1. 说明

security 鉴权方式常用的有两种配置,1、配置文件中配置;2、使用注解标注;他们都是基于 acess 表达式,如果需要自定义逻辑的鉴权认证,只需要自定义 access 表达式即可。本文只选取注解的方式,来讲解默认的 access 和自定义的 access 表达式

2.基于注解的使用

2.1 使用前提条件:

注解默认不可用,通过开启注解:在配置类中开启注解 @EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)

  • @Secured:专门判断用户是否具有角色,可以写在方法或类上,参数以 ROLE_ 开头
  • @PreAuthorize\PostAuthorize: PreAuthorize 访问的类或方法执行前判断权限,而 PostAuthorize 在执行之后,Post 基本不用;允许与 ROLE_ 开头。

2.2 基于默认的access表达式

在登录的时候,需要将用户权限返回给security;security才能实现权限控制功能;

具体步骤:

登录时,实现 UserDetailService,重写 loadUserByUsername(String userName)方法。根据 userName 来实现自己的业务逻辑返回 UserDetails 的实现类,需要自定义 User 类实现 UserDetails,比较重要的方法是 getAuthorities(),用来返回该用户所拥有的权限

@Data

public class LoginUser implements UserDetails, Serializable {

    ...

    @Override

    public Collection<? extends GrantedAuthority> getAuthorities() {

        // 根据自定义逻辑来返回用户权限,如果用户权限返回空或者和拦截路径对应权限不同,验证不通过

        if (!permissions.isEmpty()) {

            List<GrantedAuthority> list = new ArrayList<GrantedAuthority>();

            for (String temp : permissions) {

                GrantedAuthority au = new SimpleGrantedAuthority(temp);

                list.add(au);

            }

            return list;

        }

        return null;

    }

}

然后在需要权限控制的controller方法上,添加注解@PreAuthorize("hasAuthority('..*')");其中@PreAuthorize括号中就是access表达式。具体默认的有哪些请参考官网。

@RestController

@RequestMapping("test")

public class TestController {

    @Autowired

    private ISysUserService userService;

    @Autowired

    private PermissionService permissionService;

    @PreAuthorize("hasAuthority('*.*.*')")

    @RequestMapping("userList")

    public ResultVo queryUserList() {

        List<SysUser> list = userService.list();

        List<UserVo> result = list.stream().map(item -> permissionService.getUserInfo(item)).collect(Collectors.toList());

        return ResultVo.success(result);

    }

}

2.3 自定义access表达式

自定义权限认证业务逻辑,然后将该方法标注到注解上

package com.nanboone.framework.security.service;

import java.util.Set;

import com.nanboone.common.utils.ServletUtils;

import com.nanboone.framework.security.domain.LoginUser;

import com.nanboone.framework.token.JwtTokenUtils;

import org.apache.commons.lang3.StringUtils;

import org.springframework.beans.factory.annotation.Autowired;

import org.springframework.stereotype.Service;

import org.springframework.util.CollectionUtils;

/**

 * AuthorityPermissionService:自定义access表达式,鉴权验证。

 * 可以将自定义的access添加到配置类中:http.anyRequest.access(aps.hasPermission(xxx,xxx));

 * 也可以直接使用注解@PreAuthorize:@PreAuthorize(aps.hasPermission(xxx));

 *

 * @Author: dangbo

 * @Date: 2021/5/20 10:12

 */

@Service("aps")

public class AuthorityPermissionService {

    @Autowired

    JwtTokenUtils jwtTokenUtils;

    public boolean hasPermission(String permissions) {

        if (StringUtils.isEmpty(permissions)) {

            return false;

        }

        // 用户信息对象

        LoginUser loginUser = jwtTokenUtils.getLoginUser(ServletUtils.getRequest());

        if (loginUser == null || CollectionUtils.isEmpty(loginUser.getPermissions())) {

            return false;

        }

        Set<String> authorities = loginUser.getPermissions();

        for (String permission : permissions.split(",")) {

            if (StringUtils.isNotEmpty(permission) && hasPermissions(authorities, permission)) {

                return true;

            }

        }

        return false;

    }

    private boolean hasPermissions(Set<String> authorities, String permission) {

        return authorities.contains("*.*.*") || authorities.contains(permission.trim());

    }

}

@RestController

@RequestMapping("test")

public class TestController {

    @Autowired

    private ISysUserService userService;

    @Autowired

    private PermissionService permissionService;

    @PreAuthorize("@aps.hasPermission('*.*.*')")

    @RequestMapping("userList")

    public ResultVo queryUserList() {

        List<SysUser> list = userService.list();

        List<UserVo> result = list.stream().map(item -> permissionService.getUserInfo(item)).collect(Collectors.toList());

        return ResultVo.success(result);

    }

}

springboot security 权限控制 -- @PreAuthorize 的使用的更多相关文章

  1. Spring Security权限控制

    Spring Security官网 : https://projects.spring.io/spring-security/ Spring Security简介: Spring Security是一 ...

  2. 自定义Spring Security权限控制管理(实战篇)

    上篇<话说Spring Security权限管理(源码)>介绍了Spring Security权限控制管理的源码及实现,然而某些情况下,它默认的实现并不能满足我们项目的实际需求,有时候需要 ...

  3. security权限控制

    目录 前言 数据库和dimain 静态页面 配置文件 web.xml引入 service校验方法 用户名的获取 不同角色访问控制权限 jsp页面 后台 前言 spring自带角色权限控制框架 用户-角 ...

  4. Spring Security教程之基于表达式的权限控制(九)

    目录 1.1      通过表达式控制URL权限 1.2      通过表达式控制方法权限 1.2.1     使用@PreAuthorize和@PostAuthorize进行访问控制 1.2.2   ...

  5. spring security 3.1 实现权限控制

    spring security 3.1 实现权限控制 简单介绍:spring security 实现的权限控制,能够分别保护后台方法的管理,url连接訪问的控制,以及页面元素的权限控制等, secur ...

  6. Vue 动态路由的实现以及 Springsecurity 按钮级别的权限控制

    思路: 动态路由实现:在导航守卫中判断用户是否有用户信息,通过调用接口,拿到后台根据用户角色生成的菜单树,格式化菜单树结构信息并递归生成层级路由表并使用Vuex保存,通过 router.addRout ...

  7. springboot整合security实现基于url的权限控制

    权限控制基本上是任何一个web项目都要有的,为此spring为我们提供security模块来实现权限控制,网上找了很多资料,但是提供的demo代码都不能完全满足我的需求,因此自己整理了一版. 在上代码 ...

  8. Spring Security 动态url权限控制(三)

    一.前言 本篇文章将讲述Spring Security 动态分配url权限,未登录权限控制,登录过后根据登录用户角色授予访问url权限 基本环境 spring-boot 2.1.8 mybatis-p ...

  9. Spring Security(17)——基于方法的权限控制

    目录 1.1     intercept-methods定义方法权限控制 1.2     使用pointcut定义方法权限控制 1.3     使用注解定义方法权限控制 1.3.1    JSR-25 ...

  10. Spring Security(16)——基于表达式的权限控制

    目录 1.1      通过表达式控制URL权限 1.2      通过表达式控制方法权限 1.2.1     使用@PreAuthorize和@PostAuthorize进行访问控制 1.2.2   ...

随机推荐

  1. Jenkins 多分支流水线(SVN)

    实际应用过程中,一般多分支流水线的方式用得比较多一些, master 对应 生成环境 develop 对应 测试环境, 将不同分支的代码构建到不同的环境中 添加 Jenkinsfile 文件 Jenk ...

  2. VS IIS Express 启动项目后,绑IP让别人可以访问你的网站

    如何VS IIS Express 启动项目后,绑本机IP,让别人可以访问你的网站,方便Debug 一.修改iis配置 1.在web服务器执行后,会运行IIS Express,右击它选择显示所有应用程序 ...

  3. 基于Kresling折纸结构双稳态空间的无人机着陆系统新结构

    摘要:本文利用动捕技术对无人机着陆系统模型进行动力学分析,对折纸结构双稳态着陆系统性能进行测试,为无人机着陆系统结构设计提供创新方法. 近期,一篇关于无人机着陆系统的研究论文"Evoluti ...

  4. # 2027 ( 统计元音 ) :hash应用

    Problem Description 统计每个元音字母在字符串中出现的次数. Input 输入数据首先包括一个整数n,表示测试实例的个数,然后是n行长度不超过100的字符串. Output 对于每个 ...

  5. 深度揭秘阿里云 Serverless Kubernetes

    作者 | 陈晓宇(阿里云技术专家) 策划 | 褚杏娟 伴随着云原生的发展,从早先的单机版 Docker 到 Kubernetes 的编排领域的一统江湖,再到云上托管 Kubernetes,技术风雨变化 ...

  6. 如何实现纯网页语音视频聊天和桌面分享?(附源码,PC版+手机版)

    在网页里实现文字聊天是比较容易的,但若要实现视频聊天,就比较麻烦了.本文将实现一个纯网页版的视频聊天和桌面分享的Demo,可直接在浏览器中运行,不需要安装任何插件. 一. 主要功能及支持平台 1.本D ...

  7. C#绘制柱形图

    柱形图数据 通过 panel 绘制柱形图 private void ShowPic() { Conn(); //打开数据库连接 using (cmd = new SqlCommand("SE ...

  8. zookeeper源码(06)ZooKeeperServer及子类

    ZooKeeperServer 实现了单机版zookeeper服务端功能,子类实现了更加丰富的分布式集群功能: ZooKeeperServer |-- QuorumZooKeeperServer |- ...

  9. Java开发者的Golang进修指南:从0->1带你实现协程池

    在Java编程中,为了降低开销和优化程序的效率,我们常常使用线程池来管理线程的创建和销毁,并尽量复用已创建的对象.这样做不仅可以提高程序的运行效率,还能减少垃圾回收器对对象的回收次数. 在Golang ...

  10. Python定位错误:段错误 (核心已转储)

    技术背景 在各种编程语言中都有可能会遇到这样一个报错:"段错误 (核心已转储)".显然是编写代码的过程中有哪里出现了问题,但是这个报错除了这几个字以外没有任何的信息,我们甚至不知道 ...