Spring Security表單配置過程分步講解
Spring Security授權(quán)
實現(xiàn)授權(quán)接口方法安全注解
實現(xiàn)授權(quán)接口
實現(xiàn)接口
org.springframework.security.authorization.AuthorizationManager
import org.springframework.security.authorization.AuthorizationDecision; import org.springframework.security.authorization.AuthorizationManager; import org.springframework.security.core.Authentication; import org.springframework.security.web.access.intercept.RequestAuthorizationContext; import java.util.function.Supplier; public class MyAuthorizationManager implements AuthorizationManager<RequestAuthorizationContext> { @Override public AuthorizationDecision check(Supplier<Authentication> authentication, RequestAuthorizationContext object) { // ... 這里可以寫授權(quán)邏輯 // 返回true表示有權(quán)限 return new AuthorizationDecision(true); } }
然后在配置中加入
@Bean public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception { http.formLogin(form -> { form .loginProcessingUrl("/login") // 接受登錄請求的url,默認也是login .loginPage("/toLogin") // 表單對應(yīng)的url .successForwardUrl("/success") // 登錄成功后重定向的url .failureForwardUrl("/failure") // 登錄失敗后重定向的url ; }) .authorizeHttpRequests(authorize -> { // 授權(quán)所有請求都得經(jīng)過授權(quán) authorize.anyRequest().access(new MyAuthorizationManager()); }) .csrf().disable(); // 簡單粗暴禁用csrf return http.build(); }
授權(quán)配置完成
方法安全注解
首先開啟方法安全注解
@Configuration @EnableWebSecurity @EnableMethodSecurity public class SecurityConfig { // ... 省略配置 }
方法安全注解常用的有兩個
org.springframework.security.access.prepost.PreAuthorize
org.springframework.security.access.prepost.PostAuthorize
PreAuthorize 是訪問前授權(quán)
PostAuthorize 是訪問后授權(quán)
例子:
import org.springframework.security.access.prepost.PostAuthorize; import org.springframework.security.access.prepost.PreAuthorize; import org.springframework.web.bind.annotation.GetMapping; import org.springframework.web.bind.annotation.PathVariable; import org.springframework.web.bind.annotation.RequestMapping; import org.springframework.web.bind.annotation.RestController; import security.demo.DataEntity; import java.util.UUID; @RestController @RequestMapping("/admin") public class AdminController { @GetMapping("/res/{id}") @PreAuthorize("hasAnyRole('admin')") public String getResById(@PathVariable("id") String id) { return id; } @GetMapping("/res/{id}") @PreAuthorize("hasAnyRole('admin')") @PostAuthorize("returnObject.creator == authentication.name") public DataEntity getDataEntityById(@PathVariable("id") String id) { String creator = UUID.randomUUID().toString(); return DataEntity.builder().id(id).someData("一些數(shù)據(jù)").creator(creator).build(); } }
其中的DataEntity是一個簡單的pojo類
import lombok.Builder; import lombok.Data; @Data @Builder public class DataEntity { private String id; private String someData; private String creator; }
PreAuthorize 里面可以接收授權(quán)表達式,例子的意思是,當前用戶要有admin角色
PostAuthorize 也接收授權(quán)表達式,例子里面的意思是,然后的實體類的creator屬性必須是當前用戶的username
更多的表達式可以參考官方文檔: https://docs.spring.io/spring-security/reference/5.7/servlet/authorization/expression-based.html
官方文檔里面有更多的注解和更多的使用方式
到此這篇關(guān)于Spring Security表單配置過程分步講解的文章就介紹到這了,更多相關(guān)Spring Security表單配置內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家!
相關(guān)文章
Java使用枚舉替代if/else和switch-case語句的實踐
在軟件開發(fā)中if-else和switch-case語句經(jīng)常被用來處理不同的條件分支,但在大型項目中,這種做法可能導致代碼可讀性差、維護困難,這篇文章主要給大家介紹了關(guān)于Java使用枚舉替代if/else和switch-case語句的相關(guān)資料,需要的朋友可以參考下2024-09-09struts2數(shù)據(jù)處理_動力節(jié)點Java學院整理
Struts2框架框架使用OGNL語言和值棧技術(shù)實現(xiàn)數(shù)據(jù)的流轉(zhuǎn)處理。下面通過本文給大家分享struts2數(shù)據(jù)處理的相關(guān)知識,感興趣的朋友參考下吧2017-09-09java基于AES對稱加密算法實現(xiàn)的加密與解密功能示例
這篇文章主要介紹了java基于AES對稱加密算法實現(xiàn)的加密與解密功能,結(jié)合完整實例形式分析了AES對稱加密算法的定義與使用技巧,需要的朋友可以參考下2017-01-01spring+mybatis 通過@ResponseBody返回結(jié)果中文亂碼的解決方法
下面小編就為大家分享一篇spring+mybatis 通過@ResponseBody返回結(jié)果中文亂碼的解決方法,具有很好的參考價值,希望對大家有所幫助。一起跟隨小編過來看看吧2017-12-12