当前位置: 首页 > news >正文

Spring Security 表单配置(三)

news 来源:原创 2024/11/16 19:45:54

Spring Security 授权

  • 实现授权接口
  • 方法安全注解

实现授权接口

实现接口

org.springframework.security.authorization.AuthorizationManager

import org.springframework.security.authorization.AuthorizationDecision;
import org.springframework.security.authorization.AuthorizationManager;
import org.springframework.security.core.Authentication;
import org.springframework.security.web.access.intercept.RequestAuthorizationContext;

import java.util.function.Supplier;

public class MyAuthorizationManager implements AuthorizationManager<RequestAuthorizationContext> {
    @Override
    public AuthorizationDecision check(Supplier<Authentication> authentication, RequestAuthorizationContext object) {
    	// ... 这里可以写授权逻辑
        // 返回true表示有权限
        return new AuthorizationDecision(true);
    }
}

然后在配置中加入

@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
      http.formLogin(form -> {
          form
                  .loginProcessingUrl("/login") // 接受登录请求的url,默认也是login
                  .loginPage("/toLogin") // 表单对应的url
                  .successForwardUrl("/success") // 登录成功后重定向的url
                  .failureForwardUrl("/failure") // 登录失败后重定向的url
                  ;
              })
              .authorizeHttpRequests(authorize -> {
                  // 授权所有请求都得经过授权
                  authorize.anyRequest().access(new MyAuthorizationManager());
              })
              .csrf().disable(); // 简单粗暴禁用csrf
      return http.build();
}

授权配置完成

方法安全注解

首先开启方法安全注解

@Configuration
@EnableWebSecurity
@EnableMethodSecurity
public class SecurityConfig {
	// ... 省略配置
}

方法安全注解常用的有两个

org.springframework.security.access.prepost.PreAuthorize

org.springframework.security.access.prepost.PostAuthorize

PreAuthorize 是访问前授权
PostAuthorize 是访问后授权
例子:

import org.springframework.security.access.prepost.PostAuthorize;
import org.springframework.security.access.prepost.PreAuthorize;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.PathVariable;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
import security.demo.DataEntity;

import java.util.UUID;

@RestController
@RequestMapping("/admin")
public class AdminController {
    @GetMapping("/res/{id}")
    @PreAuthorize("hasAnyRole('admin')")
    public String getResById(@PathVariable("id") String id) {
        return id;
    }
    @GetMapping("/res/{id}")
    @PreAuthorize("hasAnyRole('admin')")
    @PostAuthorize("returnObject.creator == authentication.name")
    public DataEntity getDataEntityById(@PathVariable("id") String id) {
        String creator = UUID.randomUUID().toString();
        return DataEntity.builder().id(id).someData("一些数据").creator(creator).build();
    }
}

其中的DataEntity是一个简单的pojo类

import lombok.Builder;
import lombok.Data;

@Data
@Builder
public class DataEntity {
    private String id;
    private String someData;
    private String creator;
}

PreAuthorize 里面可以接收授权表达式,例子的意思是,当前用户要有admin角色
PostAuthorize 也接收授权表达式,例子里面的意思是,然后的实体类的creator属性必须是当前用户的username

更多的表达式可以参考官方文档: https://docs.spring.io/spring-security/reference/5.7/servlet/authorization/expression-based.html

官方文档里面有更多的注解和更多的使用方式

相关文章:

  • 做网站做哪个好/直播:韩国vs加纳直播
  • 网络营销跟网站推广有啥区别/搜索引擎营销的优势和劣势
  • 哈尔滨网站开发公司电话/河南省人民政府
  • 电商网站seo怎么做/a站
  • 服务器安装完面板怎么做网站/seo运营招聘
  • 网站建设帐号/建立一个国外的网站
  • MPP数据库简介及架构分析
  • 我这是这样知道 React TS 中的 Event Handler 类型的
  • Anaconda+VSCode配置tensorflow
  • 第二章.线性回归以及非线性回归—标准方程法
  • 哈希表题目:公平的糖果交换
  • 英伟达Flex-unity插件
  • RESTful的风格提倡 URL 地址使用统一的风格设计
  • 关于机器人状态估计(11)-VIO单目与双目/雷达Lidar SLAM/未来的机器人
  • SpringBoot处理跨域总结
  • mysql定期删除过期数据
  • 解决前后端分离Vue项目部署到服务器后出现的302重定向问题
  • docker中基础内容