Spring Security 权限配置详解

最新推荐文章于 2025-05-03 15:06:28 发布
最新推荐文章于 2025-05-03 15:06:28 发布
阅读量520 收藏 5
点赞数 12
分类专栏: java 文章标签: spring java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zru_9602/article/details/147191822
版权

🌟Spring Security 权限配置详解:从基础到进阶

Spring Security 是一个功能强大、可高度自定义的安全框架,主要用于为基于 Spring 的应用程序提供身份验证和授权功能。
本篇文章将带你深入理解 Spring Security 的权限配置机制,掌握从用户认证到权限控制的核心配置方式。

一、Spring Security 的核心概念

在开始配置之前,先简单了解几个核心名词:

名词说明
Authentication认证,验证用户身份(用户名+密码)
Authorization授权,判断当前用户是否有访问某资源的权限
SecurityContext安全上下文,保存当前用户的认证信息
UserDetailsService加载用户信息的接口
GrantedAuthority授权对象,表示用户拥有的权限
SecurityFilterChainSpring Security 的过滤器链配置入口

二、Spring Security 权限配置方式概览

权限控制一般包含以下几种形式:

  1. 基于 URL 路径 的权限控制(最常用)
  2. 基于 方法注解 的权限控制(如 @PreAuthorize
  3. 自定义 AccessDecisionManager 权限决策器

三、配置示例:Spring Boot + Spring Security 权限控制

1. 引入依赖

<!-- Spring Security 依赖 -->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

2. 基础配置类

使用 SecurityFilterChain 代替旧版 WebSecurityConfigurerAdapter

@Configuration
@EnableMethodSecurity  // 启用方法级权限控制
public class SecurityConfig {

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        return http
            .authorizeHttpRequests(auth -> auth
                .requestMatchers("/admin/**").hasRole("ADMIN")
                .requestMatchers("/user/**").hasAnyRole("USER", "ADMIN")
                .requestMatchers("/", "/login").permitAll()
                .anyRequest().authenticated()
            )
            .formLogin(login -> login
                .loginPage("/login")
                .defaultSuccessUrl("/home")
                .permitAll()
            )
            .logout(logout -> logout
                .logoutUrl("/logout")
                .logoutSuccessUrl("/login")
            )
            .csrf(csrf -> csrf.disable())
            .build();
    }
}

3. 自定义用户信息(UserDetailsService)

@Service
public class MyUserDetailsService implements UserDetailsService {
    @Override
    public UserDetails loadUserByUsername(String username) {
        // 模拟从数据库中查询
        if ("admin".equals(username)) {
            return User.withUsername("admin")
                    .password("{noop}admin123") // {noop}表示明文密码
                    .roles("ADMIN")
                    .build();
        } else if ("user".equals(username)) {
            return User.withUsername("user")
                    .password("{noop}user123")
                    .roles("USER")
                    .build();
        }
        throw new UsernameNotFoundException("用户不存在");
    }
}

四、基于注解的权限控制(推荐)

Spring Security 支持通过注解方式对方法或类进行权限控制:

@RestController
@RequestMapping("/data")
public class DataController {

    @GetMapping("/admin")
    @PreAuthorize("hasRole('ADMIN')")
    public String adminData() {
        return "这是管理员数据";
    }

    @GetMapping("/user")
    @PreAuthorize("hasAnyRole('USER','ADMIN')")
    public String userData() {
        return "这是用户数据";
    }
}

常用注解说明

注解说明
@PreAuthorize方法执行前权限判断
@PostAuthorize方法执行后权限判断
@Secured("ROLE_ADMIN")只允许指定角色访问(默认需加 ROLE_

五、自定义权限判断表达式

假如你想用业务逻辑判断权限,可以这样:

@PreAuthorize("@authService.canAccess(#userId)")
public String getUserData(Long userId) {
    return "业务数据";
}

AuthService 中定义权限逻辑:

@Component
public class AuthService {
    public boolean canAccess(Long userId) {
        // 获取当前登录用户的 ID
        Authentication auth = SecurityContextHolder.getContext().getAuthentication();
        String currentUsername = auth.getName();
        // 自定义逻辑,比如根据用户名判断是否有权限查看这个 userId
        return true;
    }
}

