SpringSecurity请求授权规则配置与注解详解

更新时间：2023年12月06日 08:29:42 作者：流烟默

这篇文章主要介绍了SpringSecurity请求授权规则配置与注解详解,我们常使用@Secured与@PreAuthorize两个注解在进入方法前进行角色、权限的控制,进入方法前数据的过滤@PreFilter注解偶尔会看到,需要的朋友可以参考下

1、请求授权规则配置

这里主要是重写WebSecurityConfigurerAdapter 的configure方法。

protected void configure(HttpSecurity http) throws Exception {
     this.logger.debug("Using default configure(HttpSecurity). If subclassed this will potentially override subclass configure(HttpSecurity).");
     ((HttpSecurity)((HttpSecurity)((AuthorizedUrl)http.
	     authorizeRequests()
	     .anyRequest())
	     .authenticated()
	     .and())
	     .formLogin()
	     .and())
	     .httpBasic();
 }

① 自定义登录

这里UsernamePasswordAuthenticationFilter 将起作用。

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.formLogin()
            .loginPage("/login.html") //登录页面
            .loginProcessingUrl("/user/login") // 默认处理登录的请求
            .successForwardUrl("/success")  //登录成功后跳转到哪个URL
            .defaultSuccessUrl("/index",true)// 登录成功后跳转路径
            .failureForwardUrl("/fail") //登录失败后跳转到哪个URL
            .permitAll();

}

这里successForwardUrl与defaultSuccessUrl 都可以实现认证成功后跳转的效果，不过具体用法上有所区别。通常建议使用defaultSuccessUrl，至于具体区别后面另开章节学习。

还可以修改用户名和密码的key（默认是username 和password）：

.usernameParameter("userName")  //自定义获取用户登录名
.passwordParameter("password")  //自定义获取用户登录密码

② 设置放行与需要认证的请求

 http.authorizeRequests()
               .antMatchers("/static/**","/images/**","/css/**","/js/**")//可以直接放行
               .permitAll()//匹配上述请求的直接放行
               .anyRequest().authenticated();//其他请求都需要认证

③ 基于角色或权限进行访问控制

回顾上文我们自定义实现类设置用户角色权限如下：

在这里插入图片描述

这里用户角色、权限是指定的，那么我们是不是可以升级一下从数据库查询呢？如下图所示：

在这里插入图片描述

hasAuthority 方法

如果当前的主体具有指定的权限，则返回 true,否则返回false。

http.authorizeRequests()
     .antMatchers("/static/**","/images/**","/css/**","/js/**")//可以直接放行
     .permitAll()
     .antMatchers("/findAll").hasAuthority("admin") // 用户访问findAll 必须有 admin 权限
     .anyRequest().authenticated();//其他请求都需要认证

hasAnyAuthority方法

如果当前的主体有任何提供的角色（给定的作为一个逗号分隔的字符串列表）的话，返回true。

http.authorizeRequests()
    .antMatchers("/static/**","/images/**","/css/**","/js/**")//可以直接放行
    .permitAll()
    .antMatchers("/findAll").hasAuthority("admin") // 用户访问findAll 必须有 admin 权限
    .antMatchers("/find").hasAnyAuthority("admin","sale") // 用户访问 find ,拥有admin或者sale之一即可
    .anyRequest().authenticated();//其他请求都需要认证

hasRole 方法

如果用户具备给定角色就允许访问,否则出现403。如果当前主体具有指定的角色，则返回true。

这里需要说明的是在SpringSecurity源码中对hasRole 进行了处理，为角色名自动添加上了ROLE_前缀。故我们配置的时候不加该前缀即可。

org.springframework.security.config.annotation.web.configurers.ExpressionUrlAuthorizationConfigurer#hasRole

