Spring-Security@PreAuthorize("hasAuthority('')")源码分析

最新推荐文章于 2025-03-28 10:15:00 发布
最新推荐文章于 2025-03-28 10:15:00 发布
阅读量4.7w 收藏 82
点赞数 26
CC 4.0 BY-SA版权
分类专栏: Java cookies
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/guoke2017/article/details/94439661

Spring-Security@PreAuthorize(“hasAuthority(’’)”)源码分析
demo
@PreAuthorize(“hasAuthority(‘xxx’)”)用来鉴别当前登录用户所拥有的角色是否有xxx权限访问该接口。
点进去看看security是如何来鉴权的。

hasAuthority
这里authority即为我们传入的权限,比如prod:create,接下来再看this.hasAnyAuthority如何处理这个权限字符串吧。
hasAnyAuthority
翻看源码的话会发现其实hasAnyAuthority方法就在hasAuthority方法的下面,该访问hasAnyAuthorityName了,我们传入的权限字符串(prod:create)就像皮球一样被踢到了hasAnyAuthorityName脚下了~
hasAnyAuthorityName
该方法终于要射门了!
首行为 Set roleSet = this.getAuthoritySet(); 点进去getAuthorityeSet()方法看到
getAuthoritySet
该方法为获取当前用户所拥有角色的所有权限,Collection<? extends GrantedAuthority> userAuthorities = this.authentication.getAuthorities();此行为登录操作时应访问数据库将用户权限放入authentication中,也就是说,这一行将会把该用户所持角色的所有权限都查询出来。
此时我们的鉴权字符串(“prod:create”)被守门员getRoleWithDefaultPrefix()拿下,来看看守门员是怎么守住这球的:
getRoleWithDefaultPrefix
原来是判断一下这球是不是假动作啊,该方法会对传入的(prod:create)进行组装,前面传入的这个defaultRolePrefix为null,所以直接返回role即可,也就是我们一开始传入的“prod:create”。
该比对了,prod:create字符串在权限集合roleSet中,即该用户有访问该接口的权限。
总的来说,鉴权过程为:从数据库中查询出当前登录用户的所有权限并交给security管理;注解@PreAuthorize(“hasAuthority(‘xxx’)”)来判断“xxx”是否在当前登录用户的权限集合中,在则200,不在则403。
谢谢!

Spring Security-@PreAuthorize 权限注解分析
西京刀客
09-18 2万+
@PreAuthorize @PreAuthorize
8-2 spring-security学习
qq_43876243的博客
08-02 334
Spring -Security学习 本质上是一个过滤链 SpringSecurity主要包括认证和授权两大功能。 认证:确实是否登录 授权:限制访问权限 认证授权注解使用 1、@Secured 使用方法:在启动类添加 开启此注解使用 添加注解 @EnableGlobalMethodSecurity(securedEnabled = true) 2、在controller方法的注解上添加注解。 示例: @RequestMapping("/level3/{id}") @Secured({"
Spring-Security@PreAuthorize(hasAuthority(‘‘)“)源码分析
z69183787的专栏
12-28 1847
Spring-Security@PreAuthorize(hasAuthority(’’)”)源码分析@PreAuthorize(hasAuthority(‘xxx’)”)用来鉴别当前登录用户所拥有的角色是否有xxx权限访问该接口。SpringBoot Security Oauth2角色及权限鉴权注解方法hasRole及hasAuthority的使用区别_控制器中定义的权限字符,如:@preauthorize(`@ss.hasrole('admin')`-CSDN博客。
最新Spring Security实战教程(七)方法级安全控制@PreAuthorize注解的灵活运用
最新发布
Micro麦可乐的博客
03-28 5004
