动态权限常见问题(一)

最新推荐文章于 2024-04-16 10:24:36 发布
最新推荐文章于 2024-04-16 10:24:36 发布
阅读量609 收藏
点赞数 2
分类专栏: java 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/PointerIsSoul/article/details/123997782
版权

问题描述:FilterInvocationSecurityMetadataSource 下的 getAttributes(Object o)方法执行完后不走AccessDecisionManager的实现类

解决办法:
getAttributes 方法返回一个 无权限,而不是返回null

		Collection<ConfigAttribute> collection = new LinkedList<>();
        //防止数据库中没有数据,不能进行权限拦截
        if(collection.size() < 1){
            ConfigAttribute configAttribute = new SecurityConfig("ROLE_NO_USER");
            collection.add(configAttribute);
        }
        return collection;

附完整动态权限代码如下:

/**
 * @author lyy
 * 加载请求需要的角色
 */
@Component
public class UrlFilterInvocationSecurityMetadataSource implements FilterInvocationSecurityMetadataSource {

    @Resource
    private AuthorityMapper authorityMapper;

    private final AntPathMatcher antPathMatcher = new AntPathMatcher();

    /**
     * 目的返回当前请求所需要的角色数组
     * @param o
     * @return
     * @throws IllegalArgumentException
     */
    @Override
    public Collection<ConfigAttribute> getAttributes(Object o) throws IllegalArgumentException {

        //获取请求地址
        String requestUrl = ((FilterInvocation) o).getRequestUrl();

        // 获取表 hs_authority 里字段authority_sys_url不为空的数据
        List<Authority> allMenu = authorityMapper.getAllMenu();

        for (Authority mwMenu : allMenu) {

            if (antPathMatcher.match(mwMenu.getAuthoritySysUrl(), requestUrl) && mwMenu.getRoles().size() > 0) {

                ArrayList<String> strings = new ArrayList<>();
                // 获取该接口的所有角色 add 到strings
                mwMenu.getRoles().forEach(
                        oo -> strings.add(oo.getRoleCode())
                );

                List<String> collect = strings.stream().distinct().collect(Collectors.toList());
                if (collect.size() == 0){
                    return null;
                }else {
                    return SecurityConfig.createList(collect.toArray(new String[collect.size()]));
                }
            }

        }

        Collection<ConfigAttribute> collection = new LinkedList<>();
        //防止数据库中没有数据,不能进行权限拦截
        if(collection.size() < 1){
            ConfigAttribute configAttribute = new SecurityConfig("ROLE_NO_USER");
            collection.add(configAttribute);
        }
        return collection;
    }

    @Override
    public Collection<ConfigAttribute> getAllConfigAttributes() {
        return null;
    }

    @Override
    public boolean supports(Class<?> aClass) {
        return FilterInvocation.class.isAssignableFrom(aClass);
    }
}

/**
 * 权限认证
 */
@Component
public class UrlAccessDecisionManager implements AccessDecisionManager {


    @Override
    public void decide(Authentication authentication, Object o, Collection<ConfigAttribute> collection) throws AccessDeniedException, AuthenticationException {
        for (ConfigAttribute ca : collection) {
            //当前请求需要的权限
            String needRole = ca.getAttribute();
            if (authentication instanceof AnonymousAuthenticationToken) {
                throw new BadCredentialsException("未登录");
            }
            //当前用户所具有的权限
            Collection<? extends GrantedAuthority> authorities = authentication.getAuthorities();
            for (GrantedAuthority authority : authorities) {
                if (authority.getAuthority().equals(needRole)) {
                    return;
                }
            }
        }
        throw new AccessDeniedException("权限不足!");
    }

    @Override
    public boolean supports(ConfigAttribute configAttribute) {
        return true;
    }

    @Override
    public boolean supports(Class<?> aClass) {
        return true;
    }
}

@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)  //开启注解@PreAuthorize/@PostAuthorize
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Resource
    UserLoginServiceImpl userLoginService;
    @Resource
    UrlFilterInvocationSecurityMetadataSource urlFilterInvocationSecurityMetadataSource;
    @Resource
    UrlAccessDecisionManager urlAccessDecisionManager;
    @Resource
    AuthenticationAccessDeniedHandler authenticationAccessDeniedHandler;
    @Resource
    private RedisUtils redisUtils;

    private String[] SWAGGER_WHITELIST = {
            "/refreshRedisDict",
            "/getDictList",
            "/getDictByCode",
            "/userLogout",
            "/userLogin",
            "/getAllMenu",
            "/oss/uploadFile",
            "/judge/**"
    };

