Spring 中使用 @Secured 注解的方法安全性
发布于2024-07-31
浏览:728
该注解提供了一种向业务方法添加安全配置的方法。
它将使用角色来检查用户是否有权调用此方法。注解是 Spring Security 的一部分。因此,要启用它的使用,您需要 spring security 依赖项。
示例场景
您有一个包含产品 CRUD 的应用程序。在此 CRUD 中,您希望使用两个特定角色来控制操作。
- 用户:可以创建产品并查看产品。但无法更新或删除产品。
- 管理员:可以进行所有用户操作,还可以更新和删除产品。
您可以使用@Secured 来管理这些角色对每个操作的访问权限。
运营角色
我们可以在示例场景中定义以下角色。
- ROLE_USER、ROLE_ADMIN
读书:
- ROLE_USER、ROLE_ADMIN
更新:
- ROLE_ADMIN
删除:
- ROLE_ADMIN
让我们看一个代码示例并观察应用程序的行为。
添加 Spring Security 依赖
要使用 @Secured 注释,请添加 Spring Security 的 Maven 依赖项:
org.springframework.boot spring-boot-starter-security
使用@Secured注释方法
我们使用 @Secured 注释方法,定义哪些角色可以访问方法行为。
public class Product {
private Long id;
private String name;
private BigDecimal value;
//getters and setters
}
@Service
public class ProductService {
@Secured({"ROLE_USER", "ROLE_ADMIN"})
public Product createProduct(Product product) {
// Logic for creating a product
return product;
}
@Secured({"ROLE_USER", "ROLE_ADMIN"})
public Product getProductById(Long id) {
// Logic for fetching a product
return null;
}
@Secured("ROLE_ADMIN")
public Product updateProduct(Product product) {
// Logic for updating a product
return product;
}
@Secured("ROLE_ADMIN")
public void deleteProduct(Long id) {
// Logic for deleting a product
}
}
应用配置
您需要添加@EnableGlobalMethodSecurity(securedEnabled = true)来配置您的Spring应用程序以使用@Secured启用方法安全性。
@SpringBootApplication
@EnableTransactionManagement
@EnableGlobalMethodSecurity(securedEnabled = true)
public class MasteryApplication {
public static void main(String[] args) {
SpringApplication.run(MasteryApplication.class, args);
}
}
测试行为
在我们的示例中,我们将使用测试来测试行为,因此我们添加 spring boot 测试依赖项。
org.springframework.security spring-security-test test
然后我们创建测试来验证是否使用模拟用户并为其分配特定角色,我们可以测试每个角色中的用户以及我们的应用程序的行为方式。通过这样做,我们可以确保只有正确的角色才能执行允许的操作。
@SpringBootTest
class ProductServiceTests {
@Autowired
private ProductService productService;
@Test
@WithMockUser(roles = "USER")
void testCreateProductAsUser() {
Product product = new Product();
assertDoesNotThrow(() -> productService.createProduct(product));
}
@Test
@WithMockUser(roles = "ADMIN")
void testCreateProductAsAdmin() {
Product product = new Product();
assertDoesNotThrow(() -> productService.createProduct(product));
}
@Test
@WithAnonymousUser
void testCreateProductAsAnonymous() {
Product product = new Product();
assertThrows(AccessDeniedException.class, () -> productService.createProduct(product));
}
@Test
@WithMockUser(roles = "USER")
void testGetProductByIdAsUser() {
assertDoesNotThrow(() -> productService.getProductById(1L)); // Assuming product with ID 1 exists
}
@Test
@WithMockUser(roles = "ADMIN")
void testGetProductByIdAsAdmin() {
assertDoesNotThrow(() -> productService.getProductById(1L));
}
@Test
@WithAnonymousUser
void testGetProductByIdAsAnonymous() {
assertThrows(AccessDeniedException.class, () -> productService.getProductById(1L));
}
@Test
@WithMockUser(roles = "USER")
void testUpdateProductAsUser() {
Product product = new Product();
assertThrows(AccessDeniedException.class, () -> productService.updateProduct(product));
}
@Test
@WithMockUser(roles = "ADMIN")
void testUpdateProductAsAdmin() {
Product product = new Product();
assertDoesNotThrow(() -> productService.updateProduct(product));
}
@Test
@WithAnonymousUser
void testUpdateProductAsAnonymous() {
Product product = new Product();
assertThrows(AccessDeniedException.class, () -> productService.updateProduct(product));
}
@Test
@WithMockUser(roles = "USER")
void testDeleteProductAsUser() {
assertThrows(AccessDeniedException.class, () -> productService.deleteProduct(1L));
}
@Test
@WithMockUser(roles = "ADMIN")
void testDeleteProductAsAdmin() {
assertDoesNotThrow(() -> productService.deleteProduct(1L));
}
@Test
@WithAnonymousUser
void testDeleteProductAsAnonymous() {
assertThrows(AccessDeniedException.class, () -> productService.deleteProduct(1L));
}
}
就是这样,现在您可以使用带有 @Secured 注释的角色来管理用户对应用程序的访问。
如果你喜欢这个话题,记得关注我。在接下来的几天里,我将详细解释 Spring 注解!敬请关注!
