SpringSecurity3.X权限原理

最新推荐文章于 2020-08-10 11:41:55 发布
最新推荐文章于 2020-08-10 11:41:55 发布
阅读量449 收藏
点赞数
分类专栏: 用户权限

这里给出一个简单的安全验证的实现例子,先说一下需求:

1.通过登录页面进行登录

2.用户登录前访问被保护的地址时自动跳转到登录页面

3.用户信息存储在数据表中

4.用户权限信息存在在数据表中

5.用户登录成功后访问没有权限访问的地址时跳转到登录页面

 

ok,以上就是一个基本的需求了,大部分的系统都是基于该需求实现登录模块的。

 

给出实现之前,先简单说明一下springsecurity的原理,

1.AccessDecisionManager

和我们一般实现登录验证采用filter的方式一样,springsecurity也是一个过滤器,当请求被springsecurity拦截后,会先对用户请求的资源进行安全认证,如果用户有权访问该资源,则放行,否则将阻断用户请求或提供用户登录,

在springsecurity中,负责对用户的请求资源进行安全认证的是AccessDecisionManager,它就是一组投票器的集合,默认的策略是使用一个AffirmativeBased,既只要有一个投票器通过验证就允许用户访问,

所以如果希望实现自己的权限验证策略,实现自己的投票器是一个很好的选择。

 

2.UserDetailsService

如果用户没有登录就访问某一个受保护的资源,则springsecurity会提示用户登录,用户登录后,由UserDetailsService来验证用户是否合法,既验证用户名和密码是否正确,同时验证用户是否具备相应的资源权限,

即对应的access的value。

如果用户验证通过,则由AccessDecisionManager来决定是否用户可以访问该资源。

 

下面给出具体实现:

web.xml

基本上都是这样配置,就不废话了。

<filter >   
    <filter-name > springSecurityFilterChain </filter-name >   
    <filter-class > org.springframework.web.filter.DelegatingFilterProxy </filter-class>   
</filter >   
<filter-mapping >   
    <filter-name > springSecurityFilterChain </filter-name >   
    <url-pattern > *.do*"   access = "HODLE"   />   
        <logout   logout-url = "/logout.do"   invalidate-session = "true"   
            logout-success-url = "/logout.jsp"   />   
        <form-login   login-page = "/index.do"   default-target-url = "/frame.do"   
            always-use-default-target = "true"   authentication-failure-url = "/index.do?login_error=1"   />   
        <session-management >   
            <concurrency-control   max-sessions = "1"   />   
        </session-management >   
    </http >   
       
    <beans:bean id = "loggerListener"   
        class = "org.springframework.security.authentication.event.LoggerListener"   />   
  
          
    <authentication-manager >   
        <authentication-provider   user-service-ref = "userService" >   
            <password-encoder   hash = "md5"   />   
        </authentication-provider >   
    </authentication-manager >   
  
    <beans:bean   id = "userService"   class = "com.piaoyi.common.security.UserService"   />   
             
    <beans:bean   id = "accessDecisionManager"   
        class = "org.springframework.security.access.vote.AffirmativeBased" >   
        <beans:property   name = "decisionVoters" >   
            <beans:list >   
                <beans:bean   class = "org.springframework.security.access.vote.RoleVoter"   />   
                <beans:bean   
                    class = "org.springframework.security.access.vote.AuthenticatedVoter"  />   
                <beans:bean   class = "com.piaoyi.common.security.DynamicRoleVoter"   />  
            </beans:list >   
        </beans:property >   
    </beans:bean >   
</beans:beans >
UserService.java 

public   class  UserService  implements  UserDetailsService{  
    @Autowired   
    private  ISystemUserService userService;  
    @Override   
    public  UserDetails loadUserByUsername(String username)  
            throws  UsernameNotFoundException {  
        // TODO Auto-generated method stub   
        SystemUser user = userService.findById(username);         
        if  (user ==  null )  
            throw   new  UsernameNotFoundException( "The user name "  + username  
                    + " can not be found!" );  
  
