AI 助理
备案控制台
开发者社区 开发与运维 文章 正文

Spring Security-基于表达式的访问控制和基于注解的访问控制

2022-09-21 252
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: Spring Security-基于表达式的访问控制和基于注解的访问控制

一、基于表达式的访问控制

1.access()方法使用


之前学习的登录用户权限判断实际上底层实现都是调用access(表达式)

image.png


可以通过access()实现和之前学习的权限控制完成相同的功能。


1.1以hasRole和permitAll举例


下面代码和直接使用permitAll()和hasRole()是等效的。


image.png

2.使用自定义方法


虽然这里面已经包含了很多的表达式(方法)但是在实际项目中很有可能出现需要自己自定义逻辑的情况。


判断登录用户是否具有访问当前URL权限。


2.1新建接口及实现类


新建接口com.msb.service.MyService后新建实现类。


public interface MyService {
    boolean hasPermission(HttpServletRequest request, Authentication authentication);
}
复制代码


@Component
public class MyServiceImpl implements MyService {
    @Override
    public boolean hasPermission(HttpServletRequest request, Authentication authentication) {
        Object obj = authentication.getPrincipal();
        if(obj instanceof UserDetails){
            UserDetails user = (UserDetails) obj;
            Collection<? extends GrantedAuthority> authorities = user.getAuthorities();
            return authorities.contains(new SimpleGrantedAuthority(request.getRequestURI()));
        }
        return false;
    }
}
复制代码



2.2修改配置类


在access中通过@bean的id名.方法(参数)的形式进行调用


配置类中修改如下:


// url 拦截 (授权)
http.authorizeRequests()
        .antMatchers("/login.html").access("permitAll")
        .antMatchers("/fail.html").permitAll()
        .anyRequest().access("@myServiceImpl.hasPermission(request,authentication)");
复制代码




二、基于注解的访问控制

在Spring Security中提供了一些访问控制的注解。这些注解都是默认是都不可用的,需要通过@EnableGlobalMethodSecurity进行开启后使用。


如果设置的条件允许,程序正常执行。如果不允许会报500


image.png

这些注解可以写到Service接口或方法上上也可以写到Controller或Controller的方法上。通常情况下都是写在控制器方法上的,控制接口URL是否允许被访问。


1.@Secured


@Secured是专门用于判断是否具有角色的。能写在方法或类上。参数要以ROLE_开头。


image.png


1.1实现步骤


1.1.1 开启注解


在启动类(也可以在配置类等能够扫描的类上)上添加@EnableGlobalMethodSecurity(securedEnabled = true)


@SpringBootApplication
@EnableGlobalMethodSecurity(securedEnabled = true)
public class MyApp {
    public static void main(String [] args){
        SpringApplication.run(MyApp.class,args);
    }
}
复制代码


1.1.2在控制器方法上添加@Secured注解

在LoginController中方法上添加注解


@Secured("abc")
@RequestMapping("/toMain")
public String toMain(){
    return "redirect:/main.html";
}
复制代码


1.1.3配置类


配置类中方法配置保留最基本的配置即可。


protected void configure(HttpSecurity http) throws Exception {
    // 表单认证
    http.formLogin()
            .loginProcessingUrl("/login")   //当发现/login时认为是登录,需要执行UserDetailsServiceImpl
            .successForwardUrl("/toMain")   //此处是post请求
            .loginPage("/login.html");
    // url 拦截
    http.authorizeRequests()
            .antMatchers("/login.html").permitAll() //login.html不需要被认证
            .anyRequest().authenticated();//所有的请求都必须被认证。必须登录后才能访问。
    //关闭csrf防护
    http.csrf().disable();
}
复制代码


2.@PreAuthorize/@PostAuthorize


@PreAuthorize和@PostAuthorize都是方法或类级别注解。


image.png


@PreAuthorize表示访问方法或类在执行之前先判断权限,大多情况下都是使用这个注解,注解的参数和access()方法参数取值相同,都是权限表达式。


@PostAuthorize表示方法或类执行结束后判断权限,此注解很少被使用到。


2.1实现步骤


2.1.1开启注解


在启动类中开启@PreAuthorize注解。


@SpringBootApplication
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class MyApp {
    public static void main(String [] args){
        SpringApplication.run(MyApp.class,args);
    }
}
复制代码