跟我来!
版本声明
本文转载于:https://dev.to/tiuwill/method-security-with-secured-annotation-in-spring-1hgk?1如有侵犯,请联系[email protected]删除
最新教程
更多>
-
TypeScript 冒险与类型挑战 – Day Pick大家好。 我正在解决类型挑战,以更深入地研究 TypeScript。 今天,我想分享一下我对Pick的了解。 - 挑战 - interface Todo { title: string description: string completed: boolean } ty...编程 发布于2024-11-03 -
如何扩展 JavaScript 中的内置错误对象?扩展 JavaScript 中的 Error要扩展 JavaScript 中的内置 Error 对象,您可以使用 extends 关键字定义 Error 的子类。这允许您使用附加属性或方法创建自定义错误。在 ES6 中,您可以定义自定义错误类,如下所示:class MyError extends E...编程 发布于2024-11-03
-
将测试集中在域上。 PHPUnit 示例介绍 很多时候,开发人员尝试测试 100%(或几乎 100%)的代码。显然,这是每个团队应该为他们的项目达到的目标,但从我的角度来看,只应该完全测试整个代码的一部分:您的域。 域基本上是代码中定义项目实际功能的部分。例如,当您将实体持久保存到数据库时,您的域不负责将其持久保存在数据...编程 发布于2024-11-03
-
如何使用 SQL 搜索列中的多个值?使用 SQL 在列中搜索多个值构建搜索机制时,通常需要在同一列中搜索多个值场地。例如,假设您有一个搜索字符串,例如“Sony TV with FullHD support”,并且想要使用该字符串查询数据库,将其分解为单个单词。通过利用 IN 或 LIKE 运算符,您可以实现此功能。使用 IN 运算符...编程 发布于2024-11-03
-
如何安全地从 Windows 注册表读取值:分步指南如何安全地从 Windows 注册表读取值检测注册表项是否存在确定注册表项是否存在:LONG lRes = RegOpenKeyExW(HKEY_LOCAL_MACHINE, L"SOFTWARE\\Perl", 0, KEY_READ, &hKey); if (lRes...编程 发布于2024-11-03
-
Staat源码中的useBoundStoreWithEqualityFn有解释。在这篇文章中,我们将了解Zustand源码中useBoundStoreWithEqualityFn函数是如何使用的。 上述代码摘自https://github.com/pmndrs/zustand/blob/main/src/traditional.ts#L80 useBoundStoreWithE...编程 发布于2024-11-03
-
如何使用 Go 安全地连接 SQL 查询中的字符串?在 Go 中的 SQL 查询中连接字符串虽然文本 SQL 查询提供了一种简单的数据库查询方法,但了解将字符串文字与值连接的正确方法至关重要以避免语法错误和类型不匹配。提供的查询语法:query := `SELECT column_name FROM table_name WHERE ...编程 发布于2024-11-03
-
如何在 Python 中以编程方式从 Windows 剪贴板检索文本?以编程方式访问 Windows 剪贴板以在 Python 中进行文本检索Windows 剪贴板充当数据的临时存储,从而实现跨应用程序的无缝数据共享。本文探讨如何使用 Python 从 Windows 剪贴板检索文本数据。使用 win32clipboard 模块要从 Python 访问剪贴板,我们可以...编程 发布于2024-11-03
-
