如何在 Spring 安全性中动态决定<拦截 url> 访问属性值?

最新推荐文章于 2023-04-06 17:23:26 发布
最新推荐文章于 2023-04-06 17:23:26 发布
阅读量817 收藏
点赞数
文章标签: spring java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/allway2/article/details/127559669
版权

授权 - 如何在 Spring 安全性中动态决定<拦截 url> 访问属性值?- 堆栈溢出 (stackoverflow.com)

在 Spring 安全性中,我们使用拦截 url 标签来定义 URL 的访问权限,如下所示:

<span style="color:#232629"><span style="background-color:#ffffff"><span style="background-color:var(--highlight-bg)"><span style="color:var(--highlight-color)"><code><intercept-url pattern="/**" access="ROLE_ADMIN" />
<intercept-url pattern="/student" access="ROLE_STUDENT" />
</code></span></span></span></span>

这是在 中硬编码的。我想从数据库表中读取访问值。我已经定义了自己的角色,并从数据库中读取了登录用户的角色。如何在运行时将这些角色分配给 URL 模式?applicationContext-security.xmlUserDetailsService

丹妮
3,67644枚金质徽章2626 个银色徽章3535枚铜牌
提问 Jul 31, 2011 在 23:36
饼干
1,76044枚金质徽章2424枚银牌3434枚铜牌

6 回答

排序方式:
                     最高分(默认)                     趋势(最近的投票计数更多)                     修改日期(最新的在前)                     创建日期(最旧的在前)         
21

Spring-security 中的 FilterInvocationSecurityMetadataSourceParser 类(在 STS 中使用源代码尝试 Ctrl/Cmd+Shift+T)解析拦截 url 标记并创建 ExpressionBasedFilterInvocationSecuritySecurityMetadataSource 的实例,该实例扩展了 DefaultFilterInvocationSecurityMetadataSource,实现了扩展 SecurityMetadataSource 的 FilterInvocationSecurityMetadataSource。

我所做的是创建一个实现 FilterInvocationSecurityMetadataSource、OptionsFromDataBaseFilterInvocationSecurityMetadataSource的自定义类。我使用 DefaultFilterInvocationSecurityMetadataSource 作为使用 urlMatcher 的基础,来实现 support() 方法和类似的东西。

然后,您必须实现以下方法:

  • 集合 getAttributes(Object 对象),您可以在其中访问数据库,搜索受保护的“对象”(通常是要访问的 URL)以获取允许的 ConfigAttribute(通常是 ROLE 的)

  • 布尔支撑(类 clazz)

  • Collection getAllConfigAttributes()

请注意后者,因为它是在启动时调用的,并且此时可能没有很好地配置(我的意思是,数据源或持久性上下文自动连接,具体取决于您使用的内容)。Web 环境中的解决方案是在 Web 中配置 contextConfigLocation.xml以加载 applicationContext.xml 在 applicationContext-security 之前.xml

最后一步是定制应用程序上下文安全性.xml加载此 Bean。

为此,我在此文件中使用了常规 bean 而不是安全命名空间:

    <beans:bean id="springSecurityFilterChain" class="org.springframework.security.web.FilterChainProxy">
    <filter-chain-map path-type="ant">
        <filter-chain pattern="/images/*" filters="none" />
        <filter-chain pattern="/resources/**" filters="none" />
        <filter-chain pattern="/**" filters="
        securityContextPersistenceFilter,
        logoutFilter,
        basicAuthenticationFilter,
        exceptionTranslationFilter,
        filterSecurityInterceptor" 
    />
    </filter-chain-map>
</beans:bean>

您必须定义所有相关的 bean。例如:

    <beans:bean id="filterSecurityInterceptor" class="org.springframework.security.web.access.intercept.FilterSecurityInterceptor">
    <beans:property name="authenticationManager" ref="authenticationManager"></beans:property>
    <beans:property name="accessDecisionManager" ref="affirmativeBased"></beans:property>
    <beans:property name="securityMetadataSource" ref="optionsFromDataBaseFilterInvocationSecurityMetadataSource"></beans:property>
    <beans:property name="validateConfigAttributes" value="true"/></beans:bean>

