Spring Securiry学习笔记三

最新推荐文章于 2024-07-24 14:08:33 发布
最新推荐文章于 2024-07-24 14:08:33 发布
阅读量118 收藏
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/codetom/article/details/117089440
版权

说完了认证,就该说授权了。毕竟spring security主要的两个功能就是认证和授权。一般授权都会基于数据库实现动态URL,当然你也可以用注解(注意启动类要加配置@),直接写在webSecuriryConfig中(一定要注意基于权限和基于角色RBAC不是一回事PS:注意基于角色的时候角色的统一命名规则是ROLE_XXX),这里就只介绍动态的了。
动态的就是从实现FilterInvocationSecurityMetadataSource这个接口的类(你自己写)中的getAttributes(getAttributes)这个方法来获得你请求的URL(String requestUrl = ((FilterInvocation) o).getRequestUrl();
)//这么获取URL
需要的角色,然后返回一个collation。
然后很明显就需要另一个类来判断是否有权限。这个类实现AccessDecisionManager。
下面是数据库的见表思路(其实咋建表都行,看个人)
在这里插入图片描述
下面是AccessDecisionManager,FilterInvocationSecurityMetadataSource

@Component
public class CustomizeFilterInvocationSecurityMetadataSource implements FilterInvocationSecurityMetadataSource {
    AntPathMatcher antPathMatcher = new AntPathMatcher();
    @Autowired
    SysPermissionService sysPermissionService;
    @Override
    public Collection<ConfigAttribute> getAttributes(Object o) throws IllegalArgumentException {
        //获取请求地址
        String requestUrl = ((FilterInvocation) o).getRequestUrl();
        //查询具体某个接口的权限
        List<SysPermission> permissionList =  sysPermissionService.selectListByPath(requestUrl);
        if(permissionList == null || permissionList.size() == 0){
            //请求路径没有配置权限,表明该请求接口可以任意访问
            return null;
        }
        String[] attributes = new String[permissionList.size()];
        for(int i = 0;i<permissionList.size();i++){
            attributes[i] = permissionList.get(i).getPermissionCode();
        }
        return SecurityConfig.createList(attributes);
    }

    @Override
    public Collection<ConfigAttribute> getAllConfigAttributes() {
        return null;
    }

    @Override
    public boolean supports(Class<?> aClass) {
        return true;
    }
}


@Component
public class CustomizeAccessDecisionManager implements AccessDecisionManager {
    @Override
    public void decide(Authentication authentication, Object o, Collection<ConfigAttribute> collection) throws AccessDeniedException, InsufficientAuthenticationException {
        Iterator<ConfigAttribute> iterator = collection.iterator();
        while (iterator.hasNext()) {
            ConfigAttribute ca = iterator.next();
            //当前请求需要的权限
            String needRole = ca.getAttribute();
            //当前用户所具有的权限
            Collection<? extends GrantedAuthority> authorities = authentication.getAuthorities();
            for (GrantedAuthority authority : authorities) {
                if (authority.getAuthority().equals(needRole)) {
                    return;
                }
            }
        }
        throw new AccessDeniedException("权限不足!");
    }

    @Override
    public boolean supports(ConfigAttribute configAttribute) {
        return true;
    }

