spring security权限路由匹配restful格式的详情id设计

最新推荐文章于 2024-03-19 20:19:57 发布
最新推荐文章于 2024-03-19 20:19:57 发布
阅读量659 收藏
点赞数 1
分类专栏: 架构之路 文章标签: spring restful pandas
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/F_angT/article/details/131563357
版权

解决方案:

先直接说下解决方案,权限点设计成如下:

/api/books/{id:\d*}

问题描述:

获取书本详情的标准restful路由,一般是这样的/api/books/12, 12即该book的id,如果需要拥有访问该路由的权限,一般可以这样设计/api/books/*

但是如果类似有一个获取书本封面的请求,比如:/api/books/getCover,那么如果给了/api/books/*这样的权限的话,getCover这个也可以请求成功,就无法区分了。

源码分析:

请求地址和权限点匹配判断代码:

if(antPathMatcher.match(permission.getRequestUrl(),requestUri)){
	...
}

匹配代码的源码如下:
在这里插入图片描述那我们来分析下matchStrings 这个方法

private boolean matchStrings(String pattern, String str,
		@Nullable Map<String, String> uriTemplateVariables) {

	return getStringMatcher(pattern).matchStrings(str, uriTemplateVariables);
}

接下来看下getStringMatcher

protected AntPathStringMatcher getStringMatcher(String pattern) {
	AntPathStringMatcher matcher = null;
	Boolean cachePatterns = this.cachePatterns;
	if (cachePatterns == null || cachePatterns.booleanValue()) {
		matcher = this.stringMatcherCache.get(pattern);
	}
	if (matcher == null) {
		matcher = new AntPathStringMatcher(pattern, this.caseSensitive);
		if (cachePatterns == null && this.stringMatcherCache.size() >= CACHE_TURNOFF_THRESHOLD) {
			// Try to adapt to the runtime situation that we're encountering:
			// There are obviously too many different patterns coming in here...
			// So let's turn off the cache since the patterns are unlikely to be reoccurring.
			deactivatePatternCache();
			return matcher;
		}
		if (cachePatterns == null || cachePatterns.booleanValue()) {
			this.stringMatcherCache.put(pattern, matcher);
		}
	}
	return matcher;
}

接下来看AntPathStringMatcher的构造函数:

public AntPathStringMatcher(String pattern, boolean caseSensitive) {
	this.rawPattern = pattern;
	this.caseSensitive = caseSensitive;
	StringBuilder patternBuilder = new StringBuilder();
	Matcher matcher = GLOB_PATTERN.matcher(pattern);
	int end = 0;
	while (matcher.find()) {
		patternBuilder.append(quote(pattern, end, matcher.start()));
		String match = matcher.group();
		if ("?".equals(match)) {
			patternBuilder.append('.');
		}
		else if ("*".equals(match)) {
			patternBuilder.append(".*");
		}
		else if (match.startsWith("{") && match.endsWith("}")) {
			int colonIdx = match.indexOf(':');
			if (colonIdx == -1) {
				patternBuilder.append(DEFAULT_VARIABLE_PATTERN);
				this.variableNames.add(matcher.group(1));
			}
			else {
				String variablePattern = match.substring(colonIdx + 1, match.length() - 1);
				patternBuilder.append('(');
				patternBuilder.append(variablePattern);
				patternBuilder.append(')');
				String variableName = match.substring(1, colonIdx);
				this.variableNames.add(variableName);
			}
		}
		end = matcher.end();
	}
	// No glob pattern was found, this is an exact String match
	if (end == 0) {
		this.exactMatch = true;
		this.pattern = null;
	}
	else {
		this.exactMatch = false;
		patternBuilder.append(quote(pattern, end, pattern.length()));
		this.pattern = Pattern.compile(patternBuilder.toString(),
				Pattern.DOTALL | (this.caseSensitive ? 0 : Pattern.CASE_INSENSITIVE));
	}
}