在这里插入图片描述

http.authorizeRequests()
     .antMatchers("/static/**","/images/**","/css/**","/js/**")//可以直接放行
     .permitAll()
     .antMatchers("/findAll").hasAuthority("admin") // 用户访问findAll 必须有 admin 权限
     .antMatchers("/find").hasAnyAuthority("admin","sale") // 用户访问 find ,拥有admin或者sale之一即可
     .antMatchers("/sale/**").hasRole("sale") // 需要用户具有sale角色
     .anyRequest().authenticated();//其他请求都需要认证

hasAnyRole方法

表示用户具备任何一个条件都可以访问。

http.authorizeRequests()
     .antMatchers("/static/**","/images/**","/css/**","/js/**")//可以直接放行
     .permitAll()
     .antMatchers("/findAll").hasAuthority("admin") // 用户访问findAll 必须有 admin 权限
     .antMatchers("/find").hasAnyAuthority("admin","sale") // 用户访问 find ,拥有admin或者sale之一即可
     .antMatchers("/sale/**").hasRole("sale") // 需要用户具有sale角色
     .antMatchers("/product/**").hasAnyRole("admin","product") //用户具有admin或者product角色之一即可
     .anyRequest().authenticated();//其他请求都需要认证

④ 自定义403访问拒绝页面

修改配置类

 http.exceptionHandling().accessDeniedPage("/unauth.html");

这里需要说明的是你的静态资源文件路径下比如static下需要有unauth.html页面，当然这里也可以换成一个请求如/unauth，编写controller来处理该请求。

⑤ 自定义退出

修改配置类如下：

http.logout().logoutUrl("/logout")  //退出登录请求
			.logoutSuccessUrl("/index") //注销成功后跳转地址
			.permitAll();

还可以指定在退出时删除某些cookie、注销会话：

.deleteCookies("remember-me","sign")
.invalidateHttpSession(true)

2、SpringSecurity的注解

通过方法上的注解我们可以实现在后端服务上细粒度的权限校验。

主启动类上要添加@EnableGlobalMethodSecurity注解

@SpringBootApplication
@MapperScan("com.jane.mapper")
@EnableGlobalMethodSecurity(securedEnabled=true,prePostEnabled = true)
public class Securitydemo1Application {
    public static void main(String[] args) {
        SpringApplication.run(Securitydemo1Application.class, args);
    }
}

① @Secured

判断是否具有角色，另外需要注意的是这里匹配的字符串需要添加前缀“ROLE_“ 。使用该注解前要先开启注解支持：@EnableGlobalMethodSecurity(securedEnabled=true)

// 测试注解： 
@RequestMapping("testSecured") 
@ResponseBody 
@Secured({"ROLE_normal","ROLE_admin"}) 
public String helloUser() { 
	return "hello,user"; 
}

② @PreAuthorize

先开启注解功能： @EnableGlobalMethodSecurity(prePostEnabled = true)。

@PreAuthorize注解适合进入方法前的权限验证，是一种常见的应用策略。

@RequestMapping("/preAuthorize") 
@ResponseBody 
//@PreAuthorize("hasRole('ROLE_admin')") 
@PreAuthorize("hasAnyAuthority('menu:system')") 
public String preAuthorize(){ 
	System.out.println("preAuthorize"); 
	return "preAuthorize"; 
}

可以看到这里权限表达式中可以使用hasRole、hasAnyRole、hasAuthority 以及hasAnyAuthority来灵活控制。

③ @PostAuthorize

先开启注解功能： @EnableGlobalMethodSecurity(prePostEnabled = true) 。@PostAuthorize 注解很少使用，在方法执行后再进行权限验证，适合验证带有返回值的权限。

@RequestMapping("/testPostAuthorize") 
@ResponseBody 
@PostAuthorize("hasAnyAuthority('menu:system')") 
public String preAuthorize(){ 
	System.out.println("test--PostAuthorize"); 
	return "PostAuthorize"; 
}

④ @PostFilter

@PostFilter ：权限验证之后对数据进行过滤。表达式中的 filterObject 引用的是方法返回值List中的某一个元素。通常也很少使用。

如下留下用户名是admin1的数据：

@RequestMapping("getAll") 
@PreAuthorize("hasRole('ROLE_admin')") 
@PostFilter("filterObject.username == 'admin1'") 
@ResponseBody public List<UserInfo> getAllUser(){ 
	ArrayList<UserInfo> list = new ArrayList<>(); 
	list.add(new UserInfo(1l,"admin1","6666")); 
	list.add(new UserInfo(2l,"admin2","888")); 
	return list; 
}

