一、SPEL表示式許可權控制

從spring security 3.0開始已經可以使用spring Expression表示式來控制授權，允許在表示式中使用複雜的布林邏輯來控制訪問的許可權。Spring Security可用表示式物件的基類是SecurityExpressionRoot。

部分朋友可能會對Authority和Role有些混淆。Authority作為資源訪問許可權可大可小，可以是某按鈕的訪問許可權（如資源ID：biz1），也可以是某類使用者角色的訪問許可權（如資源ID：ADMIN）。當Authority作為角色資源許可權時，hasAuthority（'ROLE_ADMIN'）與hasRole（'ADMIN'）是一樣的效果。

二、SPEL在全域性配置中的使用

我們可以通過繼承WebSecurityConfigurerAdapter，實現相關的配置方法，進行全域性的安全配置（之前的章節已經講過） 。下面就為大家介紹一些如何在全域性配置中使用SPEL表示式。

2.1.URL安全表示式

config.antMatchers("/system/*").access("hasAuthority('ADMIN') or hasAuthority('USER')")
      .anyRequest().authenticated();

這裡我們定義了應用/person/*URL的範圍，只有擁有ADMIN或者USER許可權的使用者才能訪問這些person資源。

2.2.安全表示式中引用bean

這種方式，比較適合有複雜許可權驗證邏輯的情況，當Spring Security提供的預設表示式方法無法滿足我們的需求的時候。首先我們定義一個許可權驗證的RbacService。

@Component("rbacService")
@Slf4j
public class RbacService {
    //返回true表示驗證通過
    public boolean hasPermission(HttpServletRequest request, Authentication authentication) {
        //驗證邏輯程式碼
        return true;
    }
    public boolean checkUserId(Authentication authentication, int id) {
        //驗證邏輯程式碼
        return true;
    }
}

對於"/person/{id}"對應的資源的訪問，呼叫rbacService的bean的方法checkUserId進行許可權驗證，傳遞引數為authentication物件和person的id。該id為PathVariable，以#開頭表示。

config.antMatchers("/person/{id}").access("@rbacService.checkUserId(authentication,#id)")
      .anyRequest().access("@rbacService.hasPermission(request,authentication)");

三、 Method表示式安全控制

如果我們想實現方法級別的安全配置，Spring Security提供了四種註解，分別是@PreAuthorize , @PreFilter , @PostAuthorize 和 @PostFilter

3.1.開啟方法級別註解的配置

在Spring安全配置程式碼中，加上EnableGlobalMethodSecurity註解，開啟方法級別安全配置功能。

@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class MySecurityConfig extends WebSecurityConfigurerAdapter {

3.2 使用PreAuthorize註解

@PreAuthorize 註解適合進入方法前的許可權驗證。只有擁有ADMIN角色才能訪問findAll方法。

@PreAuthorize("hasRole('ADMIN')")
List<Person> findAll();

3.3 使用PostAuthorize註解

@PostAuthorize 在方法執行後再進行許可權驗證,適合根據返回值結果進行許可權驗證。Spring EL 提供返回物件能夠在表示式語言中獲取返回的物件returnObject。下文程式碼只有返回值的name等於authentication物件的name才能正確返回，否則丟擲異常。

@PostAuthorize("returnObject.name == authentication.name")
Person findOne(Integer id);

3.4 使用PreFilter註解

PreFilter 針對引數進行過濾,下文程式碼表示針對ids引數進行過濾，只有id為偶數才能訪問delete方法。

//當有多個物件是使用filterTarget進行標註
@PreFilter(filterTarget="ids", value="filterObject%2==0")
public void delete(List<Integer> ids, List<String> usernames) {

3.5 使用PostFilter 註解

PostFilter 針對返回結果進行過濾，特別適用於集合類返回值，過濾集合中不符合表示式的物件。

@PostFilter("filterObject.name == authentication.name")
List<Person> findAll();