    //认证
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userLoginService).passwordEncoder(new BCryptPasswordEncoder());
    }

    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring().antMatchers(SWAGGER_WHITELIST);;
    }

    //授权
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                // 所有的rest服务一定要设置为无状态,以提升操作效率和性能
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                // 所有请求都需要经过验证
                .and().authorizeRequests()
                .withObjectPostProcessor(
                        new ObjectPostProcessor<FilterSecurityInterceptor>() {
                            @Override
                            public <O extends FilterSecurityInterceptor> O postProcess(O o) {
                                o.setSecurityMetadataSource(urlFilterInvocationSecurityMetadataSource);
                                o.setAccessDecisionManager(urlAccessDecisionManager);
                                return o;
                            }
                        })
                .and().formLogin().loginPage("/login/warning").usernameParameter("username").passwordParameter("password").permitAll()
                // 添加过滤器
                .and().addFilter(new JWTAuthenticationFilter(authenticationManager(),userLoginService,redisUtils))
                // 退出登录
                .logout().permitAll()
                .and().cors()
                .and().csrf().disable().exceptionHandling().accessDeniedHandler(authenticationAccessDeniedHandler);
    }

}
doshy_
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot 简单集成 spring security(二)权限控制
aimeng555的博客
05-10 1493
简介 上一篇我们实现了springboot简单的集成了spring security,实现了在用户想要实现某一操作时需要进行登陆认证,但是在登陆后用户能够进行所有想要的操作,这并不是我们想要的,我们需要的是当用户访问后,用户能够操作的是我们能够控制他能够操作接口。这里我们就需要进行权限的控制。
基于android 6.0 动态权限申请.zip
最新发布
05-10
此外,Android系统还有一些常见的问题,如应用崩溃、电池耗电过快、Wi-Fi连接问题、存储空间不足、更新问题等。针对这些问题,用户可以尝试一些基本的解决方法,如清除应用缓存和数据、降低屏幕亮度、关闭没有使用的...
Vue Router 实现动态路由和常见问题及解决方法
01-21
个人理解:动态路由不同于常见的静态路由,可以根据不同的「因素」而改变站点路由列表。常见的动态路由大都是用来实现:多用户权限系统不同用户展示不同导航菜单。 如何利用Vue Router 实现动态路由 Vue项目实现动态路由的方式大体可分为两种: 前端将全部路由规定好,登录时根据用户角色权限动态展示路由; 路由存储在数据库中,前端通过接口获取当前用户对应路由列表并进行渲染; 第一种方式在很多Vue UI Admin上都实现了,可以去读一下他们的源码理解具体的实现思路,这里就不过多展开。第二种方式现在来说也比较常见了,因为近期项目正好用到所以单独讲一下,这里我使用的方案是利用Vue Rou
SpringSecurity框架原理浅谈之AccessDecisionManager
黄先生的博客
02-14 1261
授权流程 Spring Security可以通过 http.authorizeRequests() 对web请求进行授权保护。 Spring Security使用标准Filter建立了对web请求的拦截,最终实现对资源的授权访问。
Android动态权限总结
xcbyaya的博客
04-16 391
这两个方法都是检查权限是否获取的方法,但ContextCompat.checkSelfPermission在某些系统上(如基于Android8.0的MIUI10检查短信权限时)有bug, 不能准确判断权限是否已获取,此时可结合PermissionChecker.checkSelfPermission进行判断, 所以判断权限是否已获取可采用以下实现:在这里我和身边一些朋友特意整理了一份快速进阶为Android高级工程师的系统且全面的学习资料。
(Spring Security)学习七:自定义用户资源权限动态控制
希克的博客
09-01 827
实现了自定义用户动态登录后,不同的用户必定有不同的用户权限和资源,我们需要根据不同的用户的角色以及资源,来给用于对应的权限控制。在查看本文章之前,需要实现了解RBAC权限设计思想和概念,以便更好的理解用户资源权限动态控制。...
Spring Security详解(四)认证之鉴权
