Spring Security介绍(四)权限校验

已于 2024-04-27 08:30:39 修改
阅读量2.4k 收藏 2
点赞数 1
分类专栏: # SpringSecurity 文章标签: java 开发语言
于 2024-02-29 14:42:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/w_t_y_y/article/details/136370778
版权
本文详细介绍了如何在SpringSecurity中使用注解式权限校验,包括@Secured,@PreAuthorize和@PostAuthorize的使用方法、区别以及自定义权限检查。同时讨论了权限异常处理和配置示例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

用户认证+授权后,就可以进行接口权限控制。思路是拿用户(已授予的)权限与接口所需权限进行比较,不包含则视为无权。在SpringSecurity中,权限校验可以通过以下方式实现:

(1)自定义拦截器或者AOP校验:对需要鉴权的接口做拦截,用户的权限从SecurityContextHolder中获取,接口访问权限可以通过自定义Annotation注入,具体参照

拦截器与过滤器(三)拦截自定义Annotation注解_@annotation 拦截类注解-优快云博客

(2) 注解式权限校验:

和shiro类似,sercurity也提供了注解式权限校验。

本篇主要看下注解式权限校验。

一、使用方法

Spring Security默认是禁用注解的,要想开启注解,需要加上@EnableMethodSecurity注解

使用@Secured需要在配置类中添加注解***@EnableGlobalMethodSecurity(securedEnabled=true)***才能生效
使用@PreAuthorize和@PostAuthorize需要在配置类中配置注解***@EnableGlobalMethodSecurity(prePostEnable=true)***才能生效

如我:

@EnableWebSecurity
@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityWebConfig {
}

二、注解方法

即在注解中可以直接调用的方法。

1、hasAuthority(String):判断角色是否具有特定权限
http.authorizeRequests().antMatchers(“/main1.html”).hasAuthority(“admin”)

2、hasAnyAuthority(String …):如果用户具备给定权限中某一个,就允许访问
http.authorizeRequests().antMatchers(“/admin/read”).hasAnyAuthority(“xxx”,“xxx”)

3、hasRole(String):如果用户具备给定角色就允许访问,否则出现403
http.authorizeRequests().antMatchers(“/admin/read”).hasRole(“ROLE_管理员”)。

注意:hasRole与hasAuthority的区别:hasRole的值会添加ROLE_开头进行判断,而hasAuthority不会

4、hasAnyRole(String …):如果用户具备给定角色的任意一个,就允许被访问
http.authorizeRequests().antMatchers(“/guest/read”).hasAnyRole(“ROLE_管理员”, “ROLE_访客”)

5、hasIpAddress(String):请求是指定的IP就允许访问
http.authorizeRequests().antMatchers(“/ip”).hasIpAddress(“127.0.0.1”)

6、permitAll():允许所有人(可无任何权限)访问
7、denyAll():不允许任何(即使有最大权限)访问。
8、isAnonymous():为可匿名(不登录)访问。
9、isAuthenticated():为身份证认证后访问。
10、isRememberMe():为记住我用户操作访问。

11、isFullyAuthenticated():

为非匿名且非记住我用户允许访问

12、自定义校验方法
interface TestPermissionEvaluator {
    boolean check(Authentication authentication);
}

@Service("testPermissionEvaluator")
public class TestPermissionEvaluatorImpl implements TestPermissionEvaluator {

    public boolean check(Authentication authentication) {
        System.out.println("进入了自定义的匹配器" + authentication);
        return false;
    }
}

@PreAuthorize("@testPermissionEvaluator.check(authentication)")
public String test0() {
	return "说明你有自定义权限";
}

注意:如果注解要使用permitAll()、isAnonymous()等方法时,需要在config方法中取消.anyRequest().authenticated()的设置,否则会无效。

@Configuration
@EnableGlobalMethodSecurity(prePostEnabled=true)
public class MyWebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private UserDetailsService userDetailsService;
    @Autowired
    private BCryptPasswordEncoder bCryptPasswordEncoder;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.cors()
            .and()
            .csrf().disable();
        // 下面需注释,否则注解无效,生效的是这里的配置
            /*.authorizeRequests()
        	.anyRequest()
        	.authenticated(); */
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService)
        	.passwordEncoder(bCryptPasswordEncoder);
    }
}

三、spring security注解

Spring Security 支持三套注解:

