Spring Security--角色权限判断

最新推荐文章于 2026-05-01 13:59:04 发布
原创 最新推荐文章于 2026-05-01 13:59:04 发布 · 3.9k 阅读 · 2 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#java #spring #安全
本文介绍了Spring Security中用于用户认证后判断权限的几个方法,包括hasAuthority、hasAnyAuthority、hasRole、hasAnyRole以及hasIpAddress。详细阐述了它们的使用场景和配置方式,强调了角色和权限在User对象中的设定以及大小写的敏感性。

    角色权限判断

      除了之前讲解的内置权限控制。Spring Security 中还支持很多其 他权限控制。这些方法一般都用于用户已经被认证后,判断用户是否 具有特定的要求。

    1 hasAuthority(String)

      判断用户是否具有特定的权限,用户的权限是在自定义登录逻辑中创建 User 对象时指定的。
      下图中 admin 就是用户的权限。admin 严格区分大小写。
在这里插入图片描述
      在配置类中通过 hasAuthority(“admin”)设置具有 admin 权限时才能访问。

  .antMatchers("/main.html").hasAuthority("admin")  // main.html 这个请求需要 admin 权限.(因为需要权限,所以默认就需要认证了)

    2 hasAnyAuthority(String …)

    如果用户具备给定权限中某一个,就允许访问。
    下面代码中由于大小写和用户的权限不相同,所以用户无权访问 /main.html

.antMatchers("/main.html").hasAnyAuthority("adMin","admiN")

    这样就可以访问

antMatchers("/main.html").hasAnyAuthority("adMin","admiN","admin")

    3 hasRole(String)

    如果用户具备给定角色就允许访问。否则出现 403。
    参数取值来源于自定义登录逻辑 UserDetailsService 实现类中创 建 User 对象时给 User 赋予的授权。
    在给用户赋予角色时角色需要以:ROLE_ 开头,后面添加角色名 称。例如:ROLE_abc 其中 abc 是角色名,ROLE_ 是固定的字符开头。 使用 hasRole()时参数也只写 abc 即可。否则启动报错。
    给用户赋予角色:
在这里插入图片描述

    4 hasAnyRole(String …)

    如果用户具备给定角色的任意一个,就允许被访问

    5 hasIpAddress(String)

     如果请求是指定的 IP 就运行访问。
    可以通过 request.getRemoteAddr()获取 ip 地址。
在这里插入图片描述
    需要注意的是在本机进行测试时 localhost 和 127.0.0.1 输出的 ip 地址是不一样的。
    当浏览器中通过 localhost 进行访问时控制台打印的内容:
在这里插入图片描述
    当浏览器中通过 127.0.0.1 访问时控制台打印的内容:
在这里插入图片描述
    当浏览器中通过具体 ip 进行访问时控制台打印内容:
在这里插入图片描述