我知道这不是一个很好解释的答案,但它并不像看起来那么困难。

只需使用弹簧源作为基础,您就会得到您想要的。

使用数据库中的数据进行调试将对您有很大帮助。

answered Aug 1, 2011 at 13:06
jbbarquero
2,82222 gold badges1818 silver badges1717 bronze badges
  • hi I'm trying to achieve same thing but with struts2. Went through Spring Security 3.1 but couldn't get enough ideas about integrating with struts2. Would you mind giving some basic ideas to integrate with struts2? 
    – SunJCarkeY
     Jul 11, 2014 at 8:47
  • This example is under an old version of spring. How I can do it under spring-security 3.2? 
    – ajaristi
     Mar 3, 2015 at 14:50
4

Actually, spring security 3.2 do not encourage to do this according to http://docs.spring.io/spring-security/site/docs/3.2.x/reference/htmlsingle/faq.html#faq-dynamic-url-metadata

but, it is possible (but not elegant) using http element in namespace with a custom accessDecisionManager..

The config should be:

<http pattern="/login.action" security="none"/>
<http pattern="/media/**" security="none"/>

<http access-decision-manager-ref="accessDecisionManager" >
    <intercept-url pattern="/**" access="ROLE_USER"/>
    <form-login login-page="/login.action"
                authentication-failure-url="/login?error=1"
                default-target-url="/console.action"/>
    <logout invalidate-session="true" delete-cookies="JSESIONID"/>
    <session-management session-fixation-protection="migrateSession">
        <concurrency-control max-sessions="1" error-if-maximum-exceeded="true" expired-url="/login.action"/>
    </session-management>

    <!-- NO ESTA FUNCIONANDO, los tokens no se ponen en el request!
    <csrf />
     -->

</http>
<authentication-manager>
    <authentication-provider>
        <user-service>
            <user name="test" password="test" authorities="ROLE_USER" />
        </user-service>
    </authentication-provider>
</authentication-manager>

<beans:bean id="accessDecisionManager" class="openjsoft.core.services.security.auth.CustomAccessDecisionManager">
    <beans:property name="allowIfAllAbstainDecisions" value="false"/>
    <beans:property name="decisionVoters">
    <beans:list>
        <beans:bean class="org.springframework.security.access.vote.RoleVoter"/>
    </beans:list>
    </beans:property>
</beans:bean>

The CustomAccessDecisionManager should be...

public class CustomAccessDecisionManager extends AbstractAccessDecisionManager  {
...

public void decide(Authentication authentication, Object filter,
        Collection<ConfigAttribute> configAttributes)
        throws AccessDeniedException, InsufficientAuthenticationException {

  if ((filter == null) || !this.supports(filter.getClass())) {
        throw new IllegalArgumentException("Object must be a FilterInvocation");
    }

    String url = ((FilterInvocation) filter).getRequestUrl();
    String contexto = ((FilterInvocation) filter).getRequest().getContextPath();

    Collection<ConfigAttribute> roles = service.getConfigAttributesFromSecuredUris(contexto, url);



    int deny = 0;

    for (AccessDecisionVoter voter : getDecisionVoters()) {
        int result = voter.vote(authentication, filter, roles);

        if (logger.isDebugEnabled()) {
            logger.debug("Voter: " + voter + ", returned: " + result);
        }

        switch (result) {
        case AccessDecisionVoter.ACCESS_GRANTED:
            return;

        case AccessDecisionVoter.ACCESS_DENIED:

            deny++;

            break;

        default:
            break;
        }
    }

    if (deny > 0) {
        throw new AccessDeniedException(messages.getMessage("AbstractAccessDecisionManager.accessDenied",
                "Access is denied"));
    }

    // To get this far, every AccessDecisionVoter abstained
    checkAllowIfAllAbstainDecisions();
}

