2. 程式人生 > >Spring Security的使用(訪問許可權控制)

Spring Security的使用(訪問許可權控制)

阿新 發佈:2018-11-01
訪問許可權控制
粗粒度:對一個功能的訪問進行控制
細粒度:對該功能下的資料顯示進行控制

注意:許可權控制,需要在spring-mvc.xml中配置,否則會導致失效
<aop:aspectj-autoproxy proxy-target-class="true"></aop:aspectj-autoproxy>


<!---------------------------------方法/類許可權控制------------------------------------->
jsr-250許可權控制的使用:
第一步:匯入依賴
   <dependency
 
>
            <groupId>javax.annotation</groupId>
            <artifactId>jsr250-api</artifactId>
            <version>1.0</version>
   </dependency>
第二步:編寫spring-security.xml,開啟jsr-250註解的使用
<security:global-method-security jsr250-annotations="enabled"/>
第三步:在需要許可權控制的類或方法上使用@RolesAllowed("ADMIN"),來控制訪問所需要的角色,可以省略"ROLE_",開啟表示式的使用, @RolesAlloewd("ADMIN")依然這麼寫

secured許可權控制的使用:
第一步:編寫spring-security.xml,開啟secured註解的使用
<
 
security:global-mathod-security secured-annotations="enable"/>
第三步:在需要許可權控制的類或方法上使用@Secured("ROLE_ADMIN"),來控制訪問所需要的角色,不能省略"ROLE_",
開啟表示式的使用, @Secured("ROLE_ADMIN")依然這麼寫

SPEL表示式許可權控制的使用:
在spring-security.xml中開啟使用SPEL表示式,
<security:http auto-config="true" use-expressions="true"></security:http
 
>
開啟SPEL表示式後,需要修改:
<security:intercept pattern="/**" access="hasRole('ROLE_ADMIN','ROLE_USER')">
<security:global-method-security pre-post-annotations="enabled"></security:global-method-security>
@PreAuthorize("authentication.principal.username == 'tom'")	//當前使用者為tom才可以訪問
@PreAuthorize("hasAnyRole('ROLE_ADMIN','ROLE_USER')")	//admin或者user角色都可以訪問
@PreAuthorize("hasRole('ROLE_ADMIN')")		//admin角色可以訪問
<!---------------------------------頁面許可權控制------------------------------------->
第一步:匯入依賴 
    <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-taglibs</artifactId>
            <version>5.0.1.RELEASE</version>
     </dependency>
第二步:在JSP頁面引入標籤庫
   <%@taglib prefix="security" uri="http://www.springframework.org/security/tags" %>
1.獲取當前認證使用者的資訊
       <h1>使用者名稱:<security:authentication property="principal.username"/></h1>
2.控制選單欄是否顯示
       	<security:authorize access="hasRole('ROLE_ADMIN')">
            	....(選單欄)
       </security:authorize>
@Param註解
由於#{}中賦值時,如果需要賦值的資料型別是普通資料型別,那麼#{}可以任意寫
@Insert("insert into user values(#{username},#{password})")
public void save(@Param("username"))String username,@Param("password")String password){ ... }
此時,由於賦值不明確,會導致500,可以使用@Param註解解決引數注入問題
手動指定錯誤狀態碼的跳轉頁面
配置wem.xml
<error-page>
    <error-code>403</error-code>	
    <location>/403.jsp</location>
</error-page>
400:通常發生在spring自動封裝前端資料異常,一般都是日期轉換異常
403:通常是在使用了spring security框架後,發生的許可權不足的問題

相關推薦

Spring Boot中使用Spring Security實現許可權控制

Spring Boot框架我們前面已經介紹了很多了,相信看了前面的部落格的小夥伴對Spring Boot應該有一個大致的瞭解了吧,如果有小夥伴對Spring Boot尚不熟悉,可以先移步這裡從SpringMVC到Spring Boot,老司機請略過。OK,那我們

SpringBoot中使用Spring Security實現許可權控制

Spring Security,這是一個專門針對基於Spring的專案的安全框架,它主要是利用了AOP來實現的。以前在Spring框架中使用Spring Security需要我們進行大量的XML配置,但是,Spring Boot針對Spring Security

Spring Security原始碼分析十五:Spring Security 頁面許可權控制

Spring Security是一個能夠為基於Spring的企業應用系統提供宣告式的安全訪問控制解決方案的安全框架。它提供了一組可以在Spring應用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反轉Inversion of Contr

Spring Security的使用(訪問許可權控制)

訪問許可權控制 粗粒度:對一個功能的訪問進行控制 細粒度:對該功能下的資料顯示進行控制 注意:許可權控制,需要在spring-mvc.xml中配置,否則會導致失效 <aop:aspectj-autoproxy proxy-target-class="true"></a

Spring Security 訪問控制-實現 RESTful API

要想實現 Spring Security 返回 JSON 格式串,只需重寫以下幾個處理器(JavaConfig) http.exceptionHandling().accessDeniedHandler() http.exceptionHandling().

