spring security 自定义访问控制流程

最新推荐文章于 2023-02-17 17:02:25 发布
最新推荐文章于 2023-02-17 17:02:25 发布
阅读量524 收藏
点赞数 1
分类专栏: security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a807719447/article/details/110222634
版权

在这里插入图片描述
先看上图
当认证成功之后我们往securityContex中放了Authentication对象,内部出了用户名密码还放了一个 Authorities,权限列表如下:我们基于rbac所以我们放了一个admin角色进去,实际上SimpleGrantedAuthority这个类约定只允许你放入角色,当然没有规定格式,你也可以放角色id 比如123;

		SimpleGrantedAuthority admin = new SimpleGrantedAuthority("admin");
        Set<SimpleGrantedAuthority> authorities=new HashSet<>();
        authorities.add(admin);
        userDetails.getAuthorities().addAll(authorities);

从这篇【过滤器访问控制流程分析】文章我们了解到
AbstractSecurityInterceptor.beforeInvocation方法中有这样两行代码
①表示从请求传进来的对象中提取访问当前请求链接需要的访问权限
②表示将1步骤获取的权限和当前认证用户的的信息进行比较判断是否能访问

① Collection<ConfigAttribute> attributes = this.obtainSecurityMetadataSource()
				.getAttributes(object);
				//。。。省略this.accessDecisionManager.decide(authenticated, object, attributes);

接着我们来看第二个类图

在这里插入图片描述

先看看这个默认实现的DefaultFilterInvocationSecurityMetadataSource.getAttributes方法即上面①步骤调用到的

public Collection<ConfigAttribute> getAttributes(Object object) {
		final HttpServletRequest request = ((FilterInvocation) object).getRequest();
		for (Map.Entry<RequestMatcher, Collection<ConfigAttribute>> entry : requestMap
				.entrySet()) {
			if (entry.getKey().matches(request)) {
				return entry.getValue();
			}
		}
		return null;
	}

requestMap 是在子类被初始化的,但是子类又在这个ExpressionUrlAuthorizationConfigurer 类中被重写了最终是通过REGISTRY创建出来的

LinkedHashMap<RequestMatcher, Collection<ConfigAttribute>> requestMap = REGISTRY
				.createRequestMap();

而REGISTRY 则是在ExpressionUrlAuthorizationConfigurer这个类中配置的

private final ExpressionInterceptUrlRegistry REGISTRY;

以上创建出来的内容就是通过以下几种方式在代码里面写死内容提取出来的。

http.authorizeRequests().antMatchers("/test/**").hasRole("admin")
http.authorizeRequests().mvcMatcher("/test/**").hasAuthority("xxx")
@Secured("hasRole('admin')")

很显然,默认的这个securityMetadataSource不能满足我们当前的需求。因为我们需要从数据库进行获取。所以我们需要自定义一个FilterInvocationSecutrityMetadataSource实现

public class UrlFilterInvocationSecurityMetadataSource implements
    FilterInvocationSecurityMetadataSource {
    private ResourcesProvider resourcesProvider;
    AntPathMatcher antPathMatcher = new AntPathMatcher();
    public UrlFilterInvocationSecurityMetadataSource(ResourcesProvider resourcesProvider){
        this.resourcesProvider=resourcesProvider;
    }
    
    @Override
    public Collection<ConfigAttribute> getAttributes(Object object)
        throws IllegalArgumentException {
        //获取请求地址
        String requestUrl = ((FilterInvocation) object).getRequestUrl();
        List<Menu> allMenu = resourcesProvider.getAllMenu();
        for (Menu menu : allMenu) {
            if (antPathMatcher.match(menu.getPath(), requestUrl)&&menu.getRoles().size()>0) {
                List<Role> roles = menu.getRoles();
                int size = roles.size();
                String[] values = new String[size];
                for (int i = 0; i < size; i++) {
                    values[i] = roles.get(i).getRoleName();
                }
                //匹配上则获取role返回
                return SecurityConfig.createList(values);
            }
        }
        //没有匹配上的资源,就创建一个匿名对象即可
        return SecurityConfig.createList("ROLE_ANONYMOUS");
    }
    //没用到放空即可
    @Override
    public Collection<ConfigAttribute> getAllConfigAttributes() {
        return null;
    }
    //这里也可以直接放回true
    @Override
    public boolean supports(Class<?> clazz) {
        return FilterInvocation.class.isAssignableFrom(clazz);
    }
}

接着我们在实现以上说的②步骤也可以自定义如何比较


public class UrlAccessDecisionManager implements AccessDecisionManager {
    
    @Override
    public void decide(Authentication authentication, Object object,
        Collection<ConfigAttribute> configAttributes)
        throws AccessDeniedException, InsufficientAuthenticationException {
        
