Spring security(五)-完美权限管理系统(授权过程分析)

最新推荐文章于 2024-07-06 13:02:48 发布
最新推荐文章于 2024-07-06 13:02:48 发布
阅读量1.2k 收藏 10
点赞数 1
分类专栏: Spring Security 文章标签: spring spring security Spring boot  面试 微服务
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ccww_/article/details/102102372
版权

1. 权限管理相关概念

  权限管理是一个几乎所有后台系统的都会涉及的一个重要组成部分,主要目的是对整个后台管理系统进行权限的控制。常见的基于角色的访问控制,其授权模型为“用户-角色-权限”,简明的说,一个用户拥有多个角色,一个角色拥有多个权限。其中,

  • 用户: 不用多讲,大家也知道了;
  • 角色: 一个集合的概念,角色管理是确定角色具备哪些权限的一个过程 ;
  • 权限:
    1).页面权限,控制你可以看到哪个页面,看不到哪个页面;
        2). 操作权限,控制你可以在页面上进行哪些操作(查询、删除、编辑等);
        3).数据权限,是控制你可以看到哪些数据。

实质是:
 权限(Permission) = 资源(Resource) + 操作(Privilege)
 角色(Role) = 权限的集合(a set of low-level permissions)
 用户(User) = 角色的集合(high-level roles)

权限管理过程:

  1. 鉴权管理,即权限判断逻辑,如菜单管理(普通业务人员登录系统后,是看不到【用户管理】菜单的)、功能权限管理(URL访问的管理)、行级权限管理等
  2. 授权管理,即权限分配过程,如直接对用户授权,直接分配到用户的权限具有最优先级别、对用户所属岗位授权,用户所属岗位信息可以看作是一个分组,和角色的作用一样,但是每个用户只能关联一个岗位信息等。

  在实际项目中用户数量多,逐一的为每个系统用户授权,这是极其繁琐的事,所以可以学习linux文件管理系统一样,设置group模式,一组有多个用户,可以为用户组授权相同的权限,简便多了。这样模式下:
  每个用户的所有权限=用户个人的权限+用户组所用的权限
用户组、用户、与角色三者关系如下:

再结合权限管理的页面权限、操作权限,如菜单的访问、功能模块的操作、按钮的操作等等,可把功能操作与资源统一管理,即让它们直接与权限关联起来,关系图如下:

2. 授权过程分析

2.1 授权访问权限工作流程:

        FilterSecurityInterceptor
                             doFilter()->invoke()
                               ->AbstractSecurityInterceptor
                                   beforeInvocation()
                           ->SecurityMetadataSource 获取ConfigAttribute属性信息(从数据库或者其他数据源地方)
                                       getAttributes()
                                   ->AccessDecisionManager()  基于AccessDecisionVoter实现授权访问
                                           Decide()
                                       ->AccessDecisionVoter  受AccessDecisionManager委托实现授权访问
                                               vote()

默认授权过程会使用这样的工作流程,接下来来分析各个组件的功能与源码。

2.2 AbstractSecurityInterceptor分析

  FilterSecurityInterceptor为授权拦截器, 在FilterSecurityInterceptor中有一个封装了过滤链request以及responseFilterInvocation对象进行操作,在FilterSecurityInterceptor,主要由invoke()调用其父类AbstractSecurityInterceptor的方法。

invoke()分析:

 public void invoke(FilterInvocation fi) throws IOException, ServletException {
                 .....
                 // 获取accessDecisionManager权限决策后结果状态、以及权限属性
		InterceptorStatusToken token = super.beforeInvocation(fi);

		try {
			fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
		}
		finally {
			super.finallyInvocation(token);
		}

