Springboot 3.x Spring Security 6 动态配置权限

已于 2023-07-24 18:36:06 修改
阅读量973 收藏 3
点赞数
文章标签: spring spring boot java
于 2023-07-24 18:16:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cgpllx/article/details/131902237
版权 
@Component
public class DynamicSecurityFilter extends AbstractSecurityInterceptor implements Filter {

    @Autowired
    private MyFilter dynamicSecurityMetadataSource;

//    @Autowired
    private IgnoreUrlsConfig ignoreUrlsConfig = new IgnoreUrlsConfig();

    @Autowired
    public void setMyAccessDecisionManager(MyAccessDecisionManager dynamicAccessDecisionManager) {
        super.setAccessDecisionManager(dynamicAccessDecisionManager);
    }

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) servletRequest;
        FilterInvocation fi = new FilterInvocation(servletRequest, servletResponse, filterChain);
        //OPTIONS请求直接放行
        if(request.getMethod().equals(HttpMethod.OPTIONS.toString())){
            fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
            return;
        }
        //白名单请求直接放行
        PathMatcher pathMatcher = new AntPathMatcher();
        for (String path : ignoreUrlsConfig.getUrls()) {
            if(pathMatcher.match(path,request.getRequestURI())){
                fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
                return;
            }
        }
        //此处会调用AccessDecisionManager中的decide方法进行鉴权操作
        InterceptorStatusToken token = super.beforeInvocation(fi);
        try {
            fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
        } finally {
            super.afterInvocation(token, null);
        }
    }

    @Override
    public void destroy() {
    }

    @Override
    public Class<?> getSecureObjectClass() {
        return FilterInvocation.class;
    }

    @Override
    public SecurityMetadataSource obtainSecurityMetadataSource() {
        return dynamicSecurityMetadataSource;
    }

}
@Configuration
@EnableWebSecurity
public class SecurityConfig   {
    Http403ForbiddenEntryPoint unauthorizedHandler =new Http403ForbiddenEntryPoint();

    @Autowired
    MyFilter myFilter;
    @Autowired
    MyAccessDecisionManager myAccessDecisionManager;

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {

        http.csrf(csrf->csrf.disable())
                .userDetailsService(userDetailsService())

                .httpBasic(withDefaults())
                .authorizeHttpRequests((authz) -> authz
                        .anyRequest().authenticated()
                               // .withObjectPostProcessor()

//                        .withObjectPostProcessor(new ObjectPostProcessor<BasicAuthenticationFilter>() {
//                            @Override
//                            public <O extends BasicAuthenticationFilter> O postProcess(O object) {
//                                object.setSecurityContextRepository(new HttpSessionSecurityContextRepository());
                                object.setAccessDecisionManager(myAccessDecisionManager);
                                object.setSecurityMetadataSource(myFilter);
//                               // object.setPublishAuthorizationSuccess(true);
//                                return object;
//                            }
//                        })
                        // 无需验证路径
//                        .requestMatchers("/public/**").permitAll()
//
//                        //.requestMatchers("/hello/**").permitAll()
//                        // 无需验证登录路径
//                        .requestMatchers("/login").permitAll()
//                        // 拥有权限才可访问
//                        .requestMatchers("/user/**").hasRole("user")//.hasAuthority("USER1")
//                        .requestMatchers("/admin/**").hasRole("admin")//.hasAuthority("USER1")
//                        .requestMatchers("/getBooks").hasRole("admin")//.hasAuthority("USER1")
//                        .requestMatchers("/aaa").hasRole("admin")//.hasAuthority("USER1")//没有权限的时候提示是404
//                        .requestMatchers("/user").hasAuthority("getAllUser")
//                        // 拥有任一权限即可访问
//                        .requestMatchers("user").hasAnyAuthority("1","2")
//                        // 角色类似,hasRole(),hasAnyRole()
//                      .anyRequest().authenticated()
                )
                // 自定义异常处理  自定义后不会调到登录界面,不知道为什么
//                .exceptionHandling(exception -> exception
//                        .authenticationEntryPoint(unauthorizedHandler)
//                        //权限不足处理
//                        .accessDeniedHandler(new AccessDeniedHandlerImpl())
//                        )//
//                .logout(httpSecurityLogoutConfigurer -> {
//                    httpSecurityLogoutConfigurer
//                            .logoutUrl("/public/logout")
//                            .logoutSuccessUrl("public/logoutSuccess");
//                           // .logoutSuccessHandler(myLogoutSuccessHandle);
//                })