期待您的關注

• 博主最近新寫了一本書：《手摸手教您學習SpringBoot系列-16章97節》
• 本文轉載註明出處（必須帶連線，不能只轉文字）：字母哥部落格。
相關推薦

使用Spring安全表示式控制系統功能訪問許可權

一、SPEL表示式許可權控制 從spring security 3.0開始已經可以使用spring Expression表示式來控制授權，允許在表示式中使用複雜的布林邏輯來控制訪問的許可權。Spring Security可用表示式物件的基類是SecurityExpressionRoot。 表示式函式 描

開啟被獨佔的檔案方法(二) -- 修改控制代碼訪問許可權

修改控制代碼訪問許可權 所有被佔用的檔案通常都可以用讀屬性（FILE_READ_ATTRIBUTES）開啟，這樣就可以讀取檔案的屬性，取得它的大小，列舉NTSF stream，但遺憾的是，ReadFile就不能成功呼叫了。開啟檔案時各種訪問屬性的區別在哪裡呢？顯然，開啟檔案時，系統會記錄訪問屬性，之後會

Spring Security的使用(訪問許可權控制)

訪問許可權控制 粗粒度:對一個功能的訪問進行控制 細粒度：對該功能下的資料顯示進行控制 注意:許可權控制,需要在spring-mvc.xml中配置,否則會導致失效 <aop:aspectj-autoproxy proxy-target-class="true"></a

mysql 開發進階篇系列 52 許可權與安全(系統四個許可權表的粒度控制關係)

一.概述 　　接著上篇的許可權介紹，當用戶進行連線的時候，許可權表的存取過程有以下兩個階段： 　　(1) 先從user表中的host,user, authentication_string 這3個欄位中判斷連線的ip,使用者名稱,密碼是否存在於表中，如果存在，則通過身份驗證。 　　(2) 通過驗證後，則按照以

MySQL訪問許可權系統和訪問控制

6.1一般安全問題 6.1.1安全指南       執行MySQL時，請遵循以下準則：      (1)不要給任何人（MySQL root帳戶除外 ）訪問 資料庫中的 user表mysql！這是至關重要的。     （2)瞭解MySQL訪問許可權系統的工作原理（參見 第6.

spring boot後臺管理系統，spring security許可權控制

隨著spring boot的出現，java又上升了一個層次，以往tomcat部署war的形式也改變了，現在可以直接一個jar包、一行命令，真正實現一次編譯隨處執行的理念了。      閒暇之餘小威老師做了一個以spring boot為後臺，layui、bootstr

基於Spring框架應用的許可權控制系統的研究和實現

摘 要： Spring框架是一個優秀的多層J2EE系統框架，Spring本身沒有提供對系統的安全性支援。Acegi是基於Spring IOC 和 AOP機制實現的一個安全框架。本文探討了Acegi安全框架中各部件之間的互動，並通過擴充套件Acegi資料庫設計來實現基於Spring框架的應用的安全控制方法。

對雲環境下訪問控制系統的思考

發現 動態 無法 復雜度 ddd ref gif 可擴展 target 本文由 網易雲 發布。 企業上雲首當其沖的就是要考量安全性的問題。安全性範圍很廣，狹義上可以指雲服務商的各種安全服務，如 DDoS 防護、其他安全性產品等，而廣義上來說，安全性不僅包括基礎設施的安

Linux系統安全04使用iptables阻止訪問特定網站

tps sid string onf 系統安全 post eth ide PE 主要使用iptables的string擴展模塊，使用string參數阻止訪問特定網站的http/https服務，使用hex-string參數阻止對特定域名進行DNS解析。 比如，阻止訪問ba

