基于url的动态权限

最新推荐文章于 2024-04-11 12:17:26 发布
最新推荐文章于 2024-04-11 12:17:26 发布
阅读量868 收藏 1
点赞数
文章标签: 数据库 java
原文链接:https://my.oschina.net/u/2427561/blog/3101437
版权

方案一:扩展access()的SpEL表达式

.anyRequest().access("@authService.canAcess(request,authentication)")

方案二:自定义AccessDecisionManager

(1)自定义SecurityMetadataSource,实现从数据库加载ConfigAttribute

(2)自定义accessDecisionManager,进行权限校验

(3)使用withObjectPostProcessor,自定义SecurityMetadataSource和accessDecisionManager

方案三:自定义Filter

spring security本来就是由很多的Filter构成的,那么我们可以自定义Filter然后添加到fiterChain中

(1)需要提供认证数据规则数据源数据:通过实现接口FilterInvocationSecurityMetadataSource来进行实现。

(2)自定义accessDecisionManager:进行权限校验

(3)自定义一个拦截器然后把它添加到spring security的fiterChain

这里使用方案一。

一、创建实体类Permission

@Entity
public class Permission {
    @Id @GeneratedValue
    private long id; // 主键

    private  String name; // 权限名称

    private String description; // 权限名称

    /**
     * 注意:Permission表的ulr通配符为两颗星,比如/user下的所有url,应该写成/user/**
     */
    private String url; // 授权连接

    private Long pid; // 父节点

    // 角色 - 权限是多对多的关系
    @ManyToMany(fetch = FetchType.EAGER)
    @JoinTable(name = "RolePermission",joinColumns = {@JoinColumn(name="permission_id")},inverseJoinColumns = {@JoinColumn(name="role_id")})
    private List<Role> roles;

    public long getId() {
        return id;
    }

    public void setId(long id) {
        this.id = id;
    }

    public String getName() {
        return name;
    }

    public void setName(String name) {
        this.name = name;
    }

    public String getDescription() {
        return description;
    }

二、建立RoleRepository

public interface RoleRepository extends JpaRepository<Role,Long> {
}

三、创建service类

public interface PermissionService {
    Map<String, Collection<ConfigAttribute>> getPermissionMap ();
}

@Service
public class PermissionServiceImpl implements PermissionService {

    @Autowired
    private PermissionRepository permissionRepository;

    private Map<String, Collection<ConfigAttribute>> permissionMap = null;

    @PostConstruct
    /**
     * 从数据库中获取所有权限信息,然后进行遍历,存储到permissionMap集合中
     */
    public void initPermissions() {
        permissionMap = new HashMap<>();
        List<Permission> permissions = permissionRepository.findAll();
        for (Permission p : permissions) {
            Collection<ConfigAttribute> collection = new ArrayList<ConfigAttribute>();
            for (Role role : p.getRoles()) {
                ConfigAttribute configAttribute = new SecurityConfig("ROLE_"+role.getName());
                collection.add(configAttribute);
            }
            permissionMap.put(p.getUrl(),collection);
        }
        System.out.println(permissionMap);
    }

    @Override
    public Map<String,Collection<ConfigAttribute>> getPermissionMap (){
        if(permissionMap == null || permissionMap.size() == 0){
            initPermissions();
        }
        return permissionMap;
    }
}

四、初始化数据

@Service
public class DataInit {
    @Autowired
    private UserInfoRepository userInfoRepository;
    @Autowired
    private PasswordEncoder passwordEncoder;
    @Autowired
    private RoleRepository roleRepository;
    @Autowired
    private PermissionRepository permissionRepository;

    @PostConstruct
    public void dataInit(){
        // role
        List<Role> roles = new ArrayList<>();
        Role adminRole = new Role();
        adminRole.setName("admin");
        adminRole.setDescprtion("管理员");
        roleRepository.save(adminRole);
        roles.add(adminRole);

        Role userRole = new Role();
        userRole.setName("normal");
        userRole.setDescprtion("普通用户");
        roleRepository.save(userRole);
        roles.add(userRole);

        Permission userPermission = new Permission();
        userPermission.setName("普通用户的url");
        userPermission.setDescription("允许普通用户访问");
        userPermission.setUrl("/hello/helloUser");
        userPermission.setRoles(roles);
        permissionRepository.save(userPermission);

        Permission adminPermission = new Permission();
        adminPermission.setName("管理员的url");
        adminPermission.setDescription("允许管理员访问");
        adminPermission.setUrl("/hello/helloAdmin");
        roles = new ArrayList<>();
        roles.add(adminRole);
        adminPermission.setRoles(roles);
        permissionRepository.save(adminPermission);

        // admin
        UserInfo admin = new UserInfo();
        admin.setUsername("admin");
        admin.setPassword(passwordEncoder.encode("123"));
        admin.setRoles(roles);
        userInfoRepository.save(admin);

