Spring Security

Spring Security 重要的是实战,这里仅对小部分知识点进行总结

有哪些控制请求访问权限的方法?

  • permitAll():无条件允许任何形式访问,不管你登录还是没有登录。
  • anonymous():允许匿名访问,也就是没有登录才可以访问。
  • denyAll():无条件决绝任何形式的访问。
  • authenticated():只允许已认证的用户访问。
  • fullyAuthenticated():只允许已经登录或者通过 remember-me 登录的用户访问。
  • hasRole(String) : 只允许指定的角色访问。
  • hasAnyRole(String) : 指定一个或者多个角色,满足其一的用户即可访问。
  • hasAuthority(String):只允许具有指定权限的用户访问
  • hasAnyAuthority(String):指定一个或者多个权限,满足其一的用户即可访问。
  • hasIpAddress(String) : 只允许指定 ip 的用户访问。

hasRole 和 hasAuthority有区别吗?

在Spring Security中,`hasRole` 和 `hasAuthority` 是用于表达访问控制规则的方法,它们用来检查当前认证的用户是否具有指定的角色或权限。虽然这两个方法看起来很相似,但它们之间确实有一些细微的区别。

  1. hasRole:
  • `hasRole` 方法是用来检查用户是否拥有特定角色。

  • 使用 `hasRole` 时,通常会在角色名称前加上一个前缀 "ROLE_"。这是因为Spring Security默认期望角色权限以 "ROLE_" 开头。

  • 示例:`@PreAuthorize("hasRole('ADMIN')")` 或者 `@Secured("ROLE_ADMIN")`。

  1. hasAuthority:
  • `hasAuthority` 方法是更为通用的检查方式,它可以用来检查任何权限(不仅仅是角色),因为权限可以代表更细粒度的操作许可。

  • 使用 `hasAuthority` 时不需要添加 "ROLE_" 前缀,除非你的权限字符串本身就有这个前缀。

  • 示例:`@PreAuthorize("hasAuthority('CREATE_USER')")`。

总结来说,如果你是在检查用户是否拥有某个角色,那么你可能会使用 `hasRole`。如果你需要验证的是一个更具体的权限(不一定是角色),那么你可以使用 `hasAuthority`。此外,`hasAuthority` 可以与 `hasRole` 兼容,也就是说,你可以用 `hasAuthority` 来检查带有 "ROLE_" 前缀的角色权限。

如何对密码进行加密?

如果我们需要保存密码这类敏感数据到数据库的话,需要先加密再保存。

Spring Security 提供了多种加密算法的实现,开箱即用,非常方便。这些加密算法实现类的接口是 PasswordEncoder ,如果你想要自己实现一个加密算法的话,也需要实现 PasswordEncoder 接口。

PasswordEncoder 接口一共也就 3 个必须实现的方法。

java 复制代码
public interface PasswordEncoder {
    // 加密也就是对原始密码进行编码
    String encode(CharSequence var1);
    // 比对原始密码和数据库中保存的密码
    boolean matches(CharSequence var1, String var2);
    // 判断加密密码是否需要再次进行加密,默认返回 false
    default boolean upgradeEncoding(String encodedPassword) {
        return false;
    }
}

官方推荐使用基于 bcrypt 强哈希函数的加密算法实现类。

如何优雅更换系统使用的加密算法?

如果我们在开发过程中,突然发现现有的加密算法无法满足我们的需求,需要更换成另外一个加密算法,这个时候应该怎么办呢?

推荐的做法是通过 DelegatingPasswordEncoder 兼容多种不同的密码加密方案,以适应不同的业务需求。

从名字也能看出来,DelegatingPasswordEncoder 其实就是一个代理类,并非是一种全新的加密算法,它做的事情就是代理上面提到的加密算法实现类。在 Spring Security 5.0 之后,默认就是基于 DelegatingPasswordEncoder 进行密码加密的。

相关推荐
ServBay10 小时前
7 个AI开发中真正用得上的 MCP Server,配合Claude Code食用效果更佳
后端·claude·mcp
妙码生花10 小时前
从 PHP 到 AI + Golang,程序员自救转型手记(十五):优化细节、网络请求封装
前端·后端·ai编程
用户67570498850210 小时前
Go 语言里判断字符串为空,90% 的人都写错了!
后端·go
Flittly10 小时前
【AgentScope Java新手村系列】(16)从RAG到多路检索
java·spring boot·spring
用户67570498850210 小时前
Go 进阶必修:90% 的人都没用对的“表驱动法”
后端·go
小兔崽子去哪了10 小时前
Java 生成二维码解决方案
java·后端
苍何11 小时前
懂事的 Agent 已经开始自己看屏幕干活了,效率起飞!
后端
掘金码甲哥11 小时前
1分钟买不了吃亏系列: nginx动态域名解析
后端
神奇小汤圆11 小时前
2026大厂Java岗面试记录:八股+场景+项目+AI,一文讲透快速上岸路径(含答案)
后端
神奇小汤圆11 小时前
我说MySQL每张表最好不超过2000万条数据,面试官让我回去等通知?
后端