        List resultAuths = new  ArrayList();  
               //增加access中配置的权限,实际上这里就是让所有登陆用户都具备该权限,   
               //而真正的资源权限验证留给AccessDecisionManager来决定   
                resultAuths.add(new  GrantedAuthorityImpl( "HODLE" ));  
          
        //验证用户名和密码是否正确,以及是否权限正确   
        return   new  User(username, user.getPassword().toLowerCase(), user.isStatus(),  true ,  
                true ,  true , resultAuths);  
          
          
    }  
}
DynamicRoleVoter.java 

public   class  DynamicRoleVoter   implements   
        AccessDecisionVoter {  
  
    @Autowired   
    private  ISystemUserService userService;  
  
    private  PathMatcher pathMatcher =  new  AntPathMatcher();  
       
    @SuppressWarnings ( "unchecked" )  
    public   boolean  supports(Class clazz) {  
        return   true ;  
    }  
  
       
    public   boolean  supports(ConfigAttribute attribute) {  
        return   true ;  
    }  
  
       
    public   int  vote(Authentication authentication, Object object,  
            java.util.Collection arg2) {  
        int  result = ACCESS_ABSTAIN;  
        if  (!(object  instanceof  FilterInvocation))  
            return  result;  
        FilterInvocation invo = (FilterInvocation) object;  
        String url = invo.getRequestUrl();//当前请求的URL   
        Set authorities = null ;  
        String userId = authentication.getName();  
        //获得当前用户的可访问资源,自定义的查询方法,之后和当前请求资源进行匹配,成功则放行,否则拦截       
        authorities = loadUserAuthorities(userService.findById(userId));  
        Map> urlAuths = authService.getUrlAuthorities();  
        Set keySet = urlAuths.keySet();  
        for  (String key : keySet) {  
            boolean  matched = pathMatcher.match(key, url);  
            if  (!matched)  
                continue ;  
            Set mappedAuths = urlAuths.get(key);  
            if  (contain(authorities, mappedAuths)) {  
                result = ACCESS_GRANTED;  
                break ;  
            }  
        }  
        return  result;  
    }  
      
      
    protected   boolean  contain(Set authorities,  
            Set mappedAuths) {  
        if  (CollectionUtils.isEmpty(mappedAuths)  
                || CollectionUtils.isEmpty(authorities))  
            return   false ;  
        for  (GrantedAuthority item : authorities) {  
            if  (mappedAuths.contains(item.getAuthority()))  
                return   true ;  
        }  
        return   false ;  
    }  
}