...
}

其中getConfigAttributesFromSecuredUris检索特定URL的表单DB de roles。

回答 Jan 15, 2014 在 2:40
雨果·罗巴约
1,09011枚金牌77 个银色徽章77枚铜牌
2

我有同样的问题,基本上我想将拦截网址列表与其他 springsecurity 配置部分分开,第一个属于应用程序配置,后者属于产品(核心、插件)配置。

春天的JIRA中有一个关于这个问题的提案

我不想放弃使用 springsecurity 命名空间,所以我在考虑一些可能的解决方案来解决这个问题。

为了动态创建拦截 url 列表,您必须在 FilterSecurityInterceptor 中注入 securitymetadatasource 对象。使用 springsecurity 模式,FilterSecurityInterceptor 的实例是由 HttpBuilder 类创建的,并且无法将 securitymetadatasource 作为模式配置文件中定义的属性传递,就像使用某种解决方法一样,这可能是:

  • 定义一个自定义过滤器,在 FilterSecurityInterceptor 之前执行,在此过滤器中通过 spring 上下文检索实例 FilterSecurityInterceptor(假设定义了唯一的 http 部分),并在那里注入安全元数据源实例;
  • 与上面相同,但在处理程序拦截器中。

你觉得怎么样?

回答 五月 29, 2012 在 12:03
恩里科·朱林
1,9952929 个银色徽章2727枚铜牌
1

这是我应用的解决方案,以便将拦截 url 条目列表与其他 spring 安全配置分开。

<security:custom-filter ref="parancoeFilterSecurityInterceptor"
        before="FILTER_SECURITY_INTERCEPTOR" />
........

<bean id="parancoeFilterSecurityInterceptor" class="org.springframework.security.web.access.intercept.FilterSecurityInterceptor" >  
    <property name="authenticationManager" ref="authenticationManager"/>
    <property name="accessDecisionManager" ref="accessDecisionManager"/>
    <property name="securityMetadataSource" ref="securityMetadataSource"/>
</bean>

Bean securityMetadataSource 可以放在同一个配置文件中,也可以放在另一个配置文件中。

<security:filter-security-metadata-source
    id="securityMetadataSource" use-expressions="true">
    <security:intercept-url pattern="/admin/**"
        access="hasRole('ROLE_ADMIN')" />
</security:filter-security-metadata-source>

当然,你可以决定通过实现接口 FilterInvocationSecurityMetadataSource 来实现自己的 securityMetadataSource bean。像这样:

<bean id="securityMetadataSource" class="mypackage.MyImplementationOfFilterInvocationSecurityMetadataSource" />

希望这有帮助。

回答 Jun 13, 2012 在 6:11
恩里科·朱林
1,9952929 个银色徽章2727枚铜牌
  • 我最终得到了相同的解决方案。遗憾的是,没有简单的方法来拆分定义。   4月 27, 2016 在 7:27
1

这是在 Spring Security 3.2 中可以完成的:

@Configuration
@EnableWebMvcSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Bean
    public SecurityConfigDao securityConfigDao() {
        SecurityConfigDaoImpl impl = new SecurityConfigDaoImpl() ;
        return impl ;
    }



    @Override
    protected void configure(HttpSecurity http) throws Exception {
        /* get a map of patterns and authorities */
        Map<String,String> viewPermissions = securityConfigDao().viewPermissions() ;

         ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry interceptUrlRegistry = http
        .authorizeRequests().antMatchers("/publicAccess/**")
        .permitAll(); 

        for (Map.Entry<String, String> entry: viewPermissions.entrySet()) {
            interceptUrlRegistry.antMatchers(entry.getKey()).hasAuthority(entry.getValue());
        }

        interceptUrlRegistry.anyRequest().authenticated()
        .and()
        ...
        /* rest of the configuration */
    }
}
丹妮
3,67644枚金质徽章2626 个银色徽章3535枚铜牌
回答 七月 12, 2014 在 0:19
里特什
7,37222枚金质徽章3838 个银色徽章4242枚铜牌
1

一个对我有用的简单解决方案。

<intercept-url pattern="/**/**" access="#{@customAuthenticationProvider.returnStringMethod}" />
<intercept-url pattern="/**" access="#{@customAuthenticationProvider.returnStringMethod}" />

customAuthenticationProvider 是一个 bean

<beans:bean id="customAuthenticationProvider"
    class="package.security.CustomAuthenticationProvider" />

