基于url的动态权限

最新推荐文章于 2024-04-17 01:42:27 发布
最新推荐文章于 2024-04-17 01:42:27 发布
阅读量879 收藏 1
点赞数
文章标签: 数据库 java
原文链接:https://my.oschina.net/u/2427561/blog/3101437
版权

方案一:扩展access()的SpEL表达式

.anyRequest().access("@authService.canAcess(request,authentication)")

方案二:自定义AccessDecisionManager

(1)自定义SecurityMetadataSource,实现从数据库加载ConfigAttribute

(2)自定义accessDecisionManager,进行权限校验

(3)使用withObjectPostProcessor,自定义SecurityMetadataSource和accessDecisionManager

方案三:自定义Filter

spring security本来就是由很多的Filter构成的,那么我们可以自定义Filter然后添加到fiterChain中

(1)需要提供认证数据规则数据源数据:通过实现接口FilterInvocationSecurityMetadataSource来进行实现。

(2)自定义accessDecisionManager:进行权限校验

(3)自定义一个拦截器然后把它添加到spring security的fiterChain

这里使用方案一。

一、创建实体类Permission

@Entity
public class Permission {
    @Id @GeneratedValue
    private long id; // 主键

    private  String name; // 权限名称

    private String description; // 权限名称

    /**
     * 注意:Permission表的ulr通配符为两颗星,比如/user下的所有url,应该写成/user/**
     */
    private String url; // 授权连接

    private Long pid; // 父节点

    // 角色 - 权限是多对多的关系
    @ManyToMany(fetch = FetchType.EAGER)
    @JoinTable(name = "RolePermission",joinColumns = {@JoinColumn(name="permission_id")},inverseJoinColumns = {@JoinColumn(name="role_id")})
    private List<Role> roles;

    public long getId() {
        return id;
    }

    public void setId(long id) {
        this.id = id;
    }

    public String getName() {
        return name;
    }

    public void setName(String name) {
        this.name = name;
    }

    public String getDescription() {
        return description;
    }

二、建立RoleRepository

public interface RoleRepository extends JpaRepository<Role,Long> {
}

三、创建service类

public interface PermissionService {
    Map<String, Collection<ConfigAttribute>> getPermissionMap ();
}

@Service
public class PermissionServiceImpl implements PermissionService {

    @Autowired
    private PermissionRepository permissionRepository;

    private Map<String, Collection<ConfigAttribute>> permissionMap = null;

    @PostConstruct
    /**
     * 从数据库中获取所有权限信息,然后进行遍历,存储到permissionMap集合中
     */
    public void initPermissions() {
        permissionMap = new HashMap<>();
        List<Permission> permissions = permissionRepository.findAll();
        for (Permission p : permissions) {
            Collection<ConfigAttribute> collection = new ArrayList<ConfigAttribute>();
            for (Role role : p.getRoles()) {
                ConfigAttribute configAttribute = new SecurityConfig("ROLE_"+role.getName());
                collection.add(configAttribute);
            }
            permissionMap.put(p.getUrl(),collection);
        }
        System.out.println(permissionMap);
    }

    @Override
    public Map<String,Collection<ConfigAttribute>> getPermissionMap (){
        if(permissionMap == null || permissionMap.size() == 0){
            initPermissions();
        }
        return permissionMap;
    }
}

四、初始化数据

@Service
public class DataInit {
    @Autowired
    private UserInfoRepository userInfoRepository;
    @Autowired
    private PasswordEncoder passwordEncoder;
    @Autowired
    private RoleRepository roleRepository;
    @Autowired
    private PermissionRepository permissionRepository;

    @PostConstruct
    public void dataInit(){
        // role
        List<Role> roles = new ArrayList<>();
        Role adminRole = new Role();
        adminRole.setName("admin");
        adminRole.setDescprtion("管理员");
        roleRepository.save(adminRole);
        roles.add(adminRole);

        Role userRole = new Role();
        userRole.setName("normal");
        userRole.setDescprtion("普通用户");
        roleRepository.save(userRole);
        roles.add(userRole);

        Permission userPermission = new Permission();
        userPermission.setName("普通用户的url");
        userPermission.setDescription("允许普通用户访问");
        userPermission.setUrl("/hello/helloUser");
        userPermission.setRoles(roles);
        permissionRepository.save(userPermission);

