第05讲:Security之基于注解的用户授权

已于 2022-12-16 14:33:58 修改
阅读量589 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: SpringSecurity 文章标签: java mysql spring
于 2022-12-16 14:32:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qzc70919700/article/details/128342329
本文介绍如何使用Spring Security的注解实现用户权限控制。主要包括配置SecurityConfig类启用全局方法安全,以及在Controller中使用@PreAuthorize和@Secured注解进行具体的权限验证。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

使用注解进行用户授权只需要两个步骤:

  • 在SecurityConfig配置类上添加开启用户授权的注解@EnableGlobalMethodSecurity(securedEnabled = true)
  • 在需要被授权的Controller上添加授权的注解

一、新建项目,并进项相关配置

参考:第04讲:Security之用户授权

二、使用注解完成权限校验

2.1、SecurityConfig配置类上添加开启用户授权的注解

在SecurityConfig配置类上添加开启用户授权的注解@EnableGlobalMethodSecurity(securedEnabled = true)

在这里插入图片描述

/**
 * Spring Security配置类
 */
@EnableWebSecurity
@EnableGlobalMethodSecurity(securedEnabled = true) //开启security注解
public class SecurityConfig extends WebSecurityConfigurerAdapter {
	...
}

2.2、添加授权的注解

在需要被授权的Controller上添加授权的注解

  • @PreAuthorize(“hasAuthority(‘update’)”):具有update权限的用户,才可以访问该路径
  • @Secured(“ROLE_admin”):具有admin角色的用户,才可以访问该路径
	@RequestMapping("/test/delete")
    @Secured("ROLE_admin")//具有admin角色的用户,才可以访问该路径
    public String tt3(){
        return "测试删除";
    }

    @RequestMapping("/test/update")
    @PreAuthorize("hasAuthority('update')")//具有update权限的用户,才可以访问该路径
    public String tt4(){
        return "测试修改";
    }