                .formLogin(withDefaults())

                ;
        http.addFilterBefore(filter, FilterSecurityInterceptor.class);
         return http.build();




    }
    @Autowired DynamicSecurityFilter filter;
    @Bean
    public UserDetailsService userDetailsService() {
        return new MyUserDetailsService();
    }

//    @Bean
//    public InMemoryUserDetailsManager userDetailsService() {
//        UserDetails user = User.withDefaultPasswordEncoder()
//                .username("user")
//                .password("1234")
//                .roles("USER1","USER2")
//                //.authorities("USER1")
//                .build();
//        return new InMemoryUserDetailsManager(user);
//    }

    @Bean
    PasswordEncoder getPasswordEncoder(){
         //new BCryptPasswordEncoder();
        return NoOpPasswordEncoder.getInstance();
    }
}


//    @Bean
//    public UserDetailsManager users(DataSource dataSource) {
//        UserDetails user = User.withDefaultPasswordEncoder()
//                .username("admin")
//                .password("123")
//                .roles("USER1")
//                .build();
//        JdbcUserDetailsManager users = new JdbcUserDetailsManager(dataSource);
//        users.createUser(user);
//        return users;
//    }

//    @Bean
//    public InMemoryUserDetailsManager userDetailsService() {
//        UserDetails user = User.withDefaultPasswordEncoder()
//                .username("user")
//                .password("123")
//                .roles("USER1","USER2")
//                //.authorities("USER1")
//                .build();
//        return new InMemoryUserDetailsManager(user);
//    }
@Component
public class MyFilter implements FilterInvocationSecurityMetadataSource {
    AntPathMatcher antPathMatcher = new AntPathMatcher();


     @Autowired
    MenuRepository menuRepository;

    @Override
    public Collection<ConfigAttribute> getAttributes(Object object) throws IllegalArgumentException {
        String requestUrl = ((FilterInvocation)object).getRequestUrl();
        List<Menu> allMenus = menuRepository.findAll();
        for (Menu menu : allMenus) {
            if (antPathMatcher.match(menu.getPattern(), requestUrl)) {
                List<Role> roles = menu.getRoles();
                String[] roleArr = new String[roles.size()];
                for (int i = 0; i < roleArr.length; i++) {
                    roleArr[i] = roles.get(i).getName();
                }
//                org.springframework.security.access.SecurityConfig.createList()
                return org.springframework.security.access.SecurityConfig.createList(roleArr);
            }
        }
        return org.springframework.security.access.SecurityConfig.createList("ROLE_LOGIN");

       // return null;
    }

    @Override
    public Collection<ConfigAttribute> getAllConfigAttributes() {
        return null;
    }

    @Override
    public boolean supports(Class<?> clazz) {
        return true;
    }
}

@Component
public class MyAccessDecisionManager implements AccessDecisionManager {

    /**
     * @param authentication 保存了当前登录用户的信息(已有哪些角色)
     * @param o
     * @param collection     需要哪些角色,和authentication对比判断
     * @throws AccessDeniedException
     * @throws InsufficientAuthenticationException
     */
    @Override
    public void decide(Authentication authentication, Object o, Collection<ConfigAttribute> collection) throws AccessDeniedException, InsufficientAuthenticationException {
        for (ConfigAttribute attribute : collection) {//遍历collection,就是你需要的角色
            if ("ROLE_LOGIN".equals(attribute.getAttribute())) { //登录之后就可以访问
                if (authentication instanceof AnonymousAuthenticationToken) { //如果是匿名用户,说明没登录,抛异常
                    throw new AccessDeniedException("非法请求!");
                } else {
                    return;
                }
            }
            Collection<? extends GrantedAuthority> authorities = authentication.getAuthorities();//已经存在的角色/
            for (GrantedAuthority authority : authorities) {
                if (authority.getAuthority().equals(attribute.getAttribute())) { //如果存在你需要的角色,直接return
                    return;
                }
            }
        }
        throw new AccessDeniedException("非法请求!");
    }

    @Override
    public boolean supports(ConfigAttribute attribute) {
        return true;
    }

    @Override
    public boolean supports(Class<?> clazz) {
        return true;
    }
}

