基于角色得后台权限管理系统设计(九、spring security 之自定义前缀二)

最新推荐文章于 2024-08-27 17:50:43 发布
最新推荐文章于 2024-08-27 17:50:43 发布
阅读量503 收藏 2
点赞数
分类专栏: security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a807719447/article/details/95060386
版权

这次为什么要把这样一个简单得东西,做的看起来很复杂。因为我觉得有必要把我自己对问题得分析过程分享给大家,让大家不在是遇到问题查不到资料时就不知道该怎么办了。我觉得学习不仅是要告诉大家怎么做,而且还要懂得怎么分析。

上个篇幅讲到了GlobalMethodSecurityConfiguration 这个配置类,而这个配置类是@EnableGlobalMethodSecurity(prePostEnabled = true)这个注解启用得。并且这里面也new 了一个 AffirmativeBased(一票通过)决策器。

现在总算知道为什么启动得时候这个决策器会进来两次了。因为GlobalMethodSecurityConfiguration 这个配置类new了一个

那么这个时候问题来了,使用@PreAuthorize 这个注解得时候到底是进了那个AffirmativeBased呢? 好的继续调试下看看

第一次进来对象@6044 这个是 GlobalMethodSecurityConfiguration

第二次进来对象@6344 这个是默认得

 

接下来看看 启动完成后拦截得时候进入了哪一个

发现两个都进来了。

 

并且发现第一次进来得result 就等于1 了 满足 一票通过制,可是为什么又进不去呢

第二次进来发现

来了个-1

第三次弃权

第四次弃权

再结合没加GlobalMethodSecurityConfiguration 这个注解前,是不存在权限问题,加了这个注解之后,就权限不足,那至少可以肯定得时候 这个校验肯定是走了GlobalMethodSecurityConfiguration 中new出来得 AffirmativeBased

距离目标似乎又近了一步。

接下来重点关注GlobalMethodSecurityConfiguration 做了什么事情,先不管它做了什么事情,先看看这个类中有没有多前缀做什么操作 搜索“Prefix”,发现如下代码

        GrantedAuthorityDefaults grantedAuthorityDefaults = getSingleBeanOrNull(
				GrantedAuthorityDefaults.class);
		if (grantedAuthorityDefaults != null) {
			this.defaultMethodExpressionHandler.setDefaultRolePrefix(
					grantedAuthorityDefaults.getRolePrefix());
		}

也就是说再这里如果grantedAuthorityDefaults 不为null  就去取这个值设置到defaultMethodExpressionHandler 这里面。

那么再看看grantedAuthorityDefaults 这个值哪里来,

    private <T> T getSingleBeanOrNull(Class<T> type) {
		try {
			return context.getBean(type);
		} catch (NoSuchBeanDefinitionException e) {}
		return null;
	}

由此可以看出来 是直接从 private BeanFactory context;中拿出来得,意味着我,给grantedAuthorityDefaults 注册到spring容器即可。好的继续试试

    @Bean
    GrantedAuthorityDefaults grantedAuthorityDefaults() {
        return new GrantedAuthorityDefaults("");
    }

重启后发现,居然可以了。

那也就是说,

@EnableGlobalMethodSecurity(prePostEnabled = true)

@PreAuthorize("hasRole('user:list')")

