详细分析SpringSecurity中的@PreAuthorize注解

这篇具有很好参考价值的文章主要介绍了详细分析SpringSecurity中的@PreAuthorize注解。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

1. 基本知识

在Java中,@PreAuthorize 是Spring Security框架中的一个注解,用于在方法调用之前对用户的权限进行验证。

允许在方法级别定义访问控制规则,确保只有满足指定条件的用户才能调用该方法

这个注解通常与Spring的AOP(面向切面编程)结合使用,推荐阅读:

  1. Spring框架从入门到学精(全)
  2. java框架 零基础从入门到精通的学习路线 附开源项目面经等(超全)

本身的作用主要如下:

  • 权限控制: 主要用于实现基于方法调用的权限控制,确保只有经过验证的用户才能访问受保护的方法
  • 条件判断: 允许在注解中定义条件表达式,这些表达式决定是否允许方法调用

使用方式:

@PreAuthorize 注解的参数是一个 SpEL(Spring Expression Language)表达式,用于定义权限规则(SpEL支持在表达式中使用各种功能,包括方法调用、条件判断等)

表达式的结果应该是布尔值,如果为 true,则允许方法调用,否则抛出权限异常。
示例:@PreAuthorize("hasRole('ROLE_ADMIN')") 表示只有具有 ROLE_ADMIN 角色的用户可以调用该方法。

除了在方法级别使用 @PreAuthorize,还可以在全局配置中定义方法安全性

通过配置类,指定应用于整个应用程序的全局安全性规则。

2. 使用方式

要么以配置类要么直接使用

2.1 配置类

如果通过配置类的方式:

一般通过继承 WebSecurityConfigurerAdapter 类,通过这个类配置应用程序的安全性

大致的Demo如下:

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    // 配置内存中的用户
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
            .withUser("user").password("{noop}password").roles("USER")
            .and()
            .withUser("admin").password("{noop}admin").roles("ADMIN");
    }

    // 配置访问控制规则
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/admin/**").hasRole("ADMIN")
                .antMatchers("/user/**").hasRole("USER")
                .anyRequest().authenticated()
                .and()
            .formLogin()
                .loginPage("/login")
                .permitAll()
                .and()
            .logout()
                .permitAll();
    }
}

一个是普通用户,一个是管理员。
访问控制规则指定了 /admin/** 路径需要具有 “ADMIN” 角色的用户才能访问
/user/** 路径需要具有 “USER” 角色的用户才能访问
其他请求需要身份验证。登录页面配置为 /login,注销行为允许所有用户。

整体对于配置类来说:

  1. 定义认证规则: 指定用户认证的规则、设置用户的身份验证方式,例如基于内存、数据库、LDAP 等方式,并定义用户的角色和权限

  2. 配置访问控制规则:哪些路径需要身份验证,哪些路径允许匿名访问,哪些路径需要特定的角色或权限

  3. 定制登录和注销行为: 自定义登录页面、处理登录请求的 URL、注销行为等

  4. 启用或禁用特定的安全性功能: 启用或禁用各种安全性功能,例如 CSRF 保护、Session 管理等

2.2 直接使用

内部内置的方法,都在这个类上:

@PreAuthorize 注解内置了一些方便的方法,可以直接在表达式中使用,例如:

  • hasRole('ROLE_NAME') 检查用户是否具有指定角色。
  • hasAnyRole('ROLE1', 'ROLE2') 检查用户是否具有给定角色中的任意一个。
  • hasAuthority('AUTHORITY_NAME') 检查用户是否具有指定权限。
  • hasAnyAuthority('AUTHORITY1', 'AUTHORITY2') 检查用户是否具有给定权限中的任意一个。
  • hasPermission(targetObject, 'permission'): 检查用户是否具有特定对象的特定权限。

如图所示:

@preauthorize,Java,java,SpringSecurity,PreAuthorize
对于上述方法的基本细节操作如下:

方法参数传递:

在表达式中,可以引用方法的参数,例如:
@PreAuthorize("hasPermission(#entity, 'read')") 表示检查用户是否有对给定实体的读权限。

逻辑运算:

表达式支持逻辑运算符,如 and, or, not,允许构建更复杂的权限规则

@PreAuthorize("hasRole('ADMIN') and hasPermission(#entity, 'write')")

大致Demo如下:

import org.springframework.security.access.prepost.PreAuthorize;

public class MyService {

    // 示例1: 仅允许具有ROLE_ADMIN角色的用户调用
    @PreAuthorize("hasRole('ROLE_ADMIN')")
    public void adminOperation() {
        // 实现管理员操作的代码
    }

    // 示例2: 允许具有READ权限并且是特定用户的调用
    @PreAuthorize("hasPermission(#username, 'READ')")
    public void userOperation(String username) {
        // 实现用户操作的代码
    }
}

@PreAuthorize 注解用于控制方法的访问权限。文章来源地址https://www.toymoban.com/news/detail-861179.html

