Spring权限管理系统流程梳理

最新推荐文章于 2024-04-20 02:58:45 发布
最新推荐文章于 2024-04-20 02:58:45 发布
阅读量1.2k 收藏
点赞数
分类专栏: SSH框架 文章标签: security spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fenglixiong123/article/details/71691970
版权 
梳理权限管理的流程:

-------登录权限验证

    登录之后通过userInfoProvider这个类,

    拿到用户信息中:
        这个类负责的是只是获取登陆用户的详细信息(包括密码、角色、权限等)具体信息为:
        User对象,dataLevel,GrantedAuthority
        不负责和前端传过来的密码对比,只需返回User对象,后会有其他类根据User对象对比密码的正确性(框架帮我们做)。

    拿到用户信息后,
        authenticationManager对比用户的密码(即验证用户)
    然后这个AuthenticationProcessingFilter拦截器就过咯。

    登录成功之后通过securityxml文件的默认成功跳转页面/home进入首页(/home需要判断权限)


-------请求权限验证


    1.AbstractSecurityInterceptor:请求拦截器

      每访问一个url都会被拦截器AbstractSecurityInterceptor拦截

     * 首先,登陆后,每次访问资源都会被这个拦截器拦截,会执行doFilter这个方法,
     * 这个方法调用了invoke方法,其中fi断点显示是一个url(可能重写了toString方法吧,但是里面还有一些方法的),
     * 最重要的是beforeInvocation这个方法,它首先会调用MyInvocationSecurityMetadataSource类的getAttributes方法
     * 获取被拦截url所需的权限,在调用MyAccessDecisionManagerdecide方法判断用户是否够权限。弄完这一切就会执行下一个拦截器。

    2.MySecurityMetadataSource:资源管理器

      将所有的资源和权限对应关系建立起来,即定义某一资源可以被哪些角色访问
      URL-Collection<ConfigAttribute>某个url对应的所需权限集合,其实url对应一个权限代码

     * 上面的拦截器会首先调用这个类来,这个类是负责的是获取角色与url资源的所有对应关系,并根据url查询对应的所有角色。
     * 然后getAttributes根据参数(被拦截url)返回权限集合。
     * 返回url对应的所需权限集合Collection<ConfigAttribute>