        // TODO: 2020/11/16 这里写访问控制流程
        Iterator<ConfigAttribute> iterator = configAttributes.iterator();
        while (iterator.hasNext()) {
            ConfigAttribute ca = iterator.next();
            //当前请求需要的权限
            String needRole = ca.getAttribute();
            //当前用户所具有的权限
            Collection<? extends GrantedAuthority> authorities = authentication.getAuthorities();
            for (GrantedAuthority authority : authorities) {
                if (authority.getAuthority().equals(needRole)) {
                    return;
                }
            }
        }
        throw new AccessDeniedException("权限不足!");
    }
    
    @Override
    public boolean supports(ConfigAttribute attribute) {
        return true;
    }
    
    @Override
    public boolean supports(Class<?> clazz) {
        return true;
    }
}

扩展完成后如何生效呢?记得前面文章介绍过【ObjectPostProcessor解析
即可以在实例化的时候修改掉对象在http中配置即可

http.withObjectPostProcessor(new ObjectPostProcessor<FilterSecurityInterceptor>() {
                @Override
                public <O extends FilterSecurityInterceptor> O postProcess(O o) {
                    o.setSecurityMetadataSource(urlFilterInvocationSecurityMetadataSource);
                    o.setAccessDecisionManager(urlAccessDecisionManager);
                    return o;
                }
            })
起风哥
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Spring Security验证流程剖析及自定义验证方法
08-27
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。这篇文章主要介绍了Spring Security验证流程剖析及自定义验证方法,需要的朋友可以参考下
SpringBoot入门 -Security安全控制
我爱编程持之以恒
11-15 1134
本文记录在SpringBoot使用SpringSecurity进行安全访问控制。 一 什么是Security   Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减
Spring Security API: AbstractSecurityInterceptor
dengdeying的博客
12-26 1345
文章目录AbstractSecurityInterceptorDeclaredClass JdocbeforeInvocationDeclaredMethod CodefinallyInvocationDeclaredMethod JdocMethod CodeafterInvocationDeclaredMethod JdocMethod CodegetSecureObjectClassDecl...
spring-security(二)
面朝大海,春暖花开
07-02 237
spring-security(二) 基于spring security 4.2.x.RELEASE AbstractSecurityInterceptor spring security框架中非常重要的组成部分就是AbstractSecurityInterceptor。AbstractSecurityInterceptor的两个重要的实现FilterSecurityIntercepto...
SpringSecurity(八)【RememberMe记住我】
Vinjcent
11-17 1263
RememberMe 这个功能非常常见,无论是在 QQ、邮箱…都有这个选项。提到 RememberMe,往往会有一些误解,认为 RememberMe 功能就是把 用户名/密码 用 Cookie 保存在浏览器中,下次登陆时不用再次输入 用户名/密码。这个理解显然是不对的。我们这里所说的 RememberMe 是一种服务器端的行为。传统的登录方式基于 Session 会话,一旦用户的会话超时过期,就要再次登录,这样太过于繁琐。如果有一种机制,让用户会话过期之后,还能继续保持认证状态,就会方便很多。Remembe
spring security定义权限拦截FilterInvocationSecurityMetadataSource
热门推荐
lichuangcsdn的博客
07-08 2万+
一般情况下,我们如果需要自定义权限拦截,则需要涉及到FilterInvocationSecurityMetadataSource这个接口了。 这里有个坑爹的地方。如果用户未登录,但是已经设置了拦截白名单的URL,仍然会进入到权限验证里面来。起初,我以为不会进来,但后来跟踪源代码发现,还是会进来。只是此时的身份是一个匿名用户。其默认的实现为DefaultFilterInvocationSecuri...
SpringBoot+SpringSecurity整合(实现了登录认证和权限验证)完整案例,基于IDEA项目
02-16
