快捷導(dǎo)航

Spring Security @PreAuthorize注解分析

更新時(shí)間：2024年11月25日 09:52:12 作者：瘋一樣的碼農(nóng)

本教程介紹了如何使用 Spring 方法級(jí)安全和 @PreAuthorize 注解來(lái)保護(hù) RestController 方法,通過(guò)這些步驟,您可以確保只有具有適當(dāng)角色或權(quán)限的用戶(hù)才能訪問(wèn)特定的 REST API,感興趣的朋友跟隨小編一起看看吧

@PreAuthorize 注解在 Spring Security 中提供了一種聲明式的方法，可以在您的 Spring Boot 應(yīng)用中添加方法級(jí)別的安全檢查。本教程將引導(dǎo)您設(shè)置并有效使用 @PreAuthorize，確保用戶(hù)只能在具有特定角色或權(quán)限的情況下調(diào)用 REST API。

什么是 @PreAuthorize？

@PreAuthorize 是 Spring Security 的一個(gè)注解，用于指定在方法調(diào)用前應(yīng)評(píng)估的表達(dá)式，以確定調(diào)用者是否有權(quán)執(zhí)行該方法。

將 Spring Security 添加到項(xiàng)目中

確保您的項(xiàng)目中包含 Spring Security。對(duì)于 Maven，將以下依賴(lài)項(xiàng)添加到 pom.xml 文件中：

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

對(duì)于 Gradle，將以下內(nèi)容添加到 build.gradle 文件中：

implementation 'org.springframework.boot:spring-boot-starter-security'

啟用方法級(jí)安全

要在 Spring Boot 應(yīng)用的 Rest Controller 類(lèi)中對(duì)特定方法應(yīng)用 Spring Security，必須啟用方法級(jí)安全。為此，您需要使用 @EnableMethodSecurity 注解。

@Configuration
@EnableMethodSecurity
public class SpringSecurityConfig {
    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http.csrf(csrf -> csrf.disable())
            .authorizeHttpRequests(authorize -> authorize
                .requestMatchers(HttpMethod.GET, "/api/user").hasRole("USER")
                .requestMatchers(HttpMethod.GET, "/api/admin").hasRole("ADMIN")
                .anyRequest().authenticated()
            )
            .httpBasic(Customizer.withDefaults());
        return http.build();
    }
    @Bean
    public UserDetailsService userDetailsService() {
        UserDetails ramesh = User.builder()
            .username("ramesh")
            .password(passwordEncoder().encode("password"))
            .roles("USER")
            .build();
        UserDetails admin = User.builder()
            .username("admin")
            .password(passwordEncoder().encode("admin"))
            .roles("ADMIN")
            .build();
        return new InMemoryUserDetailsManager(ramesh, admin);
    }
}

@EnableMethodSecurity 是一個(gè) Spring 注解，用于在 Spring 應(yīng)用中啟用方法級(jí)安全。使用此注解后，Spring 將為包含安全方法的類(lèi)創(chuàng)建代理，并在調(diào)用這些方法時(shí)攔截以檢查調(diào)用者是否具有執(zhí)行方法所需的權(quán)限。

此注解與其他注解（如 @PreAuthorize、@PostAuthorize、@Secured 和 @RolesAllowed）一起工作，這些注解用于指定方法的訪問(wèn)控制規(guī)則。例如，您可以使用 @PreAuthorize 指定只有具有特定角色或權(quán)限的用戶(hù)才能調(diào)用某個(gè)方法；或者使用 @PostAuthorize 指定方法只返回調(diào)用者有權(quán)查看的數(shù)據(jù)。

使用 @PreAuthorize 注解保護(hù) REST API

以下代碼展示了如何使用 Spring Security 進(jìn)行基于角色的 RESTful 端點(diǎn)授權(quán)。

@RestController
@RequestMapping("/api/")
public class AdminController {
    @PreAuthorize("hasRole('ADMIN')")
    @GetMapping("/admin")
    public ResponseEntity<String> helloAdmin() {
        return ResponseEntity.ok("Hello Admin");
    }
    @PreAuthorize("hasRole('USER')")
    @GetMapping("/user")
    public ResponseEntity<String> helloUser() {
        return ResponseEntity.ok("Hello User");
    }
}

@PreAuthorize("hasRole('ADMIN')"): 應(yīng)用于 helloAdmin() 方法，表示只有具有 ‘ADMIN’ 角色的用戶(hù)才能訪問(wèn)此端點(diǎn)。
@PreAuthorize("hasRole('USER')"): 應(yīng)用于 helloUser() 方法，限制只有具有 ‘USER’ 角色的用戶(hù)才能訪問(wèn)。

總結(jié)

本教程介紹了如何使用 Spring 方法級(jí)安全和 @PreAuthorize 注解來(lái)保護(hù) RestController 方法。通過(guò)這些步驟，您可以確保只有具有適當(dāng)角色或權(quán)限的用戶(hù)才能訪問(wèn)特定的 REST API。

到此這篇關(guān)于Spring Security @PreAuthorize注解分析的文章就介紹到這了,更多相關(guān)Spring Security @PreAuthorize內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: