如何在Spring Boot中创建自定义@PreAuthorize MethodSecurity?
在Spring Boot中创建自定义@PreAuthorize MethodSecurity,可以按照以下步骤进行:
- 首先,确保你的Spring Boot项目中已经引入了Spring Security依赖。
- 创建一个自定义的安全配置类,可以命名为SecurityConfig或者其他你喜欢的名称。这个类需要继承自WebSecurityConfigurerAdapter,并且使用@EnableGlobalMethodSecurity注解开启方法级别的安全验证。
- 在安全配置类中,重写configure方法,配置HttpSecurity对象,用于定义请求的安全规则。例如,可以使用.antMatchers()方法来指定需要进行安全验证的URL路径。
- 在configureGlobal方法中,使用@PreAuthorize注解来定义自定义的方法级别安全验证规则。@PreAuthorize注解可以在方法上使用,用于指定该方法需要满足的安全条件。
- 在自定义的方法中,可以使用SpEL表达式来定义安全条件。SpEL表达式可以使用方法参数、Spring Security的SecurityContextHolder等对象来进行判断。
下面是一个示例代码:
@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.antMatchers("/admin/**").hasRole("ADMIN")
.antMatchers("/user/**").hasAnyRole("ADMIN", "USER")
.anyRequest().authenticated()
.and()
.formLogin().permitAll()
.and()
.logout().permitAll();
}
@Autowired
public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
auth.inMemoryAuthentication()
.withUser("admin").password("{noop}admin").roles("ADMIN")
.and()
.withUser("user").password("{noop}user").roles("USER");
}
@PreAuthorize("hasRole('ADMIN')")
public void adminOnlyMethod() {
// 只有ADMIN角色可以访问的方法
}
@PreAuthorize("hasAnyRole('ADMIN', 'USER')")
public void userMethod() {
// ADMIN和USER角色都可以访问的方法
}
}在上述示例中,我们定义了两个方法adminOnlyMethod和userMethod,并使用@PreAuthorize注解来指定安全验证规则。adminOnlyMethod方法只有ADMIN角色可以访问,而userMethod方法则可以被ADMIN和USER角色访问。
注意:示例中的用户认证部分使用了内存认证,实际项目中应该使用数据库或其他认证方式。
推荐的腾讯云相关产品和产品介绍链接地址:
- 腾讯云服务器(CVM):https://cloud.tencent.com/product/cvm
- 腾讯云数据库(TencentDB):https://cloud.tencent.com/product/cdb
- 腾讯云对象存储(COS):https://cloud.tencent.com/product/cos
- 腾讯云人工智能(AI):https://cloud.tencent.com/product/ai
- 腾讯云物联网(IoT):https://cloud.tencent.com/product/iot
- 腾讯云区块链(Blockchain):https://cloud.tencent.com/product/bc
- 腾讯云元宇宙(Metaverse):https://cloud.tencent.com/product/mv
相关·内容
我正在开发一个Spring Boot应用程序。我在这个程序中有一些权限检查,这是在控制器方法中检查的。例如,有一些检查方法可以检查是否有重复的记录,如果登录的用户是成员,等等。所以我在想的是,我需要转向@PreAuthorize。那么,如何创建自定义方法来执行这些重复验证和成员验证,并通过@PreAuthorize使用它们呢?我知道那些重复检查可以在其他任何地方完成,但我个人需要使用@PreAuthorize。有人能帮我吗?我真的很感激。
浏览 19提问于2021-02-16得票数 1
回答已采纳
当我尝试用Spring WebFlux配置Spring Security时,Spring Security不会拦截这些请求。我的Spring Security配置是:@EnableWebFluxSecuritypublic class WebConfig {
浏览 2提问于2017-10-31得票数 0
我正在尝试通过spring-security和keycloak在java应用程序中同时使用领域和资源角色。不幸的是,keycloak将只返回一个或另一个,这取决于:您仍然可以通过自定义代码获得这两者,但它会弄乱诸如@PreAuthorize或spring-boot方法.isUserInRole之类的注释,从而导致丑陋的代码。为了同时使用领域和资源角色,是否有一种方法可以覆盖@PreAuthoriz
浏览 4提问于2020-02-10得票数 5
我还有一个Spring Boot服务,它需要与这个现有的应用程序进行互操作。 应用程序将发送一个设置EncryptedLoginToken Cookie值的HTTP请求。在Spring Boot应用程序中,可以很容易地编写如下内容 boolean userHasPermission (String permission) LoginToken token =Boot应用程序具有如下控制器 @PostMapping(value="example/reques
浏览 34提问于2021-04-12得票数 0
我想创建一个类来添加自定义方法,以便在spring安全表达式语言中通过注释进行基于方法的授权。例如,我想创建一个像'customMethodReturningBoolean‘这样的自定义方法,以便以某种方式使用:
@PreAuthorize("customMethodReturningBoolean如果可能,我应该创建哪个类的子类来创建我的自定义方法,我应该如何在spring
浏览 0提问于2011-07-09得票数 96
回答已采纳
从spring- boot - starter -parent创建自定义Spring boot starter my-spring-boot-starter。在我的Starter源文件夹中,将包含属性的applicatin.property文件添加到配置日志中:然后将我的starter添加到我的spring</em
浏览 0提问于2018-12-24得票数 0
1回答
“没有弹簧引导”是什么意思,因为这个例子肯定会使用spring引导。我好困惑..。编辑
被设计用于Spring应用程序上下文中。例如,如果您自己在Spring上下文之外创建侦听器容器,那么除非满足所有的…,否则并非所有函数都能工作容器实现的感知接
浏览 9提问于2022-10-03得票数 1
在spring security或RBAC中,Authority被描述为一个字符串,例如" download - file“表示用户可以下载文件。如果我需要限制用户每日最大下载次数,并将不同的值分配给不同的用户,意味着Authority包含动态值,我如何在spring安全中做到这一点?
