Spring Security表单配置过程分步讲解
Spring Security授权
实现授权接口方法安全注解
实现授权接口
实现接口
org.springframework.security.authorization.AuthorizationManager
import org.springframework.security.authorization.AuthorizationDecision; import org.springframework.security.authorization.AuthorizationManager; import org.springframework.security.core.Authentication; import org.springframework.security.web.access.intercept.RequestAuthorizationContext; import java.util.function.Supplier; public class MyAuthorizationManager implements AuthorizationManager<RequestAuthorizationContext> { @Override public AuthorizationDecision check(Supplier<Authentication> authentication, RequestAuthorizationContext object) { // ... 这里可以写授权逻辑 // 返回true表示有权限 return new AuthorizationDecision(true); } }
然后在配置中加入
@Bean public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception { http.formLogin(form -> { form .loginProcessingUrl("/login") // 接受登录请求的url,默认也是login .loginPage("/toLogin") // 表单对应的url .successForwardUrl("/success") // 登录成功后重定向的url .failureForwardUrl("/failure") // 登录失败后重定向的url ; }) .authorizeHttpRequests(authorize -> { // 授权所有请求都得经过授权 authorize.anyRequest().access(new MyAuthorizationManager()); }) .csrf().disable(); // 简单粗暴禁用csrf return http.build(); }
授权配置完成
方法安全注解
首先开启方法安全注解
@Configuration @EnableWebSecurity @EnableMethodSecurity public class SecurityConfig { // ... 省略配置 }
方法安全注解常用的有两个
org.springframework.security.access.prepost.PreAuthorize
org.springframework.security.access.prepost.PostAuthorize
PreAuthorize 是访问前授权
PostAuthorize 是访问后授权
例子:
import org.springframework.security.access.prepost.PostAuthorize; import org.springframework.security.access.prepost.PreAuthorize; import org.springframework.web.bind.annotation.GetMapping; import org.springframework.web.bind.annotation.PathVariable; import org.springframework.web.bind.annotation.RequestMapping; import org.springframework.web.bind.annotation.RestController; import security.demo.DataEntity; import java.util.UUID; @RestController @RequestMapping("/admin") public class AdminController { @GetMapping("/res/{id}") @PreAuthorize("hasAnyRole('admin')") public String getResById(@PathVariable("id") String id) { return id; } @GetMapping("/res/{id}") @PreAuthorize("hasAnyRole('admin')") @PostAuthorize("returnObject.creator == authentication.name") public DataEntity getDataEntityById(@PathVariable("id") String id) { String creator = UUID.randomUUID().toString(); return DataEntity.builder().id(id).someData("一些数据").creator(creator).build(); } }
其中的DataEntity是一个简单的pojo类
import lombok.Builder; import lombok.Data; @Data @Builder public class DataEntity { private String id; private String someData; private String creator; }
PreAuthorize 里面可以接收授权表达式,例子的意思是,当前用户要有admin角色
PostAuthorize 也接收授权表达式,例子里面的意思是,然后的实体类的creator属性必须是当前用户的username
更多的表达式可以参考官方文档: https://docs.spring.io/spring-security/reference/5.7/servlet/authorization/expression-based.html
官方文档里面有更多的注解和更多的使用方式
到此这篇关于Spring Security表单配置过程分步讲解的文章就介绍到这了,更多相关Spring Security表单配置内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!
相关文章
mybatis-plus IdWorker生成的Id和返回给前台的不一致的解决
这篇文章主要介绍了mybatis-plus IdWorker生成的Id和返回给前台的不一致的解决,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧2021-03-03海量数据去重排序bitmap(位图法)在java中实现的两种方法
今天小编就为大家分享一篇关于海量数据去重排序bitmap(位图法)在java中实现的两种方法,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧2019-02-02springboot+mysql+mybatis实现控制台打印sql
在Spring Boot中使用MyBatis与MySQL,并希望在控制台打印SQL语句,可以通过配置MyBatis的日志级别来实现,具有一定的参考价值,感兴趣的可以了解一下2024-01-01
最新评论