spring security 动态配置权限

最新推荐文章于 2024-01-18 09:05:08 发布
最新推荐文章于 2024-01-18 09:05:08 发布
阅读量369 收藏 2
点赞数 1
分类专栏: springboot 文章标签: java spring boot spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hzw0808/article/details/108986778
版权

spring security 动态配置权限

前言

使用HttpSecurity配置的认证授权规则还是不够灵活,无法实现资源和角色之间的动态调整,要实现动态配置URL权限,就需要我们自定义权限配置。

学习本章之前建议先看一下之前的文章,点击跳转

一、数据表

menu表(定义用户能够访问的URL模式)

在这里插入我描述
role表(权限表)
在这里插入图片描述
menu_role表(权限访问资源的绑定)
在这里插入图片描述

二、用到一个操作的Menu的Mapper

package com.hzw.security.mapper;

import com.hzw.security.bean.Menu;
import org.apache.ibatis.annotations.Mapper;


import java.util.List;
@Mapper
public interface MenuMapper {
    List<Menu> getAllMenus();
}


<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="com.hzw.security.mapper.MenuMapper">
    <resultMap id="BaseResultMap" type="com.hzw.security.bean.Menu">
        <id property="id" column="id"/>
        <result property="pattern" column="pattern"/>
        <collection property="roles" ofType="com.hzw.security.bean.Role">
            <id property="id" column="rid"/>
            <result property="name" column="rname"/>
            <result property="nameZh" column="rnameZh"/>
        </collection>
    </resultMap>
    <select id="getAllMenus" resultMap="BaseResultMap">
        select m.*,r.id AS rid,r.name AS rname,r.nameZh AS rnameZh from menu m left
        join  menu_role mr ON m.id=mr.mid left join role r ON mr.rid = r.id
    </select>


</mapper>

三、自定义FilterInvocationSecurityMetadataSource

定义CustomFilterInvocationSecurityMetadataSource实现FilterInvocationSecurityMetadataSource

package com.hzw.security.component;

import com.hzw.security.bean.Menu;
import com.hzw.security.bean.Role;
import com.hzw.security.mapper.MenuMapper;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.access.ConfigAttribute;
import org.springframework.security.access.SecurityConfig;
import org.springframework.security.web.FilterInvocation;
import org.springframework.security.web.access.intercept.FilterInvocationSecurityMetadataSource;
import org.springframework.stereotype.Component;
import org.springframework.util.AntPathMatcher; 
import java.util.Collection;
import java.util.List;

@Component
public class CustomFilterInvocationSecurityMetadataSource implements FilterInvocationSecurityMetadataSource {
    AntPathMatcher antPathMatcher = new AntPathMatcher();
    @Autowired
    MenuMapper menuMapper;

    Logger logger = LoggerFactory.getLogger(getClass());
    @Override
    public Collection<ConfigAttribute> getAttributes(Object object) throws IllegalArgumentException {
        //提取当前请求的url
        String requestUrl = ((FilterInvocation) object).getRequestUrl();
        //获取所有资源信息
        List<Menu> menus = menuMapper.getAllMenus();
        //遍历资源信息,获取当前请求的URL所需要的角色信息
        for (Menu menu:menus){

            if (antPathMatcher.match(menu.getPattern(),requestUrl)){
                List<Role> roles = menu.getRoles();
                System.out.println(roles);
                String[] roleArr = new String[roles.size()];
                for (int i= 0;i<roleArr.length;i++){
                    roleArr[i] = roles.get(i).getName();
                }
                return SecurityConfig.createList(roleArr);
            }
        }
        return SecurityConfig.createList("ROLE_LOGIN");
    }

    @Override
    public Collection<ConfigAttribute> getAllConfigAttributes() {
        return null;
    }
	//supports方法返回类对象是否支持校验
    @Override
    public boolean supports(Class<?> clazz) {
        return FilterInvocation.class.isAssignableFrom(clazz);
    }
}

四、自定义FilterInvocationSecurityMetadataSource

package com.hzw.security.component;

import org.springframework.security.access.AccessDecisionManager;
import org.springframework.security.access.AccessDeniedException;
import org.springframework.security.access.ConfigAttribute;
import org.springframework.security.authentication.InsufficientAuthenticationException;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.stereotype.Component;

import java.util.Collection;


public class CustomAccessDecisionManager implements AccessDecisionManager {

    @Override
    public void decide(Authentication authentication, Object object, Collection<ConfigAttribute> configAttributes) throws AccessDeniedException, InsufficientAuthenticationException {
        Collection<? extends GrantedAuthority> authorities = authentication.getAuthorities();
        for (ConfigAttribute configAttribute:configAttributes){
            if ("ROLE_LOGIN".equals(configAttribute.getAttribute())
                    && authentication instanceof UsernamePasswordAuthenticationToken){
                return;
            }

            for (GrantedAuthority authority:authorities){
                if (configAttribute.getAttribute().equals(authority.getAuthority())){
                    return;
                }
            }
        }
        throw new AccessDeniedException("权限不足");