在实际项目中,安全控制不仅体现在URL拦截层面,方法级安全控制也越来越受到重视。提供了多种方式实现方法级安全,通过方法注解体系,这种细粒度控制使得我们能够在方法调用前、调用后,甚至返回值处理阶段实施安全检查,真正成为开发者保护服务接口的重要手段,那么本章节博主将带着大家剖析注解的核心原理、SpEL表达式机制,并通过的示例代码演示如何在实际项目中灵活运用该注解实现细粒度的权限控制。注解可以在方法执行前对传入的参数、当前用户信息、认证状态等进行校验,从而决定是否允许方法执行。
springsecurity通过注解@PreAuthorize(hasAuthority(‘xxx‘)“)实现方法级权限管理
qq_39602487的博客
06-24 1万+
1. 原理 1 进入hasAuthority()方法 2 上面方法调用了hasAnyAuthority()方法 3 上面方法调用了hasAnyAuthorityName()方法 hasAnyAuthorityName() 方法中调用了getAuthoritySet() 方法返回一个权限Set,而getAuthoritySet() 方法则调用了getAuthorities() 。这个权限Set就是由getAuthorities()返回的Collection转换而来的。 而我们的项目之前在Security
@PreAuthorize注解
先知三日
01-12 6650
例如,v-hasPermi="['monitor:job:add']"会检查用户是否具有monitor:job:add这个权限,如果有,那么相关的UI元素就会显示。用户此时已经登陆系统,假设用户操作的是角色管理模块的查询按钮,当点击该按钮时,会通过网络映射到后端的接口方法。通过这种方式,RuoYi框架可以实现精细的基于权限的访问控制,确保只有具有相应权限的用户才能访问特定的资源。如果当前用户的权限集合中,包含当前被@PreAuthorize标注的方法的权限,则返回true。等集合信息返回给前端。
@PreAuthorize注解源码分析(一)
Sterne_的博客
07-04 1495
本文将深入探讨Spring Security框架中的@PreAuthorize注解,它是一种方法级别的权限控制注解。本文将详细讲解@PreAuthorize注解的源码,帮助读者了解其实现原理。
详细分析SpringSecurity中的@PreAuthorize注解
码农研究僧的博客
01-27 1万+
在Java中,`@PreAuthorize` 是Spring Security框架中的一个注解,用于在方法调用之前对用户的权限进行验证。 允许在方法级别定义访问控制规则,确保只有满足指定条件的用户才能调用该方法 这个注解通常与Spring的AOP(面向切面编程)结合使用,推荐阅读: Spring框架从入门到学精(全) java框架 零基础从入门到精通的学习路线 附开源项目面经等(超全)
针对 SpringSecurity 做了一个详细分析,让你明白它是如何执行的
互联网架构小马的博客
10-26 1395
纸上得来终觉浅,绝知此事要躬行。 不知道你们在使用SpringSecurity安全框架的时候,有没有想过 debug 一步一步看它是如何实现判断是否可以访问的? 如下: @PreAuthorize("hasRole('ROLE_ADMIN')") @RequestMapping("/role/admin1") String admin() { return "role: ROLE_ADMIN"; } 为什么我们写上这个注解可以了呢?如何进行判断的呢? 前面写过一次‍ SpringSe.
Spring Security 详解
As_Yua的博客
07-31 1万+
用户认证通过后,为了避免用户的每次操作都进行认证可将用户的信息保证在会话中。会话就是系统为了保持当前用户的登录状态所提供的机制,常见的有基于session方式、基于token方式等。
Spring Cloud整合SpringSecurity OAuth2(全网最强)
web15185420056的博客
06-12 1万+
本文是梳理整合SpringCloud和SpringSecurity OAuth2的搭建流程!好久没撸SpringSecurity OAuth2这系列代码了,都快忘了,特写此文章梳理脉络!开干!!!微服务版本 SpringSecurity OAuth2版本 通过微服务版本限定后spring-security-oauth2-autoconfigure的最终版本自动适配为2.1.2刚开始我这里就不一次性把一大堆配置放上来,需要什么就写什么,不然到时候都搞不清那个配置是干嘛,有什么用的!这也是我写这个文章的缘由!授
【若依】@PreAuthorize
weixin_45995287的博客
12-01 9726
Spring Security提供了Spring EL表达式,允许我们在定义接口访问的方法上面添加注解,来控制访问权限来源于若依官方文档,记一下帮助记忆!