        Permission adminPermission = new Permission();
        adminPermission.setName("管理员的url");
        adminPermission.setDescription("允许管理员访问");
        adminPermission.setUrl("/hello/helloAdmin");
        roles = new ArrayList<>();
        roles.add(adminRole);
        adminPermission.setRoles(roles);
        permissionRepository.save(adminPermission);

        // admin
        UserInfo admin = new UserInfo();
        admin.setUsername("admin");
        admin.setPassword(passwordEncoder.encode("123"));
        admin.setRoles(roles);
        userInfoRepository.save(admin);

        // user
        roles = new ArrayList<>();
        roles.add(userRole);
        UserInfo user = new UserInfo();
        user.setUsername("user");
        user.setPassword(passwordEncoder.encode("123"));
        user.setRoles(roles);
        userInfoRepository.save(user);
    }
}

五、基于url动态获取权限并匹配

@Service
public class AuthService {
    @Autowired
    private PermissionService permissionService;
    public boolean canAcess(HttpServletRequest request, Authentication authentication) {
        boolean b = false;

        String url = request.getRequestURI();

        /**
         * 1、未登录的情况下,需要坐一个判断或者是拦截。
         */Object principal = authentication.getPrincipal();
        if(principal == null || "anonymousUser".equals(principal)) {
          return b;
        }

        /**
         * 2、匿名的角色ROLE_ANONYMOUS
         */
         if(authentication instanceof AnonymousAuthenticationToken) {
             // 匿名角色
             // check
             // return
         }

        /**
         * 3、通过requst对象url,获取到权限信息
         */
        Map<String, Collection<ConfigAttribute>> map = permissionService.getPermissionMap();
        Collection<ConfigAttribute>  configAttributes = null;
        for (Iterator<String> it = map.keySet().iterator();it.hasNext();) {
            String curUrl = it.next();
            AntPathRequestMatcher matcher = new AntPathRequestMatcher(curUrl);
            if (matcher.matches((request))) {
                configAttributes = map.get(curUrl);
                break;
            }
        }

        if(configAttributes == null || configAttributes.size() == 0) {
            return b;
        }

        /**
         * 4、将获取到的权限信息和当前的登陆账号的权限信息进行对比
         */
        for(Iterator<ConfigAttribute> it = configAttributes.iterator();it.hasNext();){
            ConfigAttribute cfa = it.next();
            String role = cfa.getAttribute();
            for(GrantedAuthority authority : authentication.getAuthorities()){
                if(role.equals(authority.getAuthority())){
                    b = true;
                    break;
                }
            }
        }

        return b;
    }
}

六、使用.anyRequest().access()

@Override
protected void configure (HttpSecurity http) throws Exception{
   http.formLogin().loginPage("/login")
   .and()
   .authorizeRequests()
           .antMatchers("/login").permitAll() //允许所有人可以访问登陆页面
    .antMatchers("/","/index").permitAll()
           .antMatchers("/test/**","/test1/**","/favicon.ico").permitAll()
           .antMatchers("/res/**/*.{js,html}").permitAll()

   .anyRequest().access("@authService.canAcess(request,authentication)")
   .and().sessionManagement().maximumSessions(1);
   //.anyRequest().authenticated();//所有的请求需要在登陆之后才能访问
}

遇到问题: 1、登陆成功后总是现实无权访问,这里先将首页设为所以可见。

.antMatchers("/","/index").permitAll()

2、登陆成功后总是访问/favicon.ico,导致权限无法匹配成功,解决办法是加一个/favicon.ico图片,再在使用的页面调用。还有更好的办法。 https://www.jianshu.com/p/b56e524ba2e8 https://blog.csdn.net/sdjadycsdn/article/details/82621234