  • 只有具有ROLE_ADMIN角色的用户才能调用adminOperation方法
  • 只有具有READ权限并且传入的用户名符合条件的用户才能调用userOperation方法

到了这里,关于详细分析SpringSecurity中的@PreAuthorize注解的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 若依框架基于@PreAuthorize注解的权限控制

    目录 一、Java注解(Annotation) 1. 概述         2. Annotation通用定义 (1)@interface (2)@Documented (3)@Target(ElementType.TYPE) (4)@Retention(RetentionPolicy.RUNTIME) 二、基于注解的权限控制 1. 数据权限  2. 角色权限         Java 注解(Annotation)又称 Java 标注,是 JDK5.0 引入的一种注

    2023年04月24日
    浏览(60)
  • Spring Security 之方法级的权限管控 @PreAuthorize 使用详解

    默认情况下, Spring Security 并不启用方法级的安全管控. 启用方法级的管控后, 可以针对不同的方法通过注解设置不同的访问条件. Spring Security 支持三种方法级注解, 分别是 JSR-205 注解 /@Secured 注解 / prePostEnabled 注解. 这些注解不仅可以直接加 controller 方法上, 也可以注解 Service 或

    2024年04月26日
    浏览(35)
  • Spring Boot 3.x.x Spring Security 6.x.x @PreAuthorize 失效

    最近在搞一个后端项目,登录、接口权限、token认证。 版本 Spring Boot 3.2.0 JDK 21 Spring Security 6.2.0 @PreAuthorize 失效,没有走认证。 给@PreAuthorize 打debug,发现不走该注解的认证。 上网查,需要加注解: @EnableGlobalMethodSecurity(prePostEnabled = true) 有效,但是已经被 @Deprecated 标记 换

    2024年02月04日
    浏览(42)
  • 详细分析Java中的@JsonFormat注解和@DateTimeFormat注解

    下文中涉及MybatisPlus的逻辑删除的知识,可看我之前这篇文章:详细讲解MybatisPlus实现逻辑删除 对应的Navicat设置数据库最新时间可看我这篇文章:Navicat 设置时间默认值(当前最新时间) 为了使 @JsonFormat 生效,项目必须引入 Jackson 库的相关依赖: (如果是springboot项目,可不

    2024年01月23日
    浏览(41)
  • 详细分析Spring中的@Around注解(附Demo)

    此知识点都来源于项目实战,对此进行科普总结,使得之后项目游刃有余 对于Spring的基本知识,推荐阅读: Spring框架从入门到学精(全) java框架 零基础从入门到精通的学习路线 附开源项目面经等(超全) 在Java中, @Around 注解通常与AspectJ框架一起使用,用于定义一个环绕

    2024年04月11日
    浏览(31)
  • mybatis多参数传递报错问题分析+硬核mybatis底层源码分析+@Param注解+图文实战环境分析【4500字详解打通,没有比这更详细的了!】

    ❗操作 mybatis 时报错: org.apache.ibatis.binding.BindingException: Parameter ‘tableName’ not found. Available parameters are [arg1, arg0, param1, param2] Maven MySQL 8.0.30 在本机 MySQL 中执行: 🍀 pom.xml导入依赖 🍀 jdbc.properties 在 resources 目录下新建 jdbc.properties 配置文件。 🍀 mybatis-config.xml 在 resources 目

    2024年02月12日
    浏览(49)
  • KMP算法——通俗易懂讲好KMP算法:实例图解分析+详细代码注解 --》你的所有疑惑在本文都能得到解答

    KMP 是一个 解决模式串在文本串是否出现过 ,如果出现过,最早出现的位置的经典算法。 Knuth-Morris-Pratt 字符串查找算法,简称为 “KMP 算法”,常用于 在一个文本串 S 内查找一个模式串 P 的出现位置 ,这个算法由 Donald Knuth 、 Vaughan Pratt 、 James H. Morris 三人于 1977 年联合发表

    2024年02月07日
    浏览(50)
  • SpringSecurity认证流程(超级详细)

    最近开发项目的时候遇到了和SpringSecurity相关的一些问题,但是之前并没有去了解过SpringSecurity,导致改系统安全权限验证的时候就比较吃力了,目前项目开发大多都直接用脚手架直接开发,系统安全权限验证已经形成了,所以并不是自己写的,自己理解起来会更慢一些,所以

    2024年02月07日
    浏览(51)
  • SpringSecurity源码分析(一) SpringBoot集成SpringSecurity即Spring安全框架的加载过程

          Spring Security是一个强大的并且高度可定制化的访问控制框架。 它基于spring应用。 Spring Security是聚焦于为java应用提供授权和验证的框架。像所有的spring项目一样,Spring Security真正的强大在于可以非常简单的拓展功能来实现自定义的需求。       在分析SpringBoot集成的Sp

    2024年02月03日
    浏览(46)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包