SpringSecurity系列——访问权限判断权限角色,IP),权限不足(403)处理day6-1(源于官网5.7.2版本)
qq_51553982的博客
07-26 1282
为了你对本文的内容不产生疑惑请先看下方说明当我们无权限时,SpringSecurity会给我们返回403的空白页面,实际上对用户是不友好的,用户不关心处理结果,只关心自己能否访问,所以自定义权限不足的时候的处理显得十分重要,在前后端分离的今天,其实我们只需要返回给前端json数据即可data.put("msg","用户权限不足!");}}...
GPT4Free项目解析:免费大语言模型API的聚合层架构与实战部署
最新发布
weixin_30800807的博客
05-01 199
大语言模型(LLM)作为人工智能领域的核心技术,通过深度学习架构实现了强大的自然语言理解和生成能力。其工作原理基于Transformer架构,通过海量数据训练获得通用语言表示。这项技术的核心价值在于为开发者提供了高效、低成本的智能对话与内容生成解决方案,广泛应用于聊天机器人、代码生成、文本摘要等场景。在工程实践中,如何降低LLM API的使用成本并简化部署流程成为开发者关注的重点。GPT4Free项目通过聚合层架构,整合了多个免费模型服务,为开发者提供了统一的OpenAI兼容接口。该项目支持Docker容器
SpringBoot整合SpringSecurity系列(8)-角色权限控制
TianXinCoord的博客
04-22 3222
文章目录一、角色权限判断二、内置权限判断2.1 hasAuthority(String)2.2 hasAnyAuthority(String ...)2.3 hasRole(String)2.4 hasAnyRole(String ...)2.5 hasIpAddress(String) 一、角色权限判断 除了内置权限控制外,Spring Security 中还支持很多其他权限控制,这些方法一般都用于用户已经被认证后,判断用户是否具有特定的权限 例如登录微信之后,是否有权限发红包、发朋友圈等,后面的操作是
Spring Security(六) Spring Security角色权限判断 及 自定义 403  处理方案
奥迪的博客
09-29 2168
一、 角色权限判断 除了之前讲解的内置权限控制。Spring Security 中还支持很多其他权限控制。这些方法一般都用于用户已经被认证后,判断用户是否具有特定的要求。 1 hasAuthority(String) 判断用户是否具有特定的权限用户权限是在自定义登录逻辑中创建 User 对象时指定的。 下图中 admin 就是用户权限。admin 严格区分大小写。 在配置类中通过 hasAuthority(“admin”)设置具有 admin 权限时才能访问。 .antMatcher
Spring Security】根据请求路径判断当前登录用户是否拥有访问权限
Java技术栈,分享不断学习、不断超越、不断积累的历程!
05-13 1911
开发依赖版本3.0.6功能很强大,对安全认证这一块提供了非常丰富的支持,篇幅有限,只是演示了非常基础的功能。相信通过这篇文章的介绍,可以帮助大家解决一定的困惑。本人对的研究非常深入,几乎翻看了底层所有的源码,熟悉运行的机制、原理,如果大家在使用的过程中遇到什么难题,欢迎进一步沟通、交流。
Spring Security实现用户身份验证及权限管理
个人学习笔记库,一篇一篇记录成长的足迹
03-26 7739
Spring SecuritySpring生态的一个成员,提供了一套Web应用安全性的完整解决方案。Spring Security 旨在以一种自包含的方式进行操作,因此你不需要在 Java 运行时环境中放置任何特殊的配置文件。这种设计使部署极为方便,因为可以将目标工件(无论是 JAR还是WAR)从一个系统复制到另一个系统,并且它可以立即工作。spring Security,这是一种基于 Spring AOP 和 Servlet 过滤器的安全框架。
Java Spring Security 安全框架:(十)角色权限判断
地球村
10-12 2177
角色权限判断1.hasAuthority(String)2.hasAnyAuthority(String ...)3.hasRole(String)4.hasAnyRole(String ...)5.hasIpAddress(String) 除了之前讲解的内置权限控制。Spring Security 中还支持很多其他权限控制。这些方法一般都用于用户已经被认证后,判断用户是否具有特定的要求 1.hasAuthority(String) 判断用户是否具有特定的权限用户权限是在自定义登录逻辑中创建 Us
SpringBoot3】Spring Security使用mybatis-plus存储用户角色权限,实现动态权限处理
不积跬步无以至千里,不积小流无以成江海。一个喜欢学习分享的程序员
02-23 1458
一、使用mybatis-plus存储用户角色权限 1)创建相关数据库表 2)从数据库中读取用户角色权限数据 3)登录成功返回token 4)访问相关资源时,通过自定义的过滤器解析token,判断权限 动态权限可以通过创建自定义类(如 `MyAuthorizationManager`)实现接口 `AuthorizationManager`,在实现类的 `check()` 方法中判断用户是否有请求资源的权限
云e办学习笔记(十八)判断用户角色
05-05 626
前言 本系列博客基于B站的云e办管理系统,前端和后端我都自己敲了一遍,这里做一个学习记录。云e办的原始视频链接如下:https://www.bilibili.com/video/BV1Ai4y1P7Tk?p=1 十八、判断用户角色 给Admin实体类添加角色字段,修改获取权限的方法,即根据用户名获取权限列表。 服务类定义根据用户id查询角色列表的方法。 服务实现类实现 RoleMapper接口定义查询方法 Mapper.xml文件实现查询语句,根据用户查询对应的角色。 去登录的Controlle
springboot项目中如何快速调用security里面的authentication对象判断角色身份
yrldjsbk的博客
09-19 600
摘要:Spring Boot项目中可通过SecurityContextHolder获取Authentication对象判断用户角色身份。主要有3种方法:1)直接通过SecurityContextHolder获取认证信息;2)使用@AuthenticationPrincipal注入UserDetails;3)从HttpServletRequest中提取安全上下文。角色需以"ROLE_"为前缀(如ROLE_ADMIN),需注意处理匿名用户情况。这些方法适用于控制器和服务层,可实现基于角色的访