⑤ @PreFilter

@PreFilter: 进入控制器之前对数据进行过滤。

@RequestMapping("getTestPreFilter") 
@PreAuthorize("hasRole('ROLE_admin')") 
@PreFilter(value = "filterObject.id%2==0") 
@ResponseBody public List<UserInfo> getTestPreFilter(@RequestBody List<UserInfo> list){ 
	list.forEach(t-> { System.out.println(t.getId()+"\t"+t.getUsername()); }); 
	return list; 
}

综上，这里我们常使用@Secured与@PreAuthorize两个注解在进入方法前进行角色、权限的控制。

进入方法前数据的过滤@PreFilter注解偶尔会看到，至于方法执行完后进行校验的两个注解@PostAuthorize与@PostFilter几乎不用。

到此这篇关于SpringSecurity请求授权规则配置与注解详解的文章就介绍到这了,更多相关SpringSecurity配置与注解内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家！

您可能感兴趣的文章:

java FastJson的简单用法
FastJson是阿里的开源JSON解析库,可以解析JSON格式的字符串，支持将Java Bean序列化为JSON字符串，也可以从JSON字符串反序列化到JavaBean，这里我介绍一下FastJson的使用，感兴趣的朋友一起看看吧
2021-09-09
Java设计模式之观察者模式
这篇文章主要介绍了Java设计模式之观察者模式,观察者模式,是一种行为性模型,又叫发布-订阅模式,他定义对象之间一种一对多的依赖关系,使得当一个对象改变状态,则所有依赖于它的对象都会得到通知并自动更新,需要的朋友可以参考下
2023-11-11
Java中设置session超时（失效）的三种方法
这篇文章主要介绍了Java中设置session超时（失效）的三种方法,本文讲解了在web容器中设置、在工程的web.xml中设置、通过java代码设置3种方法,需要的朋友可以参考下
2015-07-07
springboot3整合knife4j详细图文教程(swagger增强)
开发api提供对应的接口规范进行联调或并行开发,api文档管理必不可少,常用的Knife4j基于swagger(依赖已经compile),可以进行管理,下面这篇文章主要给大家介绍了关于springboot3整合knife4j的相关资料,需要的朋友可以参考下
2024-03-03
Java反射概念与使用实例代码
JAVA反射机制是在运行状态中,对于任意一个类,都能够知道这个类的所有属性和方法,下面这篇文章主要给大家介绍了关于Java反射概念与使用的相关资料,需要的朋友可以参考下
2021-11-11
Spring IoC学习之ApplicationContext中refresh过程详解
这篇文章主要给大家介绍了关于Spring IoC学习之ApplicationContext中refresh过程的相关资料，文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值，需要的朋友们下面随着小编来一起学习学习吧
2020-09-09
分析xxljob登入功能集成OIDC的统一认证
这篇文章主要为大家介绍分析xxljob登入功能集成OIDC的统一认证的详解说明，有需要的朋友可以借鉴参考下，希望能够有所帮助，祝大家多多进步
2022-02-02
Java+Selenium设置元素等待的方法详解
本文主要介绍如何使用java代码利用Selenium操作浏览器，某些网页元素加载慢，如何操作元素就会把找不到元素的异常，此时需要设置元素等待，等待元素加载完，再操作，感兴趣的可以了解一下
2023-01-01
浅谈java中守护线程与用户线程
本篇文章主要介绍了浅谈java中守护线程与用户线程，小编觉得挺不错的，现在分享给大家，也给大家做个参考。一起跟随小编过来看看吧
2017-09-09
Spring boot 运用策略模式实现避免多次使用if的操作代码
这篇文章主要介绍了Spring boot 运用策略模式实现，避免多次使用if,使用策略模式后，新加一种支付策略时，只需要在策略枚举中添加新加的策略信息，外加一个策略类即可，而不再需要添加新的if判断，需要的朋友可以参考下
2022-08-08