#注解
jsr250 注解@DenyAll、@PermitAll、@RolesAllowed
secured 注解@Secured
prePost 注解@PreAuthorize、@PostAuthorize

具体来看下: 

1、@Secured

角色校验,请求到来访问控制单元方法时必须包含XX角色才能访问。使用方法:

(1)角色必须添加ROLE_前缀

(2)如果要求只有同时拥有admin和user的用户才能访问某个方法时,@Secured就无能为力了

@Component
public class UserDetailServiceImpl implements UserDetailsService {

    @Resource
    private PasswordEncoder passwordEncoder;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        if (username.equals("root")) {
            return new User(username, passwordEncoder.encode("123"), AuthorityUtils.createAuthorityList("ROLE_read"));
        } else if (username.equals("user")) {
            return new User(username, passwordEncoder.encode("123"), AuthorityUtils.createAuthorityList("ROLE_write"));
        }
        return new User(username, passwordEncoder.encode("123"), AuthorityUtils.createAuthorityList("read"));
    }
}

@RestController
public class HelloController {

    @RequestMapping("/read")
    @Secured(value = {"ROLE_read"})
    public String read() {
        return "read";
    }

    @RequestMapping("/write")
    @Secured(value = {"ROLE_write"})
    public String write() {
        return "write";
    }

	// 错误实例
    @RequestMapping("/read2")
    @Secured(value = {"read"})
    public String read2() {
        return "read2";
    }
}
2、@PreAuthorize

权限校验,请求到来访问控制单元之前必须包含XX权限才能访问,控制单元方法执行前进行角色校验。

@RestController
public class HelloController {

    @RequestMapping("/read3")
    @PreAuthorize(value = "hasRole('ROLE_read')")
    public String read3() {
        return "read3";
    }

    @RequestMapping("/read4")
    @PreAuthorize(value = "hasAnyRole('ROLE_read','ROLE_write')")
    public String read4() {
        return "read4";
    }

    @RequestMapping("/read5")
    @PreAuthorize(value = "hasAnyAuthority('ROLE_read','read')")
    public String read5() {
        return "read5";
    }
}
3、@PostAuthorize

权限校验,请求到来访问控制单元之后必须包含XX权限才能访问,在方法执行后进行权限校验,适合验证带有返回值的权限。

@PostAuthorize("hasRole('ROLE_管理员')")
@RequestMapping("/toMain")
public String toMain(){
    return "main";
}

@GetMapping("/helloUser")
@PostAuthorize("returnObject!=null && returnObject.username == authentication.name")
public User helloUser() {
    Object pricipal = SecurityContextHolder.getContext().getAuthentication().getPrincipal();
    User user;
    if("anonymousUser".equals(pricipal)) {
        user = null;
    }else {
        user = (User) pricipal;
    }
    return user;
}
4、@PreFilter

对传递参数值做过滤

@PostMapping("/preFilter")
@PreAuthorize("hasAnyAuthority('admin','update')") // 注意单引号
@PreFilter("filterObject.id % 2 == 0") // id为偶数才能请求
public String preFilter(@RequestBody List<User> userLists){
    log.info("=== 进入当前 preFilter ====");
    log.info(userLists.toString());
    return "security test 5  preFilter  需要验证的接口";
}
5、@PostFilter

权限验证通过后,留下指定用户名的数据,对返回数据做过滤

@RequestMapping("/postFilter")
@PreAuthorize("hasAnyAuthority('admin','update')") // 注意单引号
@PostFilter("filterObject.username == 'xiangjiao'") // 针对返回数据做过滤
public List<User> postFilter(){
    log.info("=== 进入当前 postFilter ====");
    List<User> userLists = new ArrayList<>();
    userLists.add(new User(1,"xiangjiao","bunana",1,0));
    userLists.add(new User(2,"xiangjiao2","bunana2",1,0));
    return userLists;
}
6、JSR-250注解

@DenyAll、@PermitAll、@RolesAllowed,

使用JSR-250注解需要设置***@EnableGlobalMethodSecurity(jsr250Enabled=true)***才能使用。

例如:@RolesAllowed({“USER”, “ADMIN”}),代表标注的方法只要具有USER、ADMIN任意一种权限就可以访问。

四、权限异常处理:

  1. AuthenticationEntryPoint:用来解决匿名用户访问无权限资源时的异常

注意:使用AuthenticationEntryPoint会导致原来的/login登录页面失效

  1. AccessDeniedHandler:用来解决认证过的用户访问无权限资源时的异常 
    public class CustomAuthenticationEntryPoint implements AuthenticationEntryPoint {

    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response,
            AuthenticationException authException) throws IOException, ServletException {
        response.setCharacterEncoding("utf-8");
        response.setContentType("text/javascript;charset=utf-8");
        response.getWriter().print(JSONObject.toJSONString(RestMsg.error("没有访问权限!")));
    }
}

    @Component
public class MyAccessDeniedHandler implements AccessDeniedHandler {
    
    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException e) 
            throws IOException, ServletException {
        response.setStatus(HttpServletResponse.SC_OK);
        response.setContentType("text/html;charset=UTF-8");
        response.getWriter().write(
                "<html>" +
                        "<body>" +
                        "<div style='width:800px;text-align:center;margin:auto;font-size:24px'>" +
                        "权限不足,请联系管理员" +
                        "</div>" +
                        "</body>" +
                        "</html>"
        );
        response.getWriter().flush();//刷新缓冲区
    }
}

    @Configuration
@EnableGlobalMethodSecurity(prePostEnabled=true)
public class MyWebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private UserDetailsService userDetailsService;
    @Autowired
    private BCryptPasswordEncoder bCryptPasswordEncoder;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.cors()
            .and()
            .csrf().disable()
            .authorizeRequests()
            .antMatchers("/user/sign").permitAll()
        	.anyRequest()
        	.authenticated();
             
        //添加自定义异常入口
        http.exceptionHandling()
            .authenticationEntryPoint(new CustomAuthenticationEntryPoint())
        	.accessDeniedHandler(new CustomAccessDeineHandler());       
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService)
        	.passwordEncoder(bCryptPasswordEncoder);
    }
}

