从 @PreAuthorize 看 Apollo 如何玩转权限管理

原创 于 2024-12-05 22:30:02 发布 · 912 阅读 · 27 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Apollo #配置中心 #spring boot #spring cloud #后端 #java

在之前的博客中,我们深入揭秘了 Apollo 的配置更新机制和环境隔离特性。今天,我们的关注点将转向 Apollo 服务端的权限管理,探讨其具体实现方式。

Apollo服务端权限是基于Spring Security组件来实现的,实现的是方法级别的权限。核心是@PreAuthorize 注解,用于在方法调用之前进行权限验证,接下来我们让我们逐步揭秘。

@PreAuthorize注解介绍

@PreAuthorize 注解用于在方法执行之前基于表达式对用户进行权限验证。支持 Spring Expression Language(SpEL)表达式,常用的表达式包括:

  • hasRole(‘ROLE_NAME’): 用户是否具有指定的角色。
  • hasAuthority(‘AUTHORITY_NAME’): 用户是否具有指定的权限。
  • principal: 当前认证用户的主体信息。
  • #parameterName: 方法参数,可以在表达式中使用方法参数。

@PreAuthorize的实现细节

下面深入探讨 @PreAuthorize 的实现细节。

1. 启用方法安全功能

要使用 @PreAuthorize,首先需要在项目中启用全局方法安全性,通过配置类中的 @EnableGlobalMethodSecurity 注解实现。

@EnableGlobalMethodSecurity(prePostEnabled = true)
  static class SpringSecurityConfigurer extends WebSecurityConfigurerAdapter {
   
   
  	public static final String USER_ROLE = "user";

    @Override
    protected void configure(HttpSecurity http) throws Exception {
   
   
      http.csrf().disable();
      http.headers().frameOptions().sameOrigin();
      http.authorizeRequests()
          .antMatchers(BY_PASS_URLS).permitAll()
          .antMatchers("/**").hasAnyRole(USER_ROLE);
最低0.47元/天 解锁文章

