spring-security当资源需要的角色为空时不进决策管理器(AccessDecisionManager)或不进投票器...

最新推荐文章于 2024-05-06 16:09:45 发布
最新推荐文章于 2024-05-06 16:09:45 发布
阅读量171 收藏
点赞数
分类专栏: spring 文章标签: spring-security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/haveqing/article/details/84414232
版权

spring security 中文官方文档
http://www.mossle.com/docs/springsecurity3/html/springsecurity.html

spring security 安全权限管理手册
http://www.mossle.com/docs/auth/html/

 

匿名角色:ROLE_ANONYMOUS

 

当资源需要的角色为空时不进决策管理器(AccessDecisionManager)或不进投票器

 

spring-security 是看访问受控资源需要哪些角色,再看访问者有没有这些角色中的一个,如果有,可以访问。如果没有,不可以访问。

有一个问题是,受控资源要是没有配置可以访问的角色,那么它就不判断了,都可以访问,

我的理解是这种资源谁都不可以访问,

要想实现这种效果,可以用如下方法,

 

//加载所有资源与权限的关系   
    private void loadResourceDefine() {  
        if(resourceMap == null) {  
            resourceMap = new HashMap<String, Collection<ConfigAttribute>>();  
            List<Resources> resources = this.resourcesDao.findAll();  
            for (Resources resource : resources) {  
            	//以权限名封装为Spring的security Object
                Collection<ConfigAttribute> configAttributes = new ArrayList<ConfigAttribute>();                   
                List<Role> roles = resourcesDao.getRolesByResouce(resource);
    			ConfigAttribute configAttribute;
    			
    			if(roles.size()==0){
    				configAttribute = new SecurityConfig("supervisor"); //超级管理员
    				//configAttribute = new SecurityConfig("ROLE_NO_USER"); //没有人可以访问
    				configAttributes.add(configAttribute);
    			} else {
					log.info("{");
					for(Role role : roles){
						log.info(role.getName());
						configAttribute = new SecurityConfig(role.getName());
						configAttributes.add(configAttribute);
					}
					log.info("}");
            	}
                resourceMap.put(resource.getUrl(), configAttributes);  
            }  
        }  
                    
    }

   