转自:http://blog.sina.com.cn/s/blog_6fda308501016wjy.html

苍羽
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
详解Spring3.x 升级至 Spring4.x的方法
08-27
本篇文章主要介绍了详解Spring3.x 升级至 Spring4.x的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
spring security 授权服务器 认证服务器 OAUTH2 redis
ccnn_yanan的博客
11-25 1328
application.xml 首先引进redis的相关配置 token是要存在这里的 #Mon Nov 04 11:33:55 CST 2019 spring.redis.lettuce.pool.min-idle=0 spring.redis.lettuce.pool.max-idle=8 spring.redis.lettuce.pool.max-active=8 spring.redi...
Spring Security自定义登录与验证
weixin_42270584的博客
08-10 535
Spring Security 核心组件有: SecurityContext:security安全上下文,通过校验之后,验证信息存储 SecurityContext中。 SecurityContextHolder:存储认证信息。 Authentication:存储当前用户。 UserDetails:用户信息。 AuthenticationManager:作用就是校验Authentication,如果验证失败会抛出AuthenticationException异常。 框架的认证过程: 用户名密码->
Spring Security教程(6)---- 使用数据库管理用户及权限
z69183787的专栏
03-13 5525
上一章已经把表结构上传了,今天这部分主要用到的表是 SYS_USERS  用户管理表SYS_ROLES  角色管理表SYS_AUTHORITIES权限管理表SYS_USERS_ROLES用户角色表SYS_ROLES_AUTHORITIES角色权限表 要实现使用数据库管理用户,需要自定义用户登录功能,而Spring已经为我们提供了接口UserDetailsServ
spring-security+spring-session配置
saizzzzzz的专栏
08-22 9550
spring-session的配置1.dependency 2.applicationContext.xml 3.web.xml 4.分布式 5.遇到的一些问题1. dependencyspring-session提供了一个集成的jar包,只需要导入这一个就可以了.<!-- spring session --> <dependency> <groupId>org.spri
spring-security4.1.2的学习
weixin_30570101的博客
08-30 91
spring-security4.1.2的学习             spring security教程 spring security是什么? Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,...
spring security 5.x实现兼容多种密码的加密方式
08-28
spring security针对该功能有两种实现方式,一种是简单的使用加密来保证基于 cookie 的 token 的安全,另一种是通过数据库或其它持久化存储机制来保存生成的 token。这篇文章主要给大家介绍了关于spring security 5....
spring security3.X可直接运行实例
04-22
这个例子是我http://www.springsource.org/download下载的,然后...可以直接运行的程序。 开发环境:MyEclipse 6.0.1 + mypring3.05 + spring-security-core-3.1.0.RC1.jar 网上可运行的例子太少了。和大家分享一下。
SpringSecurity3.x源码工程
05-14
SpringSecurity3.x源码工程,对应文档的工程包,部署好后在数据库建表可直接打开使用。
Spring Security 3.x 入门教程 中文WORD版
11-06
Spring Security 3.x 入门教程 中文WORD版,这个是针对3.x版本的网友整理的。
Spring Security访问控制Authorization
daiwuliang的博客
04-28 2955
文章目录Authorization架构用户权限Authorities前置调用处理AccessDecisionManager基于选举机制的AccessDecisionManagerRoleVoterAuthenticatedVoter其它AccessDecisionVoter后置调用处理HTTP请求访问控制 FilterSecurityInterceptor表达式访问控制规则常见的表达式方法Web ...
Springsecurity之AccessDecisionManager
weixin_34248487的博客
09-06 1699
2019独角兽企业重金招聘Python工程师标准>>> ...
spring security动态配置url权限
weixin_34100227的博客
08-15 747
序 对于使用spring security来说,存在一种需求,就是动态去配置url的权限,即在运行时去配置url对应的访问角色。这里简单介绍一下。 Standard Filter Aliases and Ordering 首先需要了解spring security内置的各种filter: Alias Filter Class Name...
springBoot+springSecurity 数据库动态管理用户、角色、权限(二)
热门推荐
哎幽的成长
01-20 15万+
序: 本文使用springboot+mybatis+SpringSecurity 实现数据库动态的管理用户、角色、权限管理本文细分角色和权限,并将用户、角色、权限和资源均采用数据库存储,并且自定义滤器,代替原有的FilterSecurityInterceptor过滤器, 并分别实现AccessDecisionManager、InvocationSecurityMetadataSource
Spring-Security笔记4 用户和权限
杨毅的专栏
03-01 853
建立好了spring-security中提供的数据库表,就可以基于这些表进行用户和权限的管理。目前主要用到了5张表SYS_USERS  用户管理表SYS_ROLES  角色管理表SYS_AUTHORITIES权限管理表SYS_USERS_ROLES用户角色表SYS_ROLES_AUTHORITIES角色权限表要实现使用数据库管理用户,需要自定义用户登录功能Spring已经为我们提供了接口UserD...
Spring security 访问权限控制
确实比较男
05-26 367
GrantedAuthority 用户在认证成功后查询处理用户拥有的所有权限,Authentication中存储了用户的所有权限spring-security权限接口GrantedAuthority public interface GrantedAuthority extends Serializable { //字符串代表一个权限 String getAuthor...
springsecurity 6.x
最新发布
12-17
Spring Security 6.x 提供了丰富的特性和功能,包括基于角色或权限的访问控制、密码加密、单点登录(SSO)、防止CSRF(跨站请求伪造)攻击、防止会话固定攻击等。 在Spring Security 6.x 中,认证可以使用多种方式...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值