这种形式得自定义前缀,可以通过设置GrantedAuthorityDefaults  这个来实现。

起风哥
关注
专栏目录
Spring Security 学习(1)
Mainplus的博客
12-15 181
版本:Spring Boot 2.0 + Spring Security 5.0.3 1.spring security登录验证流程参考 https://blog.csdn.net/abcwanglinyong/article/details/80981389 爬过的坑 1.配置WebSecurityConfig的logionPage的时候,不用加上项目名称。sercurity会默认加上项目名称前...
springboot + springsecurity后台管理员权限分级
weixin_45535665的博客
04-02 3441
springboot + springsecurity后台管理员权限分级,密码擦除,thymeleaf-extras-springsecurity5,个人心得
Spring Security教程(8)---- 自定义决策管理器及修改权限前缀
热门推荐
jaune162的专栏,最新动态请关注:https://jaune162.blog
01-17 2万+
首先介绍下Spring的决策管理器,其接口为AccessDecisionManager,抽象类为AbstractAccessDecisionManager。而我们要自定义决策管理器的话一般是继承抽象类而不去直接实现接口。 在Spring中引入了投票器(AccessDecisionVoter)的概念,有无权限访问的最终觉得权是由投票器来决定的,最常见的投票器为RoleVoter,在RoleVote
【B端产品知识总结】角色权限管理设计思想
最新发布
PC小可的博客
08-27 1219
做过了大量B端产品后,就会发现B端产品有很多类似的功能模块,比如系统设置里的用户角色权限和基础信息维护,虽然说B端产品的业务可能不相同、服务的客户群体也不一样,但是对于管理端的用户管理体系是必不可少的。基于B端业务的不同复杂度和相关B端数据的敏感度,产品经理在拿到任何一个B端系统的需求时,就需要了解业务方对权限的需求后第一时间就要考虑基于用户角色的控制访问,以便于后期功能更新迭代不至于再大动干戈的处理系统用户相关的信息。
基于角色管理(RBAC)的权限系统
vividboy的专栏
03-02 4116
本文来源:http://znjqolf.blogdriver.com/znjqolf/635601.html这里的权限系统要区分2个概念:粗粒度:表示类(model)别级,即仅考虑对象的类别(the type of object),不考虑对象的某个特定的实例。比如,对合同这个类别(contract)的管理中,创建、删除等操作,对所有的用户都一视同仁,并不区分具体的对象实例(销售合同
基于角色后台权限管理系统设计(十、spring security自定义前缀三)
a807719447的专栏
07-08 535
上面两个篇幅解决了注解形式的自定义前缀,那么再http这边配置的能通用吗? 通过之前的调试结果,很明显应该是不行的。权限自动拼接了 ROLE_前缀。 http.authorizeRequests() .antMatchers("/data/**").hasRole("data:data") .anyRequest() ...
Spring Security入门(3-6)Spring Security 的鉴权 - 自定义权限前缀
weixin_30379911的博客
06-15 114
转载于:https://www.cnblogs.com/lexiaofei/p/7016764.html
vue前后端分离后台管理系统权限管理,登录),前端脚手架。对接后端基于SpringSecurity提供的后台接口
web15085599741的博客
03-09 733
文章目录 前言(很重要哦) 一、概念和技术总结(重点,一定要搞懂) 1. vue 2. vue-admin-template模板文件解析 3. 异步相关,前后端交互 4. 导航守卫 5. 路由解析 、单点登录实现 1. 后端接口和响应结果分析 2. 解决跨域,以及请求头.几乎所有项目都需要的配置,背下来吧。 3. 验证码展示 4. 单点登录,退出登录,根据后端API实现 1. api接口 2. 路由组件编写登录函数逻辑 3. 修改store(vuex)异步逻辑 5. 流程总结 三
(第篇)微服务架构下无状态权限认证系统设计Spring Security + Oauth2 + JWT)-- 实现
fanqiezz11的专栏
01-02 2016
一、参数配置 1)配置参数:application.yml springcloud:   security:     oauth2:       clients[0]:         clientId: zuul-server         clientSecret: '12345678'         accessTokenValiditySeconds: 7200 //通行toke...
基于角色权限管理系统
weixin_34049948的博客
03-12 810
