spring security 动态配置权限

最新推荐文章于 2024-01-18 09:09:43 发布
最新推荐文章于 2024-01-18 09:09:43 发布
阅读量349 收藏 2
点赞数 1
分类专栏: springboot 文章标签: java spring boot spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hzw0808/article/details/108986778
版权

spring security 动态配置权限

前言

使用HttpSecurity配置的认证授权规则还是不够灵活,无法实现资源和角色之间的动态调整,要实现动态配置URL权限,就需要我们自定义权限配置。

学习本章之前建议先看一下之前的文章,点击跳转

一、数据表

menu表(定义用户能够访问的URL模式)

在这里插入我描述
role表(权限表)
在这里插入图片描述
menu_role表(权限访问资源的绑定)
在这里插入图片描述

二、用到一个操作的Menu的Mapper

package com.hzw.security.mapper;

import com.hzw.security.bean.Menu;
import org.apache.ibatis.annotations.Mapper;


import java.util.List;
@Mapper
public interface MenuMapper {
    List<Menu> getAllMenus();
}


<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="com.hzw.security.mapper.MenuMapper">
    <resultMap id="BaseResultMap" type="com.hzw.security.bean.Menu">
        <id property="id" column="id"/>
        <result property="pattern" column="pattern"/>
        <collection property="roles" ofType="com.hzw.security.bean.Role">
            <id property="id" column="rid"/>
            <result property="name" column="rname"/>
            <result property="nameZh" column="rnameZh"/>
        </collection>
    </resultMap>
    <select id="getAllMenus" resultMap="BaseResultMap">
        select m.*,r.id AS rid,r.name AS rname,r.nameZh AS rnameZh from menu m left
        join  menu_role mr ON m.id=mr.mid left join role r ON mr.rid = r.id
    </select>


</mapper>

三、自定义FilterInvocationSecurityMetadataSource

定义CustomFilterInvocationSecurityMetadataSource实现FilterInvocationSecurityMetadataSource

package com.hzw.security.component;

import com.hzw.security.bean.Menu;
import com.hzw.security.bean.Role;
import com.hzw.security.mapper.MenuMapper;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.access.ConfigAttribute;
import org.springframework.security.access.SecurityConfig;
import org.springframework.security.web.FilterInvocation;
import org.springframework.security.web.access.intercept.FilterInvocationSecurityMetadataSource;
import org.springframework.stereotype.Component;
import org.springframework.util.AntPathMatcher; 
import java.util.Collection;
import java.util.List;

@Component
public class CustomFilterInvocationSecurityMetadataSource implements FilterInvocationSecurityMetadataSource {
    AntPathMatcher antPathMatcher = new AntPathMatcher();
    @Autowired
    MenuMapper menuMapper;

    Logger logger = LoggerFactory.getLogger(getClass());
    @Override
    public Collection<ConfigAttribute> getAttributes(Object object) throws IllegalArgumentException {
        //提取当前请求的url
        String requestUrl = ((FilterInvocation) object).getRequestUrl();
        //获取所有资源信息
        List<Menu> menus = menuMapper.getAllMenus();
        //遍历资源信息,获取当前请求的URL所需要的角色信息
        for (Menu menu:menus){

            if (antPathMatcher.match(menu.getPattern(),requestUrl)){
                List<Role> roles = menu.getRoles();
                System.out.println(roles);
                String[] roleArr = new String[roles.size()];
                for (int i= 0;i<roleArr.length;i++){
                    roleArr[i] = roles.get(i).getName();
                }
                return SecurityConfig.createList(roleArr);
            }
        }
        return SecurityConfig.createList("ROLE_LOGIN");
    }

    @Override
    public Collection<ConfigAttribute> getAllConfigAttributes() {
        return null;
    }
	//supports方法返回类对象是否支持校验
    @Override
    public boolean supports(Class<?> clazz) {
        return FilterInvocation.class.isAssignableFrom(clazz);
    }
}