Spring-security
weixin_44962939的博客
07-16 273
hasRole: 角色授权:授权代码,在我们返回的UserDetails的Authority需要加ROLE_前缀,Controller上使用时不要加前缀; hasAuthority: 权限授权:用户自定义的权限,返回的UserDetails的Authority只要与这里匹配就可以,这里不需要加ROLE_,名称保持一至即可 另外的安全表达式还有: 表达式 说明 permitAll 永远返回true denyAll 永远返回false anonymous 当前用户是anonymous时返回true rememb
Security注解:@PreAuthorize,@PostAuthorize, @Secured, EL实现方法安全
chuitong9165的博客
04-15 841
说明 (1)JDK版本:1.8 (2)Spring Boot 2.0.6 (3)Spring Security 5.0.9 (4)Spring Data JPA 2.0.11.RELEASE (5)hibernate5.2.17.Final (6)MySQ...
@preauthorize使用
热门推荐
weixin_42293526的博客
04-21 1万+
Spring Security中使用PreAuthorize
详解了解权限控制符@PreAuthorize
sunsiny
11-01 4086
是一个Spring Security的注解,用于在Spring框架中的方法级别上进行权限控制。这个注解通常用于保护某个方法,确保只有具备特定权限的用户才能访问该方法。这里的 是Spring Security提供的权限注解之一,它允许你定义一个SpEL(Spring Expression Language)表达式,用来在方法执行之前检查用户的权限。解释一下代码片段中的各个部分:在Spring Security中,为不同用户角色设置不同的权限通常涉及以下几个步骤:定义角色和权限:配置用户DetailsServ
@PreAuthorize 权限控制的原理
05-19 3822
@PreAuthorize 注解,顾名思义是进入方法前的权限验证,@PreAuthorize 声明这个方法所需要的权限表达式,例如:@PreAuthorize("hasAuthority('sys:dept:delete')"), 根据这个注解所需要的权限,再和当前登录的用户角色所拥有的权限对比,如果用户的角色权限集Set中有这个权限,则放行;没有,拒绝 跟进hasAuthority方法: 但是,问题来了,这个用户的角色权限Set,是什么时候存入的,其流程如下: 相关代码: ...
Java注解的解释——@PreAuthorize
dingliqiang4的博客
07-14 6577
【代码】Java注解的解释——@PreAuthorize
thingsboard 登录源码分析
03-20
<think>好的,我现在需要帮用户分析ThingsBoard的登录相关源码。首先,我得确认用户的需求。他们想了解ThingsBoard的登录实现,包括用户认证流程、权限控制等。用户可能在进行二次开发或定制化,或者遇到登录问题需要排查。接下来,我需要回忆一下ThingsBoard的架构,它基于SpringSpring Security,所以登录流程应该和这些框架相关。 首先,我应该从入口点开始,比如登录页面或API接口。ThingsBoard的Web界面登录请求可能发送到类似/api/auth/login的端点。这时候,需要找到处理这个请求的控制器。Spring Security通常有过滤器链,处理认证请求,比如UsernamePasswordAuthenticationFilter。不过ThingsBoard可能自定义了认证流程,可能需要查看相关的Controller类,比如AuthController。 然后,用户认证通常会涉及UserDetailsService,用于加载用户信息。在ThingsBoard中,可能有自定义的UserDetailsService实现,从数据库获取用户信息。用户表结构可能包含用户名、密码哈希、权限等信息。需要确认用户存储的位置,比如PostgreSQL或Cassandra。 密码加密方式也是关键点,Spring Security一般使用PasswordEncoder,ThingsBoard可能使用BCrypt。需要检查配置类,看看是否配置了特定的PasswordEncoder。 另外,权限控制方面,ThingsBoard有租户、客户等不同角色,可能通过Spring Security的GrantedAuthority来实现。需要查看用户实体类中的权限设置,以及如何被转化为权限信息。 源码分析可能需要参考官方文档或已有的分析资料。但用户提供的引用中没有直接提到ThingsBoard,所以可能需要依赖通用的Spring Security知识。