Spring Security 按钮级别的权限怎么实现?
l688899886的博客
06-27 2991
首先小伙伴们都知道权限有不同的颗粒度,在 vhr 项目中,整体上我是基于请求地址去处理权限的,这个粒度算粗还是算细呢?有的小伙伴们可能认为这个权限粒度太粗,所谓细粒度的权限应该是基于按钮的。如果有小伙伴们做过前后端不分的开发,应该会有这样的体会:在 Shiro 或者 Spring Security 框架中,都提供了一些标签,通过这些标签可以做到在满足某种角色或者权限的情况下,显示某个按钮;当用户不具备某种角色或者权限的时候,按钮则会自动隐藏起来。但是大家想想,按钮的显示与隐藏不过是前端页面为了提高用户体验而
spring security tags
jaesonchen
05-11 315
//要使用security tags,必须在maven中加入tags的依赖 <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-taglibs</artifactId> <version&gt...
spring-security(两种权限控制方式)
2302_79087378的博客
11-10 1011
*** 登录服务类,实现Spring Security的UserDetailsService接口*/@Service/*** 根据用户名加载用户信息* @param username 用户名* @return UserDetails对象,包含用户信息* @throws UsernameNotFoundException 如果用户不存在,则抛出此异常*/@Override// 检查用户名是否匹配预设值,如果不匹配则抛出异常if (!
Spring Security入门篇——标签sec:authorize的使用
xiaozhengN的博客
10-16 1949
转自于:https://blog.csdn.net/hustxiayu/article/details/52354511 Security框架可以精确控制页面的一个按钮、链接,它在页面上权限的控制实际上是通过它提供的标签来做到的 Security共有三类标签authorize  authentication   accesscontrollist  ,第三个标签不在这里研究 前提:项目需要引用s...
springsecurity中anonymous_Spring Security---安全管理框架(三)
weixin_39605706的博客
11-26 1068
成功的法则极为简单,但简单并不代表容易【Spring Security安全管理框架】主要内容访问控制url匹配内置访问控制方法介绍角色权限判断自定义403处理方案基于表达式的访问控制基于注解的访问控制RememberMe功能实现Thymeleaf中Spring Security使用退出登录Spring Security 中CSRF一、 访问控制url匹配在前面讲解了认证中所有常用配置,主要是对h...
springsecurity自定义角色权限授权
qq_57517269的博客
03-27 3777
security自定义角色权限 通过注解标记controller的方式与config配置的方式过于繁琐。这样每写一个接口都要去写这个注解,关键还要记相对应的权限,根本不符合当前的开发。 //注解方式 @PreAuthorize("hasAuthority('test')") public RespBean test(){ .... } @Override protected void configure(HttpSecurity http)
SpringSecurity权限管理框架系列(六)-Spring Security框架自定义配置类详解(二)之authorizeRequests配置详解
热门推荐
最爱嫣夜来
03-24 1万+
1、预置演示环境 这个演示环境继续沿用 SpringSecurit权限管理框架系列(五)-Spring Security框架自定义配置类详解(一)之formLogin配置详解的环境。 2、自定义配置类之请求授权详解
spring-security实现角色权限的控制
qq_34796981的博客
07-28 1386
spring-security实现角色权限的控制 spring-security提供了方便的权限控制方法,我们只需进行简单的配置就可以实现而不再需要使用「硬代码」的方式来进行编写。 这样开发人员就可以专注于业务逻辑的编写。 访问url按照用户角色进行授权 请先访问我以前写的前后端分离的实现spring-security实现前后端分离登录 在以上的基础上再进行授权的访问分配。 @Configuration @EnableWebSecurity(debug = true) public class Secu
SpringBoot+Spring Security + spring boot jpa 实现权限管理
weixin_44533475的博客
08-01 1511
一 建表 权限管理需实现5张表:用户表、角色表、用户角色对应表、权限表、权限角色对应表 用户表 CREATE TABLE platform_user ( id bigint(20) NOT NULL AUTO_INCREMENT, username varchar(50) NOT NULL, password varchar(100) NOT NULL, PRIMARY KEY (id) ) EN...
Spring Boot2 + Spring Security5 动态用户角色资源的权限管理(6)
https://gitee.com/micai-code
06-07 986
前言 上篇文章介绍了Spring Boot Security基于Redis的Spring Session管理 本篇文章,可以说比较核心、实用的功能,动态用户角色资源管理(RBAC),可能篇幅会比较长,废话不多说,马上进入正题 简单介绍 相信每个正规的系统,都会对系统安全和访问权限有严格的控制。简单的一句话总结,就是对的人访问对的资源,这里可能会比较抽象,博主给大家举个例子就懂了: 现在假设有个系统,里面有菜单A、菜单B和菜单C 客户有这么个需求,就是对于管理员来说,可以访问所有资源菜单,对于普通用户来说,只
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值