SpringSecurity身份、权限校验
程序员劝退师的博客
11-14 1031
SpringSecurity中身份和权限是分开的,身份也成为角色,其实这里身份和权限标记就是在我们实现的UserDetailsService中设置的 @Slf4j @Component public class MyUserDetailsService implements UserDetailsService { @Autowired public PasswordEncoder passwordEncoder() {//密码加密 return new BCryptPas
入门到精通:SpringBoot2和SpringSecurity5视频教程
11-12
<img src="https://img-bss.youkuaiyun.com/202003040840325012.jpg" alt="" />
后端SpringSecurity实现动态权限校验
一个菜鸡大学牲
02-14 343
很明显这个叫authorizationManager的应该是我们要找的玩意,直接去AuthorizationFilter内找这个类看他的源码可以发现check方法已经弃用,他推荐用的方法是authorize但这玩意也还是调用的check。在框架DefaultSecurityFilterChain源码内打断点可以找到SpringSecurity的过滤器链可以看见一个叫AuthorizationFilter的过滤器。继续往下面看可以看见他是进行了校验然后返回了一个布尔值。如果有需要还可以直接去看官方demo。
spring security权限校验
weixin_43851855的博客
09-26 2870
构成 Spring Security 进行认证的流程,Security 快速入门
SpringSecurityspringboot整合SpringSecurity实现登录校验权限认证
weixin_44823875的博客
02-25 1422
关于安全方面的两个主要区域是“认证”和“授权”(或者说是访问控制),一般来说,Web应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分,这两点也是SpringSecurity重要核心功能。(1)用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。通俗点说就是系统认为用户是否能登录。(2)用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,
SpringBoot - @PreAuthorize注解详解
热门推荐
记录并分享
08-21 9万+
@PreAuthorize注解会在方法执行前进行权限验证,支持Spring EL表达式。只有当@EnableGlobalMethodSecurity(prePostEnabled=true)的时候,@PreAuthorize才可以使用。
详细分析SpringSecurity中的@PreAuthorize注解
码农研究僧的博客
01-27 1万+
Java中,`@PreAuthorize` 是Spring Security框架中的一个注解,用于在方法调用之前对用户的权限进行验证。 允许在方法级别定义访问控制规则,确保只有满足指定条件的用户才能调用该方法 这个注解通常与Spring的AOP(面向切面编程)结合使用,推荐阅读: Spring框架从入门到学精(全) java框架 零基础从入门到精通的学习路线 附开源项目面经等(超全)
@PreAuthorize注解
先知三日
01-12 5943
例如,v-hasPermi="['monitor:job:add']"会检查用户是否具有monitor:job:add这个权限,如果有,那么相关的UI元素就会显示。用户此时已经登陆系统,假设用户操作的是角色管理模块的查询按钮,当点击该按钮时,会通过网络映射到后端的接口方法。通过这种方式,RuoYi框架可以实现精细的基于权限的访问控制,确保只有具有相应权限的用户才能访问特定的资源。如果当前用户的权限集合中,包含当前被@PreAuthorize标注的方法的权限,则返回true。等集合信息返回给前端。
SpringSecurity安全框架学习——@PreAuthorize的实现原理
笔落墨成&博客
11-23 4267
Spring Security 预处理实现原理
利用Spring Security做角色权限校验
12-10
本篇将深入探讨如何利用Spring Security进行角色权限校验,并动态地从数据库中查询用户是否具有访问特定接口的权限。 首先,我们需要理解Spring Security的基本架构。它主要包括个主要组件:认证(Authentication...
实现SpringSecurity校验数据库用户信息的功能
最新发布
03-16
本文将详细探讨如何在SpringSecurity中实现对数据库用户信息的校验功能。 首先,要实现SpringSecurity校验数据库用户信息的功能,需要创建一个数据源配置(dataSource configuration),确保Spring Security可以...
基于Spring Boot的fanxing-security-spring-boot-starter权限校验与安全框架设计源码
09-30
fanxing-security-spring-boot-starter框架是一个为权限校验和安全特性而生的轻量级安全框架。它通过简洁的设计、支持多角色和权限校验、允许自定义接口操作等特性,为开发者提供了一个强大的工具,以构建出既安全又...
SpringBoot+SpringSecurity整合(实现了登录认证和权限验证)完整案例,基于IDEA项目
02-16
SpringBoot+SpringSecurity整合示例代码,实现了从数据库中获取信息进行登录认证和权限认证。 本项目为idea工程,请用idea2019导入(老版应该也可以)。 本项目用户信息所需sql文件,在工程的resources文件夹下,...
spring security 实现动态权限和短信验证码登录
07-23
在这个场景中,我们探讨的是如何利用Spring Security实现动态权限管理和短信验证码登录,并结合JWT(JSON Web Tokens)和Redis来提升系统的效率和安全性。 首先,让我们深入了解Spring Security的基础。Spring ...
Spring Security-@PreAuthorize 权限注解分析
西京刀客
09-18 2万+
@PreAuthorize @PreAuthorize
权限校验—接口检验
一起加油吧~
08-08 4152
获取传入用户的信息判断用户信息的权限信息集合中是否含有定义的权限/*** @Description: 自定义权限实现*//** 所有权限标识 *//*** 验证用户是否具备某权限* @param permission 权限字符串* @return 用户是否具备某权限*///判断是否传入权限字符//获取用户信息//判断是否有用户信息,或者用户信息中是否包含权限集合//将权限设置到请求头中//判断是否包含权限/*** 判断是否包含权限
项目笔记之权限校验
weixin_73348815的博客
09-23 986
Spring Security概述Spring Security 的前身是 Acegi Security ,是 Spring 项目组中用来提供安全认证服务的框架。官网地址: https://projects.spring.io/spring-security/Spring Security 为基于J2EE企业应用软件提供了全面安全服务。特别是使用领先的J2EE解决方案-Spring框架开发的企业软件项目。人们使用Spring Security有很多种原因,不过通常吸引他们的是在J2EE Servlet规范或
若依框架基于@PreAuthorize注解的权限控制
weixin_49561506的博客
01-28 1万+
介绍Java注解的使用与定义以及对若依框架的权限控制进行解析
SpringSecurity权限校验详解说明(附完整代码)
qq_51076413的博客
02-19 3972
SpringSecurity安全检验、SpringSecurity权限认证、SpringSecurity权限校验SpringSecurity自定义校验SpringSecurity自定义校验规则、SpringSecurity异常处理器
springsecurity 权限校验逻辑
05-12
Spring Security 中,权限校验逻辑是通过拦截器和过滤器来实现的,其具体的实现流程如下: 1. 用户登录时,Spring Security 会拦截登录请求,并调用配置的身份验证逻辑对用户进行身份验证。 2. 验证成功后,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

w_t_y_y

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值