四、自定义FilterInvocationSecurityMetadataSource

package com.hzw.security.component;

import org.springframework.security.access.AccessDecisionManager;
import org.springframework.security.access.AccessDeniedException;
import org.springframework.security.access.ConfigAttribute;
import org.springframework.security.authentication.InsufficientAuthenticationException;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.stereotype.Component;

import java.util.Collection;


public class CustomAccessDecisionManager implements AccessDecisionManager {

    @Override
    public void decide(Authentication authentication, Object object, Collection<ConfigAttribute> configAttributes) throws AccessDeniedException, InsufficientAuthenticationException {
        Collection<? extends GrantedAuthority> authorities = authentication.getAuthorities();
        for (ConfigAttribute configAttribute:configAttributes){
            if ("ROLE_LOGIN".equals(configAttribute.getAttribute())
                    && authentication instanceof UsernamePasswordAuthenticationToken){
                return;
            }

            for (GrantedAuthority authority:authorities){
                if (configAttribute.getAttribute().equals(authority.getAuthority())){
                    return;
                }
            }
        }
        throw new AccessDeniedException("权限不足");

    }

    @Override
    public boolean supports(ConfigAttribute attribute) {
        return true;
    }

    @Override
    public boolean supports(Class<?> clazz) {
        return true;
    }
}

五、在spring security中配置如上两个自定义的类

package com.hzw.security.config;

import com.hzw.security.component.CustomAccessDecisionManager;
import com.hzw.security.component.CustomFilterInvocationSecurityMetadataSource;
import com.hzw.security.service.UserService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.security.config.annotation.ObjectPostProcessor;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.access.intercept.FilterSecurityInterceptor;

@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    UserService userService;
    //密码加密方案,如果没配置可以省略
    @Bean
    PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }
    protected void configure(HttpSecurity http) throws Exception {
//        super.configure(http);
        http.authorizeRequests().antMatchers("/").permitAll()
                .withObjectPostProcessor(new ObjectPostProcessor<FilterSecurityInterceptor>() {
                    @Override
                    public <O extends FilterSecurityInterceptor> O postProcess(O object) {
                        object.setSecurityMetadataSource(cfisms());
                        object.setAccessDecisionManager(cadm());
                        return object;
                    }
                });
        http.formLogin().loginProcessingUrl("/login").permitAll().and().csrf().disable();

        http.logout().logoutSuccessUrl("/");

        //开启记住我
        http.rememberMe();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userService);
    }