2.1.2添加@PreAuthorize


在控制器方法上添加@PreAuthorize,参数可以是任何access()支持的表达式


@PreAuthorize("hasRole('abc')")
@RequestMapping("/toMain")
public String toMain(){
    return "redirect:/main.html";
}



文章标签:
访问控制
终端访问控制系统
Java
数据安全/隐私保护
Spring
安全
关键词:
Spring注解
Spring表达式
Spring Security
Spring security表达式
springsecurity访问控制
游客kbuanlzoibg3i
目录
相关文章
varin
|
26天前
|
缓存 监控 Java
SpringBoot @Scheduled 注解详解
使用`@Scheduled`注解实现方法周期性执行,支持固定间隔、延迟或Cron表达式触发,基于Spring Task,适用于日志清理、数据同步等定时任务场景。需启用`@EnableScheduling`,注意线程阻塞与分布式重复问题,推荐结合`@Async`异步处理,提升任务调度效率。
varin
390 128
HELLO程序员
|
1月前
|
XML 安全 Java
使用 Spring 的 @Aspect 和 @Pointcut 注解简化面向方面的编程 (AOP)
面向方面编程(AOP)通过分离横切关注点,如日志、安全和事务,提升代码模块化与可维护性。Spring 提供了对 AOP 的强大支持,核心注解 `@Aspect` 和 `@Pointcut` 使得定义切面与切入点变得简洁直观。`@Aspect` 标记切面类,集中处理通用逻辑;`@Pointcut` 则通过表达式定义通知的应用位置,提高代码可读性与复用性。二者结合,使开发者能清晰划分业务逻辑与辅助功能,简化维护并提升系统灵活性。Spring AOP 借助代理机制实现运行时织入,与 Spring 容器无缝集成,支持依赖注入与声明式配置,是构建清晰、高内聚应用的理想选择。
HELLO程序员
309 0
凉凉心.
|
11天前
|
XML Java 应用服务中间件
【SpringBoot(一)】Spring的认知、容器功能讲解与自动装配原理的入门,带你熟悉Springboot中基本的注解使用
SpringBoot专栏开篇第一章,讲述认识SpringBoot、Bean容器功能的讲解、自动装配原理的入门,还有其他常用的Springboot注解!如果想要了解SpringBoot,那么就进来看看吧!
凉凉心.
122 2
蓝易云
|
28天前
|
XML Java 数据格式
常用SpringBoot注解汇总与用法说明
这些注解的使用和组合是Spring Boot快速开发和微服务实现的基础,通过它们,可以有效地指导Spring容器进行类发现、自动装配、配置、代理和管理等核心功能。开发者应当根据项目实际需求,运用这些注解来优化代码结构和服务逻辑。
蓝易云
184 12
HELLO程序员
|
1月前
|
Java 测试技术 数据库
使用Spring的@Retryable注解进行自动重试
在现代软件开发中,容错性和弹性至关重要。Spring框架提供的`@Retryable`注解为处理瞬时故障提供了一种声明式、可配置的重试机制,使开发者能够以简洁的方式增强应用的自我恢复能力。本文深入解析了`@Retryable`的使用方法及其参数配置,并结合`@Recover`实现失败回退策略,帮助构建更健壮、可靠的应用程序。
HELLO程序员
159 1
使用Spring的@Retryable注解进行自动重试
HELLO程序员
|
1月前
|
传感器 Java 数据库
探索Spring Boot的@Conditional注解的上下文配置
Spring Boot 的 `@Conditional` 注解可根据不同条件动态控制 Bean 的加载,提升应用的灵活性与可配置性。本文深入解析其用法与优势,并结合实例展示如何通过自定义条件类实现环境适配的智能配置。
HELLO程序员
108 0
探索Spring Boot的@Conditional注解的上下文配置
HELLO程序员
|
1月前
|
智能设计 Java 测试技术
Spring中最大化@Lazy注解,实现资源高效利用
本文深入探讨了 Spring 框架中的 `@Lazy` 注解,介绍了其在资源管理和性能优化中的作用。通过延迟初始化 Bean,`@Lazy` 可显著提升应用启动速度,合理利用系统资源,并增强对 Bean 生命周期的控制。文章还分析了 `@Lazy` 的工作机制、使用场景、最佳实践以及常见陷阱与解决方案,帮助开发者更高效地构建可扩展、高性能的 Spring 应用程序。
HELLO程序员
63 0
Spring中最大化@Lazy注解,实现资源高效利用
HELLO程序员
|
1月前
|
安全 IDE Java
Spring 的@FieldDefaults和@Data:Lombok 注解以实现更简洁的代码
本文介绍了如何在 Spring 应用程序中使用 Project Lombok 的 `@Data` 和 `@FieldDefaults` 注解来减少样板代码,提升代码可读性和可维护性,并探讨了其适用场景与限制。
HELLO程序员
87 0
Spring 的@FieldDefaults和@Data:Lombok 注解以实现更简洁的代码
HELLO程序员
|
1月前
|
Java 测试技术 编译器
@GrpcService使用注解在 Spring Boot 中开始使用 gRPC
本文介绍了如何在Spring Boot应用中集成gRPC框架,使用`@GrpcService`注解实现高效、可扩展的服务间通信。内容涵盖gRPC与Protocol Buffers的原理、环境配置、服务定义与实现、测试方法等,帮助开发者快速构建高性能的微服务系统。
HELLO程序员
252 0
HELLO程序员
|
1月前
|
XML Java 测试技术
使用 Spring 的 @Import 和 @ImportResource 注解构建模块化应用程序
本文介绍了Spring框架中的两个重要注解`@Import`和`@ImportResource`,它们在模块化开发中起着关键作用。文章详细分析了这两个注解的功能、使用场景及最佳实践,帮助开发者构建更清晰、可维护和可扩展的Java应用程序。
HELLO程序员
148 0

