使用Spring安全表達(dá)式控制系統(tǒng)功能訪問(wèn)權(quán)限問(wèn)題
一、SPEL表達(dá)式權(quán)限控制
創(chuàng)新互聯(lián)公司服務(wù)項(xiàng)目包括丹棱網(wǎng)站建設(shè)、丹棱網(wǎng)站制作、丹棱網(wǎng)頁(yè)制作以及丹棱網(wǎng)絡(luò)營(yíng)銷策劃等。多年來(lái),我們專注于互聯(lián)網(wǎng)行業(yè),利用自身積累的技術(shù)優(yōu)勢(shì)、行業(yè)經(jīng)驗(yàn)、深度合作伙伴關(guān)系等,向廣大中小型企業(yè)、政府機(jī)構(gòu)等提供互聯(lián)網(wǎng)行業(yè)的解決方案,丹棱網(wǎng)站推廣取得了明顯的社會(huì)效益與經(jīng)濟(jì)效益。目前,我們服務(wù)的客戶以成都為中心已經(jīng)輻射到丹棱省份的部分城市,未來(lái)相信會(huì)繼續(xù)擴(kuò)大服務(wù)區(qū)域并繼續(xù)獲得客戶的支持與信任!
從spring security 3.0開始已經(jīng)可以使用spring Expression表達(dá)式來(lái)控制授權(quán),允許在表達(dá)式中使用復(fù)雜的布爾邏輯來(lái)控制訪問(wèn)的權(quán)限。Spring Security可用表達(dá)式對(duì)象的基類是SecurityExpressionRoot。
| 表達(dá)式函數(shù) | 描述 |
|---|---|
| hasRole([role]) | 用戶擁有指定的角色時(shí)返回true (Spring security默認(rèn)會(huì)帶有ROLE_前綴),去除前綴參考Remove the ROLE_ |
| hasAnyRole([role1,role2]) | 用戶擁有任意一個(gè)指定的角色時(shí)返回true |
| hasAuthority([authority]) | 擁有某資源的訪問(wèn)權(quán)限時(shí)返回true |
| hasAnyAuthority([auth2,auth3]) | 擁有某些資源其中部分資源的訪問(wèn)權(quán)限時(shí)返回true |
| permitAll | 永遠(yuǎn)返回true |
| denyAll | 永遠(yuǎn)返回false |
| anonymous | 當(dāng)前用戶是anonymous時(shí)返回true |
| rememberMe | 當(dāng)前用戶是rememberMe用戶返回true |
| authentication | 當(dāng)前登錄用戶的authentication對(duì)象 |
| fullAuthenticated | 當(dāng)前用戶既不是anonymous也不是rememberMe用戶時(shí)返回true |
| hasIpAddress('192.168.1.0/24')) | 請(qǐng)求發(fā)送的IP匹配時(shí)返回true |
部分朋友可能會(huì)對(duì)Authority和Role有些混淆。Authority作為資源訪問(wèn)權(quán)限可大可小,可以是某按鈕的訪問(wèn)權(quán)限(如資源ID:biz1),也可以是某類用戶角色的訪問(wèn)權(quán)限(如資源ID:ADMIN)。當(dāng)Authority作為角色資源權(quán)限時(shí),hasAuthority('ROLE_ADMIN')與hasRole('ADMIN')是一樣的效果。
二、SPEL在全局配置中的使用
我們可以通過(guò)繼承WebSecurityConfigurerAdapter,實(shí)現(xiàn)相關(guān)的配置方法,進(jìn)行全局的安全配置(之前的章節(jié)已經(jīng)講過(guò)) 。下面就為大家介紹一些如何在全局配置中使用SPEL表達(dá)式。
2.1.URL安全表達(dá)式
config.antMatchers("/system/*").access("hasAuthority('ADMIN') or hasAuthority('USER')")
.anyRequest().authenticated();
這里我們定義了應(yīng)用/person/*URL的范圍,只有擁有ADMIN或者USER權(quán)限的用戶才能訪問(wèn)這些person資源。
2.2.安全表達(dá)式中引用bean
這種方式,比較適合有復(fù)雜權(quán)限驗(yàn)證邏輯的情況,當(dāng)Spring Security提供的默認(rèn)表達(dá)式方法無(wú)法滿足我們的需求的時(shí)候。首先我們定義一個(gè)權(quán)限驗(yàn)證的RbacService。
@Component("rbacService")
@Slf4j
public class RbacService {
//返回true表示驗(yàn)證通過(guò)
public boolean hasPermission(HttpServletRequest request, Authentication authentication) {
//驗(yàn)證邏輯代碼
return true;
}
public boolean checkUserId(Authentication authentication, int id) {
//驗(yàn)證邏輯代碼
return true;
}
}對(duì)于"/person/{id}"對(duì)應(yīng)的資源的訪問(wèn),調(diào)用rbacService的bean的方法checkUserId進(jìn)行權(quán)限驗(yàn)證,傳遞參數(shù)為authentication對(duì)象和person的id。該id為PathVariable,以#開頭表示。