热门推荐
Jagger的博客
06-22 2万+
4 鉴权 从Spring Security的过滤器链中,我们已经发现位于最后的FilterSecurityInterceptor是用来进行权限认证的,这一节将详细分析Spring Security是如何进行权限认证的。 4.1 FilterSecurityInterceptor 源码分析: public class FilterSecurityInterceptor exten...
SpringSequritybug
weixin_43761325的博客
12-15 165
SpringSequrity: Caused by: java.lang.IllegalArgumentException: Unsupported configuration attributes: [‘ROLE_ADMIN’), hasAnyRole(‘ROLE_USER’] ​ at org.springframework.security.access.intercept.Abstract...
Spring Security : 概念模型 SecurityMetadataSource
Details Inside Spring
06-23 5273
概述 介绍 SecurityMetadataSource是Spring Security的一个概念模型接口。用于表示对受权限保护的"安全对象"的权限设置信息。一个该类对象可以被理解成一个映射表,映射表中的每一项包含如下信息 : * 安全对象 * 安全对象所需权限信息 围绕该映射表,SecurityMetadataSource 定义了如下方法 : Collection<ConfigAttri...
动态权限处理问题
Mir_you的博客
11-06 434
//经验证 1、checkPermission 是检测 清单文件下是否有注册权限, 2、checkSelfPermission 只有才 5.0的android机 上才有用 android5.0以下,只要清单文件中配置了该权限,我们check的时候就会返回true,无论用户的实际选择是怎样的 //检查权限的操作 int permission = ActivityCompat.checkS...
spring security自定义权限拦截FilterInvocationSecurityMetadataSource
lichuangcsdn的博客
07-08 2万+
一般情况下,我们如果需要自定义权限拦截,则需要涉及到FilterInvocationSecurityMetadataSource这个接口了。 这里有个坑爹的地方。如果用户未登录,但是已经设置了拦截白名单的URL,仍然会进入到权限验证里面来。起初,我以为不会进来,但后来跟踪源代码发现,还是会进来。只是此时的身份是一个匿名用户。其默认的实现为DefaultFilterInvocationSecuri...
ASP权限问题及对策处理 (2014年)
05-07
ASP是Web开发的主要技术之一,常见于各种动态网站中。但在ASP站点建设中却常遇到各种各样的问题,本文对于常见的权限问题进行分析,并给出了解决办法。
angular基于路由控制ui-router实现系统权限控制
01-19
前端去实现权限控制听起来有点扯淡(实际也有点扯淡),掩耳盗铃,主要是担心安全问题,但是如果在前后端分离的情况下,需要做一个带有权限控制的后台管理系统,angular基于ui-router应该怎么做呢? 权限的设计中...
基于java实现的javafx权限管理系统源码+项目说明(带UI界面).zip
10-26
动画库:采用 AnimateFX 动画库,该库提供了多种动画效果,可以为系统的界面元素添加各种动态效果,增强用户体验。 HTTP库:使用 OpenFeign HTTP库,该库提供了方便的 HTTP 请求和响应处理功能,用于与后端服务器...
SpringBoot — 安全框架 Spring Security 详解四
small_love的专栏
12-09 408
虽然前面我们实现了通过数据库来配置用户与角色,但认证规则仍然是使用HttpSecurity进行配置,还是不够灵活,无法实现资源和角色之间的动态调整。这篇文章我们就介绍一下通过数据库查询某个URL资源的访问角色。 四、基于数据库的URL权限规则配置 1、数据库设计 这里在上一篇文章的基础上再添加 资源表和资源权限表 两种数据表,表结构如下所示: 资源表,保存每个菜单的URL CREATE TABLE `menus` ( `id` bigint(20) unsigned NOT NULL ...
java attributes用法_Java Attributes.getRole方法代码示例
weixin_30299099的博客
02-23 337
import com.rapidminer.example.Attributes; //导入方法依赖的package包/类@Overridepublic ExampleSet applyOnData(ExampleSet exampleSet) throws OperatorException {ExampleSet resultSet = (ExampleSet) exampleSet.clon...
安卓动态权限详解
dev晴天的博客
01-06 4424
随着安卓的不断升级,手机的权限也逐渐被google收回,在6.0时出现了动态权限。 知识图 由来介绍 安卓6.0之前应用的权限在安装时就可以全部授予(清单文件声明的),然而这可能造成店大欺客的情况,用户为了安装app,必须同意所有的权限。在 Android 6.0 或更高版本对权限进行了分类,对某些涉及到用户隐私的权限可在运行时根据用户的需要动态授予。这样就不需要在安装时被强迫同意某些权限...
Java】Android动态权限相关问题梳理
devnn的专栏
08-27 3722
Android 6.0开始,对敏感权限需要动态申请,首先我们需要引入android.support.v4的兼容包,然后使用ActivityCompat这个类来处理权限。 其实Activity自身也可以处理动态权限,不需要额外引入ActivityCompat。
VUE前端动态路由权限控制
08-12
下面是一种常见的实现方式: 1. 定义路由:在Vue路由配置文件中,定义所有的路由信息,包括需要进行权限控制的路由和不需要进行权限控制的路由。 2. 获取用户权限:在登录成功后,从后端获取当前用户的权限信息,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值