        // user
        roles = new ArrayList<>();
        roles.add(userRole);
        UserInfo user = new UserInfo();
        user.setUsername("user");
        user.setPassword(passwordEncoder.encode("123"));
        user.setRoles(roles);
        userInfoRepository.save(user);
    }
}

五、基于url动态获取权限并匹配

@Service
public class AuthService {
    @Autowired
    private PermissionService permissionService;
    public boolean canAcess(HttpServletRequest request, Authentication authentication) {
        boolean b = false;

        String url = request.getRequestURI();

        /**
         * 1、未登录的情况下,需要坐一个判断或者是拦截。
         */Object principal = authentication.getPrincipal();
        if(principal == null || "anonymousUser".equals(principal)) {
          return b;
        }

        /**
         * 2、匿名的角色ROLE_ANONYMOUS
         */
         if(authentication instanceof AnonymousAuthenticationToken) {
             // 匿名角色
             // check
             // return
         }

        /**
         * 3、通过requst对象url,获取到权限信息
         */
        Map<String, Collection<ConfigAttribute>> map = permissionService.getPermissionMap();
        Collection<ConfigAttribute>  configAttributes = null;
        for (Iterator<String> it = map.keySet().iterator();it.hasNext();) {
            String curUrl = it.next();
            AntPathRequestMatcher matcher = new AntPathRequestMatcher(curUrl);
            if (matcher.matches((request))) {
                configAttributes = map.get(curUrl);
                break;
            }
        }

        if(configAttributes == null || configAttributes.size() == 0) {
            return b;
        }

        /**
         * 4、将获取到的权限信息和当前的登陆账号的权限信息进行对比
         */
        for(Iterator<ConfigAttribute> it = configAttributes.iterator();it.hasNext();){
            ConfigAttribute cfa = it.next();
            String role = cfa.getAttribute();
            for(GrantedAuthority authority : authentication.getAuthorities()){
                if(role.equals(authority.getAuthority())){
                    b = true;
                    break;
                }
            }
        }

        return b;
    }
}

六、使用.anyRequest().access()

@Override
protected void configure (HttpSecurity http) throws Exception{
   http.formLogin().loginPage("/login")
   .and()
   .authorizeRequests()
           .antMatchers("/login").permitAll() //允许所有人可以访问登陆页面
    .antMatchers("/","/index").permitAll()
           .antMatchers("/test/**","/test1/**","/favicon.ico").permitAll()
           .antMatchers("/res/**/*.{js,html}").permitAll()

   .anyRequest().access("@authService.canAcess(request,authentication)")
   .and().sessionManagement().maximumSessions(1);
   //.anyRequest().authenticated();//所有的请求需要在登陆之后才能访问
}

遇到问题: 1、登陆成功后总是现实无权访问,这里先将首页设为所以可见。

.antMatchers("/","/index").permitAll()

2、登陆成功后总是访问/favicon.ico,导致权限无法匹配成功,解决办法是加一个/favicon.ico图片,再在使用的页面调用。还有更好的办法。 https://www.jianshu.com/p/b56e524ba2e8 https://blog.csdn.net/sdjadycsdn/article/details/82621234