在自定义身份验证提供程序类中创建方法:

public synchronized String getReturnStringMethod()
{
    //get data from database (call your method)

    if(condition){
        return "IS_AUTHENTICATED_ANONYMOUSLY";
    }
    return "ROLE_ADMIN,ROLE_USER";
}
allway2
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringBoot整合SpringSecurity权限控制(动态拦截url+单点登录)
jiaoqi6132的博客
04-04 2322
Slf4j@Component@Resource@Override//获取身份验证详细信息//用于校验mac地址白名单(这里只是打个比方,登录验证增加的额外字段)//表单输入的用户名//表单输入的密码//校验用户名密码if (!matches) {!");@Override@Component@Resource@Override//任意登录用户名!");//从数据库获取密码//用户拥有的角色// }
Spring通过AOP拦截获取请求URL 参数 返回结果
weixin_39643007的博客
06-01 5444
1.AOP拦截器: package com.longjin.comm.utils; import com.alibaba.fastjson.JSON; import lombok.extern.slf4j.Slf4j; import org.aspectj.lang.JoinPoint; import org.aspectj.lang.annotation.AfterReturning; import org.aspectj.lang.annotation.Aspect; import org.asp
Spring使用注解方式对url进行拦截
专栏
01-07 4518
因为我的后台需要和我的客户端进行json交互,但是controller都在一个里面,然后我再dispatcher进行了拦截,所以还得在handler处理的时候把拦截打开,然后就用了一下注解,博主也是初学,可能写的很low,不过还是记录下来以后用。 先看一下拦截的xml<?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.sp
SpringSecurity 动态权限
qq_34287953的博客
01-29 1万+
springboot+mybatis+SpringSecurity 实现用户角色权限数据库管理 spring security的简单原理: 使用众多的拦截器对url拦截,以此来管理权限。但是这么多拦截器,笔者不可能对其一一来讲,主要讲里面核心流程的两个。 首先,权限管理离不开登陆验证的,所以登陆验证拦截器AuthenticationProcessingFilter要讲; 还有就是对访问的资源管理吧,所以资源管理拦截器AbstractSecurityInterceptor要讲; 但拦截器里面的实现需
spring security url动态授权
weixin_43931625的博客
09-18 486
spring security url动态授权
spring security 参考手册文版
02-01
36.3 Spring安全性并发类 264 37. Spring MVC集成 265 37.1 @EnableWebMvcSecurity 265 37.2 MvcRequestMatcher 265 37.3 @AuthenticationPrincipal 268 37.4 Spring MVC异步集成 271 37.5 Spring MVC和CSRF集成 271...
Spring.net框架
06-11
t.InvokeMember(prop.propertyName, ........BindingFlags.SetProperty, null, o, new Object[] {p})利用反射机制对创建出来的对象设置属性。 我们的Factory就是利用这种方式根据配置文件动态加载程序集,动态创建...
spring3.0MVC注解(附实例).docx
11-18
在示例2的`web.xml`,`<context-param>`用于设置应用的根目录,而`<servlet>`和`<servlet-mapping>`定义了`DispatcherServlet`及其映射。 综上所述,Spring 3.0 MVC的注解机制极大地简化了Web应用的开发流程,...
Struts2默认拦截器解析[归类].pdf
10-20
20. **StackInterceptor** - 栈拦截器:处理的对象,例如在Action和结果之间传递数据。 21. **ValidationInterceptor** - 验证拦截器:基于Action的验证规则执行字段验证,如果验证失败,将错误信息放入Value...
SSM整合小Demo思路1
08-03
在设置,可能会涉及数据库字段名自动转化为驼峰命名的规则,这通常通过`<configuration>`标签下的`mapUnderscoreToCamelCase`属性来实现,设为`true`即可。 2. **别名设置**: MyBatis允许为类设置别名,这样...
SpringSecurity实现动态管理权限(三)
zhoubangbang1的博客
01-07 785
SpringBoot整合SpringSecurity实现接口动态管理权限 接上一篇权限管理是后台管理不可缺少的部分,今天结合SpringSecurity实现接口的动态管理。 动态权限管理 SpringSecurity实现权限动态管理,第一步需要创建一个过滤器,doFilter方法需要注意,对于OPTIONS直接放行,否则会出现跨域问题。并且对在上篇文章提到的IgnoreUrlsConfig的白名单也是直接放行,所有的权限操作都会在super.beforeInvocation(fi)实现。