    //配置各URl所需要的角色
    @Bean
    CustomFilterInvocationSecurityMetadataSource cfisms(){
        return new CustomFilterInvocationSecurityMetadataSource();
    }
    //配置访问url时校验角色的权限
    @Bean
    CustomAccessDecisionManager cadm(){
        return new CustomAccessDecisionManager();
    }
}
酸奶瓶
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring security动态配置url权限的2种实现方法
08-27
对于使用spring security来说,存在一种需求,就是动态配置url的权限,即在运行时去配置url对应的访问角色。下面这篇文章主要给大家介绍了关于spring security动态配置url权限的2种实现方法,需要的朋友可以参考下
spring security 登录、权限管理配置
08-13
5)匹配用户拥有权限和请求权限(MyAccessDecisionManager:decide),如果用户没有相应的权限, 执行第6步,否则执行第7步。 6)登录 7)验证并授权(MyUserDetailServiceImpl:loadUserByUsername) 内附完整数据库
三、SpringSecurity 动态权限访问控制
时间海绵
05-25 6116
在先前文章中我们搭建了SpringSecurity项目,并且讲解了自定义登录方式需要做哪些工作,如果你感兴趣可以前往博客阅读文章以及代码,在本文将继续讲解如何实现动态权限控制。
Spring Security实现动态配置权限
qq_60458298的博客
03-25 904
需要注意的是,如果我们需要根据数据库或其他外部数据源动态配置权限,可以在 MyVoter 中进行相关的查询操作,以动态获取资源的 ConfigAttribute,然后再进行决策。在上面的代码中,我们通过实现 vote() 方法,根据当前用户的 Authentication 对象和资源的 ConfigAttribute 对象,决策当前用户是否有权限访问该资源。
【系统权限管理】SpringSecurity实现动态权限菜单控制
小马同学
03-18 2万+
目录 SpringSecurity实现完整的权限管理 使用技术 相关概念 数据库表设计 项目结构 相关依赖 功能部分 效果展示 案例代码下载 SpringSecurity实现完整动态权限菜单 在实际开发中,开发任何一套系统,基本都少不了权限管理这一块。这些足以说明权限管理的重要性。其实SpringSecurity去年就学了,一直没有时间整理,用了一年多时间了,给我的印象一直都...
spring security动态配置权限
qq_36022463的博客
03-02 748
一个资源需要什么权限才能访问,资源 和 权限的表,,动态配置资源,权限涉及到的类:: 是一个决策器,决定此次访问是否被允许: 是一个投票器,会检查用户是否具备应有的角色,进而投出,赞成,反对,或者弃权票AccessDecisionManager会挨个遍历 AccessDecisionVoter ,进而决定是否允许用户访问,关系类似于AuthenticationProvider 和 ProviderManager 的关系。
Spring Security 动态url权限控制
程序员小明1024
12-19 2439
一、前言 本篇文章将讲述Spring Security 动态分配url权限,未登录权限控制,登录过后根据登录用户角色授予访问url权限 基本环境 spring-boot 2.1.8 mybatis-plus 2.2.0 mysql 数据库 maven项目 Spring Security入门学习可参考之前文章: SpringBoot集成Spring Security入门体验(一)blog....
Vue 动态路由的实现及 Springsecurity 按钮级别的权限控制
10-16
主要介绍了Vue 动态路由的实现以及 Springsecurity 按钮级别的权限控制的相关知识,本文通过实例代码给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
java学习之SpringSecurity配置了登录链接无权限
06-16
我们在使用SpringSecurity作为后台权限框架的时候,框架给我们提供了配置登录请求的接口,供我们配置登录链接,当我们配置了登录链接地址后,前端访问登陆请求的时候显示无权限。 异常分析 由于SpringSecurity的...
SpringBoot+SpringSecurity整合(实现了登录认证和权限验证)完整案例,基于IDEA项目
02-16
SpringBoot+SpringSecurity整合示例代码,实现了从数据库中获取信息进行登录认证和权限认证。 本项目为idea工程,请用idea2019导入(老版应该也可以)。 本项目用户信息所需sql文件,在工程的resources文件夹下,...
springboot springsecurity动态权限控制
09-18
springboot springsecurity动态权限控制,实现数据库动态管理菜单权限
spring security3动态权限
06-15
struts2 + spring3 + hibernate3 + spring security3 + mysql + tomcat sys_users;sys_roles;sys_authorities;sys_resources;sys_users_roles;sys_roles_authorities;sys_authorities_resources; PS:此项目运行不起来的,请参考代码,呵呵!
Spring Security动态配置资源权限
Arthur_Holmes的博客
12-20 1453
  在Spring Security中实现通过数据库动态配置url资源权限,需要通过配置验证过滤器来实现资源权限的加载、验证。系统启动时,到数据库加载系统资源权限列表,当有请求访问时,通过对比系统资源权限列表和用户资源权限列表(在用户登录时添加到用户信息中)来判断用户是否有该url的访问权限。   在配置验证过滤器时需要的配置项有如下几个: filterSecurityInterceptor:通过继承AbstractSecurityInterceptor并实现Filter接口自定义一个验证过滤...
Spring Security6 最新版配置该怎么写,该如何实现动态权限管理
热门推荐
LoveSummer
08-15 2万+
自定义 JSON 登录也和之前旧版不太一样了。小伙伴们知道,Spring Security 中默认的登录接口数据格式是 key-value 的形式,如果我们想使用 JSON 格式来登录,那么就必须自定义过滤器或者自定义登录接口,下面先来和小伙伴们展示一下这两种不同的登录形式。Spring Security 默认处理登录数据的过滤器是 UsernamePasswordAuthenticationFilter,在这个过滤器中,系统会通过。
手把手教你搞定权限管理,结合Spring Security实现接口的动态权限控制!
macrozheng的专栏
02-25 1万+
权限控管理作为后台管理系统中必要的功能,mall项目中结合Spring Security实现了基于路径的动态权限控制,可以对后台接口访问进行细粒度的控制,今天我们来讲下它的后端实现原理。...
Spring Security-动态权限控制(1)
射手座的程序媛的专栏
01-18 1417
spring security 动态权限控制
Spring Security-动态权限控制(2)
最新发布
射手座的程序媛的专栏
01-18 577
spring security 动态权限控制
Spring Security 动态权限控制踩坑
爱摸鱼的阿恒
07-27 1252
Spring Security 动态权限控制遇到的坑。
13.Spring security权限管理
一直在水些技术小文
09-11 2325
深知大多数初中级Java工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则近万的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《Java开发全套学习资料》送给大家,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值