Spring Security使用詳解10(通過註解配置方法安全)

原創 飄仙人 2021-02-07 09:22

在之前的文章樣例中,認證和授權都是基於 URL 的。開發者也可以通過註解來靈活地配置方法安全,下面通過樣例進行演示。 

 

十、通過註解配置方法安全

1、樣例代碼

(1)首先我們要通過 @EnableGlobalMethodSecurity 註解開啓基於註解的安全配置:

@EnableGlobalMethodSecurity 註解參數說明:

  • prePostEnabled = true 會解鎖 @PreAuthorize 和 @PostAuthorize 兩個註解。顧名思義,@PreAuthorize 註解會在方法執行前進行驗證,而 @PostAuthorize 註解會在方法執行後進行驗證。
  • securedEnabled = true 會解鎖 @Secured 註解。
@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true,securedEnabled = true)
public class MyWebSecurityConfig extends WebSecurityConfigurerAdapter {
    // 指定密碼的加密方式
    @SuppressWarnings("deprecation")
    @Bean
    PasswordEncoder passwordEncoder(){
        // 不對密碼進行加密
        return NoOpPasswordEncoder.getInstance();
    }
 
    // 配置用戶及其對應的角色
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
                .withUser("root").password("123").roles("DBA")
                .and()
                .withUser("admin").password("123").roles("ADMIN")
                .and()
                .withUser("hangge").password("123").roles("USER");
    }
 
    // 配置 URL 訪問權限
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests() // 開啓 HttpSecurity 配置
            .anyRequest().authenticated() // 用戶訪問其它URL都必須認證後訪問(登錄後訪問)
            .and().formLogin().loginProcessingUrl("/login").permitAll() // 開啓表單登錄並配置登錄接口
            .and().csrf().disable(); // 關閉csrf
    }
}

 (2)開啓註解安全配置後,接着創建一個 MethodService 進行測試:

@Service
public class MethodService {
 
    // 訪問該方法需要 ADMIN 角色。注意:這裏需要在角色前加一個前綴"ROLE_"
    @Secured("ROLE_ADMIN")
    public String admin() {
        return "hello admin";
    }
 
    // 訪問該方法既要 ADMIN 角色,又要 DBA 角色
    @PreAuthorize("hasRole('ADMIN') and hasRole('DBA')")
    public String dba() {
        return "hello dba";
    }
 
    // 訪問該方法只需要 ADMIN、DBA、USER 中任意一個角色即可
    @PreAuthorize("hasAnyRole('ADMIN','DBA','USER')")
    public String user() {
        return "hello user";
    }
}

(3)最後在 Controller 中注入這個 Service 並調用 Service 中的方法進行測試:

@RestController
public class HelloController {
 
    @Autowired
    MethodService methodService;
 
    @GetMapping("/admin")
    public String admin() {
        return methodService.admin();
    }
 
    @GetMapping("/dba")
    public String dba() {
        return methodService.dba();
    }
 
    @GetMapping("/user")
    public String user() {
        return methodService.user();
    }
}

 

2、運行測試

(1)使用 admin 用戶登錄,無論訪問 /admin 接口、還是 /user 接口都是沒問題的:

(2)而對於 /dba 接口雖然 admin 也有權限,但該接口內部調用的 methodService.dba() 方法同時需要 ADMIN 和 DBA 權限,因此訪問會被拒絕。

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

常見的安全漏洞

跨站腳本攻擊(XSS) 存儲型XSS攻擊 常見的就是富文本編輯器保存的html,需要到頁面上渲染,如果保存了釣魚網站的超鏈接,或者惡意引導,則渲染時會觸發xss攻擊。 反射型XSS攻擊 DOM型XSS攻擊 CSP(content secur

原創 2023-12-15 12:55:35

Spring Security Bcrypt算法小結

Bcrypt本身是一種Hash算法 Bcrypt密文由以下基本部分組成 $2a$10$e9lBHmVW8KafMUzRwtPcO./yHO.0SO5OzfHLJfPK1psT3rChKvpw. 0: 固定字符 $ 1-2: 2a 表示算