 在加载资源的需要的角色时,如果资源需要的角色是空的,给他配一个超级管理员,

spring security自定义决策管理器
08-29
ConsensusBased 决策管理器需要有一半以上投票通过才允许访问资源;UnanimousBased 决策管理器需要所有投票都通过才允许访问资源。 自定义决策管理器可以根据自己的需求实现自定义的决策逻辑,提高了 Spring ...
spring-security-3.1.0.RELEASE
12-29
2. **授权**:基于角色的访问控制(RBAC)是Spring Security授权的基础,通过配置访问决策管理器AccessDecisionManager)和访问决策投票AccessDecisionVoter),可以实现细粒度的权限控制。 3. **过滤链**...
使用AccessDecisionManager实现HttpSecurity的自定义动态路由鉴权
最新发布
CodeCattle的博客
05-06 1207
1. 使用AccessDecisionManager实现HttpSecurity的自定义动态路由鉴的主要思路是利用投票机制进行鉴权。即通过自定义实现的AnonymousAccessVoter来鉴权投票,从Redis中读取到的路由权限表配置,进行逻辑判断请求是否符合配置权限要求,从而投出相对应的投票,如果请求是开放的接口,且不符合权限要求直接抛出AccessDeniedException异常即可,若符合权限要求则投已认证票,如果请求不是开放的接口,则投出弃权票
spring security动态配置权限
qq_36022463的博客
03-02 852
一个资源需要什么权限才能访问,资源 和 权限的表,,动态配置资源,权限涉及到的类:: 是一个决策,决定此次访问是否被允许: 是一个投票,会检查用户是否具备应有的角色,进而投出,赞成,反对,或者弃权票AccessDecisionManager会挨个遍历 AccessDecisionVoter ,进而决定是否允许用户访问,关系类似于AuthenticationProvider 和 ProviderManager 的关系。
史上最简单的Spring Security教程(二十二):自定义AccessDecisionManager实现简单的访问决策
银河架构师的博客
08-19 2014
​在前面讲过的资源权限动态控制业务场景中,我们使用了 Spring Security 框架默认的 AccessDecisionManager,即 AffirmativeBased。能实现的访问决策即为任一AccessDecisionVoter授予权限,即代表授予访问权限。但是我们只添加了一个AccessDecisionVoter,即RoleVoter。 既然如此,我们就可以简化一下这些逻辑,直接自定义一个新的 AccessDecisionManager,其决策逻辑为:当前请求所需的所有 ...
spring security 资源判断时不执行自定义AccessDecisionManager
在路上的小马达
09-02 9607
弄这个框架的时候,因为这个问题困扰了很久,一直显示无法进入AccessDecisionManager内,导致资源请求无法进行有效拦截,资料找了很久也并未找到合理解决方案,表示当时就脑子不够用,及看不懂源码,又不懂原理,搭建都是靠人家的教程,一开始也看到了一篇类似的博文,但没太在意,事实证明也正是因为那个原因导致, 博文内容如下:       原文地址:http://blog.163.com/
spring-security-3.1.0.RELEASE.zip
03-12
- **AccessDecisionManager**: 决策管理器负责决定是否允许访问特定的资源,基于用户的权限和访问控制策略。 2. **身份验证机制** - **Basic Authentication**: 常见的HTTP基本认证,用户信息通过Base64编码在...
spring-security-3.1.3.RELEASE.jar
08-29
Spring Security的访问控制机制包括访问决策管理器Access Decision Manager)、访问决策投票Access Decision Voter)和权限表达式(PermissionEvaluator)。3.1.3.RELEASE版本中的授权策略可以根据角色、URL、...
spring-security-core-2.0.5.RELEASE.src
08-09
`org.springframework.security.access.vote`包下包含不同类型的投票,如AffirmativeBased、UnanimousBased等,用于根据特定策略决定是否允许访问。 3. **SecurityContext**:存储当前用户的认证信息,通常与...
史上最简单的Spring Security教程(二十一):AccessDecisionManager简介及自定义访问决策管理器
热门推荐
银河架构师的博客
08-10 1万+
AccessDecisionManager顾名思义,访问决策管理器。 Makesafinalaccesscontrol(authorization)decision 做出最终的访问控制(授权)决定。 而常用的AccessDecisionManager有三个,分别介绍一下其权限决策逻辑。 AffirmativeBased Spring Security框架默认的AccessDecisionManager。 /** * Simple concrete ...
Spring Security系列四 自定义决策管理器(动态权限码)
程序猿开发日志【学习永无止境】
01-13 3349
前言 前面我们已经实现了用户的自定义登录及密码的加密,接下来就是动态的权限验证了,也就是实现Spring Security的决策管理器AccessDecisionManager。 权限资源 SecurityMetadataSource 要实现动态的权限验证,当然要先有对应的访问权限资源了。Spring Security是通过SecurityMetadataSource来加载访
springsecurity授权源码解读
Zohar的博客
11-28 508
springsecurity授权源码梳理 时序图借用 登陆认证过程中涉及的filter过滤整理 从图中可以看出执行的顺序。来看看个人认为比较重要的 几个Filter 的处理逻辑, 1.UsernamePasswordAuthenticationFilter 上一篇中登陆认证的过程中使用。 2.AnonymousAuthenticationFilter //org.springframewor...
spring security——学习笔记(day06)-实现授权认证-FilterSecurityInterceptor、SecurityMetadataSource、AccessDecisionM
键上艺术家
01-11 4656
复制 demo02 ,拷贝一个 demo03,IDEA复制项目可以看 day04 。 6.1 授权认证 之前学了身份认证,就是认证当前登录的用户是否是存在并真实的,身份认证成功后就可以访问认证后的接口(资源)了,但即便是已认证的用户也有能访问不能访问的接口(资源),那么就需要通过授权认证来判断。 今天学习授权认证,也就是认证当前登录用户都有哪些权限,并确定当前用户的权限是否能访问当前请求的接口。 之前在spring security——学习笔记(day03)-UserDetailsSe...
Spring Security(3) 动态url权限控制
郑清
10-19 1万+
一、前言 本篇文章将讲述Spring Security 动态分配url权限,未登录权限控制,登录过后根据登录用户角色授予访问url权限 基本环境 spring-boot 2.1.8 mybatis-plus 2.2.0 mysql 数据库 maven项目 Spring Security入门学习可参考之前文章: SpringBoot集成Spring Security入门体验(一) https:...
SpringSecurity初识
Empxu的专栏
12-17 350
最近项目中用到了SpringSecurity作为权限控制模块,学习下,记录下。 HelloWorld 新建一个maven-web项目,引入依赖包 &lt;dependency&gt; &lt;groupId&gt;org.springframework.security&lt;/groupId&gt; ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值