例如,引用[5]提到了UserGroupInformation,虽然和ThingsBoard无关,但用户认证流程可能有类似结构,比如获取登录用户信息。 用户可能还关心Token管理,比如JWT的使用。ThingsBoard可能使用Token来维持会话,特别是在前后端分离的情况下。需要检查认证成功后如何生成和返回Token,以及后续请求如何验证Token。 另外,错误处理也是重点,比如用户名或密码错误时的响应机制。需要查看异常处理类,如何转换异常为HTTP状态码和错误信息。 最后,可能需要指导用户如何调试,比如启动本地服务,查看日志,或使用IDE的调试功能。引用[3]提到了微服务的启动方式,虽然针对的是其他项目,但思路类似,可以关闭微服务后手动启动,方便调试。 总结步骤:找到认证入口点,跟踪处理流程,查看用户加载、密码验证、权限分配,以及Token生成。同时考虑错误处理和调试方法。需要确保回答结构清晰,逐步引导用户理解源码,并提醒可能的扩展方向,如OAuth2集成或多因素认证,满足用户潜在的高级需求。</think>### ThingsBoard登录源码分析 ThingsBoard的登录实现基于Spring Security框架,主要涉及用户认证、权限控制和会话管理。以下是关键模块分析: --- #### 1. **认证入口点** 登录请求通过REST API入口处理,对应控制器为`AuthController`,处理路径为`/api/auth/login`: ```java @RestController @RequestMapping("/api/auth") public class AuthController { @PostMapping("/login") public ResponseEntity<JsonNode> login(@RequestBody LoginRequest loginRequest) { // 调用认证服务 SecurityUser user = securityService.authenticate(loginRequest); return ResponseEntity.ok(generateToken(user)); // 返回JWT令牌 } } ``` 认证逻辑委托给`SecurityService`,完成用户名密码校验[^5]。 --- #### 2. **用户认证流程** `SecurityService`的核心方法`authenticate`实现认证流程: ```java public SecurityUser authenticate(LoginRequest loginRequest) { User user = userService.findUserByEmail(loginRequest.getUsername()); if (user == null || !passwordEncoder.matches(loginRequest.getPassword(), user.getPassword())) { throw new BadCredentialsException("Invalid credentials"); } return new SecurityUser(user); // 构建包含权限的安全用户对象 } ``` - **用户查询**:通过`UserService`从数据库加载用户信息,表结构通常包含`tenant_id`、`authority`等字段(例如:租户管理员、普通用户)[^3]。 - **密码校验**:使用`BCryptPasswordEncoder`进行哈希比对[^1]。 --- #### 3. **会话管理与JWT生成** 认证成功后,系统生成JWT令牌: ```java private JsonNode generateToken(SecurityUser user) { String token = JwtUtils.createToken( user.getId(), user.getEmail(), user.getAuthority().name() ); return JsonUtils.newObjectNode() .put("token", token) .put("refreshToken", refreshToken); } ``` - **令牌内容**:包含用户ID、邮箱和权限角色,用于后续接口鉴权[^4]。 --- #### 4. **权限控制实现** 权限验证通过`@PreAuthorize`注解实现,例如设备管理接口: ```java @PreAuthorize("hasAuthority('TENANT_ADMIN')") @GetMapping("/devices") public ResponseEntity<List<Device>> getDevices() { // 仅租户管理员可访问 } ``` 权限标签(如`TENANT_ADMIN`)与用户注册时的角色绑定[^2]。 --- ####
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值