Spring Security详细学习第二篇(授权,异常处理,跨域)

最新推荐文章于 2025-07-07 17:29:05 发布
原创 最新推荐文章于 2025-07-07 17:29:05 发布 · 1.1k 阅读 · 25 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring #学习 #python

本文详细介绍了在SpringSecurity中如何从数据库获取RBAC权限信息,使用注解实现基于角色的权限控制,处理认证和授权过程中的异常,以及解决跨域问题的策略,包括CORS配置。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

SpringSecurity

授权

权限系统可以使得不同的用户可以使用不同的功能
所以我们需要在后端进行相应的权限判断,判断当前用户是否具有相应的权限,必须基于所需权限才能进行相应的操作

  • 授权原理

在SpringSecurity中,会使用默认的FilterSecurityInterceptor来进行权限校验,在FilterSecurityInterceptor中会从securityContextHolder获取其中的Authentication,然后获取其中的权限信息,当前用户是否拥有访问当前资源所需的权限

框架提供了基于注解的权限控制的方案:
开启权限注解的相关配置:

@EnableGlobalMathodSecurity(prePostEnabled= true)

注解放在所继承WebSecurityConfigurerAdapter的配置类上
然后可以使用对应的权限注解

@RestController
public class HelloController{
   
   
   @RequestMapping("/hello")
   @PreAuthorize("hasAuthority('test')")
   public String hello(){
   
   
       return "hello";
   }
}

注解中的hasAuthority是一个方法,在进行判断的时候根据注解中传入的参数进行方法来进行判断

我们需要对UserDetails中完善授权信息部分:
在实现UserDetails的实现类中由方法getAuthorities()来返回控制权限的信息

public class userdatails implements UserDetails{
   
   
     private List<String> primissions;
     @JSONField(serialize=false)
     private List<
最低0.47元/天 解锁文章