耳东Kevin
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Security 6.x 系列【51】授权篇之动态权限规则
记录知识、锤炼自我
06-02 1496
基于请求URL或权限注解的方式,实际都是针对请求进行访问控制,我们可以将请求路径对应的规则放在数据库或缓存,在访问接口时,获取当前请求路径对应的访问规则,然后判断该用户是否有访问权限
SpringBoot整合权限控制SpringSecurity.docx
12-10
SpringBoot整合权限控制SpringSecurity
新鲜速递:Spring Boot 3 项目快速集成 Spring Security 6的方法
杨若瑜的技术博客
12-11 1万+
本文讲述Spring Boot 3 快速集成Spring Security 6的方法,以往的旧文章大多无法无错完成集成,所以笔者经过研究,在这里发布快速集成方法,避免读者重蹈覆辙掉入各种坑里。
SpringSecurity6.x
qq_45726327的博客
03-23 1100
Spring Security 是一个功能强大且高度可定制的身份验证和访问控制框架。它是保护基于 Spring 的应用程序的事实上的标准。Spring Security 是一个专注于为 Java 应用程序提供身份验证和授权的框架。与所有 Spring 项目一样,Spring Security 的真正强大之处在于它可以轻松扩展以满足自定义需求。实际开发的过程中,我们需要应用程序更加灵活,可以在SpringSecurity中创建自定义配置文件。Java自定义配置用来管理用户信息,
Spring Security6.x快速入门——用户认证模块
coder184的博客
03-03 735
Spring Security是基于过滤器进行设计的,它自身是一个SecurityFilterChain,在spring官网中,有很长的一个篇幅,对其架构进行介绍;而在这里,我推荐的入门方式是:可以将其快速地浏览一遍,心中只需要留下印象的是——Spring Security和过滤器链,你甚至直接可以将Spring Security看作是"一堆过滤器",这些过滤器组成了"过滤器链",而过滤器链中最重要的一个过滤器是:AuthorizationFilter。@Override。
Spring Security6 最新版配置该怎么写,该如何实现动态权限管理
热门推荐
LoveSummer
08-15 2万+
自定义 JSON 登录也和之前旧版不太一样了。小伙伴们知道,Spring Security 中默认的登录接口数据格式是 key-value 的形式,如果我们想使用 JSON 格式来登录,那么就必须自定义过滤器或者自定义登录接口,下面先来和小伙伴们展示一下这两种不同的登录形式。Spring Security 默认处理登录数据的过滤器是 UsernamePasswordAuthenticationFilter,在这个过滤器中,系统会通过。
sprringboot3整合springsecurity6.0(只做token权限验证)+redis+自定义权限验证+自定义操作日志
weixin_44900881的博客
06-28 3416
}// 获取错误信息 String exception =(String) request . getAttribute(CacheConstants . TOKEN_EXCEPTION);// 获取错误状态码 String exceptionCode = request . getAttribute(CacheConstants . TOKEN_EXCEPTION_CODE) . toString();} }
spring boot3.x结合spring security最新版实现jwt登录验证
qq_45635939的博客
09-02 1535
快速构建
Spring Boot 3.0 Security 6定制UserDetailsService,动态权限,Thymeleaf,密码强度、过期、锁定、解锁、禁用、历史新密码编辑距离、登录日志、Envers
allway2的博客
11-26 7069
在本教程中,我将指导您如何编写代码,以使用具有基于表单的身份验证的Spring安全API来保护Spring Boot应用程序中的网页。用户详细信息存储在MySQL数据库中,并使用春季JDBC连接到数据库。我们将从中的 ProductManager 项目开始,向现有的弹簧启动项目添加登录和注销功能。接下来,在应用程序属性文件中指定数据库连接信息,如下所示:根据您的MySQL数据库更新URL,用户名和密码。
Springboot 3 + Spring Security 6 + OAuth2 入门级最佳实践
m0_64469199的博客
05-03 1万+
当我的项目基于 SpringBoot 3 而我想使用Spring Security,最终不幸得到WebSecurityConfigurerAdapter被废弃的消息。本文档就是在这样的情况下产生的。
springboot3整合SpringSecurity实现登录校验与权限认证(万字超详细讲解)
2301_78646673的博客
12-11 5696
用户提交登录请求Spring Security 将请求交给 UsernamePasswordAuthenticationFilter 过滤器处理。UsernamePasswordAuthenticationFilter 获取请求中的用户名和密码,并生成一个 AuthenticationToken 对象,将其交给 AuthenticationManager 进行认证。