		super.afterInvocation(token, null);
	}
}

  A

最低0.47元/天 解锁文章
Ccww_
关注
  • 1
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security 学习笔记(六)--OAuth2.0
SuperArc1999的博客
01-08 1778
6.1OAuth2.0介绍 OAuth(开放授权)是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息。而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容。OAuth2.0是OAuth协议的延续版本,但不向后兼容OAuth1.0。即完全废止了OAuth1.0。很多大公司如Google,Yahoo,Microsoft等都提供了OAuth认证服务,这些足以证明OAuth标准逐渐成为开放资源授权的标准。 OAuth2.0已被广泛应用。 下面是OAuth2.0的认证流程
springboot-springsecurity权限控制的万能后台管理系统
09-26
项目是由maven管理,springboot架构,springsecurity权限管理组成的万能的系统管理后台模板。希望对大家有帮助,谢谢!
Spring Security权限管理
Leon_Jinhai_Sun的博客
05-03 798
基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。 权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。 ...
SpringSecurity权限管理
z318913的博客
02-08 2856
认证授权权限管理认证授权解决方案 权限管理 基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。 权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。 认证 身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户
基于springsecurity的用户角色权限
08-24
适合初学者使用,代码简单,未连接数据库,全部集成在.xml中。有注释,注释全面。可以进行二次开发。
实现基于Spring Security权限管理系统
最新发布
技术研究中心
07-06 1483
通过有效的权限管理,可以确保应用程序的安全性,防止未经授权的用户访问敏感数据。Spring Security是一个强大且灵活的安全框架,能够帮助我们轻松实现复杂的权限管理系统Spring SecuritySpring框架的一个子项目,提供了全面的安全服务,包括身份验证和授权。本文详细介绍了如何使用Spring Security实现一个基于角色和权限权限管理系统。从依赖配置、数据库设计、用户认证与授权,到安全配置和前端页面展示,全面覆盖了一个完整权限管理系统的实现步骤。实现简单的控制器来处理请求。
第10章 Spring Security 的未来趋势与高级话题(2024 最新版)
江帅帅
03-03 1045
在这个案例中,我们将通过实现一个基于短信验证码的认证流程来展示如何自定义用户认证流程。这种认证方式在移动应用或需要二次验证的场景中非常有用。步骤 1:定义短信验证码认证令牌首先,定义一个代表短信验证码认证信息的。这个令牌将在认证过程中使用,以携带用户的手机号和短信验证码。// 初始化时未认证@Override@Override// 认证成功后,设置用户权限并标记为已认证// 必须在设置权限前调用步骤 2:实现短信验证码认证提供者接着,创建一个实现,用于处理的认证逻辑。
Spring Security OAuth2.0认证授权 --- 高级篇
shuai_h的博客
06-19 1494
六、OAuth2.0 6.1、OAuth2.0介绍 OAuth(开放授权)是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容。OAuth2.0是OAuth协议的延续版本,但不向后兼容OAuth 1.0即完全废止了OAuth1.0。很多大公司如Google,Yahoo,Microsoft等都提供了OAUTH认证服务,这些都足以说明OAUTH标准逐渐成为开放资源授权的标准。 Oauth协议目前发展到2.0版本,1.0版本过
springsecurity6.x实战学习笔记,可完美的移植到生产环境
03-28
权限管理方面,SpringSecurity提供了Role-Based Access Control (RBAC)机制,允许我们定义角色(Role)和权限(Permission),并基于这些角色和权限进行访问控制。我们可以使用预定义的注解(如@Secured, @...
基于springsecurity+springmvc+spring+hibernate的权限管理系统(免积分)
01-16
基于springsecurity+springmvc+spring+hibernate的权限管理系统,实现资源、用户、权限、角色的增删改查,角色-资源管理,用户-角色管理等基础功能,可以作为springmvc+spring+hibernate的增删改查入门项目,也可以对spring-security简单了解,界面使用bootstrap3,非常简洁,免积分
spring security 登录、权限管理配置
08-13
登录流程 1)容器启动(MySecurityMetadataSource:loadResourceDefine加载系统资源与权限列表) 2)用户发出请求 3)过滤器拦截(MySecurityFilter:doFilter) 4)取得请求资源所需权限(MySecurityMetadataSource:getAttributes) 5)匹配用户拥有权限和请求权限(MyAccessDecisionManager:decide),如果用户没有相应的权限, 执行第6步,否则执行第7步。 6)登录 7)验证并授权(MyUserDetailServiceImpl:loadUserByUsername) 内附完整数据库
SpringSecruity权限管理系统
客官不爱喝酒的博客
10-30 351
因为一直想找一个权限管理系统参考一下,没想到尚硅谷最近更新了一套,我没有看视频,我是直接把源代码找到,然后看了一遍,然后感觉设计上还可以,对于没有做过权限管理系统的小伙伴来说,这个demo还是比较友好,有参考价值,但是其中,有2个问题,1是如果用户是在登录的情况被别人禁用了,还是能正常使用系统,我在这个地方做了改进,2是后台接口貌似没有做每个接口的细致校验,只是在前端展示的时候,过滤了一些菜单而已,我在地址栏中增加了apiPathId,通过apiPathId对每个用户的每个接口都做了细致的校验。
使用 Spring Security 实现角色和权限管理
FireFox1997
07-04 428
Spring Security 提供了一套强大且灵活的机制来实现角色和权限的管理。本文将详细介绍如何使用 Spring Security 实现角色和权限管理,从基本概念到具体实现步骤,并提供示例代码来帮助你理解和应用这些概念。Spring Security 提供了强大的功能来处理复杂的权限控制需求,包括角色、权限的定义和分配,以及在应用程序中的细粒度访问控制。配置 Spring Security 以使用自定义的用户详细信息服务,并定义角色和权限。通常,权限是更细粒度的控制,而角色是权限的组合。
基于Spring Security实现权限管理系统
qq_40413991的博客
10-08 214
https://blog.csdn.net/cloume/article/details/83790111?
使用Spring Security实现权限管理
xieqian923的专栏
11-15 245
http://hotstrong.iteye.com/blog/1160153
SpringSecurity实现角色权限控制(SpringBoot+SpringSecurity+JWT)
lans_g的博客
05-14 7368
通过springboot整合jwt和security,以用户名/密码的方式进行认证和授权。认证通过jwt+数据库的,授权这里使用了两种方式,分别是SpringSecurity自带的hasRole方法+SecurityConfig和 我们自定义的permission+@PreAuthorize注解。用来存储和获取当前线程关联的 SecurityContext 对象的类。
基于SpringSecurity权限管理
M1275601161的博客
11-10 285
学习目标:SpringSecurity、Oathu2、SpringSecurityOauth2、JWT、SpringSecurityOath2整合SSO、SpringSecurityOauth2整合JWT 一、SpringSecurity 快速入门,导入依赖 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.
Spring Security实现办公系统权限控制(含认证和授权流程、底层分析
豆恭梓的博客
08-10 653
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。正如你可能知道的关于安全方面的两个核心功能是“认证”和“授权”,一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分,这两点也是 SpringSecurity 重要核心功能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值