热门文章

最新文章

  • 1
    构建基于Java的AI智能体:使用LangChain4j与Spring AI实现RAG应用
  • 2
    基于Spring AI Alibaba + Spring Boot + Ollama搭建本地AI对话机器人API
  • 3
    spring boot2升级boot3指南
  • 4
    Spring Boot四层架构深度解析
  • 5
    SpringBoot @Scheduled 注解详解
  • 6
    Spring Boot 整合Nacos 版本兼容适配 史上最详细文档
  • 7
    Cisco Identity Services Engine (ISE) 3.4 - 基于身份的网络访问控制和策略实施系统
  • 8
    Spring Boot 3.x 微服务架构实战指南
  • 9
    基于springboot+vue开发的会议预约管理系统
  • 10
    常用SpringBoot注解汇总与用法说明
  • 1
    【阿里云弹性计算】阿里云ECS安全加固:从访问控制到数据保护的全方位策略
    379
  • 2
    计算机网络(3)----介质访问控制
    417
  • 3
    【专栏】IT 知识百科:访问控制列表(ACL)是网络安全的关键机制,用于定义和管理网络资源的访问权限
    803
  • 4
    访问控制(RAM)|云上安全使用AccessKey的最佳实践
    102973
  • 5
    oss访问控制(Access Control)
    1172
  • 6
    网络技术基础(14)——ACL访问控制列表
    1115
  • 7
    Go语言在身份认证与访问控制中的应用
    512
  • 8
    计算机网络:数据链路层(介质访问控制)
    727
  • 9
    AK泄露了,怎么办?
    107450
  • 10
    安全防御之授权和访问控制技术
    685

    • 相关课程

    更多
  • 全面讲解Spring Cloud Alibaba技术栈(知识精讲+项目实战)第二阶段
  • 精通Spring Cloud Alibaba
  • 微服务框架 Spring Cloud 快速入门
  • Java Web开发系列课程 - Spring框架入门
  • Spring Boot 2.5.x开发实战
  • Spring Cloud微服务架构设计与开发实战

    • 相关电子书

    更多
  • 云栖社区特邀专家徐雷Java Spring Boot开发实战系列课程(第20讲):经典面试题与阿里等名企内部招聘求职面试技巧
  • 微服务架构模式与原理Spring Cloud开发实战
  • 阿里特邀专家徐雷Java Spring Boot开发实战系列课程(第18讲):制作Java Docker镜像与推送到DockerHub和阿里云Docker仓库
    • 下一篇
    阿里云无影云电脑免费使用_免费申请教程