六、权限控制最佳实践

  • 权限与角色分离:不要把角色当权限用,系统更复杂时建议独立权限表。
  • 接口权限控制+方法权限控制双保险
  • 菜单权限与接口权限绑定,提升用户体验。
  • 使用数据库动态加载权限,支持多角色多权限灵活管理。

七、总结

Spring Security 提供了强大且灵活的权限控制机制,支持从 URL 到方法粒度的精细化配置。通过自定义 UserDetailsServiceSecurityFilterChain 和注解控制权限,我们可以轻松实现企业级权限管理。

✅ 核心关键词回顾:

  • SecurityFilterChain
  • UserDetailsService
  • @PreAuthorize
  • hasRole / hasAuthority
  • 动态权限 + 自定义判断逻辑
Spring Security 核心配置详解
AI天才研究院
08-06 1185
Spring Security是一个用于认证、授权、加密和保护基于Spring的应用的框架。在 Spring Security 中,用户身份验证由 AuthenticationManager 提供,而访问控制则由 AccessDecisionManager 来处理。Spring Security 对 Web 请求进行拦截并检查是否已经认证通过,如果没有通过,将会拒绝访问请求;通过认证之后,AccessDecisionManager 将对访问请求进行评估,判断当前用户是否拥有相应权限
SpringSecurity权限配置详解
热门推荐
congge
12-05 1万+
前言 在上一篇,我们讲了一下SpringSecurity和登录认证常用的几种处理方式,SpringSecurity提供了一套完整的认证授权解决方案,注意这里是认证加授权 在OA或那些比较大型的后管系统中,涉及到授权的场景随处可见,目前行业中对于授权有比较成熟的解决方案,可以rbac为核心的授权体系,或者依托于第三方框架的认证授权方案,像SpringSecurity就属于基于rbac模型的进一步封装,因此学习SpringSecurity,有必要对SpringSecurity的授权方式和使用做较多的了解 环境准
spring security控制权限的几种方法
weixin_30498921的博客
04-02 366
spring security控制权限的几种方法 分类: spring security 2012-02-11 10:38 99人阅读 评论(0) 收藏 举报 使用Spring Security3的四种方法概述 那么在Spring Security3的使用中,有4种方法: 一...
spring-security 权限控制教程
weixin_65403042的博客
04-08 1049
springSecurity 中指定登陆和失败的页面;这里需要注意一点, 重写后,必须有自己的controller 来进行接受第一次的login 请求;否则会报重定向异常(和security 内部的跳转逻辑有关);但是如果不进行重写, 其内部会有自己的控制器来进行拦截。这里的路径要和下面配置的config的 访问和允许资源一致// 对应 templates/login.html (如果使用模板引擎)// 如果使用静态页面,则不需要此方法// 对应 templates/main.html。
springSecurity设置
qq_38799174的博客
07-03 232
1.认证 判断用户名和密码是否正确 2.授权 一个用户是否有权利执行某些操作 1.导jar包 <properties> <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding> <maven.compiler.source&g...
Spring Security 权限控制
2012年开始工作,全栈开发老兵,目前已是一个老师,分享这么多年的心得体会
09-19 3105
在前面的章节中,已经给大家介绍了Spring Security的很多功能,在这些众多功能中,我们知道其核心功能其实就是 认证+授权。
spring security 登录、权限管理配置
08-13
登录流程 1)容器启动(MySecurityMetadataSource:loadResourceDefine加载系统资源与权限列表) 2)用户发出请求 3)过滤器拦截(MySecurityFilter:doFilter) 4)取得请求资源所需权限(MySecurityMetadataSource:getAttributes) 5)匹配用户拥有权限和请求权限(MyAccessDecisionManager:decide),如果用户没有相应的权限, 执行第6步,否则执行第7步。 6)登录 7)验证并授权(MyUserDetailServiceImpl:loadUserByUsername) 内附完整数据库
SpringSecurity授权(访问控制)
wyy的博客
10-30 6329