转载于:https://my.oschina.net/u/2427561/blog/3101437

chouxi8731
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Security学习总结
皮蛋小粥的博客
11-09 1563
关于设计模式的文章在公众号上面已经更新完了,感兴趣的小伙伴可以关注公众号每天学Java随时查看! 学习Spring Security是在一个客户的项目上看到客户在自己项目上使用Spring Security,当时很好奇这么框架是干嘛的,就私下问了他们的技术人员:Security是做什么的。他大致的意思是说,Security是一个提供安全权限控制的框架,利用这个框架可以为系统中的人员定制相关的权限...
Spring Security--基于表达式的访问控制 access的使用
我和井盖都笑了博客
04-05 5091
文章目录    基于表达式的访问控制      1 access()方法使用      1.1 以 hasRole 和 permitAll 举例       2 使用自定义方法&n...
SpringSecurity(十一)权限表达式和Rbac数据模型
lizc_lizc的博客
11-18 5099
常用表达式   表达式 说明 hasRole([role]) 用户拥有制定的角色时返回true (Spring security默认会带有ROLE_前缀) hasAnyRole([role1,role2]) 用户拥有任意一个制定的角色时返回true hasAuthority([authority]) 等同于hasRole,但不会带有ROLE_前缀 has...
2024年Java常见面试题,Spring Boot 2(11)
最新发布
2401_84412988的博客
04-17 400
由于文案过于长,在此就不一一介绍了,这份Java后端架构进阶笔记内容包括:Java集合,JVM、Java并发、微服务、SpringNetty与 RPC 、网络、日志 、Zookeeper 、Kafka 、RabbitMQ 、Hbase 、MongoDB、Cassandra 、Java基础、负载均衡、数据库、一致性算法、Java算法、数据结构、分布式缓存等等知识详解。本知识体系适合于所有Java程序员学习,关于以上目录中的知识点都有详细的讲解及介绍,掌握该知识点的所有内容对你会有一个质的提升,
初学spring security(二)-----请求控制
m0_48631806的博客
03-19 480
上一篇说了如何去定义自定义登录界面,现在来说下请求url的控制。
SpringBoot 集成 SpringSecurity完全解读
laidanlove250的博客
06-17 470
一、Spring security 是什么? Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。 它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功...
spring security动态配置url权限的2种实现方法
08-27
本文将探讨两种在Spring Security中实现动态配置URL权限的方法。 ### 方法一:自定义Filter 虽然自定义Filter可以实现动态权限判断,但这并不符合Spring Security的设计原则,因为这会使你绕过框架提供的安全机制...
对应本博客:shiro、基于url权限管理章节的源代码
10-14
3. **动态权限分配**:Shiro支持在运行时动态地分配权限,可以根据用户的角色或权限动态调整Filter Chain,实现灵活的权限控制。 **Shiro的使用步骤** 1. **创建Subject**:Subject代表当前操作的用户,是Shiro的...
shiro:shiro基于url做的权限系统
03-11
在“shiro:shiro基于url做的权限系统”中,我们将深入探讨如何利用Shiro来实现基于URL权限控制。 **一、Shiro简介** Apache Shiro是一个轻量级的安全框架,它不依赖于Spring等其他容器,可以独立使用。Shiro的...
基于Shiro 拦截URL,实现权限控制
08-02
这些拦截器可以基于URL路径或特定的HTTP方法(如GET、POST等)来决定是否允许用户访问。Shiro的Web模块提供了一个名为`FilterChainResolver`的接口,它负责构建和解析过滤链,将URL映射到对应的过滤器。 以下是使用...
django 通过url实现简单的权限控制的例子
09-18
总结起来,通过Django实现简单的URL权限控制主要涉及以下步骤: 1. 定义模型来存储用户、权限和菜单信息。 2. 设置不受权限控制的URL白名单。 3. 创建一个装饰器来检查用户是否有权限访问请求的URL。 4. 在用户登录...
Security详解
myli92的博客
05-12 1071
1.HttpSecurity常用方法 方法 说明 openidLogin() 用于基于 OpenId 的验证 headers() 将安全标头添加到响应 cors() 配置跨域资源共享( CORS ) sessionManagement() 允许配置会话管理 portMapper() 允许配置一个PortMapper(HttpSecurity#(getSharedObject(class))),其他提供SecurityConfigurer的对象使用 P
SpringSecurity学习记录3
张铎
01-02 293
2.6.6 anyRequest() 在之前认证过程中我们就已经使用过anyRequest(),表示匹配所有的请求,一般情况下此方法都会使用,设置全部内容都需要进行认证。 .anyRequest().authenticatied(); 2.6.7 antMatcher() 方法定义如下: public C antMatcher(String… antPatterns) 参数是不定向参数,每一个参数是有一个ant表达式,用于匹配url规则 规则如下: ? 匹配一个字符 *匹配0个或多个字符 **匹配0个或
Spring Security 工作原理概览,springboot面试知识点总结
2401_84181221的博客
04-11 727
看完上述知识点如果你深感Java基础不够扎实,或者刷题刷的不够、知识不全面小编专门为你量身定制了一套针对知识面不够,也莫慌!还有一整套的,可以瞬间查漏补缺全都是一丢一丢的收集整理纯手打出来的。
SpringSecurityOAuth2(4)根据请求URI动态权限判断
08-01 2269