config.antMatchers("/person/{id}").access("@rbacService.checkUserId(authentication,#id)")
.anyRequest().access("@rbacService.hasPermission(request,authentication)");三、 Method表達(dá)式安全控制
如果我們想實(shí)現(xiàn)方法級(jí)別的安全配置,Spring Security提供了四種注解,分別是@PreAuthorize , @PreFilter , @PostAuthorize 和 @PostFilter
3.1.開啟方法級(jí)別注解的配置
在Spring安全配置代碼中,加上EnableGlobalMethodSecurity注解,開啟方法級(jí)別安全配置功能。
@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class MySecurityConfig extends WebSecurityConfigurerAdapter {3.2 使用PreAuthorize注解
@PreAuthorize 注解適合進(jìn)入方法前的權(quán)限驗(yàn)證。只有擁有ADMIN角色才能訪問(wèn)findAll方法。
@PreAuthorize("hasRole('ADMIN')")
List<Person> findAll();3.3 使用PostAuthorize注解
@PostAuthorize 在方法執(zhí)行后再進(jìn)行權(quán)限驗(yàn)證,適合根據(jù)返回值結(jié)果進(jìn)行權(quán)限驗(yàn)證。Spring EL 提供返回對(duì)象能夠在表達(dá)式語(yǔ)言中獲取返回的對(duì)象returnObject。下文代碼只有返回值的name等于authentication對(duì)象的name才能正確返回,否則拋出異常。
@PostAuthorize("returnObject.name == authentication.name")
Person findOne(Integer id);3.4 使用PreFilter注解
PreFilter 針對(duì)參數(shù)進(jìn)行過(guò)濾,下文代碼表示針對(duì)ids參數(shù)進(jìn)行過(guò)濾,只有id為偶數(shù)才能訪問(wèn)delete方法。
//當(dāng)有多個(gè)對(duì)象是使用filterTarget進(jìn)行標(biāo)注
@PreFilter(filterTarget="ids", value="filterObject%2==0")
public void delete(List<Integer> ids, List<String> usernames) {3.5 使用PostFilter 注解
PostFilter 針對(duì)返回結(jié)果進(jìn)行過(guò)濾,特別適用于集合類返回值,過(guò)濾集合中不符合表達(dá)式的對(duì)象。
@PostFilter("filterObject.name == authentication.name")
List<Person> findAll();總結(jié)
以上所述是小編給大家介紹的使用Spring安全表達(dá)式控制系統(tǒng)功能訪問(wèn)權(quán)限問(wèn)題,希望對(duì)大家有所幫助,如果大家有任何疑問(wèn)請(qǐng)給我留言,小編會(huì)及時(shí)回復(fù)大家的。在此也非常感謝大家對(duì)創(chuàng)新互聯(lián)網(wǎng)站的支持!
如果你覺得本文對(duì)你有幫助,歡迎轉(zhuǎn)載,煩請(qǐng)注明出處,謝謝!
分享文章:使用Spring安全表達(dá)式控制系統(tǒng)功能訪問(wèn)權(quán)限問(wèn)題
文章鏈接:http://chinadenli.net/article34/gpgope.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供域名注冊(cè)、建站公司、網(wǎng)站內(nèi)鏈、網(wǎng)頁(yè)設(shè)計(jì)公司、品牌網(wǎng)站制作、網(wǎng)站設(shè)計(jì)公司
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)
- 企業(yè)建站是應(yīng)該找專業(yè)網(wǎng)站建設(shè)公司還是個(gè)人工作室? 2016-12-02
- 企業(yè)建站的價(jià)值點(diǎn)(一) 2016-11-27
- 集團(tuán)企業(yè)建站怎么做,以下幾種方法可參考 2016-11-16
- 淺談未來(lái)企業(yè)建站方向的發(fā)展趨勢(shì) 2022-10-30
- 企業(yè)建站時(shí)選擇自助建站好還是定制建站好? 2013-05-22
- 企業(yè)建站不再難 用智能建站人人可上手 2021-03-07
- 常用企業(yè)建站程序有哪些 怎么選 2022-05-27
- 企業(yè)建站前必須考慮的7大因素 2013-12-01
- 網(wǎng)站建設(shè)中企業(yè)建站注意事項(xiàng) 2023-01-03
- 企業(yè)建站如何防止被騙 2021-05-02
- 企業(yè)建站轉(zhuǎn)化率營(yíng)銷型網(wǎng)站建設(shè) 2015-06-07
- 企業(yè)建站時(shí)的分析工作必不可少 2022-07-17