AI 助理
备案控制台
开发者社区 开发与运维 文章 正文

【Spring专题】「实战系列」Spring Security技术实战之通过注解表达式控制方法权限

2023-01-16 296
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 【Spring专题】「实战系列」Spring Security技术实战之通过注解表达式控制方法权限

Spring Security权限控制机制

  • spring是如何实现对HTTP请求进行安全检查和资源使用授权的?实现过程由类AbstractSecurityInterceptor在beforeInvocation方法中完成,在beforeInvocation的实现中,首先,需要读取IoC容器中Bean的配置,在这些属性配置中配置了对HTTP请求资源的安全需求,


  • 比如,哪个角色的用户可以接入哪些URL请求资源,具体实现逻辑见:与Web环境的接口FilterSecurityInterceptor extends AbstractSecurityInterceptor implements Filter,@PreAuthorize、@PostAuthorize注解实现逻辑,继承根节点:SecurityMetaSource.


  • Spring Security中可以通过表达式控制方法权限,其中有四个支持使用表达式的注解,分别是@PreAuthorize、@PostAuthorize、@PreFilter和@PostFilter。其中前两者可以用来在方法调用前或者调用后进行权限检查,后两者可以用来对集合类型的参数或者返回值进行过滤。




启动Security机制的配置

它们的定义能够对我们的方法的调用产生影响我们需要设置global-method-security元素的pre-post-annotations=”enabled”,默认为disabled。



xml配置方式

<security:global-method-security pre-post-annotations="disabled"/>
复制代码


JavaConfig配置方式


类上增加@EnableGlobalMethodSecurity(securedEnabled = true)注解,secureEnabled默认为false,使其赋值为true才能使用相关注解。

@SpringBootApplication
@EnableGlobalMethodSecurity(securedEnabled = true)
public class XXXApplication {
    public static void main(String[] args) {
        SpringApplication.run(XXXApplication.class, args);
    }
}
复制代码




@PreAuthorize和@PostAuthorize进行访问控制

@PreAuthorize 注解,顾名思义是进入方法前的权限验证,@PreAuthorize 声明这个方法所需要的权限表达式,例如:@PreAuthorize("hasAuthority('sys:dept:delete')"),@PreAuthorize 表示访问方法或类在执行之前先判断权限,一般都是使用这个注解,注解的参数和access()方法参数取值相同,都是权限表达式。若有多个权限,可用逗号隔开。


根据这个注解所需要的权限,再和当前登录的用户角色所拥有的权限对比,如果用户的角色权限集Set中有这个权限,则放行;没有,拒绝




定义相关的接口上

public interface UserService {
    public boolean ifhaveuser(String username,String password);
    List<User> findAllUsers();
    User findById(int id);
    @PreAuthorize("hasRole('ROLE_ADMIN')")
    void updateUser(User user);
    @PreAuthorize("hasRole('ROLE_ADMIN')")
    void deleteUser(int id);
}
复制代码
@Service
public class UserServiceImpl implements UserService {undefined
   @PreAuthorize("hasRole('ROLE_ADMIN')")
   public void addUser(User user) {undefined
      System.out.println("addUser................" + user);
   }
   @PreAuthorize("hasRole('ROLE_USER') or hasRole('ROLE_ADMIN')")
   public User find(int id) {undefined
      System.out.println("find user by id............." + id);
      return null;
   }
}
复制代码


在上面的代码中我们定义了只有拥有角色ROLE_ADMIN的用户才能访问adduser()方法,而访问find()方法需要有ROLE_USER角色或ROLE_ADMIN角色。使用表达式时我们还可以在表达式中使用方法参数。




PreAuthorize的EL表达式

public class UserServiceImpl implements UserService {undefined
   /**
    * 限制只能查询Id小于10的用户
   */
   @PreAuthorize("#id<10")
   public User find(int id) {undefined
      System.out.println("find user by id........." + id);
      return null;
   }
   /**
    * 限制只能查询自己的信息
    */
   @PreAuthorize("principal.username.equals(#username)")
   public User find(String username) {undefined
      System.out.println("find user by username......" + username);
      return null;
   }
   /**
    * 限制只能新增用户名称为abc的用户
    */
   @PreAuthorize("#user.name.equals('abc')")
   public void add(User user) {undefined
      System.out.println("addUser............" + user);
   }
}
复制代码