SpringBoot+SpringSecurity整合示例代码,实现了从数据库中获取信息进行登录认证和权限认证。 本项目为idea工程,请用idea2019导入(老版应该也可以)。 本项目用户信息所需sql文件,在工程的resources文件夹下,...
最详细Spring Security学习资料(源码)
最新发布
11-16
授权:Spring Security提供了细粒度的授权机制,可以根据角色、权限进行访问控制。开发者可以通过配置或编程的方式定义哪些用户可以访问哪些资源。 攻击防护:Spring Security内置了对常见攻击(如跨站点请求伪造、...
spring security 参考手册中文版
02-01
9.5 Spring Security中的访问控制(授权) 84 9.5.1安全和AOP建议 84 9.5.2安全对象和AbstractSecurityInterceptor 85 什么是配置属性? 85 RunAsManager 86 AfterInvocationManager 86 扩展安全对象模型 87 9.6本地...
动力节点最新SpringSecurity框架教程配套资料分享
07-25
Spring Security是一个功能强大的认证和访问控制框架,提供基于Spring应用程序的认证和授权功能。 本套视频适合具有SpringBoot基础、具有数据库基本使用经验的软件从业人员。 课程内容主要分为: 安全入门,认证...
SpringSecurity定义权限
qq_62770345的博客
02-17 410
SpringSecurity对权限的校验主要有和校验。本文主要解释基于路径校验。SpringSecurity对权限的校验主要通过这个过滤链实现的。
Spring Security之动态配置资源权限
Arthur_Holmes的博客
12-20 1437
  在Spring Security中实现通过数据库动态配置url资源权限,需要通过配置验证过滤器来实现资源权限的加载、验证。系统启动时,到数据库加载系统资源权限列表,当有请求访问时,通过对比系统资源权限列表和用户资源权限列表(在用户登录时添加到用户信息中)来判断用户是否有该url的访问权限。   在配置验证过滤器时需要的配置项有如下几个: filterSecurityInterceptor:通过继承AbstractSecurityInterceptor并实现Filter接口自定义一个验证过滤...
Spring Security中动态处理角色和资源的关系(VHR)
weixin_42030357的博客
03-23 352
文章目录1.创建Hr和HrService2. 自定义FilterInvocationSecurityMetadataSource3. 自定义AccessDecisionManager4.自定义AccessDeniedHandler5. 配置WebSecurityConfig 原博文(Github上的项目VHR),点击这里 1.创建Hr和HrService 首先我们需要创建Hr类,即我们的用户类,该类实现了UserDetails接口,该类的属性如下: public class Hr implements Us
【详解】GrantedAuthority(已授予的权限)
dieqiuxie4160的博客
08-04 5993
前言   这篇是很久之前学习Spring Security整理的博客,发现浏览量都1000多了,一个赞都没有,那说明写得确实不怎么样,哈哈。应该很多初学者对这个接口存在疑问,特别是如果学习这个框架之前还了解过Shiro,可能会因为这两个框架角色、权限的表示方式,产生困惑。现在重新整理一下。 GrantedAuthority接口 我们知道UserDeitails接口里面有一个getA...
SpringSecurity学习笔记(五)自定义数据源
怕什么真理无穷,进一寸有一寸的欢喜。即使开了一辆老掉牙的破车,只要在前行就好,偶尔吹点小风,这就是幸
10-05 506
我们也可以自己创建一个类型的bean这样就可以使得自动配置类失效。部分源码如下注入的//直接创建一个bean破坏 @Bean public UserDetailsService userDetailsService() {
Could not read JSON jackson无法序列化SimpleGrantedAuthority异常
大胡子_biu
10-11 1911
前言 用Spring Security时需要用到一个基础类,UserDetails,这个类要求有一个接口是getAuthorities,这个接口返回的默认值是HashSet,这个SimpleGrantedAuthority没有无参构造函数,所以在反序列化的时候会报错。 解决方案 添加自定义反序列化器 @JsonDeserialize(using = CustomAuthorityDeserializer.class) private Collection<GrantedAuthority> au
SpringBoot+Vue前后端分离,使用SpringSecurity完美处理权限问题(二)
weixin_34248487的博客
01-10 6907
当前后端分离时,权限问题的处理也和我们传统的处理方式有一点差异。笔者前几天刚好在负责一个项目的权限管理模块,现在权限管理模块已经做完了,我想通过5-6篇文章,来介绍一下项目中遇到的问题以及我的解决方案,希望这个系列能够给小伙伴一些帮助。本系列文章并不是手把手的教程,主要介绍了核心思路并讲解了核心代码,完整的代码小伙伴们可以在GitHub上...
springboot(31)- 安全管理(4)- 动态权限
一角残叶的博客
07-28 347
1 角色继承 1.1
SpringSecurity(五)【自定义认证数据源】
Vinjcent
10-26 798
认证流程分析官方文档发起认证请求,请求中携带用户名、密码,该请求会被拦截在的方法中将请求中的用户名和密码,封装为对象,并交给进行认证认证成功,将认证信息存储到以及调用记住我信息,并回调处理认证失败,清除以及记住我中的信息,回调处理认证时的调试AuthenticationManager、ProviderManager、AuthenticationProvider 三者关系。
springsecurity定义登录 运行时验证流程
05-20
Spring Security定义登录的运行时验证流程如下: 1. 用户提交登录请求,浏览器将用户名和密码发送到后台服务端。 2. 后台服务端通过过滤器(如 UsernamePasswordAuthenticationFilter)拦截该请求,获取用户名...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值