通过以上步骤我们获得了user的全部权限和某个url的所需要的权限,下面的工作就简单了

     3.MyAccessDesisionmanager:访问决策器

      决定某个用户具有的角色,是否有足够的权限去访问某个资源 ,做最终的访问控制决定

      * decide方法里面写的就是授权策略了,笔者的实现是,没有明说需要权限的(即没有对应的权限的资源),
      * 可以访问,用户具有其中一个或多个以上的权限的可以访问。这个就看需求了,需要什么策略,读者可以自己写其中的策略逻辑。
      * 通过就返回,不通过抛异常就行了,spring security会自动跳到权限不足页面(配置文件上配的)。
花生糖葫芦侠
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
就业信息管理(spring boot+layui)
04-24
《就业信息管理系统的实现——基于Spring Boot与Layui》 在现代信息技术的快速发展管理系统已经成为企业管理和运营的重要工具。本系统以“就业信息管理”为主题,利用先进的Web开发框架Spring Boot和前端UI库...
ssm学生成绩管理系统源码+开题报告+文献综述+任务书.zip
09-18
SSM学生成绩管理系统是一个基于Java技术栈的项目,它采用了SpringSpringMVC...从提供的文件来看,这个项目不仅提供了源码,还有完整的文档支持,对于学习和实践SSM框架,以及了解成绩管理系统的开发流程都极具价值。
【编程不良人】SpringSecurity实战学习笔记01---权限管理、环境搭建
Mr.Cui的Java学习之路
07-04 4324
【编程不良人】SpringSecurity实战学习笔记01---权限管理、环境搭建
SpringSecurity权限管理基本概念和整体架构介绍
写写平时的技术与感想
05-23 3309
Spring Security是⼀个功能强⼤、可⾼度定制的身份验证和访问控制框架。它是保护基于Spring的应⽤程序的事实标准。Spring Security是⼀个⾯向Java应⽤程序提供身份验证和安全性的框架。与所有Spring项⽬⼀样,Spring Security的真正威⼒在于它可以轻松地扩展以满⾜定制需求。是⼀个功能强⼤、可⾼度定制的身份验证和访问控制的框架。或者说⽤来实现系统权限管理的框架。
【系统权限管理】SpringSecurity实现动态权限菜单控制
最新发布
2301_82242130的博客
04-20 969
外链图片转存…(img-ugE8M1HQ-1713553109253)][外链图片转存…(img-lIWMIQrA-1713553109255)][外链图片转存…(img-ZZrGw4sz-1713553109256)]
Spring框架之权限管理
张晨光老师的播客
03-02 2605
权限管理 回顾 课前测: 模拟controller, dao,service层,使用bean.xml配置。 本章内容 表间关系: 我们在这里员工和角色考虑多对一关系(实际开发是多对多) 权限管理流程: 需求:登录系统后,之前系统的左侧菜单都是写死的,但是现在因为每个人权限不同,所以左侧菜单功能模块也应该是动态变化的,每个人登录都不一样。 业务需求: ​ 1.登录成功后,要将当前这个人的信息存储到session去 ​ 2.根据每个人对应的roleid去查询相对应的权限。 ①:根据r
SpringSecurity 硅谷通用权限系统:权限管理
我亦无他,唯手熟尔
05-25 1265
SSM项目教程,SSM+SpringBoot+SpringSecurity框架整合项目
全网最全的权限系统设计方案(图解)
emprere的博客
01-11 2166
因公众号更改推送规则,请点“在看”并加“星标”第一时间获取精彩技术分享点击关注#互联网架构师公众号,领取架构师全套资料 都在这里0、2T架构师学习资料干货分上一篇:谁再问我docker,我就把这篇甩给他大家好,我是互联网架构师!1 为什么需要权限管理日常工作权限的问题时时刻刻伴随着我们,程序员新入职一家公司需要找人开通各种权限,比如网络连接的权限、编码下载提交的权限、监控平台登录的权限、运营平台...
一卡通信息管理系统V0.01版.zip
03-06
一卡通信息管理系统可能利用Java的Spring框架进行服务层的构建,使用Hibernate或MyBatis等持久层框架与数据库进行交互,前端则可能采用Spring Boot、Thymeleaf或Vue.js等技术栈,以实现用户友好的界面和流畅的交互...
员工信息管理系统(B/S结构)
07-17
在实际开发过程,开发者需要根据业务需求进行系统设计,包括数据库表结构的设计、前后端接口的定义、业务流程梳理等。同时,为了保证系统的稳定性和安全性,还需要进行性能优化、异常处理、数据备份和恢复等措施...
仓库管理系统
11-29
1. 流程梳理:根据实际业务流程定制系统功能,确保系统适应企业需求。 2. 用户培训:让员工熟悉系统操作,提高工作效率。 3. 系统测试:进行单元测试、集成测试和性能测试,确保系统稳定可靠。 4. 持续改进:根据...
Spring security权限管理
weixin_47072986的博客
04-02 3838
Spring Security是一个高度自定义的安全框架。利用Spring IoC/DI和AOP功能,为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。​ 使用Spring Secruity的原因有很多,但大部分都是发现了javaEE的Servlet规范或EJB规范的安全功能缺乏典型企业应用场景。同时认识到他们在WAR或EAR级别无法移植。因此如果你更换服务器环境,还有大量工作去重新配置你的应用程序。
最全的权限系统设计方案(图解)
baidu_38928842的博客
02-14 411
权限系统设计方案
管理系统权限总结
喝醉的咕咕鸟
10-09 2550
权限设计总结(数据权限
用户权限管理之RBAC
qq_45632139的博客
05-22 699
1.RBAC简介 RBAC(Role-Based Access Control,基于角色的访问控制),就是用户通过角色与权限进行关联。简单地说,一个用户拥有若干角色,每一个角色拥有若干权限。这样,就构造成“用户-角色-权限”的授权模型。在这种模型,用户与角色之间,角色与权限之间,一般者是多对多的关系。 2.先奉上RBAC的一张简易流程图 可以看出角色表起到了一个承接的作用 把权限下发给每一个角色,而用户可以选择角色来间接的获取权限 3.RBAC的优点缺点和我理解的RBAC 3.1RBAC的优缺点 先说说
13.Spring security权限管理
热门推荐
EdSheeran的博客
04-14 1万+
文章目录*权限管理**13.1什么是权限管理**13.2Spring security权限管理策略**13.3核心概念**13.3.1角色与权限**13.3.2角色继承**13.3.3两种处理器**13.3.4前置处理器**投票器**决策器**13.3.5后置处理器**13.3.6权限元数据**`ConfigAttribute`**`SecurityMetadataSource`**13.3.7权限表达式**`SecurityExpressionRoot`**`WebSecurityExpressionRo
SpringSecurity--权限管理架构介绍
qq_53868937的博客
07-13 1765
也有很多公司选择⾃定义权限,即⾃⼰开发权限管理。但是⼀个系统的安全,不仅 仅是登录和权限控制这么简单,我们还要考虑种各样可能存在的⽹络政击以及防彻 策略,从这个⻆度来说,开发者自己实现安全管理也并⾮是⼀件容易的事情,只有 ⼤公司才有⾜够的⼈⼒物⼒去⽀持这件事情。
【深入浅出 Spring Security(十)】权限管理的概述和使用详情
qq_63691275的博客
06-19 965
Spring Security 提供的权限管理策略主要有两种类型: 1. 基于过滤器的权限管理(FilterSecurityInterceptor) (基于过滤器的权限管理主要是用来拦截 HTTP 请求,拦截下来之后,根据 HTTP 请求地址进行权限校验。) 2. 基于 AOP 的权限管理(MethodSecurityInterceptor) (基于 AOP 权限管理主要是用来处理方法级别的权限问题。当需要调用一个方法时,通过 AOP 将操作拦截下来,然后判断用户是否具备相关的权限。)
【业务功能篇60】Springboot + Spring Security 权限管理 【终篇】
studyday1的博客
07-29 2346
我们也可以定义自己的权限校验方法,在@PreAuthorize注解使用我们的方法。/*** 自定义权限校验方法**//*** 自定义 hasAuthority* @param authority 接口指定的访问权限限制*///获取当前用户的权限//判断集合是否有authority使用SPEL表达式,引入自定义的权限校验。
基于ssm 的选秀管理系统代码
06-12
首先,需要对选秀管理系统的业务需求进行分析和梳理,包括选手报名、初选、复选、决赛等环节的流程设计、数据模型设计、管理员和选手的权限管理等方面的内容。 2. 技术选型 根据业务需求,选择合适的开发框架和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

花生糖葫芦侠

创作不易,请多多支持!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值