Spring boot 那些事之RESRful API 許可權控制

Spring boot 那些事之RESRful API 許可權控制 泥瓦匠BYSocket 生活者 39 人讚了該文章 Spring Boot，支援約定優於配置，讓開發人員儘快啟動並執行專案。針對 Spring Boot 的學習和總結準備寫系列文章。 程式碼共享在【s

java程式設計入門2 java中的四種訪問許可權控制

在java中提供了四種訪問許可權控制:預設訪問許可權(包訪問許可權)，public,private以及protected 只有預設訪問許可權(包訪問許可權)和public能用來修飾類(不包括內部類) 修飾變數和方法這四種許可權均可 1.public 修飾類表示該類對其他所有類可見 修飾一個類的變數和

thinkinjava--6 訪問許可權控制

訪問許可權修飾詞主要為：default，public，private，proteced， 1.包訪問許可權（即不提供任何訪問修飾符）         類控制著自己成員的訪問許可權，包訪問許可權，指一個包裡面的類可

spring boot spring security 自定義 filter FilterSecurityInterceptor 訪問資源 靜態資源 和 不需要許可權訪問都失效了

問題：spring boot security 中， filters="none"  對應哪個？ 自定義AbstractSecurityInterceptor後  靜態資源也進入攔截器，登陸頁面，permitall 也失效， 還是進

Linux ACL訪問許可權控制詳解

在普通許可權中，Linux使用者對檔案只有三種身份，就是屬主、屬組和其他人；每種使用者身份擁有讀（read）、寫（write）和執行（execute）三種許可權。但是在實際工作中，這三種身份實在是不夠用，我們舉個例子來看看。 圖 1 ACL許可權簡介 圖 1 的根目錄中有一個 /projec

Java程式設計思想（六）—— 訪問許可權控制

一、包：庫單元         包內含有一組類，它們在單一的名字空間下被組織在了一起。例如，在Java的標準釋出中有一個工具庫，它被組織在java.util名字空間下，如果要使用此名字空間下的ArrayList類，可以使用其命名的方式，如下： pu

第10章 網路安全（5）_訪問控制列表ACL

6. 訪問控制列表ACL 6.1 標準訪問控制列表 （1）標準ACL 　　①標準ACL是基於IP資料包的源IP地址作為轉發或是拒絕的條件。即，所有的條件都是基於源IP地址的。 　　②基本不允許或拒絕整個協議組。它不區分IP流量型別。如Telnet、UDP等服務。 （2）實戰：只允

Java訪問許可權控制的使用不當，活生生地引發了一場血淋漓的慘案

人在什麼面前最容易失去抵抗力？ 美色，算是一個，比如說西施的貢獻薄就是忍辱負重、以身報國、助越滅吳；金錢，算是另外一個，我們古人常說“錢乃身外之物，生不帶來死不帶去”，但我們又都知道“有錢能使鬼推磨”。 除去美色和金錢，我認為還有一個，就是讀者的認可——“二哥，你的文章真的很棒，我特別喜歡。希望能多多更新

資料安全治理中的資料訪問控制原則

經過二十多年資訊化和網際網路經濟的發展，資料成為繼現金和技術之後又一核心價值資產；資料黑產在過去十年裡蓬勃發展，讓每個人、每個企業和國家的資料面臨著巨大威脅；只有合理地處理好資料資產的使用與安全，企業與國家才能在新的資料時代穩健而高速發展。對於敏感資料的安全管理和使用，是資料安全治理的核心主題。 針對資

論Java訪問許可權控制的重要性

人在什麼面前最容易失去抵抗力？ 美色，算是一個，比如說西施的貢獻薄就是忍辱負重、以身報國、助越滅吳；金錢，算是另外一個，我們古人常說“錢乃身外之物，生不帶來死不帶去”，但我們又都知道“有錢能使鬼推磨”。 除去美色和金錢，我認為還有一個，就是讀者的認可——“二哥，你的文章真的很棒，我特別喜歡。希望能多多更新

Java程式設計思想第六章訪問許可權控制練習題解答(待更新完整.......)

練習解答 練習１ 練習2 練習3 練習１ 先在另一個包建立程式碼，命名為ch6Ex1.java package ch5; public class ch6Ex1 { public ch6Ex1()