一篇文章帶你搞定 SpringSecurity 配置多個HttpSecurity 和實現對於方法安全的控制

南淮北安發表於2020-09-26

文章目錄

一、實現配置多個 HttpSecurity

前期的配置和學習基本和本系列的文章都一樣，
本篇文章不再贅述：學習 Spring Security 看這一篇部落格就夠了

@Configuration
public class MultiHttpSecurityConfig {

    @Bean
    PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Autowired
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
                .withUser("nlcs").password("$2a$10$G3kVAJHvmRrr6sOj.j4xpO2Dsxl5EG8rHycPHFWyi9UMIhtdSH15u").roles("admin")
                .and()
                .withUser("yolo").password("$2a$10$kWjG2GxWhm/2tN2ZBpi7bexXjUneIKFxIAaMYJzY7WcziZLCD4PZS").roles("user");
    }

    @Configuration
    @Order(1)
    public static class AdminSecurityConfig extends WebSecurityConfigurerAdapter{
        @Override
        protected void configure(HttpSecurity http) throws Exception {
            http.antMatcher("/admin/**").authorizeRequests().anyRequest().hasAnyRole("admin");
        }
    }

    @Configuration
    public static class OtherSecurityConfig extends WebSecurityConfigurerAdapter{
        @Override
        protected void configure(HttpSecurity http) throws Exception {
            http.authorizeRequests().anyRequest().authenticated()
                    .and()
                    .formLogin()
                    .loginProcessingUrl("/doLogin")
                    .permitAll()
                    .and()
                    .csrf().disable();
        }
    }
}

（1）當配置多個 httpsecurity 時，就不用像前面那樣主方法繼承 WebSecurityConfigurerAdapter，只需要內部的靜態類繼承 WebSecurityConfigurerAdapter 即可

（2）當多個 httpsecurity 時，需要通過 @Order(1) 指定優先順序

二、實現方法安全的控制

1. 編寫配置類

@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true,securedEnabled = true)
public class MultiHttpSecurityConfig {

    @Bean
    PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Autowired
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
                .withUser("yolo").password("$2a$10$G3kVAJHvmRrr6sOj.j4xpO2Dsxl5EG8rHycPHFWyi9UMIhtdSH15u").roles("admin")
                .and()
                .withUser("nlcs").password("$2a$10$kWjG2GxWhm/2tN2ZBpi7bexXjUneIKFxIAaMYJzY7WcziZLCD4PZS").roles("user");
    }

    @Configuration
    @Order(1)
    public static class AdminSecurityConfig extends WebSecurityConfigurerAdapter{
        @Override
        protected void configure(HttpSecurity http) throws Exception {
            http.antMatcher("/admin/**").authorizeRequests().anyRequest().hasAnyRole("admin");
        }
    }

    @Configuration
    public static class OtherSecurityConfig extends WebSecurityConfigurerAdapter{
        @Override
        protected void configure(HttpSecurity http) throws Exception {
            http.authorizeRequests().anyRequest().authenticated()
                    .and()
                    .formLogin()
                    .loginProcessingUrl("/doLogin")
                    .permitAll()
                    .and()
                    .csrf().disable();
        }
    }
}

prePostEnabled 表示在方法前進行校驗

2. 編寫 service

@Service
public class MethodService {
    @PreAuthorize("hasRole('admin')")
    public String admin(){
        return "hello admin";
    }
    //有 user 這個角色才可以訪問
    @Secured("ROLE_user")
    public String user(){
        return "hello user";
    }
    @PreAuthorize("hasAnyRole('admin','user')")
    public String hello(){
        return "hello hello";
    }
}

@PreAuthorize("hasRole('admin')") 表示方法訪問前對其進行驗證，是否是 admin 許可權

3. 編寫 controller

@RestController
public class HelloController {

    @Autowired
    MethodService methodService;
    @GetMapping("/admin")
    public String admin() {
        return methodService.admin();
    }
    @GetMapping("/user")
    public String user() {
        return methodService.user();
    }
    @GetMapping("/hello")
    public String hello() {
        return methodService.hello();
    }
}

對於這三個介面都可以訪問，但是對於介面裡的具體方法，只有具有對應許可權的使用者才可以訪問。

4. 測試

yolo 登入：它具有 admin 許可權，可以訪問 admin 介面及其方法，但是對於 user 方法的訪問則不可以

在這裡插入圖片描述

一篇文章帶你認識 SpringSecurity
2020-09-26
SpringGse
一篇文章帶你使用 JSON 格式資料完成 SpringSecurity 登入
2020-10-02
JSONSpringGse
一篇文章搞定Python多程式(全)
2019-05-05
Python
一篇文章帶你搞定經典面試題之扔雞蛋問題
2019-02-16
面試題
一篇文章帶你搞定 SpringBoot 整合 Swagger2
2020-10-26
Spring BootSwagger
MySQL命令，一篇文章替你全部搞定
2018-04-29
MySql
一篇文章帶你瞭解和使用Promise物件
2020-11-09
Promise物件
SpringBoot框架整合SpringSecurity實現安全訪問控制
2019-01-28
Spring Boot框架Gse
一篇文章帶你解讀redis分散式鎖的發展史和正確實現方式
2019-11-28
Redis分散式
一篇文章帶你吃透 Docker 原理
2020-06-03
Docker
一篇文章帶你入門Zookeeper
2019-01-10
在 CSDN 上面看到的一篇關於 Laravel 關聯表模型和多對多關係的文章
2018-10-15
Laravel模型
一篇文章搞定面試中的二叉樹題目(java實現)
2019-04-17
面試二叉樹Java
Nginx的安裝和多域名配置的實現方法
2019-04-15
Nginx
一篇文章帶你讀懂Redis的哨兵模式
2022-07-20
Redis模式
一篇文章帶你弄懂Kerberos的設計思路
2023-02-17
ROS
一篇文章搞定前端面試
2018-10-01
前端面試
一篇文章帶你快速入門createjs
2019-01-11
JS
一篇文章搞定Python中的類
2021-09-11
Python
一篇文章帶你搞懂 etcd 3.5 的核心特性
2021-06-17
hibernate一對多、多對多的實體設計和配置檔案配置
2019-01-19
（圖解 HTTP）一篇文章帶你深入理解 IP、TCP 和 DNS
2020-10-31
圖解HTTPTCPDNS
一篇文章搞定 MySQL 索引優化
2019-04-22
MySql索引優化
一篇文章搞定javascript氣泡排序
2018-12-18
JavaScript排序
一篇文章帶你初步瞭解—CSS特指度
2021-01-28
CSS
一篇文章帶你瞭解HTML5 MathML
2020-10-29
HTML
# 一篇文章帶你入門軟體測試
2023-10-30
MySQL十種鎖，一篇文章帶你全解析
2022-06-27
MySql
一篇文章帶你瞭解——Kotlin協程
2021-10-30
Kotlin
一篇文章帶你瞭解介面自動化
2023-11-20
一篇文章帶你掌握效能測試工具——Jmeter
2023-12-11
JMeter
一篇文章帶你玩轉正規表示式
2016-08-13
一篇文章帶你掌握Flex佈局的所有用法
2023-02-07
Flex
一篇文章搞定 javascript 正規表示式
2019-03-02
JavaScript
一篇文章搞定密碼學基礎
2017-12-13
密碼學
一篇文章帶你瞭解HTML格式化元素
2021-09-09
HTML
一篇文章帶你瞭解CSS 分頁例項
2021-09-09
CSS
一篇文章帶你吃透hashmap（面試指南升級版）
2018-07-13
HashMap面試