200万优质内容无限畅学
Spring Security 异常处理
2012年开始工作,全栈开发老兵,目前已是一个老师,分享这么多年的心得体会
09-18 318
org.springframework.security.authentication.BadCredentialsException: 用户名或密码错误。当我们登录的时候,如果用户名找不到,则抛出:UsernameNotFoundException,可以被拦截到LoginFailureHandler。因为UsernameNotFoundException继承自:AuthenticationException。
SpringSecurity
m0_74825526的博客
02-15 912
CORS(Cross-Origin Resource Sharing)是由W3C制定的一种资源共享技术标准,其目的就是为了解决前端的请求。在JavaEE开发中,最常见的前端请求解决方案是早起的JSONP,但是JSONP只支持GET请求,这是一个很大的缺陷,而CORS则支持多种HTTP请求方法,也是目前主流的解决方案。CORS中新增了一组HTTP请求头字段,通过这些字段,服务器高炉浏览器,哪些网站通过浏览器有权限访问哪些资源。
Spring Security之安全异常处理
Evan_L的博客
07-17 2212
Spring Security中,特指对于安全异常的处理。我们知道Spring Security主要是基于过滤器来实现的,因此每个安全过滤器都可能发生安全异常,所以处理逻辑会被散落在各个过滤器中。Spring自然是不能忍受这种设计,于是就有了专门的安全异常处理。注:下文我们都用异常处理来代指安全异常处理异常处理体系包括异常定义分两类 —— 认证异常、访问拒绝异常(鉴权异常
springsecurity03--异常拦截处理(认证异常、权限异常
最新发布
yang_xiao_wu_的博客
07-07 258
第一次测试,测试登陆失败返回结果。第二次,权限不足返回结果。
SpringSecurity异常处理
Littewood的博客
07-24 1078
SpringSecurity异常处理
SpringSecurity配置
weixin_64443786的博客
07-13 1890
SpringSecurity
SpringSecurity笔记,编程不良人笔记
10-28
- OAuth2SpringSecurity支持OAuth2协议,实现第三方登录和API保护。 - JWT(JSON Web Tokens):可使用JWT进行状态less的认证,提高系统的可扩展性。 - CORS(Cross-Origin Resource Sharing):SpringSecurity...
Spring Boot 3 集成 Spring Security2授权
Harry的博客
11-26 1226
在某些场景中,我们可能需要更加灵活的权限控制。在Spring Security中,@PreAuthorize、@PostAuthorize等注解支持SpEL表达式。如果要在表达式中调用其他对象的方法,需要在方法名前加上对象名。例如,,其中ss是Spring容器中的一个对象名,hasPermission则是该对象中的方法‌可以通过定义一个自定义的类,并在其中实现权限验证逻辑。// 获取当前用户的所有权限// 判断当前用户的所有权限是否包含接口上定义的权限。
springsecurity详细解析
m0_65224643的博客
07-27 1242
进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条,抖音等,下边拿微信来举例子说明认证相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号和密码即可登录微信,输入账号和密码登录微信的过程就是认证。系统为什么要认证?认证是为了保护系统的隐私数据与资源,用户的身份合法,方可访问该系统的资源。认证︰用户认证就是判断一个用户的身份是否合法的过程,用户去访问系统资源时,系统要求验证用户的身份信息,身份合法方可继续访问,不合法则拒绝访问。
Spring Security() ——配置
eyes++的博客
07-26 4123
CORS(Cross-OriginResourceSharing)是由W3C制定的一种基于HTTP头的资源共享技术标准,其目的就是为了解决前端的请求,该机制通过允许服务器标示除了它自己以外的其它origin(,协议和端口),使得浏览器允许这些origin访问加载自己的资源。在JavaEE开发中,最常见的前端请求解决方案是早期的JSONP,但是JSONP只支持GET请求,这是一个很大的缺陷,而CORS则支持多种HTTP请求方法,也是目前主流的解决方案。...
拒绝访问异常处理(AccessDeniedException)_spring security例子
09-23
拒绝访问异常处理(AccessDeniedException)_spring security例子 博客:blog.csdn.net/dsundsun
自定义Spring Security的身份验证失败处理方法
08-25
在本篇文章里小编给大家整理了一篇关于自定义Spring Security的身份验证失败的处理方法,有需要的朋友们学习下。
spring Security 异常处理
weixin_52834606的博客
09-06 5377
spring security 前后端分离 异常处理
Spring Security异常处理
大后生大大大的博客
12-09 3655
ExceptionTranslationFilter、AuthenticationEntryPoint、AccessDeniedHandler、自定义异常配置
Spring Security——09,解决
weixin_42858422的博客
04-07 2402
因为它不是浏览器,所以我们要找一个前端的项目,就随便找了一个vue工程。由于我们的资源都会收到SpringSecurity的保护,所以想要访问还要让SpringSecurity运行访问。修改一下登录页面,认证登录成功之后,把返回的token接收,存入localStorage。前后端分离项目,前端项目和后端项目一般都不是同源的,所以肯定会存在请求的问题。然后看一下,响应,都没有问题,OK,这个账号是有这个权限的。然后测试一下,登录成功,解决请求,拿到token。填入一个正确的密码,认证成功。
SpringSecurity源码学习二:异常处理
qq_27586963的博客
10-15 1009
首先,ExceptionTranslationFilter 调用 FilterChain.doFilter(request, response) 来调用应用程序的其他过滤器。如果用户没有被认证,或者是一个 AuthenticationException,那么就开始认证,SecurityContextHolder 被清理掉。HttpServletRequest 被保存起来,这样一旦认证成功,它就可以用来重放原始请求。AuthenticationEntryPoint 用于请求客户的凭证。
Spring Security (CORS)资源访问配置
weixin_34248487的博客
01-29 609
1、CORS介绍 CORS是一个W3C标准,全称是"资源共享"(Cross-origin resource sharing)。它允许浏览器向(协议 + 名 + 端口)服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。 CORS需要浏览器和服务器同时支持。它的通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS通信与同源的AJAX通信...
Spring Security入门(3-4)Spring Security 异常处理异常传递和异常获取
weixin_33754913的博客
06-15 907
   
2022升级版:企业级Spring Security+OAuth2认证授权教程
资源摘要信息:"Spring Security+OAuth2 精讲,打造企业级认证与授权2022升级" 知识点概览: 1. 企业级认证授权概念:在企业级应用中,认证和授权是保障系统安全性的基础。认证(Authentication)是指验证用户身份...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值