spring security实现动态配置url权限的两种方法
weixin_33713350的博客
06-07 1671
缘起 标准的RABC, 权限需要支持动态配置,spring security默认是在代码里约定好权限,真实的业务场景通常需要可以支持动态配置角色访问权限,即在运行时去配置url对应的访问角色。 基于spring security,如何实现这个需求呢? 最简单的方法就是自定义一个Filter去完成权限判断,但这脱离了spring security框架,如何基于spring security优雅的实现...
Spring Security 实战干货:动态权限控制(下)实现
码农小胖哥
11-29 2146
1. 前言 Spring Security 实战干货:内置 Filter 全解析 提到的第 32 个 Filter 不知道你是否有印象。它决定访问特定路径应该具备的权限,访问的用户的角色,权限是什么?访问的路径需要什么样的角色和权限? 它就是 FilterSecurityInterceptor ,正是我们需要的那个轮子。 2.FilterSecurityInterceptor 过滤器排行榜第...
springBoot+springSecurity+swagger2 Unable to infer base url. This is common when using dynamic
mengtianning的博客
05-08 207
项目场景: springBoot+springSecurity+swagger2, 访问http://localhost:8080/swagger-ui.html#/时出现: 解决方案: 在配置访问白名单的时候将swagger相关路径添加进去, String[] whiteUrl = new String[] {"/swagger-ui.html", "/swagger-resources/**", "/v2/api-docs", "/webjars/springfox-swagger-ui
springboot+springsecurity跨域配置完整版(俺被坑了一个上午,特此前来用爱发电)
GD_MRS_LIN的博客
02-05 721
springboot跨域配置不必多说,网上很多: 首先配置好,我用的是继承WebMvcConfigurer配置,还可以通过过滤器配置,我觉得这样应该是最方便了,缺点就是这种配置不能在interceptor再配置header。 @Configuration public class MyWebConfigurer implements WebMvcConfigurer { @Autowired private LoginInterceptor loginInterceptor;
spring security 配置 intercept-url 时需要注意的几个问题
热门推荐
ren_xu123的专栏
12-03 1万+
Spring Security 正则表达 Posted on March 8, 2012 by kevin By default, after you’ve added Spring Security to your Roo app with ‘security setup’, you get an example config in a applicationContext-
spring security详解
Spring为核心
04-29 502
always-use-default-target="true" default-target-url="/index.do" />                   下边这些是标签属性说明: 配置说明:   lowercase-comparisons:表示URL比较前先转为小写。   path-type:表示使用Apache Ant的匹配模式。   access-deni
Spring Security Config : HttpSecurity安全配置器 ExpressionUrlAuthorizationConfigurer
ywb201314的专栏
04-06 1261
这里每组RequestMatcher表示一组调用者想设定成相同权限控制的Http method/URL pattern,这里所设置的权限属性其实是基于SpEL的权限表达式。// 安全配置器指定一个安全表达式处理器 SecurityExpressionHandler,// 添加一组需要共同权限设置的 RequestMatcher,并对这组 RequestMatcher 设置相同的权限控制。
Spring Security 入门(1-3-2)Spring Security - http元素 - intercept-url配置
weixin_34259559的博客
06-16 109
http元素下可以配置登录页面,也可以配置 url 拦截。 1、直接配置拦截url和对应的访问权限  &lt;security:http use-expressions="false"&gt;     &lt;security:form-login /&gt;     &lt;security:logout /&gt;     &lt;security:intercept-url ...
<dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <!-- SpringWeb模块 --> <dependency> <groupId>org.springframework</groupId> <artifactId>spring-web</artifactId> </dependency> 这些依赖会有拦截器吗
最新发布
07-14
`spring-boot-starter-security`是Spring Security框架的起步依赖,它提供了身份验证、授权和安全性保护等功能。Spring Security使用拦截器来拦截HTTP请求,并进行身份验证和授权处理。你可以配置拦截器来限制对某些...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值