浏览 41提问于2020-12-11得票数 0
所以我有这个代码并且我的POM文件中已经包含了以下内容 <properties> </properties>
<g
浏览 0提问于2017-09-07得票数 13
我在angular中创建了数据表,并接受客户的订单输入。客户将输入订单数据,然后单击提交。我想要的是,当客户将点击提交按钮时,这个订单数据将被发送到我的spring boot应用程序并打印。如何使用get和post方法在spring boot和display中获取这些数据?我是第一次接触Angular和Spring Boot。
浏览 1提问于2019-10-23得票数 0
1回答
在spring安全性中,有@PreAuthorize注释,它可以使用hasPermission和传递给#locationDTO的访问变量public ResponseEntity createLocation(@RequestBody Location locationDTO) {}
我想创建一个自定义</
浏览 3提问于2020-09-07得票数 0
回答已采纳
1回答
我正在开发一个Spring MVC webapp,它也使用了spring的安全性。我还遇到过这样的情况,即只能通过获取实体的父级或n-父级来比较用户。例如,entity.nestedEntity.user ==用户
我已经看到spring安全性支持ACL (域对象安全性),但我认为我无法处理“父方案”。我不会从一个空的数据库开始。到目前为止,我在
浏览 1提问于2013-07-10得票数 1
回答已采纳
2回答
我想在我的spring boot应用程序中自定义Spring Boot banner。我想在我的横幅中显示自定义变量。all other stafs ......................如何在我的Spring Boot Banner中显示标题和版本?
浏览 0提问于2017-05-17得票数 2
2回答
我有一个名为clientApp1的客户机和一个名为clientApp1User的领域角色,并将其映射到创建的用户。</groupId> <version>2.7.5</version</groupId>
<artifactId>spring-
浏览 15提问于2022-10-22得票数 0
回答已采纳
2回答
我想创建一个自定义权限计算器,以便使用自定义方法对REST终结点进行@PreAuthorize。我将Spring Boot 1.5.3与web和安全启动器一起使用。found on org.springframework.security.access.expression.method.MethodSecurityExpressionRoot type }我的Rest控
浏览 1提问于2017-05-27得票数 3
回答已采纳
我希望轻松地从JWT中获取更多字段。目前,真正只有当局是直接暴露了Spring安全。中使用它是非常容易的:compile('org.springframework.security.oauth我可以用@PreAuthorize("hasAuthority('PROJECT_SEARCH'
浏览 1提问于2016-04-19得票数 3
回答已采纳
1回答
在我的应用程序中,我使用的是spring 1.5.10,我使用的是spring安全性。我想创建一个自定义注释,它应该使用securityContext holder...Let,我用示例代码详细说明了我的问题。IllegalArgumentException("Missing header customerId & AppId"); //write business logic herespring-securit
浏览 0提问于2019-02-26得票数 0
1回答
如何在Spring Boot 2.1.6.RELEASE中添加自定义日志级别,如然后使用logback.xml中的ThresholdFilter将它们写到单独的日志文件中
<filter class="ch.qos.logback.classic.filter.ThresholdFilter"> <level>AUDIT&l
浏览 2提问于2019-10-30得票数 2
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
实时音视频活动推荐
腾讯云开发者
