全性和方法级安全性的基础。 Spring Security 3.0中引入了使用SpEL表...
SpringBoot2.0实战 | 第三十章:整合SpringSecurity之基于SpEL表达式实现动态方法鉴权
死牛胖子的技术随笔
03-23 981
在前面的文章中,我们已经实现了对登录操作,实现数据库鉴权,对当前登录用户的登录状态实现了权限控制。 第二十四章:整合SpringSecurity之最简登录及方法鉴权 第二十五章:整合SpringSecurity之使用数据库实现登录鉴权 用户登录成功后,会加载当前用户的角色至内存,至于哪个角色可以访问哪些方法,则是通过 SpringSecurity 提供的方法鉴权来实现。 通过 @EnableG...
SpringSecurity Oauth2 - 09 自定义SpEL权限表达式
你今天真好看呀
11-10 646
*** MethodSecurityExpressionOperations 接口方法的属性/*** 添加一个新的方法,这个方法就是我们自定义的权限表达式} /*** 构造方法} /*** 下面的方法都是 MethodSecurityExpressionOperations 接口中的实现方法,没有更改} }} }
Spring Security 注解备忘
refineli
08-30 434
简要 Spring Security是基于spring的应用程序提供声明式安全保护的安全性框架,它提供了完整的安全性解决方案,能够在web请求级别和方法调用级别 处理身份证验证和授权.它充分使用了依赖注入和面向切面的技术,Spring security主要是从两个方面解决安全性问题: 1.web请求级别:使用servlet过滤器保护web请求并限制URL级别的访问 2.方法调用级别:使用S
SpringSecurity Oauth2 - 08 SpEL权限表达式源码分析及两种权限控制方式原理
你今天真好看呀
11-10 1424
SpringSecurity提供的权限管理功能主要有两种类型:① 基于过滤器的权限管理(FilterSecurityInterceptor):用来拦截HTTP请求,拦截下来之后,根据HTTP请求地址进行权限校验;请求首先到大过滤器FilterSecurityInterceptor,在其执行过程中,首先会由前置处理器去判断发起请求的用户是否具备响应的权限,如果具备则继续向下走,到达目标方法后执行完毕。拦截请求的url,这种权限管理方式粒度较粗。
Spring Security注解详解】
samsung_samsung的专栏
05-06 1212
Spring Security 是一个强大的、高度可定制的身份验证和访问控制框架,广泛用于Java应用程序中以确保安全。它提供了多种注解来简化安全控制的实现,特别是在方法级别的权限控制上。
spring security3.x学习(8)_web的投票器和spEL配置
weixin_34234721的博客
02-01 404
2019独角兽企业重金招聘Python工程师标准>>> ...
SpringSecurity流程控制实现
再也不秃头
11-22 327
SpringSecurity实现权限控制的几种方式
spring security的配置文件如何关闭spEL表达式
Trialknight的博客
11-14 562
spring security的xml配置文件中,我们可以看到下面这几行配置 上面这个配置主要配置的是spring security的拦截路径,pattern="/**"表示的是拦截所有请求,而后面的access="hasRole('ROLE_ADMIN')"表示的是只有具有ADMIN角色的用户才可访问,但是这个的hasRole('ROLE_ADMIN')其实用到了spEL表达式(spri...
Spring SpEL表达式应用实例与解析
Spring_SpEl表达式使用用例知识点: 一、Spring SpEL简介 SpELSpring Expression Language(Spring表达式语言)的简称,它是一种强大的表达式语言,支持在运行时查询和操作对象图。SpELSpring产品套件中通用的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值