GitHub地址 码云地址 一般我们通过@PreAuthorize("hasRole('ROLE_USER')") 注解,以及在HttpSecurity配置权限需求等来控制权限。在这里,我们基于请求的URI来控制访问权限,并且可以使用注解来控制权限访问。 新建一个资源项目,配置资源服务。 首先...
shiro教程(1)-基于url权限管理
好好学java
03-30 672
一、 权限管理 1.1什么是权限管理 基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。 权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。 1.2用户身份认证 1...
java ip 白名单,Spring Security-将IP范围列入白名单
weixin_29743937的博客
03-19 688
我已经看过很多资源和stackoverflow问题,它们为使用.xml文件提供了答案:我只想知道是否可以使用Spring Security在不使用XML配置的情况下将IP地址范围列入白名单?以下是控制器中的一种简单方法:@RequestMapping(value = "/makeit", method = RequestMethod.GET)@ResponseBody//@PreAuthorize...
【Spring Security OAuth2笔记系列】- Security控制授权- 基于数据库Rbac数据模型控制权限
代码有毒的博客
08-31 4053
基于数据库Rbac数据模型控制权限 前面都是讲的怎么在权限规则基本不变的情况下,怎么写代码控制权限; 这一节要实现内管系统的场景; 这些所有的信息都必须存在数据库中。因为变动频繁,员工离职、部门调动,新增权限等; 通用RBAC数据模型 Role-Based-Access Control 通常由三直系表,两张关系表 对于资源表:存储数据的表现是 某一个url的别名是菜单或则按钮...
基于django实现rbac权限管理
04-07
RBAC(Role-Based Access Control)是一种基于角色的访问控制,它将权限授予角色,然后将角色授予用户。在Django中,可以使用django-guardian或django-rules等第三方库来实现RBAC权限管理,也可以自己编写代码实现。 下面是一个基于Django自己编写的简单RBAC权限管理系统的实现过程: 1. 定义权限模型 在Django中,可以通过定义模型来表示权限。例如,可以定义一个Permission模型,用来表示系统中的所有权限: ``` from django.db import models class Permission(models.Model): name = models.CharField(max_length=255, unique=True) codename = models.CharField(max_length=100, unique=True) ``` 其中name字段表示权限的名称,codename字段表示权限的代码名称。 2. 定义角色模型 同样地,可以定义一个Role模型,用来表示系统中的所有角色: ``` from django.db import models class Role(models.Model): name = models.CharField(max_length=255, unique=True) permissions = models.ManyToManyField('Permission') ``` 其中name字段表示角色的名称,permissions字段表示角色拥有的权限。 3. 定义用户模型 可以使用Django自带的User模型或者自己定义一个用户模型。在用户模型中,可以添加一个roles字段,用来表示用户所拥有的角色: ``` from django.contrib.auth.models import AbstractUser from django.db import models class User(AbstractUser): roles = models.ManyToManyField('Role') ``` 4. 编写权限检查装饰器 在Django中,可以使用装饰器来检查用户是否拥有某个权限。下面是一个简单的权限检查装饰器的实现: ``` from functools import wraps from django.http import HttpResponseForbidden def permission_required(perm): def decorator(view_func): @wraps(view_func) def _wrapped_view(request, *args, **kwargs): if not request.user.has_perm(perm): return HttpResponseForbidden() return view_func(request, *args, **kwargs) return _wrapped_view return decorator ``` 在上面的代码中,permission_required装饰器接受一个权限codename作为参数,返回一个装饰器函数。这个装饰器函数接受一个视图函数作为参数,返回一个新的视图函数。新的视图函数在执行前会检查用户是否拥有该权限,如果没有则返回403禁止访问状态码。 5. 在视图函数中使用权限检查装饰器 在需要进行权限检查的视图函数上加上permission_required装饰器即可: ``` @permission_required('app.view_model') def my_view(request): # do something ``` 在上面的代码中,my_view函数需要拥有view_model权限才能访问。 6. 编写角色管理视图 可以编写一个简单的角色管理视图,用来管理系统中的角色和权限: ``` from django.shortcuts import render from .models import Role, Permission def role_list(request): roles = Role.objects.all() return render(request, 'role_list.html', {'roles': roles}) def role_detail(request, role_id): role = Role.objects.get(id=role_id) permissions = Permission.objects.all() return render(request, 'role_detail.html', {'role': role, 'permissions': permissions}) ``` 在上面的代码中,role_list函数返回所有角色的列表,role_detail函数返回指定角色的详细信息和所有权限的列表。 