看到这里基本上也就明白了,这里如果设定的*号,这匹配的是.*,那参考这里

else if (match.startsWith("{") && match.endsWith("}")) {

我们把获取详情的权限点设计成

/api/books/{id:\d*}

这样就可以匹配/api/books/12或者/api/books/123之类的详情,又不会包含/api/books/getCover这样的接口。

F_angT
关注
专栏目录
SpringSecurity权限控制
wunianisme的博客
04-13 1851
初识SpringSecurity 学习思路 了解SpringSecurity是什么。 查看官网简介。 简单快速阅读官方文档。 经过一段时间的学习,我们知道构建一个SpringBoot项目只需要三步: 导入maven依赖。 配置相关文件。 编写测试代码。 安全框架 在Web开发中,安全一直是一个十分重要的环节。它是一种非功能性的需求,但是对于一个系统十分重要,我们一般都会使用一些组件...
springboot实现SpringSecurity权限框架《附带项目地址》
f234344435的博客
11-16 1911
不缺斤少两的项目,附带Gitee仓库地址方便下载
Spring Security 匹配 Restful url,request.getAttribute(HandlerMapping.BEST_MATCHING_PATTERN_ATTRIBUTE)
m0_60379582的博客
02-22 461
使用SpringMvc的HandlerMapping.BEST_MATCHING_PATTERN_ATTRIBUTE,但是由于spring security的过滤器(filter)执行在springmvc之前,那么在spring security里头的filter无法获取BEST_MATCHING_PATTERN_ATTRIBUTE。即可获取restful风格接口(/sysuser/role/checkName/{roleName})。
Spring Security 动态url权限控制
weixin_44809110的博客
11-25 1674
记录一下。。。
SpringSecurity授权(访问控制)
wyy的博客
10-30 5873
一、 访问控制url匹配 在前面讲解了认证中所有常用配置,主要是对httpSecurity.formLogin()进行操作。而在配置类中httphttpSecurity.authorizeRequests()主要是对url进行控制,也就是我们所说的授权(访问控制)。httpSecurity.authorizeRequests()也支持连缀写法,可以有很多url匹配规则和很多权限控制方法。这些内容进行各种组合就形成了Spring Security中的授权。 在所有匹配规则中取所有规则的交集。配置顺序影响了之
路径匹配RestFul接口地址匹配工具AntPathMatcher
一行Java的博客
07-09 3074
背景 SpringBoot开发RestFul API接口,如果存在鉴权,可能会存在需要比对当前请求的接口是否允许访问;如后台定义了一个接口,@GetMapping("/user/{id}"),根据用户的id查询用户信息;此时如果用户请求/user/1的时候,是否要放行,我们该如何比对,传统的equals是没有办法满足比对需求的,SpringBoot给我们提供了一个工具类AntPathMatcher,用于路径比对 示例 @Test public void antPathMatcher() { Ant.
前端权限控制(一):前端权限管理及动态路由配置方案
热门推荐
zhufan2333的博客
08-01 1万+
在项目中,尤其是在后台管理系统中,不同人员登陆,看到的页面菜单是不一样的,比如,一个公司的办公系统,超级管理员登陆可以看到所有的页面,而普通员工账号登录可能无法看到人员管理等页面,比如公司的员工个人资料页面只有人力资源部门有权利看,其他部门的员工是不允许查看公司员工信息数据的。当然了除了页面的权限,还会有一些按钮级别的权限,比如一个下载按钮,有的帐号可以用,有的人不能用,比如人员账号管理中,一个页面中有一个确认添加、删除该账号人员按钮,这个按钮只有管理员有权利点击,其他人员登陆是无法点击的。........
SpringBoot+Spring Security+JWT实现RESTful Api权限控制的方法
08-26
在本文中,我们将探讨如何使用Spring Boot、Spring Security和JSON Web Tokens (JWT)来实现RESTful API的权限控制。Spring Boot简化了构建基于Spring的应用程序流程,而Spring Security则提供了强大的安全框架,JWT...