原創 2023-01-10 22:09:41

163 SpringBoot常用註解大全

  轉自:https://mp.weixin.qq.com/s/PzZ31ju32-5epXpQeTZsNA 備份文件路徑:   1.整體圖         2.具體講解   平時使用SpringBoot開發項目,少不了要使用到它

20190513 2022-12-21 12:51:12

Spring Security 登錄時異常信息拋出了未獲取到

在項目中用到了Spring Security 進行登錄校驗,我們實現了其UserDetailsService接口的loadUserByUsername()方法,並在其中定義了異常信息,通過UsernameNotFoundException異

原創 2022-04-30 13:30:35

Spring Cloud 2021.X Eureka Cannot execute request on any known server

    最近用SpringCloud 2021搭建項目玩,遇到一個有點煩人的問題,卡了我一個小時,不是大問題,但值的記錄一下,主要是思路和突破口的尋找。     先說一下前因後果吧。找了一圈各類註冊中心,發現符合我目前需求的依然是Eurek

原創 2022-04-30 13:18:11

spring security 之前端加密,後端解密

前端加密 這個先留着,以後再寫。  後端解密 後端解密主要是使用DaoAuthenticationProvider DaoAuthenticationProvider 的繼承關係如下: DaoAuthenticationProvid

原創 2022-04-30 10:56:42

BCrypt和MD5密碼加密介紹及實現

需求 對於用戶密碼的保護,通常都會進行加密。我們通常對密碼進行加密,然後存放在數據庫中,在用戶進行登錄的時候,將其輸入的密碼與數據庫中存放的密文進行比較,以驗證用戶密碼是否正確。 BCrypt和MD5介紹 BCrypt加密: 一種加鹽的

黃瓜與土豆 2022-04-30 06:06:41

Spring Security教程之session管理

  1.1     檢測session超時 1.2     concurrency-control 1.3     session 固定攻擊保護          Spring Security通過http元素下的子元素session

osc_vyztkm1b 2021-12-25 21:35:15

spring security 通過外部配置適配bcrypt和sm2兩種加密方式自由切換

1、引入依賴 <dependency> <groupId>org.bouncycastle</groupId> <artifactId>bcprov-jdk15on</artifactId>

原創 2021-12-25 21:12:32

使用 Spring Security 時,在 bean 中獲取當前用戶名(即 SecurityContext)信息的正確方法是什麼?

問題: I have a Spring MVC web app which uses Spring Security.我有一個使用 Spring Security 的 Spring MVC Web 應用程序。 I want to know

fyin1314 2021-10-09 21:19:38

一個奇怪的登錄需求

@[toc] 一個奇怪的登錄需求。 這是小夥伴們在微信羣裏的一個提問,我覺得很有意思: 雖然這並非一個典型需求,但是把這個問題解決了,有助於加深大家對於 Spring Security 的理解。 因此,松哥打算擼一篇文章和大家稍微聊聊這個

原創 2021-09-27 21:21:02

通過Spring進行RESTful身份驗證 - RESTful Authentication via Spring

問題: Problem: 問題: We have a Spring MVC-based RESTful API which contains sensitive information. 我們有一個基於Spring MVC的RESTf

javail 2021-09-23 09:15:56

再見,Spring Security OAuth!!

官宣新品 最近,Spring 官方又推出了《Spring Authorization Server》項目: 本次將 《Spring Authorization Server》項目正式上線,去掉了之前的體驗狀態,此舉恰逢 0.2.0 版本發

原創 2021-08-29 21:33:47

Spring官宣新家族成員:Spring Authorization Server!

8月17日,Spring官方宣佈 Spring Authorization Server 已正式脫離實驗狀態,並進入Spring-Project家族! 官方聲明 此舉恰逢本週的 0.2.0 版本發佈,這是第一個

程序猿DD 2021-08-19 09:42:47

OAuth2.1授權服務器Spring Authorization Server正式孵化成功進入Spring項目家族

今天Spring官方宣佈 Spring Authorization Server 已正式退出實驗狀態並進入Spring 項目的產品家族! 此舉恰逢本週的 0.2.0 版本發佈,這是第一個正式支持的生產就緒版本。 自2020 年 4 月S

原創 2021-08-18 09:10:18