脚本之家 服务器常用软件
快捷导航
您的位置:首页软件编程java → Spring Security表单配置

Spring Security表单配置过程分步讲解

 更新时间:2023年01月20日 16:06:08   作者:青春逝如流水  
SpringSecurity的配置基于WebSecurityConfigurerAdapter的实现类,我们这里主要讲基本配置,即configure(HttpSecurity http)方法的配置,其实大都有默认值,我们可以直接用默认值,也可以自己设置

Spring Security授权

实现授权接口方法安全注解

实现授权接口

实现接口

org.springframework.security.authorization.AuthorizationManager

import org.springframework.security.authorization.AuthorizationDecision;
import org.springframework.security.authorization.AuthorizationManager;
import org.springframework.security.core.Authentication;
import org.springframework.security.web.access.intercept.RequestAuthorizationContext;
import java.util.function.Supplier;
public class MyAuthorizationManager implements AuthorizationManager<RequestAuthorizationContext> {
    @Override
    public AuthorizationDecision check(Supplier<Authentication> authentication, RequestAuthorizationContext object) {
    	// ... 这里可以写授权逻辑
        // 返回true表示有权限
        return new AuthorizationDecision(true);
    }
}

然后在配置中加入

@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
      http.formLogin(form -> {
          form
                  .loginProcessingUrl("/login") // 接受登录请求的url,默认也是login
                  .loginPage("/toLogin") // 表单对应的url
                  .successForwardUrl("/success") // 登录成功后重定向的url
                  .failureForwardUrl("/failure") // 登录失败后重定向的url
                  ;
              })
              .authorizeHttpRequests(authorize -> {
                  // 授权所有请求都得经过授权
                  authorize.anyRequest().access(new MyAuthorizationManager());
              })
              .csrf().disable(); // 简单粗暴禁用csrf
      return http.build();
}

授权配置完成

方法安全注解

首先开启方法安全注解

@Configuration
@EnableWebSecurity
@EnableMethodSecurity
public class SecurityConfig {
	// ... 省略配置
}

方法安全注解常用的有两个

org.springframework.security.access.prepost.PreAuthorize

org.springframework.security.access.prepost.PostAuthorize

PreAuthorize 是访问前授权

PostAuthorize 是访问后授权

例子:

import org.springframework.security.access.prepost.PostAuthorize;
import org.springframework.security.access.prepost.PreAuthorize;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.PathVariable;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
import security.demo.DataEntity;
import java.util.UUID;
@RestController
@RequestMapping("/admin")
public class AdminController {
    @GetMapping("/res/{id}")
    @PreAuthorize("hasAnyRole('admin')")
    public String getResById(@PathVariable("id") String id) {
        return id;
    }
    @GetMapping("/res/{id}")
    @PreAuthorize("hasAnyRole('admin')")
    @PostAuthorize("returnObject.creator == authentication.name")
    public DataEntity getDataEntityById(@PathVariable("id") String id) {
        String creator = UUID.randomUUID().toString();
        return DataEntity.builder().id(id).someData("一些数据").creator(creator).build();
    }
}

其中的DataEntity是一个简单的pojo类

import lombok.Builder;
import lombok.Data;
@Data
@Builder
public class DataEntity {
    private String id;
    private String someData;
    private String creator;
}

PreAuthorize 里面可以接收授权表达式,例子的意思是,当前用户要有admin角色

PostAuthorize 也接收授权表达式,例子里面的意思是,然后的实体类的creator属性必须是当前用户的username

更多的表达式可以参考官方文档: https://docs.spring.io/spring-security/reference/5.7/servlet/authorization/expression-based.html

官方文档里面有更多的注解和更多的使用方式

到此这篇关于Spring Security表单配置过程分步讲解的文章就介绍到这了,更多相关Spring Security表单配置内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!

您可能感兴趣的文章:

相关文章

  • springboot通过jar包启动中文日志乱码问题及解决

    springboot通过jar包启动中文日志乱码问题及解决

    这篇文章主要介绍了springboot通过jar包启动中文日志乱码问题及解决方案,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教
    2022-06-06
  • mybatis-plus IdWorker生成的Id和返回给前台的不一致的解决

    mybatis-plus IdWorker生成的Id和返回给前台的不一致的解决

    这篇文章主要介绍了mybatis-plus IdWorker生成的Id和返回给前台的不一致的解决,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
    2021-03-03
  • 海量数据去重排序bitmap(位图法)在java中实现的两种方法

    海量数据去重排序bitmap(位图法)在java中实现的两种方法

    今天小编就为大家分享一篇关于海量数据去重排序bitmap(位图法)在java中实现的两种方法,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
    2019-02-02
  • springboot+mysql+mybatis实现控制台打印sql

    springboot+mysql+mybatis实现控制台打印sql

    在Spring Boot中使用MyBatis与MySQL,并希望在控制台打印SQL语句,可以通过配置MyBatis的日志级别来实现,具有一定的参考价值,感兴趣的可以了解一下
    2024-01-01
  • Java 集合中的类关于线程安全

    Java 集合中的类关于线程安全

    这篇文章主要介绍了Java 集合中的类关于线程安全的相关资料,需要的朋友可以参考下
    2017-01-01
  • AQS加锁机制Synchronized相似点详解

    AQS加锁机制Synchronized相似点详解

    这篇文章主要为大家介绍了AQS加锁机制Synchronized相似点详解,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步,早日升职加薪
    2022-10-10
  • Java中equals比较方法使用详解

    Java中equals比较方法使用详解

    这篇文章主要给大家介绍了关于Java中equals比较方法使用的相关资料,在Java中equals()方法是Object类的一个实例方法,用于比较两个对象是否相等,文中通过代码介绍的非常详细,需要的朋友可以参考下
    2023-12-12
  • SpringBoot中操作Redis及工具类的封装详解

    SpringBoot中操作Redis及工具类的封装详解

    在我们项目开发中总是免不了会使用缓存,Redis现在基本是我们公司中非常常见的缓存方案,包括在用户token的缓存,热点信息的缓存等,这篇文章主要讲讲在SpringBoot项目中如何去操作Redis,及最后工具类的封装
    2023-05-05
  • java数据结构之希尔排序

    java数据结构之希尔排序

    这篇文章主要为大家详细介绍了java数据结构之希尔排序的相关代码,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
    2017-11-11
  • SpringBoot是如何实现自动配置的你知道吗

    SpringBoot是如何实现自动配置的你知道吗

    这篇文章主要介绍了详解SpringBoot自动配置原理,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
    2021-08-08

最新评论