企業分布式微服務雲SpringCloud SpringBoot mybatis (六)Spring Boot中使用Spring Security進行安全控制

spring ron public 控制 應用 app ebs cloud 來源 準備工作 首先,構建一個簡單的Web工程,以用於後續添加安全控制,也可以用之前Chapter3-1-2做為基礎工程。若對如何使用Spring Boot構建Web應用,可以先閱讀《Spring

《SpringBoot從入門到放棄》之第(六)篇——Spring Security進行安全控制

一個好的系統,幾乎都離不開許可權控制。要實現訪問許可權控制的方式有多種多樣,可以通過AOP、攔截器實現,也可以使用Shiro框架。現在研究使用Spring Security。 O的K,先建立一個無需許可權的Web小例子。(本篇部落格接著之前寫的系列,已忽略環境配置,如pom.xml 的依賴等

java程式設計入門2 java中的四種訪問許可權控制

在java中提供了四種訪問許可權控制:預設訪問許可權(包訪問許可權),public,private以及protected 只有預設訪問許可權(包訪問許可權)和public能用來修飾類(不包括內部類) 修飾變數和方法這四種許可權均可 1.public 修飾類表示該類對其他所有類可見 修飾一個類的變數和

thinkinjava--6 訪問許可權控制

訪問許可權修飾詞主要為:default,public,private,proteced, 1.包訪問許可權(即不提供任何訪問修飾符)         類控制著自己成員的訪問許可權,包訪問許可權,指一個包裡面的類可

Linux ACL訪問許可權控制詳解

在普通許可權中,Linux使用者對檔案只有三種身份,就是屬主、屬組和其他人;每種使用者身份擁有讀(read)、寫(write)和執行(execute)三種許可權。但是在實際工作中,這三種身份實在是不夠用,我們舉個例子來看看。 圖 1 ACL許可權簡介 圖 1 的根目錄中有一個 /projec

Java程式設計思想(六)—— 訪問許可權控制

一、包:庫單元         包內含有一組類,它們在單一的名字空間下被組織在了一起。例如,在Java的標準釋出中有一個工具庫,它被組織在java.util名字空間下,如果要使用此名字空間下的ArrayList類,可以使用其命名的方式,如下: pu

Java訪問許可權控制的使用不當,活生生地引發了一場血淋漓的慘案

人在什麼面前最容易失去抵抗力? 美色,算是一個,比如說西施的貢獻薄就是忍辱負重、以身報國、助越滅吳;金錢,算是另外一個,我們古人常說“錢乃身外之物,生不帶來死不帶去”,但我們又都知道“有錢能使鬼推磨”。 除去美色和金錢,我認為還有一個,就是讀者的認可——“二哥,你的文章真的很棒,我特別喜歡。希望能多多更新

論Java訪問許可權控制的重要性

人在什麼面前最容易失去抵抗力? 美色,算是一個,比如說西施的貢獻薄就是忍辱負重、以身報國、助越滅吳;金錢,算是另外一個,我們古人常說“錢乃身外之物,生不帶來死不帶去”,但我們又都知道“有錢能使鬼推磨”。 除去美色和金錢,我認為還有一個,就是讀者的認可——“二哥,你的文章真的很棒,我特別喜歡。希望能多多更新

Java程式設計思想第六章訪問許可權控制練習題解答(待更新完整.......)

練習解答 練習1 練習2 練習3 練習1 先在另一個包建立程式碼,命名為ch6Ex1.java package ch5; public class ch6Ex1 { public ch6Ex1()

【開源專案】Spring Security三大許可權框架案例講解01—專案初始化

GitHub 前言 大致簡介專案主要逐步迭代講解Spring Security + Spring Social + Spring Security OAuth + REST服務開發,通過實際的案例開發來講解,專案註解詳細適合作為教程案例,同時對程式碼的演進還有重構

Java程式設計思想 第六章:訪問許可權控制

一個優秀的程式設計師是通過不斷的重構程式碼讓自己的程式變得更加易用、可讀和完善的。在重構修改的過程中,如果是一個類庫編寫人員,那麼怎麼樣保證自己修改的部分不會影響到客戶端編寫人員(即使用這個類庫的程式設計師)呢?同時也要避免他們對自己類庫內部的程式進行改動。Java中提供了訪問許可權控制的概

基於Sentry實現資料訪問許可權控制

Sentry初識 Sentry是適用於Hadoop生態環境、基於角色的授權管理系統,可以模組化整合到HDFS、Hive、Impala。它是一個策略引擎,執行定義授權規則,以校驗使用者對資料模型的訪問請求。 授權粒度 Sentry資料訪問授權的實現依賴於授權物件和操作,授權物件定義要受授權規則約束的物件,

在asp.net core2.1中新增中介軟體以擴充套件Swashbuckle.AspNetCore3.0支援簡單的文件訪問許可權控制

Swashbuckle.AspNetCore3.0 介紹 一個使用 ASP.NET Core 構建的 API 的 Swagger 工具。直接從您的路由,控制器和模型生成漂亮的 API 文件,包括用於探索和測試操作的 UI。 專案主頁:https://github.com/domaindrivendev/Sw

Spring Boot中使用Spring Security進行安全控制

一 點睛 我們在編寫Web應用時,經常需要對頁面做一些安全控制,比如:對於沒有訪問許可權的使用者需要轉到登入表單頁面。要實現訪問控制的方法多種多樣,可以通過Aop、攔截器實現,也可以通過框架實現(如:Apache Shiro、Spring Security)。 本篇將具體

C++中關於public、protect、private的訪問許可權控制

一:成員的訪問許可權 1: public訪問許可權     一個類的public成員變數、成員函式,可以通過類的成員函式、類的例項變數進行訪問    <實際上,類的成員函式,可以訪問本類內的任何成員變數和成員函式>     x #include<iostr