一、 访问控制url匹配 在前面讲解了认证中所有常用配置,主要是对httpSecurity.formLogin()进行操作。而在配置类中httphttpSecurity.authorizeRequests()主要是对url进行控制,也就是我们所说的授权(访问控制)。httpSecurity.authorizeRequests()也支持连缀写法,可以有很多url匹配规则和很多权限控制方法。这些内容进行各种组合就形成了Spring Security中的授权。 在所有匹配规则中取所有规则的交集。配置顺序影响了之
Spring Security进行权限控制
m0_67402588的博客
07-29 527
先自我介绍一下,小编13年上师交大毕业,曾经在小公司待过,去过华为OPPO等大厂,18年进入阿里,直到现在。因此我收集了一份《java开发全套学习资料》送给大家,初衷也很简单,就是希望帮助到想自学又不知道该从何学起的朋友,同时减轻大家的负担。springsecurity中在用户同步提交表单时设置了一个隐藏的token,不但会对用户提交的信息进行核实,还会对token进行核实,在异步提交的时候则需要自行在前端加入token提交。在用户提交表单时,不法网站可能窃取用户提交的信息进行提交从而造成安全问题。...
Spring Security权限配置详解
"Spring Security权限管理编程指南,包括HelloWorld示例和基础篇内容,使用Spring Security的命名空间配置方式,确保项目的安全性。" 在Spring Security框架中,权限管理是核心功能之一,它允许开发者控制应用程序...
springsecurity使用配置详解
03-24
在提供的压缩包`springsecurity配置demo`中,你将找到示例代码和详细说明,这将帮助你更好地理解和实践上述概念。通过学习和实践这些示例,你将能够为自己的Spring应用程序构建强大的安全防护。
第一节-spring-security配置权限规则
qq_74929891的博客
11-08 472
(3)测试用户addUser,输入账号和密码。重新运行,输入addUser账户,还是报错。(2)跳转到表单检验界面。找好久,原因是代码中。(4)成功后输入接口。
JavaWeb 利用springsecurity做用户权限限制
沉默王二
12-05 8428
JavaWeb 利用springsecurity做用户权限限制
SpringSecurity(十二)---配置权限:应用限制
学习不止境的博客
10-26 1322
之前讲解了如何基于权限角色配置访问。但是其中只应用了针对所有端点的配置。本章将介绍如何对特定的请求分组应用授权约束。在生产环境的应用程序中,不太可能对所有请求应用相同的规则。其中将具有只有某些特定用户才能调用的端点,而其他端点则可能每个用户都可以访问。根据业务需求,每个接口都有自己的自定义授权配置。 要选择应用授权配置的请求,可以使用匹配器方法。Spring Security提供了3种类型的匹配方法。首先看一个简单的示例,我们要创建一个暴露两个端点的应用程序,这两个端点是/hello和/xiao。我们希望
SpringSecurity接口权控(权限控制)
Crzep的博客
02-29 919
SpringSecurity接口权控(权限控制)
SpringSecurity管理接口权限
dengdaijc的专栏
12-12 1703
SpringBoot集成SpringSecurity管理接口的权限配置访问接口必须拥有对应权限才行,否则拒绝访问。
spring security动态配置url权限
weixin_34100227的博客
08-15 791
序 对于使用spring security来说,存在一种需求,就是动态去配置url的权限,即在运行时去配置url对应的访问角色。这里简单介绍一下。 Standard Filter Aliases and Ordering 首先需要了解spring security内置的各种filter: Alias Filter Class Name...
一文搞懂SpringSecurityspring-security配置文件详解,史上最全
zeng的博客
10-14 5028
一、认证和授权概念 1.、在生产环境下我们如果不登录系统是否能对业务进行操作? 答案显然是否定的,要操作这些功能必须首先登录到系统才可以。 2、是不是所有用户,只要登录成功就都可以操作所有功能呢? 答案是否定的,并不是所有的用户都可以操作这些功能。不同的用户可能拥有不同的权限,这就需要进行授权了。 二、Spring Security简介 Spring SecuritySpring提供的安全认证服务的框架。 使用Spring Security可以帮助我们来简化认证和授权的过程。官网:https://spr
SpringSecurity配置权限认证)
最新发布
Mr_Zerone的博客
05-03 919
文末有本篇文章的项目源码可供下载学习。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值