1、SpringSecurity一般分为两个重点2、实际上用户存在一般就等于认证成功,认证成功之后就存在授权的问题3、一个用户可以有多个身份4、看图5、hasRole及hasAuthority的使用区别6、SpringSecurity常用的注解
6.1 @EnableGlobalMethodSecurity(securedEnabled=true,prePostEnabled = true)6.2 @Secured6.3 @PreAuthorize6.4 @PostAuthorize6.5@PreFilter(filterTarget="ids", value="filterObject%2==0")6.6@PostFilter("filterObject.username == 'admin1'") 参考文档:
1、SpringSecurity一般分为两个重点1.1 认证
1.2 授权,role
比如说系统存在两个身份,管理员和普通用户,实际上你可以给同一个用户让它拥有两个身份,比如root用户既是管理员又是普通用户
4、看图
在上面这张图中,登录的用户被授予了,admin,ROLE_sale两个身份,也就是说验证通过的用户既是admin又是ROLE_sale,admin无法访问需要admins权限的方法。联系到现实生活中,就像是你的老师,他既是老师又是家里的父亲,一个用户往往有多种身份,而每个身份对应着一定的权限。
身份不加ROLE_前缀
身份ADMIN能通过的权限
@PreAuthorize("hasRole('ADMIN')") //不允许
@PreAuthorize("hasAuthority('ADMIN')") //允许
@PreAuthorize("hasRole('ROLE_ADMIN')") //不允许
@PreAuthorize("hasAuthority('ROLE_ADMIN')") //不允许
身份加ROLE_前缀的好处,可以通过hasRole授权
身份ROLE_ADMIN能通过的权限
@PreAuthorize("hasRole('ROLE_ADMIN')") //允许
@PreAuthorize("hasAuthority('ROLE_ADMIN')") //允许
@PreAuthorize("hasRole('ADMIN')") //允许
@PreAuthorize("hasAuthority('ADMIN')") //不允许
总结:hasAuthority能通过的身份必须字符串完全一模一样,而hasRole能通过的身份必须前缀带有ROLE_,同时可以通过两种字符串,一是带有前缀ROLE_,二是不带前缀ROLE_。
6、SpringSecurity常用的注解 6.1 @EnableGlobalMethodSecurity(securedEnabled=true,prePostEnabled = true)securedEnabled 确定安全注解 [@Secured] 是否启用
prePostEnabled 确定 前置注解[@PreAuthorize,@PostAuthorize,…] 是否启用
是专门用于判断是否具有角色的。能写在方法或类上,参数要以 ROLE_开头
6.3 @PreAuthorize表示访问方法或类在执行之前先判断权限,大多情况下都是使用这个注解,注解的参数和access()方法参数取值相同,都是权限表达式。
6.4 @PostAuthorize表示方法或类执行结束后判断权限,此注解很少被使用到。
6.5@PreFilter(filterTarget=“ids”, value=“filterObject%2==0”)对传入参数进行过滤,为true才通过,filterTarget指定传入方法参数的变量名ids,对ids进行过滤,为true才通过
6.6@PostFilter(“filterObject.username == ‘admin1’”)对返回结果进行过滤,为true才通过
参考文档:SpringBoot Security Oauth2角色及权限鉴权注解方法hasRole及hasAuthority的使用区别Spring Security–基于注解访问控制 @Secured&@PreAuthorize@PreFilter和@PostFilter的区别