在上面代码中我们定义了调用find(int id)方法时,只允许参数id小于10的调用;调用find(String username)时只允许username为当前用户的用户名;定义了调用add()方法时只有当参数user的name为abc时才可以调用。

image.png



@Secured

判断是否具有角色,注意这里匹配的字符串需要添加前缀“ROLE_”,@Secured使用时必须要加上ROLE_前缀,不可省略。@PreAuthorize 也可加上ROLE_前缀,不过其可以省略。


先要开启注解功能 @EnableGlobalMethodSecurity(securedEnabled = true)

在控制器方法上添加注解

@Secured({"ROLE_read"})
@RequestMapping(value = "/testSecured")
@ResponseBody
public String testSecured() {
    return "testSecured";
}
复制代码

用户的角色权限Set,是什么时候存入的,其流程如下

image.png



PostAuthorize的EL表达式


  • @PostAuthorize表示方法或类执行结束后判断权限,很少使用。


有时候可能你会想在方法调用完之后进行权限检查,这种情况比较少,但是如果你有的话,Spring Security也为我们提供了支持,通过@PostAuthorize可以达到这一效果。使用@PostAuthorize时我们可以使用内置的表达式returnObject表示方法的返回值。


下面这一段示例代码:


@PostAuthorize("returnObject.id%2==0")
   public User find(int id) {undefined
      User user = new User();
      user.setId(id);
      return user;
}
复制代码

上面这一段代码表示将在方法find()调用完成后进行权限检查,如果返回值的id是偶数则表示校验通过,否则表示校验失败,将抛出AccessDeniedException。


注意的是@PostAuthorize是在方法调用完成后进行权限检查,它不能控制方法是否能被调用,只能在方法调用完成后检查权限决定是否要抛出AccessDeniedException。




@PreFilter和@PostFilter进行过滤

使用@PreFilter和@PostFilter可以对集合类型的参数或返回值进行过滤。使用@PreFilter和@PostFilter时,Spring Security将移除使对应表达式的结果为false的元素。


@PostFilter("filterObject.id%2==0")
  public List<User> findAll() {undefined
      List<User> userList = new ArrayList<User>();
      User user;
      for (int i=0; i<10; i++) {undefined
         user = new User();
         user.setId(i);
         userList.add(user);
      }
      return userList;
   }
复制代码

上述代码表示将对返回结果中id不为偶数的user进行移除。filterObject是使用@PreFilter和@PostFilter时的一个内置表达式,表示集合中的当前对象。当@PreFilter标注的方法拥有多个集合类型的参数时,需要通过@PreFilter的filterTarget属性指定当前@PreFilter是针对哪个参数进行过滤的。




参考资料


www.jianshu.com/p/3ddd2b31c…




文章标签:
Java
容器
数据安全/隐私保护
Spring
安全
数据格式
XML
关键词:
Spring注解方法
Spring方法
Spring注解
Spring技术
Spring实战
洛神灬殇
目录
相关文章
蓝易云
|
1天前
|
缓存 NoSQL Java
Springboot自定义注解+aop实现redis自动清除缓存功能
通过上述步骤,我们不仅实现了一个高度灵活的缓存管理机制,还保证了代码的整洁与可维护性。自定义注解与AOP的结合,让缓存清除逻辑与业务逻辑分离,便于未来的扩展和修改。这种设计模式非常适合需要频繁更新缓存的应用场景,大大提高了开发效率和系统的响应速度。
蓝易云
8 2
蓝易云
|
8天前
|
存储 缓存 Java
在Spring Boot中使用缓存的技术解析
通过利用Spring Boot中的缓存支持,开发者可以轻松地实现高效和可扩展的缓存策略,进而提升应用的性能和用户体验。Spring Boot的声明式缓存抽象和对多种缓存技术的支持,使得集成和使用缓存变得前所未有的简单。无论是在开发新应用还是优化现有应用,合理地使用缓存都是提高性能的有效手段。
蓝易云
15 1
艾利克斯冰
|
9天前
|
Java Spring 容器
Spring使用异步注解@Async正确姿势
Spring使用异步注解@Async正确姿势,异步任务,spring boot
艾利克斯冰
28 3
杀死一只知更鸟debug
|
9天前
|
XML Java 数据格式
spring复习03,注解配置管理bean
Spring框架中使用注解配置管理bean的方法,包括常用注解的标识组件、扫描组件、基于注解的自动装配以及使用注解后的注意事项,并提供了一个基于注解自动装配的完整示例。
杀死一只知更鸟debug
11 0
spring复习03,注解配置管理bean
艾利克斯冰
|
9天前
|
XML 前端开发 Java
控制spring框架注解介绍
控制spring框架注解介绍
艾利克斯冰
18 1
杀死一只知更鸟debug
|
9天前
|
SQL 监控 druid
springboot-druid数据源的配置方式及配置后台监控-自定义和导入stater(推荐-简单方便使用)两种方式配置druid数据源
这篇文章介绍了如何在Spring Boot项目中配置和监控Druid数据源,包括自定义配置和使用Spring Boot Starter两种方法。
杀死一只知更鸟debug
46 1
华章计算机
|
Java 开发者 容器
《Spring技术内幕》——第一部分
本节书摘来自华章社区《Spring技术内幕》一书中的第一部分,作者:计文柯,更多章节内容可以访问云栖社区“华章社区”公众号查看
华章计算机
1432 0
华章计算机
|
Java Spring
《Spring技术内幕》——1.5节小结
本节书摘来自华章社区《Spring技术内幕》一书中的第1章,第1.5节小结,作者:计文柯,更多章节内容可以访问云栖社区“华章社区”公众号查看
华章计算机
1092 0
萝卜丝丸子
|
2月前
|
缓存 Java Maven
Java本地高性能缓存实践问题之SpringBoot中引入Caffeine作为缓存库的问题如何解决
Java本地高性能缓存实践问题之SpringBoot中引入Caffeine作为缓存库的问题如何解决
萝卜丝丸子
38 1
理想shi做条咸鱼
|
3月前
|
Java 测试技术 数据库
Spring Boot中的项目属性配置
本节课主要讲解了 Spring Boot 中如何在业务代码中读取相关配置,包括单一配置和多个配置项,在微服务中,这种情况非常常见,往往会有很多其他微服务需要调用,所以封装一个配置类来接收这些配置是个很好的处理方式。除此之外,例如数据库相关的连接参数等等,也可以放到一个配置类中,其他遇到类似的场景,都可以这么处理。最后介绍了开发环境和生产环境配置的快速切换方式,省去了项目部署时,诸多配置信息的修改。
理想shi做条咸鱼
66 0