springboot springsecurity动态权限控制
09-18
springboot springsecurity动态权限控制,实现数据库动态管理菜单权限
SpringBoot2.0+SpringSecurity5.1.5.RELEASE+MybatisPlus3.1.1的基础权限登陆系统
05-07
SpringBoot2.0+SpringSecurity5.1.5.RELEASE+MybatisPlus3.1.1的基础登陆代码 登陆账号123 密码123 密码使用springsecruity提供的加密方式加密 前端使用thymeleaf+bootstrap 提供登陆后成功页面 sql文件在db下 仅供...
基于springboot+SpringSecurity的一款权限认证系统源码+数据库.zip
12-14
基于springboot+SpringSecurity的一款权限认证系统源码+数据库.zip基于springboot+SpringSecurity的一款权限认证系统源码+数据库.zip基于springboot+SpringSecurity的一款权限认证系统源码+数据库.zip基于springboot...
SpringBoot--- SpringSecurity进行注销权限控制的配置方法
08-24
主要介绍了SpringBoot--- SpringSecurity进行注销,权限控制,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
SpringBoot引入第三方jar包或本地jar包
zhourongxiang1的博客
04-23 459
在resources中新建jar目录,将第三方jar包fastjson2-2.0.47.jar放入其中。打完的war包在“D:\迅雷下载\snakerflow-master(1)\demoJar\target\demo-0.0.1-SNAPSHOT.war”中。),有两个Maven选择这一个。pom.xml中version改成2.5.10。pom.xml中添加configuration。pom.xml中添加dependence。pom.xml中再添加packaging。勾选Spring Web。
springboot_java_Ssm高校网上教材征订系统
最新发布
qq2295116502的博客
04-25 318
最基本的是,Spring Boot是一个可以被任何项目的构建系统使用的库集合。Spring BootSpring 家族中的一个全新的框架,它用来简化Spring应用程序的创建和开发过程。Spring Cloud 为最常见的分布式系统模式提供了一种简单且易于接受的编程模型,帮助开发人员构建有弹性的、可靠的、协调的应用程序。4、提供准备好的特性。entity: 实体,用来放与数据库表里对应的实体类,表中的字段对应类中的属性值,并附有set/get方法。接口:尚未实现的方法,在对应的ipml中实现。
SpringBoot项目打包分离高阶操作
Record Little
04-23 729
虽然传输jar包 比较大,但是安全性、稳定性比较高,不需要关注pom.xml 添加了新的依赖、更新了版本号等等影响版本功能的操作。关注maven的特性, profiles即可满足, 根据不同的activation 状态,激活不同的build操作。每次修改一小部分代码或仅仅更新某个依赖jar包时,都需要重新进行整个项目的构建、打包、上传和部署。但是当你的项目趋于稳定,只有业务上的逻辑变更时,如果使用分离版本,可以加快迭代、更新的速度。弊端: 需要配置IDE命令,修改依赖时需要同时修改2处。
mysql-connector-javaspring-boot-starter-jdbc和mybatis-spring-boot-start
xzy的博客
04-23 1019
JDBC是使用java语言操作mysql数据库的规范,java语言必须按照这个规范写才可以操作mysql数据库。
Springboot3.0 +SpringSecurity6权限管理系统
08-26
SpringBoot是一个开源的Java开发框架,它可以帮助开发者快速搭建基于Spring框架的应用程序。而Spring SecuritySpring框架中用于实现安全认证和授权的模块。 关于Spring Boot 3.0和Spring Security 6的权限管理系统,目前最新版本的Spring Boot是2.x系列,而Spring Security的最新版本是5.x系列。所以,目前还没有Spring Boot 3.0和Spring Security 6的正式版本发布。 不过,你可以使用Spring Boot 2.x和Spring Security 5.x来构建一个基于权限管理的系统。Spring Security提供了丰富的功能,比如身份验证、授权、角色管理等。你可以使用它来实现用户登录、访问控制和权限管理等功能。 具体的实现步骤可以参考官方文档或者一些教程资源,比如在CSDN上有很多关于Spring BootSpring Security的教程可以参考。你可以搜索相关的教程来了解如何搭建一个基于Spring BootSpring Security权限管理系统。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值