使用 MySQL 存储过程时如何访问 PHP 中的 OUT 参数?使用 MySQL 存储过程访问 PHP 中的 OUT 参数使用 PHP 在 MySQL 中处理存储过程时,获取由于文档有限,“OUT”参数可能是一个挑战。然而,这个过程可以通过利用 mysqli PHP API 来实现。使用 mysqli考虑一个名为“myproc”的存储过程,带有一个 IN 参数(...编程 发布于2024-11-03
-
在 Kotlin 中处理 null + null:会发生什么?在 Kotlin 中处理 null null:会发生什么? 在 Kotlin 中进行开发时,您一定会遇到涉及 null 值的场景。 Kotlin 的 null 安全方法众所周知,但是当您尝试添加 null null 时会发生什么?让我们来探讨一下这个看似简单却发人深省的情况! ...编程 发布于2024-11-03
-
Python 字符串文字中“r”前缀的含义是什么?揭示“r”前缀在字符串文字中的作用在Python中创建字符串文字时,你可能遇到过神秘的“r” ” 前缀。此前缀具有特定的含义,可能会影响字符串的解释,尤其是在处理正则表达式时。“r”前缀表示该字符串应被视为“原始”字符串。这意味着Python将忽略字符串中的所有转义序列,从而允许您按字面意思表示字符...编程 发布于2024-11-03
-
如何解决旧版 Google Chrome 的 Selenium Python 中的“无法找到 Chrome 二进制文件”错误?在旧版 Google Chrome 中无法使用 Selenium Python 查找 Chrome 二进制错误在旧版 Google Chrome 中使用 Python 中的 Selenium 时,您可能会遇到以下错误:WebDriverException: unknown error: cannot...编程 发布于2024-11-03
-
`.git-blame-ignore-revs` 忽略批量格式更改。.git-blame-ignore-revs 是 2.23 版本中引入的一项 Git 功能,允许您忽略 git Blame 结果中的特定提交。这对于在不改变代码实际功能的情况下更改大量行的批量提交特别有用,例如格式更改、重命名或在代码库中应用编码标准。通过忽略这些非功能性更改,gitblame 可以...编程 发布于2024-11-03
-
掌握函数参数:JavaScript 中的少即是多嘿,开发者们! ?今天,让我们深入探讨编写干净、可维护的 JavaScript 的一个关键方面:管理函数参数 太多参数的问题 你遇到过这样的函数吗? function createMenu(title, body, buttonText, cancellable, theme, fo...编程 发布于2024-11-03
-
如何使用 FastAPI WebSockets 维护 Jinja2 模板中的实时评论列表?使用 FastAPI WebSockets 更新 Jinja2 模板中的项目列表在评论系统中,维护最新的评论列表至关重要提供无缝的用户体验。当添加新评论时,它应该反映在模板中,而不需要手动重新加载。在Jinja2中,更新评论列表通常是通过API调用来实现的。然而,这种方法可能会引入延迟并损害用户界面...编程 发布于2024-11-03
学习中文
- 1 走路用中文怎么说?走路中文发音,走路中文学习
- 2 坐飞机用中文怎么说?坐飞机中文发音,坐飞机中文学习
- 3 坐火车用中文怎么说?坐火车中文发音,坐火车中文学习
- 4 坐车用中文怎么说?坐车中文发音,坐车中文学习
- 5 开车用中文怎么说?开车中文发音,开车中文学习
- 6 游泳用中文怎么说?游泳中文发音,游泳中文学习
- 7 骑自行车用中文怎么说?骑自行车中文发音,骑自行车中文学习
- 8 你好用中文怎么说?你好中文发音,你好中文学习
- 9 谢谢用中文怎么说?谢谢中文发音,谢谢中文学习
- 10 How to say goodbye in Chinese? 再见Chinese pronunciation, 再见Chinese learning