转载于:https://my.oschina.net/u/2427561/blog/3101437

chouxi8731
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Security--基于表达式的访问控制 access的使用
我和井盖都笑了博客
04-05 5083
文章目录    基于表达式的访问控制      1 access()方法使用      1.1 以 hasRole 和 permitAll 举例       2 使用自定义方法&n...
对应本博客:shiro、基于url权限管理章节的源代码
10-14
3. **动态权限分配**:Shiro支持在运行时动态地分配权限,可以根据用户的角色或权限动态调整Filter Chain,实现灵活的权限控制。 **Shiro的使用步骤** 1. **创建Subject**:Subject代表当前操作的用户,是Shiro的...
el-form 动态校验规则_13.Spring Boot+Spring Security:基于URL动态权限n种方案
weixin_39944638的博客
11-26 151
说明(1)JDK版本:1.8(2)Spring Boot 2.0.6(3)Spring Security 5.0.9(4)Spring Data JPA 2.0.11.RELEASE(5)hibernate5.2.17.Final(6)MySQLDriver 5.1.47(7)MySQL 8.0.12需求缘起 之前的版本的用户的权限需要使用@PreAuthorize硬编码,那...
shiro教程(1)-基于url权限管理
好好学java
03-30 668
一、 权限管理 1.1什么是权限管理 基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。 权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。 1.2用户身份认证 1...
Spring Security 工作原理概览,springboot面试知识点总结
最新发布
2401_84181221的博客
04-11 722
看完上述知识点如果你深感Java基础不够扎实,或者刷题刷的不够、知识不全面小编专门为你量身定制了一套针对知识面不够,也莫慌!还有一整套的,可以瞬间查漏补缺全都是一丢一丢的收集整理纯手打出来的。
SpringSecurity(十一)权限表达式和Rbac数据模型
lizc_lizc的博客
11-18 5091
常用表达式   表达式 说明 hasRole([role]) 用户拥有制定的角色时返回true (Spring security默认会带有ROLE_前缀) hasAnyRole([role1,role2]) 用户拥有任意一个制定的角色时返回true hasAuthority([authority]) 等同于hasRole,但不会带有ROLE_前缀 has...
初学spring security(二)-----请求控制
m0_48631806的博客
03-19 457
上一篇说了如何去定义自定义登录界面,现在来说下请求url的控制。
基于Shiro 拦截URL,实现权限控制
08-02
这些拦截器可以基于URL路径或特定的HTTP方法(如GET、POST等)来决定是否允许用户访问。Shiro的Web模块提供了一个名为`FilterChainResolver`的接口,它负责构建和解析过滤链,将URL映射到对应的过滤器。 以下是使用...
django 通过url实现简单的权限控制的例子
09-18
总结起来,通过Django实现简单的URL权限控制主要涉及以下步骤: 1. 定义模型来存储用户、权限和菜单信息。 2. 设置不受权限控制的URL白名单。 3. 创建一个装饰器来检查用户是否有权限访问请求的URL。 4. 在用户登录...
SpringBoot+Shiro+JWT+Jedis+MybatisPlus+前后端分离+基于url通用权限管理系统
01-25
Shiro支持基于URL权限拦截,这意味着可以为每个URL分配特定的访问权限,只有拥有相应权限的用户才能访问。这种方式提高了权限控制的粒度,使权限管理更为精细化。 JWT(JSON Web Token)是一种轻量级的身份验证...
shiro:shiro基于url做的权限系统
03-11
四郎 shiro基于url做的权限系统
spring security动态配置url权限的2种实现方法
08-27
对于使用spring security来说,存在一种需求,就是动态去配置url权限,即在运行时去配置url对应的访问角色。下面这篇文章主要给大家介绍了关于spring security动态配置url权限的2种实现方法,需要的朋友可以参考下
SpringSecurity学习记录3
张铎
01-02 291
2.6.6 anyRequest() 在之前认证过程中我们就已经使用过anyRequest(),表示匹配所有的请求,一般情况下此方法都会使用,设置全部内容都需要进行认证。 .anyRequest().authenticatied(); 2.6.7 antMatcher() 方法定义如下: public C antMatcher(String… antPatterns) 参数是不定向参数,每一个参数是有一个ant表达式,用于匹配url规则 规则如下: ? 匹配一个字符 *匹配0个或多个字符 **匹配0个或
初步理解Spring Security并实践
north hunter
05-31 463
转载自:https://www.jianshu.com/p/e6655328b211Spring Security主要做两件事,一件是认证,一件是授权。1.Spring Security初体验Spring Security如何使用,先在你的项目pom.xml文件中声明依赖。&lt;dependency&gt; &lt;!-- 由于我使用的spring boot所以我是引入spring-bo...
spring-security权限控制和校验
terry2870的专栏
03-15 3327
文章目录前言一、spring-security是什么?二、spring-security能为我们做什么?三、使用步骤1.maven依赖2.application.properties文件总结 前言     在我们项目中经常会涉及到权限管理,特别是一些企业级后台应用中,那权限管理是必不可少的。这个时候就涉及到技术选型的问题。在我以前项目中也没用到什么权限框架,就全部到一个spring mvc拦截器中去校验权限,当然,对需求比较少,小型的项目这也不失一个好的实现(实现简单,功能单一),但是对于一些比较大的应用
用户授权
qq_43843037的博客
01-24 1105
用户授权 授权的方式包括 web授权和方法授权,web授权是通过 url拦截进行授权,方法授权是通过 方法拦截进行授权。他 们都会调用accessDecisionManager进行授权决策,若为web授权则拦截器为 FilterSecurityInterceptor;若为方 法授权则拦截器为MethodSecurityInterceptor。如果同时通过web授权和方法授权则先执行web授权,再执行方 法授权,最后决策通过,则允许访问资源,否则将禁止访问。 web授权 Spring Security可以通过
动吧旅游 生态系统项目 part 1
weixin_47562812的博客
11-25 534
产品功能的实现: 1.首先实现软件的功能; 2.学会控制; 3.运维(项目运行时日志的分析,项目的布署,项目的拓展) 1. 项目简介 1.1概述 动吧旅游生态系统,应市场高端用户需求,公司决定开发这样的一套旅游系统,此系统包含旅游电商系统(广告子系统,推荐子系统,评价子系统,商品子系统,订单子系统,…),旅游分销系统(分销商的管理),旅游业务系统(产品研发,计调服务,系统管理,… 1.2原型分析 基于用户需求,进行原型设计(基于html+css+js进行静态页面实现)。例如系统登录页面:(bootstrap
基于django实现rbac权限管理
04-07
RBAC(Role-Based Access Control)是一种基于角色的访问控制,它将权限授予角色,然后将角色授予用户。在Django中,可以使用django-guardian或django-rules等第三方库来实现RBAC权限管理,也可以自己编写代码实现。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值