2.3、修改SecurityConfig配置类

将SecurityConfig配置类中的授权信息删掉即可
在这里插入图片描述

三、源代码

Security基于注解的用户授权.zip

Spring Security并结合JWT实现用户认证(Authentication) 和用户授权(Authorization)
永远热泪盈眶 坚持输出
08-09 6223
引言 在Web应用开发中,安全一直是非常重要的一个方面。Spring Security基于Spring 框架,提供了一套Web应用安全性的完整解决方案。 JwT (JSON Web Token) 是当前比较主源的Token令牌生成方案,非常适合作为登录和授权认证的凭证。 这里我们就使用 Spring Security并结合JWT实现用户认证(Authentication) 和用户授权(Authorization) 两个主要部分的安全内容。 一、JWT与Aoth2的区别 在此之前,只是停留在用的阶段,对二者的
如何利用SpringSecurity进行认证与授权
最新发布
web_15534274656的博客
02-07 840
Spring SecuritySpring 家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用SpringSecurity 来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。一般Web应用的需要进行认证和授权。认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户授权:经过认证后判断当前用户是否有权限进行某个操作。
Security注解
qq_43654581的博客
10-22 1265
1.开启基于方法的安全认证机制 2.自定义实现细粒度的权限控制
SpringSecurity认证授权注解使用
weixin_44814258的博客
06-07 451
@Secured 用户具有某个角色,可以访问方法 启动类(配置类)开启注解 @SpringBootApplication @MapperScan("com.ljy.security.mapper") //开启注解 @EnableGlobalMethodSecurity(securedEnabled = true) public class SecurityApplication { public static void main(String[] args) { SpringA
Spring Security 注解方式权限控制
qq_65142821的博客
01-29 2043
Spring Security除了可以在配置文件中配置权限校验规则,还可以使用注解方式控制类 中方法的调用。例如Controller中的某个方法要求必须具有某个权限才可以访问,此时就 可以使用Spring Security框架提供的注解方式进行控制。
Spring Security中使用注解进行用户授权
花&败
07-18 520
1、@Secured 功能:判断是否具有角色,另外需要注意的是这里匹配的字符串需要添加前缀“ROLE_”。 使用@EnableGlobalMethodSecurity(securedEnabled=true)开启该注解功能。 package com.kgf.security; import org.mybatis.spring.annotation.MapperScan; import org.springframework.boot.SpringApplication; import org.
Spring-Security源码分析】Spring Security基于注解认证原理
通往神秘的道路的专栏
02-28 5178
1、开启注解功能 Spring Security默认是禁用注解的,要想开启注解功能需要在@Configuration类上加入@EnableMethodSecurity注解来判断用户对某个控制层的方法是否具有访问权限。 @Configuration @EnableGlobalMethodSecurity(prePostEnabled =true) public class WebSecurit...
SpringSecurity认证授权
qq_49474843的博客
09-11 1428
RBAC模型详解,SpringSecurity入门到精通一文搞定
基于 springSecurity用户管理脚手架(UMS)
要懂得舍得
10-21 1597
UMS (user manage scaffolding) 用户管理脚手架: github gitee 用户管理脚手架集成:用户密码登录、手机登录、支持所有 JustAuth 支持的第三方授权登录、验证码、基于 RBAC 的 uri 访问权限控制功能、签到等功能。 通过配置文件与实现 用户服务 与 短信发生服务 两个 API 接口就可以实现上述功能,实现快速开发,只需要专注于业务逻辑。 一、UMS 功能列表: 验证码(图片,短信, 滑块)校验功能。 手机登录功能,登录后自动注册。 支持所有 Just
Spring Security注解权限控制:利用注解保护方法和接口
通过Spring Security,我们可以对用户进行认证和授权,保护我们的应用程序免受未经授权的访问和恶意攻击。 ## 1.1 Spring Security概述 Spring Security是基于Spring框架的一个扩展,可以帮助我们处理身份验证、...
Spring Security 用户授权
qq_34125999的博客
04-12 288
前言 描述: Spring Security 入门系列文章。 【1】Spring Security 详解用户认证 1 hasAuthority 1.1 配置 描述: 如果当前的主体具有指定的权限,则返回 true,否则返回 false。通俗来说针对某一个权限。 1.2 修改UserDetailsService 1.3 创建controller 1.4 测试 描述: 访问url:http://localhost:8888/admin/hello会重定向到登录页面,使用customer账号进行登录。
基于注解Spring Security原理解析
热门推荐
icarusliu的专栏
12-07 1万+
概述:Spring Security就是引入了一系列的SecurityFilter,将其添加到Spring中去了;在有请求时,根据URL是否符合每个Filter的规则来判断是否需要该Filter来进行处理。
基于注解方式实现Spring Security忽略拦截
皓亮君的博客
12-22 5592
一般像一些静态资源文件需要过滤掉安全认证,例如图片,.css,.js等静态资源文件,像这种在配置文件中指定比较方便。: String url=baseUrl+接口访问路径(/login) =/test/login。像这种需要忽略某个接口需要在Spring Security配置类中在代码中写死,非常的不灵活。测试用注解修饰的接口路径,可以正常访问,由此可看配置是正常。如果从配置文件中删除了过滤的接口名称则访问接口会返回403。忽略的接口访问路径规则以下文3.3的测试接口为例,添加配置类注入配置的参数。
Spring——Security安全框架之注解使用
专注写bug
02-23 5645
文章目录前言本次测试注解介绍注解使用@Secured@PreAuthorize@PostAuthorize@PostFilter@PreFilter代码下载 前言 之前security中,针对配置项进行了相关的配置和测试。 但是这些都是基于在security.config.MyConfig#configure(org.springframework.security.config.annotation.web.builders.HttpSecurity)中进行对应请求的权限限制。 如果是多个请求,各个有
Shior 框架进阶(七)---------整合到Spring,注解实现授权
qq_42112846的博客
08-13 917
Shior 框架进阶(七) ----------整合到Spring,注解实现授权     在之前的博文当中,我们介绍了shiro的基本的使用,包括认证以及ini授权,再到自定义的授权,但是在实际的应用当中,我们不会将我们的角色及其对应的权限写在ini文件当中,而是将其存储在数据当中,在授权的时候,根据用户的名称在数据库当中找到对应的角色及其权限,之后shiro框架根据从数据库遍历出的权限与...
14.SpringSecurity-web权限方案-用户授权注解使用)
自能生羽翼,何必仰云梯
04-24 513
@Secured   判断是否具有角色,另外需要注意的是这里匹配的字符串需要添加前缀ROLE_;   使用注解先要开启注解功能,在配置类或者启动类,一般在启动类上 @MapperScan({"net.master.security.app.masterspringsecurity.dao"}) @SpringBootApplication @EnableGlobalMethodSecurity(securedEnabled=true) public class App { public stati
spring-security 中使用注解进行权限的控制
weixin_44448873的博客
06-25 4873
1、使用JSR-250注解进行权限的控制 使用JSR-250注解需要配置三个方面: ①在pom.xml中要添加JSR-250相关的坐标依赖 <dependency> <groupId>javax.annotation</groupId> <artifactId>jsr250-api</artifactId> ...
第04Security用户授权
分享日常工作技术
12-16 688
如果返回false,则页面提示http状态码为403,表示请求被拒绝。在SecurityService类中添加授权的逻辑(用户被授予的权限):如果返回false,则页面提示http状态码为403,表示请求被拒绝。在SecurityService类中添加授权的逻辑(用户被授予的角色)在SecurityConfig配置类中设置访问资源的权限的逻辑。在SecurityConfig配置类中设置访问资源的角色的逻辑。
Spring Security怎么给你授权
bangiao的博客
02-03 406
对了最后再强调一遍, 角色继承和动态权限有冲突, 如果我们的权限 角色 用户 都从数据库读取的话, 那么角色继承将会失效, 这点需要注意, 都能从数据库中修改了, 何必还搞什么角色继承紧接着就是 授权的方式, 一个是 基于过滤器, 另一个是基于 AOP 实现, 说白了, 一个是 URL 粗颗粒度, 另一个是方法, 细颗粒度。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值