权限模型   RBAC简化了用户与权限的关系 方便用户分组 方便权限分配和回收 扩展方便,可以满足大部分业务需求   RBAC 框架     图中有5个角标数字,对应的就是RBAC模型重要的5个属性   RBAC关系图 序号 关键属性 描述 1 用户  张三、李四、王五 2 角色 销售经理、销售、前台 3 用户角色关系 张三 是  销售经理 、李四 王五 是 销售 ...
2535-springsecurity系列--关于授权角色“ROLE”前缀的问题
zzxx1994617的博客
07-24 6665
版本信息 &lt;parent&gt; &lt;groupId&gt;org.springframework.boot&lt;/groupId&gt; &lt;artifactId&gt;spring-boot-starter-parent&lt;/artifactId&gt; &lt;version&gt;1.5.14.RELEASE&lt;/version&gt
Spring Security自定义GrantedAuthority前缀
小汤圆
08-18 604
如果我们正使用Spring Security提供默认的基于方法的权限认证注解如下: @PreAuthorize(“hasAnyRole(‘ADMIN’, ‘USER’)”) public void moveTo(String id, String parentId) { // … } 而在我们自定义实现的GrantedAuthority,或是SS提供的SimpleGrantedAuthority, public interface GrantedAuthority extends Serializable
SpringSecurity Web 权限方案
m0_62946761的博客
01-20 4607
介绍spring security基本功能,包括自定义登录i页面,自定义403页面,相关注解和方法的使用。
基于角色访问控制的权限系统设计
weixin_34337381的博客
01-12 150
1. 基于角色权限设计   这种方案是最常见也是比较简单的方案,不过通常有这种设计已经够了,所以微软就设计出这种方案的通用做法,这种方案对于每一个操作不做控制,只是在程序中根据角色对是否具有操作的权限进行控制;这里我们就不做详述      2. 基于操作的权限设计   这种模式下每一个操作都在数据库中有记录,用户是否拥有该操作的权限也在数据库中有记录,结构如下:      但是如果直...
基于动态树的权限管理
guosong2046的专栏
09-19 888
公司项目需要要求写一个基于动态是的
基于角色后台权限管理系统设计(八、spring security自定义前缀一)
a807719447的专栏
07-08 764
这个问题搜索百度了半天,无非就是配置什么roleVoter之类得,这个前提是你使用到了这个投票器,但是现在默认配置并未使用到这个投票器。然后百度了半天各种尝试就是不行,有时候查资料就是这么坑,好了最后确定查不到资料了,只能调试跟代码了。 我们知道默认使用得决策管理器是AffirmativeBased一票通过。关于我们为什么知道,之前得篇幅有讲过了,不熟悉得朋友可以翻翻。 找到这个决策管理器,找...
基于角色权限管理数据库设计(转载)
auo8472的博客
05-27 256
此文章来自也算赌徒的我的关于'基于角色的访问控制'的权限管理的数据库的设计*/use [master]go -- 检查数据库 [RBAC]是否存在,如果存在则删除(只测试用,不然会丢数据.)-- Search from the sysdatabase to see that if the [RBAC] database exist. -- If exists then drop ...
SpringSecurity权限命名ROLE_前缀问题
weixin_61329726的博客
11-29 674
先讲一下我的好奇点:最近在使用Security做安全权限控制,可以看到下图,这个方法可以通过的角色是USER,但是我的表中的数据是这样的。return "权限 user";我就对于这个前缀ROLE_非常的好奇。(因为是许久之前的代码了,就忘记的差不多啦🐕狗头保命)我做过测试如果使用@PreAuthorize("hasAnyRole('USER')")此注解的话:总之得拼出ROLE_USER数据库上的那个权限or角色的字段必须为ROLE_USER,
基于资源的权限系统-设计思路
wota5037的博客
01-04 2210
概述 权限系统提的最多的就是 RBAC(基于角色的访问控制)。 所谓角色,其实就是权限的集合,某个角色就是某几个权限的结合。其目的是为了简化授权和鉴权的过程。 基于角色权限控制用在简单的权限环境下没有问题,如果在权限控制比较复杂的系统中,或者说要做通用的权限系统时,基于角色权限控制会带来以下问题: 角色可以用来做功能权限,做数据权限的话,会导致角色数量非常多 比如:bug
SpringBoot+SpringSecurity实现的RBAC权限管理系统项目源码介绍
知识点三:RBAC权限管理系统 RBAC(Role-Based Access Control,基于角色的访问控制)是一种常用的信息访问控制方法。在RBAC模型中,权限角色关联,用户通过与角色关联来间接获得权限。与传统的访问控制相比,RBAC...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值