Spring Security表單設定過程分步講解

2023-01-22 14:01:29

Spring Security授權

實現授權介面方法安全註解

實現授權介面

實現介面

org.springframework.security.authorization.AuthorizationManager

import org.springframework.security.authorization.AuthorizationDecision;
import org.springframework.security.authorization.AuthorizationManager;
import org.springframework.security.core.Authentication;
import org.springframework.security.web.access.intercept.RequestAuthorizationContext;
import java.util.function.Supplier;
public class MyAuthorizationManager implements AuthorizationManager<RequestAuthorizationContext> {
    @Override
    public AuthorizationDecision check(Supplier<Authentication> authentication, RequestAuthorizationContext object) {
    	// ... 這裡可以寫授權邏輯
        // 返回true表示有許可權
        return new AuthorizationDecision(true);
    }
}

然後在設定中加入

@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
      http.formLogin(form -> {
          form
                  .loginProcessingUrl("/login") // 接受登入請求的url，預設也是login
                  .loginPage("/toLogin") // 表單對應的url
                  .successForwardUrl("/success") // 登入成功後重定向的url
                  .failureForwardUrl("/failure") // 登入失敗後重定向的url
                  ;
              })
              .authorizeHttpRequests(authorize -> {
                  // 授權所有請求都得經過授權
                  authorize.anyRequest().access(new MyAuthorizationManager());
              })
              .csrf().disable(); // 簡單粗暴禁用csrf
      return http.build();
}

授權設定完成

方法安全註解

首先開啟方法安全註解

@Configuration
@EnableWebSecurity
@EnableMethodSecurity
public class SecurityConfig {
	// ... 省略設定
}

方法安全註解常用的有兩個

org.springframework.security.access.prepost.PreAuthorize

org.springframework.security.access.prepost.PostAuthorize

PreAuthorize 是存取前授權

PostAuthorize 是存取後授權

例子：

import org.springframework.security.access.prepost.PostAuthorize;
import org.springframework.security.access.prepost.PreAuthorize;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.PathVariable;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
import security.demo.DataEntity;
import java.util.UUID;
@RestController
@RequestMapping("/admin")
public class AdminController {
    @GetMapping("/res/{id}")
    @PreAuthorize("hasAnyRole('admin')")
    public String getResById(@PathVariable("id") String id) {
        return id;
    }
    @GetMapping("/res/{id}")
    @PreAuthorize("hasAnyRole('admin')")
    @PostAuthorize("returnObject.creator == authentication.name")
    public DataEntity getDataEntityById(@PathVariable("id") String id) {
        String creator = UUID.randomUUID().toString();
        return DataEntity.builder().id(id).someData("一些資料").creator(creator).build();
    }
}

其中的DataEntity是一個簡單的pojo類

import lombok.Builder;
import lombok.Data;
@Data
@Builder
public class DataEntity {
    private String id;
    private String someData;
    private String creator;
}

PreAuthorize 裡面可以接收授權表示式，例子的意思是，當前使用者要有admin角色

PostAuthorize 也接收授權表示式，例子裡面的意思是，然後的實體類的creator屬性必須是當前使用者的username

更多的表示式可以參考官方檔案: https://docs.spring.io/spring-security/reference/5.7/servlet/authorization/expression-based.html

官方檔案裡面有更多的註解和更多的使用方式

到此這篇關於Spring Security表單設定過程分步講解的文章就介紹到這了,更多相關Spring Security表單設定內容請搜尋it145.com以前的文章或繼續瀏覽下面的相關文章希望大家以後多多支援it145.com！

Spring Security表單設定過程分步講解

目錄

Spring Security授權

實現授權介面

方法安全註解

熱門文章