    @Override
    public boolean supports(Class<?> aClass) {
        return true;
    }
}
鱼见千寻
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
SpringSecurity+SpringBoot前后端分离的权限验证和管理的实现方法
qq_29586495的博客
12-10 4065
SpringSecurity+SpringBoot+前后端分离的权限验证和管理的实现方法 0.本文目标 使用SpringSecurity框架进行访问用户的身份验证和权限鉴定,而且做成前后端分离的模式,即后端数据库没有界面,只返回Json作为处理结果。 1.SpringSecurity的作用 SpringSecurity提供了一个权限的验证管理的快速搭建工具。 以Web开发为例,使用SpringSecurity框架后, 可以对前端发来的url请求进行拦截,从而验证用户的权限是否允许该用户进行此请求。 提供了
关于每次请求都要执行两个,即经过重写FilterInvocationSecurityMetadataSource的getAttributes()方法
weixin_42947972的博客
02-26 840
关于每次请求都要执行两个,即经过重写FilterInvocationSecurityMetadataSource的getAttributes()方法 执行两次的方法 @Override public Collection<ConfigAttribute> getAttributes(Object object) throws IllegalArgumentException { //获取请求地址 String requestUrl = ((FilterI
Springboot + Spring Security +JWT + mybatis plus 实现前后端分离登录认证及权限控制
秋收的麦穗的博客
11-22 2860
前言: 参考文章: Springboot + Spring Security 实现前后端分离登录认证及权限控制 springboot+Spring-Security+JWT 实现用户登录和权限认证 项目主要代码来源于参考的第一篇文章,jwt来源于第二篇 改变: 将第一篇文章的项目改成我熟悉的无xml文件模式 将第二篇文章的jwt加入第一篇文章代码 代码部分修改… 项目结构 一.基于权限控制 编写controller接口 a.管理员资源接口,需要有管理员相关权限或角色才可以访问 /** * @
Spring Security 实现 antMatchers 配置路径的动态获取
weixin_33824363的博客
12-14 1万+
为什么80%的码农都做不了架构师?>>> ...
SpringSecurity OAuth2 (9) 自定义: 资源服务安全控制策略与动态权限实现
O_o
08-05 2417
本章主要介绍如何在 SpringSecurity OAuth2 下, 实现客户端和用户端两端的动态权限校验.
springsecurity学习笔记
12-13
在"springsecurity学习笔记"中,你可能会涉及以下主题: - Spring Security的基本配置,包括web安全配置和全局安全配置。 - 如何自定义认证和授权流程,比如实现自定义的AuthenticationProvider和...
Spring Security学习笔记(一)
09-07
本篇学习笔记将带你走进Spring Security的世界,逐步理解并掌握其基本用法。 首先,要开始使用Spring Security,我们需要在项目中添加依赖。在Maven工程中,可以通过在`pom.xml`中引入Spring Boot的`spring-boot-...
SpringSecurity笔记,编程不良人笔记
10-28
3. **SpringBoot整合SpringSecurity** - `spring-boot-starter-security`依赖:SpringBoot项目中添加此依赖即可自动配置SpringSecurity。 - 自定义登录页面:通过设置`loginPage`和`loginProcessingUrl`属性,可以...
Spring Security OAuth2.0学习笔记.zip
10-27
Spring Security OAuth2.0学习笔记 什么是认证、授权、会话。 Java Servlet为支持http会话做了哪些事儿。 基于session认证机制的运作流程。 基于token认证机制的运作流程。 理解Spring Security的工作原理,Spring ...
Spring Security笔记.rar
05-07
Spring Security 是一个强大的且高度可定制的框架,用于为Java应用程序提供身份验证和授权服务。它主要用于保护基于Spring的...通过学习笔记,你可以逐步掌握Spring Security的基础知识,并将其运用到实际项目中。
SpringSecurity权限认证管理
梦想导航
09-05 411
第一阶段:SpringSecurity 用户认证,授权 用户权限,系统判断用户是否拥有访问资源的权限,自由访问权限的系统资源 单点登录 只登录一次,就可以访问同平台的其他系统 第方认证,要定义的接口,都会遵循 Oauth2 认证流程 一、快速入门 快速入门项目是以及前后端分离开发为基础的,具体说到自定义拦截接口;没有涉及数据库。 创建test_secutity Maven项目,并在pom中导入依赖 <properties> <java.version>1
接口访问权限默认为_SpringSecurity 动态权限
weixin_39860201的博客
11-26 373
SpringSecurity 动态权限Spring security默认是在代码里约定好权限,真实的业务场景通常需要可以支持动态配置角色访问权限,即在运行时去配置url对应的访问角色。最简单的方法就是自定义一个Filter去完成权限判断,但这脱离了spring security框架,如何基于spring security优雅的实现呢?其实只要仔细看看 FilterSecurityInte...
spring security自定义权限拦截FilterInvocationSecurityMetadataSource
lichuangcsdn的博客
07-08 2万+
一般情况下,我们如果需要自定义权限拦截,则需要涉及到FilterInvocationSecurityMetadataSource这个接口了。 这里有个坑爹的地方。如果用户未登录,但是已经设置了拦截白名单的URL,仍然会进入到权限验证里面来。起初,我以为不会进来,但后来跟踪源代码发现,还是会进来。只是此时的身份是一个匿名用户。其默认的实现为DefaultFilterInvocationSecuri...
Spring Security——基于读写锁的动态权限配置FilterInvocationSecurityMetadataSource实现类
无限迭代中......
03-23 1237
问题描述 每次都加载资源,效率低下。 解决方案 /** * @author ShenTuZhiGang * @version 1.2.0 * @date 2020-03-07 21:57 */ @Slf4j @Component public class CustomFilterInvocationSecurityMetadataSource implements FilterInvocationSecurityMetadataSource { private fi
FilterInvocationSecurityMetadataSource方法使用
java牛牛的博客
02-06 1万+
1.Collection getAttributes(Object object) throws IllegalArgumentException; 获取某个受保护的安全对象object的所需要的权限信息,是一组ConfigAttribute对象的集合,如果该安全对象object不被当前SecurityMetadataSource对象支持,则抛出异常IllegalArgumentException...
Springboot + Spring Security 实现前后端分离登录认证及权限控制
热门推荐
I_am_Hutengfei的博客
09-05 10万+
Springboot + Spring Security 实现前后端分离登录认证及权限控制前言本文主要的功能文章目录一、数据库表设计建表语句初始化表数据语句二、Spring Security核心配置:WebSecurityConfig、用户登录认证逻辑:UserDetailsService1、创建自定义UserDetailsService2、准备service和dao层方法(1)根据用户名查询...
大坝安全监测设备有哪些主要功能?
最新发布
yyth13276363312的博客
07-24 253
12。3. **实时预警和报警处理**:提供精准的安全预警信息,及时处理可能的危险情况12。1. **实时监测大坝的各项物理参数**:包括应变、位移、水位、流量等12。6. **环境量监测**:包括上/下游水位、气温、降水量等11
如何避免蓝屏?轻量部署,安全和业务连续性才能两不误
亚信安全官方账号的博客
07-23 616
轻量部署,安全和业务连续性才能两不误
深入理解Kubescape: Kubernetes安全平台与容器镜像漏洞修复
TechEnthusiast的博客
07-23 213
Kubescape是一个开源的Kubernetes安全平台,由ARMO公司开发并维护。风险分析安全合规性检查配置错误扫描容器镜像漏洞扫描和修复Kubescape的优势在于其全面性和易用性。它不仅能够识别问题,还能提供修复建议,甚至在某些情况下自动进行修复。Kubescape作为一个全面的Kubernetes安全平台,其镜像修复功能为用户提供了强大的工具来应对容器安全挑战。通过自动化的漏洞扫描和修复流程,它大大降低了维护Kubernetes环境安全性的复杂度和工作量。
springsecurity笔记
08-17
- *1* *2* *3* [SpringSecurity学习笔记](https://blog.csdn.net/qq_66468682/article/details/123384891)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值