7. 编写用户角色管理视图 可以编写一个简单的用户角色管理视图,用来管理用户和角色的关联关系: ``` from django.shortcuts import render from django.contrib.auth.models import User from .models import Role def user_list(request): users = User.objects.all() return render(request, 'user_list.html', {'users': users}) def user_detail(request, user_id): user = User.objects.get(id=user_id) roles = Role.objects.all() return render(request, 'user_detail.html', {'user': user, 'roles': roles}) ``` 在上面的代码中,user_list函数返回所有用户的列表,user_detail函数返回指定用户的详细信息和所有角色的列表。 8. 编写用户角色管理视图的表单处理函数 可以编写一个简单的表单处理函数,用来处理用户和角色的关联关系: ``` from django.shortcuts import redirect from django.contrib.auth.models import User from .models import Role def assign_role(request, user_id): if request.method == 'POST': user = User.objects.get(id=user_id) role_ids = request.POST.getlist('roles') roles = Role.objects.filter(id__in=role_ids) user.roles.set(roles) return redirect('user_detail', user_id=user_id) ``` 在上面的代码中,assign_role函数接受一个用户ID作为参数,从POST请求中获取选中的角色ID,将这些角色和用户关联起来,然后重定向到用户详细信息页面。 9. 编写角色管理视图的表单处理函数 可以编写一个简单的表单处理函数,用来处理角色和权限的关联关系: ``` from django.shortcuts import redirect from .models import Role, Permission def assign_permission(request, role_id): if request.method == 'POST': role = Role.objects.get(id=role_id) permission_ids = request.POST.getlist('permissions') permissions = Permission.objects.filter(id__in=permission_ids) role.permissions.set(permissions) return redirect('role_detail', role_id=role_id) ``` 在上面的代码中,assign_permission函数接受一个角色ID作为参数,从POST请求中获取选中的权限ID,将这些权限和角色关联起来,然后重定向到角色详细信息页面。 10. 编写模板 最后,可以编写一些简单的模板来渲染上述视图函数返回的数据。 例如,可以编写role_list.html模板来渲染角色列表: ``` <ul> {% for role in roles %} <li><a href="{% url 'role_detail' role.id %}">{{ role.name }}</a></li> {% endfor %} </ul> ``` 可以编写role_detail.html模板来渲染角色详细信息和权限列表: ``` <h1>{{ role.name }}</h1> <h2>Permissions</h2> <form method="post" action="{% url 'assign_permission' role.id %}"> {% csrf_token %} {% for permission in permissions %} <label> <input type="checkbox" name="permissions" value="{{ permission.id }}" {% if permission in role.permissions.all %}checked{% endif %}> {{ permission.name }} </label> {% endfor %} <button type="submit">Save</button> </form> ``` 可以编写user_list.html模板来渲染用户列表: ``` <ul> {% for user in users %} <li><a href="{% url 'user_detail' user.id %}">{{ user.username }}</a></li> {% endfor %} </ul> ``` 可以编写user_detail.html模板来渲染用户详细信息和角色列表: ``` <h1>{{ user.username }}</h1> <h2>Roles</h2> <form method="post" action="{% url 'assign_role' user.id %}"> {% csrf_token %} {% for role in roles %} <label> <input type="checkbox" name="roles" value="{{ role.id }}" {% if role in user.roles.all %}checked{% endif %}> {{ role.name }} </label> {% endfor %} <button type="submit">Save</button> </form> ``` 至此,一个简单的RBAC权限管理系统就完成了。当然,实际应用中可能需要更复杂的权限管理需求,可以根据具体情况进行扩展。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值