热门文章

最新文章

  • 1
    Spring-boot+Dubbo应用启停源码分析
  • 2
    Spring Boot 中文乱码问题解决方案汇总
  • 3
    Spring Security oauth2 介绍
  • 4
    Spring+SpringMVC +MyBatis整合配置文件案例
  • 5
    Spring Boot 2.x基础教程:使用时序数据库InfluxDB
  • 6
    spring cloud放弃系列之--5-jwt
  • 7
    Spring+SpringMVC+Hibernate简单整合(转)
  • 8
    Spring2.5注释驱动与基于注释的MVC
  • 9
    Spring MVC配置太多?试试Spring Boot
  • 10
    Spring-AOP实践 - 统计访问时间
  • 1
    spring cloud使用jar包部署和docker部署的区别
    519
  • 2
    Spring Cloud原理详解
    79
  • 3
    快速解决Spring Boot跨域困扰:使用CORS实现无缝跨域支持
    237
  • 4
    18:面向切面编程-Java Spring
    124
  • 5
    17:缓存机制-Java Spring
    89
  • 6
    16:事务-Java Spring
    53
  • 7
    15:MyBatis对象关系与映射结构-Java Spring
    97
  • 8
    Spring Boot中获取配置参数的几种方法
    409
  • 9
    从前端Vue到后端Spring Boot:接收JSON数据的正确姿势
    215
  • 10
    Spring AOP的切点是通过使用AspectJ的切点表达式语言来定义的。
    57

    • 相关课程

    更多
  • 全面讲解Spring Cloud Alibaba技术栈(知识精讲+项目实战)第三阶段
  • 精通Spring Cloud Alibaba
  • 微服务框架 Spring Cloud 快速入门
  • Java Web开发系列课程 - Spring框架入门
  • Spring Boot 2.5.x开发实战
  • Spring Cloud微服务架构设计与开发实战

    • 相关电子书

    更多
  • 云栖社区特邀专家徐雷Java Spring Boot开发实战系列课程(第20讲):经典面试题与阿里等名企内部招聘求职面试技巧
  • 微服务架构模式与原理Spring Cloud开发实战
  • 阿里特邀专家徐雷Java Spring Boot开发实战系列课程(第18讲):制作Java Docker镜像与推送到DockerHub和阿里云Docker仓库

    • 相关实验场景

    更多
  • Spring-cloud-bus-rocketmq入门与实践
  • Spring-cloud-stream-binder-rocketmq入门与实践
  • Rocketmq-spring入门与实践
  • 从零搭建Spring Boot的Hello World
    • 下一篇
    无影云桌面