200万优质内容无限畅学
SpringBoot方法级安全(@PreAuthorize)全解:从基础到高阶的细粒度权限控制实战
专注Java开发与国产数据库技术分享,涵盖达梦DM8/OceanBase/GaussDB核心原理与实战,兼及DeepSeek大模型部署、YOLOv11训练等AI技术,为开发者提供从基础到进阶的技术干货。
06-06 1822
摘要 文章介绍了Spring Security中的方法级安全机制(@PreAuthorize),与URL级安全相比,它提供了更精细的方法级别权限控制。主要内容包括:方法级安全的概念及优势、环境配置步骤、@PreAuthorize注解的语法和常用表达式、基础使用示例以及基于SpEL表达式的高级用法。方法级安全适用于复杂业务场景,能实现基于角色、权限或自定义逻辑的访问控制,相比URL级安全具有更高的灵活性和更小的性能影响。文章还提供了配置示例、权限表达式对照表以及工作流程示意图,帮助开发者快速掌握这一安全机制。
Apollo 源码解析 —— Portal 认证与授权(一)之认证
芋艿V
06-13 432
点击上方“芋道源码”,选择“设为星标”管她前浪,还是后浪?能浪的浪,才是好浪!每天 8:55 更新文章,每天掉亿点点头发...源码精品专栏原创 | Java 2020 超神之路,很肝~...
Spring Security 之方法级的权限管控 @PreAuthorize 使用详解
热门推荐
LoveSummer
01-22 1万+
默认情况下, Spring Security 并不启用方法级的安全管控. 启用方法级的管控后, 可以针对不同的方法通过注解设置不同的访问条件.Spring Security 支持三种方法级注解, 分别是 JSR-205 注解 /@Secured 注解 / prePostEnabled 注解. 这些注解不仅可以直接加 controller 方法上, 也可以注解 Service 或 DAO 类中的方法.
详解了解权限控制符@PreAuthorize
sunsiny
11-01 4592
是一个Spring Security的注解,用于在Spring框架中的方法级别上进行权限控制。这个注解通常用于保护某个方法,确保只有具备特定权限的用户才能访问该方法。这里的 是Spring Security提供的权限注解之一,它允许你定义一个SpEL(Spring Expression Language)表达式,用来在方法执行之前检查用户的权限。解释一下代码片段中的各个部分:在Spring Security中,为不同用户角色设置不同的权限通常涉及以下几个步骤:定义角色和权限:配置用户DetailsServ
@preauthorize使用
weixin_42293526的博客
04-21 1万+
Spring Security中使用PreAuthorize
详细分析SpringSecurity中的@PreAuthorize注解
码农研究僧的博客
01-27 1万+
Java中,`@PreAuthorize` 是Spring Security框架中的一个注解,用于在方法调用之前对用户的权限进行验证。 允许在方法级别定义访问控制规则,确保只有满足指定条件的用户才能调用该方法 这个注解通常与Spring的AOP(面向切面编程)结合使用,推荐阅读: Spring框架从入门到学精(全) java框架 零基础从入门到精通的学习路线 附开源项目面经等(超全)
@PreAuthorize注解
先知三日
01-12 6797
例如,v-hasPermi="['monitor:job:add']"会检查用户是否具有monitor:job:add这个权限,如果有,那么相关的UI元素就会显示。用户此时已经登陆系统,假设用户操作的是角色管理模块的查询按钮,当点击该按钮时,会通过网络映射到后端的接口方法。通过这种方式,RuoYi框架可以实现精细的基于权限的访问控制,确保只有具有相应权限的用户才能访问特定的资源。如果当前用户的权限集合中,包含当前被@PreAuthorize标注的方法的权限,则返回true。等集合信息返回给前端。
portal认证 java_Apollo 源码解析 —— Portal 认证与授权(一)之认证
weixin_30189297的博客
02-13 624
摘要: 原创出处 http://www.iocoder.cn/Apollo/portal-auth-1/ 「芋道源码」欢迎转载,保留摘要,谢谢!1. 概述本文分享 Portal 的认证与授权,侧重在认证部分。Apollo 是配置管理系统,会提供权限管理(Authorization),理论上是不负责用户登录认证功能的实现(Authentication)。所以 Apollo 定义了一些SPI用来解耦,...
【若依】@PreAuthorize
weixin_45995287的博客
12-01 9908
Spring Security提供了Spring EL表达式,允许我们在定义接口访问的方法上面添加注解,来控制访问权限来源于若依官方文档,记一下帮助记忆!
权限实现Security--@PreAuthorize
Mrs_DongDong的博客
07-20 1538
@PreAuthorize,security,权限,菜单
apollo权限管理(五)
weixin_42412601的博客
04-04 7260
创建项目时,已经有项目管理的全部权限(项目负责人),项目负责人可以分配项目的权限 一,项目分配权限 在项目首页的左下方点击项目管理 添加项目管理人 添加成功显示如下: 二,集群分配权限 1.点击右上方的集群名称,然后出现集群配置的tab,点击 授权 2.选择修改权的管理员 3.选择环境 4.选择发布权的管理员 三,Namespace分配权限 具体步骤参考集群的分配权限...
Java注解的解释——@PreAuthorize
dingliqiang4的博客
07-14 6607
【代码】Java注解的解释——@PreAuthorize
@PreAuthorize 注解
susu1083018911的博客
11-03 1万+
以前也写过登录,但是没有研究过 spring-security ,在新项目中看到这个注解还是一脸的懵,下面简单的梳理一下此注解(题外话:其实好多都可以通过名字的大概意思猜一猜): @PreAuthorize 注解方法前拦截判断是否有权限 进入方法前判断el表达式 查找到我们项目中定义了一个接口,接口中定义了常量 常量值的定义,我们可以在SecurityExpressionRoot类中看到 el表达式返回true:通过 false:拒绝访问 对上述el表达式 ...
Spring-Security@PreAuthorize(“hasAuthority(‘‘)“)源码分析
z69183787的专栏
12-28 1886
Spring-Security@PreAuthorize(“hasAuthority(’’)”)源码分析@PreAuthorize(“hasAuthority(‘xxx’)”)用来鉴别当前登录用户所拥有的角色是否有xxx权限访问该接口。SpringBoot Security Oauth2角色及权限鉴权注解方法hasRole及hasAuthority的使用区别_控制器中定义的权限字符,如:@preauthorize(`@ss.hasrole('admin')`-CSDN博客。
@PreAuthorize 权限控制的原理
qq_44761854的博客
02-17 871
@PreAuthorize 注解,顾名思义是进入方法前的权限验证,@PreAuthorize 声明这个方法所需要的权限表达式,例如:@PreAuthorize(“hasAuthority(‘sys:dept:delete’)”), 根据这个注解所需要的权限,再和当前登录的用户角色所拥有的权限对比,如果用户的角色权限集Set中有这个权限,则放行;没有,拒绝 ...
利用@PreAuthorize注解自定义权限校验
m0_37541228的博客
04-01 7704
有没有办法在@Preauthorize块中创建更具表现力的语句?这是我发现自己重复的一个例子,因为@Preauthorize不是非常聪明的开箱即用。 @RequestMapping(value = "{id}", method = RequestMethod.DELETE) public void deleteGame(@PathVariable int id, @ModelAttribute User authenticatingUser) { Game currentGame = ga.
@value读取apollo
最新发布
02-26
### 如何在 Apollo 配置管理中读取 `@Value` 注解的属性值 为了使应用程序能够从 Apollo 配置中心读取配置项并将其注入到 Spring 应用上下文中,可以利用 `@Value` 注解来实现这一功能。当与 Apollo 结合使用时,开发者可以在项目中声明带有 `${key}` 占位符形式的字段,并通过 `@Value` 来指定这些占位符所对应的配置键。 对于想要确保即使远程配置不可用也能正常启动的应用程序来说,在使用 `@Value` 时最好提供一个默认值[^3]。例如: ```java @Value("${apollo.config.key:default_value}") private String configKey; ``` 为了让上述机制生效,除了正确应用 `@Value` 外,还需要保证几个前提条件得到满足。首先,确保已经引入了必要的依赖用于连接至 Apollo 并完成相应的初始化工作;其次,确认目标 Bean 已经被 Spring 容器托管而不是手动创建实例[^5]。下面是一个简单的例子展示如何在一个基于 SpringJava 类中读取来自 Apollo 的配置数据: ```java import org.springframework.beans.factory.annotation.Value; import org.springframework.stereotype.Component; @Component public class AppConfig { @Value("${app.name:UnknownApp}") private String appName; public void printAppName() { System.out.println("Application Name from Apollo Config:" + appName); } } ``` 在此案例中,假设 Apollo 中存在名为 `app.name` 的配置,则该值会被自动加载并赋给成员变量 `appName`; 如果不存在此配置条目,则会采用 `"UnknownApp"` 作为其初始值。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

coding侠客

一起充电,一起成长。

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值