基于 SpringBoot、Spring Security、JWT 的前后端分离权限管理系统.zip
08-05
一个基于SpringBoot、Spring Security和JWT的权限管理系统可能包括用户注册、登录、角色管理、权限分配、API接口控制等功能。系统设计时,需要考虑数据库模型、前后端接口设计、异常处理、安全性等多个方面,确保...
基于Spring Boot 、Spring Security的RBAC权限管理系统, 做更简洁的后台管理系统.zip
08-16
在本项目中,我们主要探讨的是如何利用Spring Boot和Spring Security构建一个基于RBAC(Role-Based Access Control)的权限管理系统,以实现一个高效且简洁的后台管理平台。下面将详细介绍这个系统的相关知识点。 1...
Spring Security通过URL模式匹配的声明式权限控制
luenxin的博客
12-03 1万+
Spring Security的声明式安全授权有两种方式,一种是以url模式匹配的方式,另一种是方法上使用注解声明权限,这里重点说第一种。 一、创建一个类继承WebSecurityConfigurerAdapter,并使用注解@EnableWebSecurity标注。这个类我之前写到过很多次,是配置CAS客户端和Spring Security的核心类。同时也是启动注解声明权限的入口。 @Ena
Spring Security 访问控制-实现 RESTful API
pomer_huang的博客
09-09 1万+
要想实现 Spring Security 返回 JSON 格式串,只需重写以下几个处理器(JavaConfig) http.exceptionHandling().accessDeniedHandler() http.exceptionHandling().authenticationEntryPoint() http.formLogin().successHandler() http.for...
web端播放rtsp视频流
F_angT的博客
07-27 1万+
由于项目需要,对web端播放大华/海康的摄像头视频流做了点研究: 7 ways to stream RTSP on the page 使用flv.js做直播 在chrome中呈现RTSP 整合vxgPlayer使chrome支持vxg_media_player播放rtsp视频 总结下想在浏览器端播放摄像头的视频流有以下几个方案: 1.被淘汰的:VLC插件,flash插件 2.即将被淘汰的:VXG 播放器 3.可以丝滑播放的:streamedian方案,bilibili/flv.js方案 第一类方案中,我尝试
使用Nginx和Lua进行图片webp压缩处理
F_angT的博客
05-10 2245
一般商品主图大小为800800(淘宝)或者750750(京东),即便以72*72的分辨率去做图,图片的大小也有几百k,对于移动端而已,图片过大,加载过慢,于是研究了下用Nginx和Lua进行图片webp压缩处理。以下我主要参考的几篇文章: 通过 Nginx-Lua 自动转换图片为 WebP 格式 nginx 之前端图片webp centos yum 安装nginx 后增加模块 centos-ngi...
如何在gitee上fork github上面的项目,并保持同步更新
最新发布
F_angT的博客
03-19 1892
参考Github fork后与源项目保持同步。
ubuntu16 离线安装ssh
F_angT的博客
01-30 1803
目前的ubuntu的lts已经发布到22.04版本了,由于之前项目的需要弄了下ubuntu16下面离线安装ssh。首先去官网下载几个包必须的包。
离线安装ubuntu网卡驱动
F_angT的博客
11-02 1800
离线安装ubuntu后,有些机器的网卡无法识别,本文解决如何离线安装网卡。
使用jenkins实现maven项目构建
F_angT的博客
10-12 1623
使用jenkins实现maven项目构建
Spring REST实战:设计与开发RESTful API指南
Spring REST》是一本实用指南,专为利用Spring框架设计和开发RESTful API提供深入讲解。本书首先从REST、HTTP以及Web基础设施的基础概念入手,引导读者理解和熟悉这些核心概念。接下来,书中详细介绍了几个关键的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

F_angT

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值