    }

    @Override
    public boolean supports(ConfigAttribute attribute) {
        return true;
    }

    @Override
    public boolean supports(Class<?> clazz) {
        return true;
    }
}

五、在spring security中配置如上两个自定义的类

package com.hzw.security.config;

import com.hzw.security.component.CustomAccessDecisionManager;
import com.hzw.security.component.CustomFilterInvocationSecurityMetadataSource;
import com.hzw.security.service.UserService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.security.config.annotation.ObjectPostProcessor;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.access.intercept.FilterSecurityInterceptor;

@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    UserService userService;
    //密码加密方案,如果没配置可以省略
    @Bean
    PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }
    protected void configure(HttpSecurity http) throws Exception {
//        super.configure(http);
        http.authorizeRequests().antMatchers("/").permitAll()
                .withObjectPostProcessor(new ObjectPostProcessor<FilterSecurityInterceptor>() {
                    @Override
                    public <O extends FilterSecurityInterceptor> O postProcess(O object) {
                        object.setSecurityMetadataSource(cfisms());
                        object.setAccessDecisionManager(cadm());
                        return object;
                    }
                });
        http.formLogin().loginProcessingUrl("/login").permitAll().and().csrf().disable();

        http.logout().logoutSuccessUrl("/");

        //开启记住我
        http.rememberMe();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userService);
    }

    //配置各URl所需要的角色
    @Bean
    CustomFilterInvocationSecurityMetadataSource cfisms(){
        return new CustomFilterInvocationSecurityMetadataSource();
    }
    //配置访问url时校验角色的权限
    @Bean
    CustomAccessDecisionManager cadm(){
        return new CustomAccessDecisionManager();
    }
}
酸奶瓶
关注
专栏目录
spring security3动态权限
06-15
struts2 + spring3 + hibernate3 + spring security3 + mysql + tomcat sys_users;sys_roles;sys_authorities;sys_resources;sys_users_roles;sys_roles_authorities;sys_authorities_resources; PS:此项目运行不起来的,请参考代码,呵呵!
【系统权限管理】SpringSecurity实现动态权限菜单控制
热门推荐
小马同学
03-18 2万+
目录 SpringSecurity实现完整的权限管理 使用技术 相关概念 数据库表设计 项目结构 相关依赖 功能部分 效果展示 案例代码下载 SpringSecurity实现完整动态权限菜单 在实际开发中,开发任何一套系统,基本都少不了权限管理这一块。这些足以说明权限管理的重要性。其实SpringSecurity去年就学了,一直没有时间整理,用了一年多时间了,给我的印象一直都...
SpringSecurity(08)——动态权限
peng_gx的博客
01-17 1328
SpringSecurity动态权限
Spring Security-动态权限控制(1)
最新发布
射手座的程序媛的专栏
01-18 2176
spring security 动态权限控制
三、SpringSecurity 动态权限访问控制
时间海绵
05-25 6310
在先前文章中我们搭建了SpringSecurity项目,并且讲解了自定义登录方式需要做哪些工作,如果你感兴趣可以前往博客阅读文章以及代码,在本文将继续讲解如何实现动态权限控制。
spring security动态配置url权限的2种实现方法
08-27
本文将探讨两种在Spring Security中实现动态配置URL权限的方法。 ### 方法一:自定义Filter 虽然自定义Filter可以实现动态权限判断,但这并不符合Spring Security的设计原则,因为这会使你绕过框架提供的安全机制...
springboot springsecurity动态权限控制
09-18
在这个“springboot springsecurity动态权限控制”的主题中,我们将深入探讨如何在Spring Boot项目中集成Spring Security,实现动态权限控制,让菜单权限的管理更加灵活和高效。 首先,我们需要理解Spring Security...
SpringSecurity动态加载用户角色权限实现登录及鉴权功能
08-25
Spring Security 中,用户、角色、权限信息通常存放在 RBAC 权限模型的数据库表中,而不是写死在配置文件中。为了动态加载这些信息,我们需要实现 UserDetails 和 UserDetailsService 接口。 UserDetails 接口...
Vue 动态路由的实现及 Springsecurity 按钮级别的权限控制
10-16
在实际的应用中,经常需要根据用户的权限动态地显示或隐藏路由,即动态路由。实现动态路由的方法通常包括以下几个步骤: 1. **导航守卫(Navigation Guards)**:Vue Router 提供的导航守卫可以在路由发生变化时...
springBoot+security+mybatis 实现用户权限的数据库动态管理
05-03
NULL 博文链接:https://veiking.iteye.com/blog/2429172
Spring Security实现接口基于路径的动态权限控制
荔枝当大佬的博客
10-24 2009
在荔枝之前的一篇博客中,已经对Spring Security的鉴证授权的相关知识进行了梳理,弄清楚了为什么使用JWT以及用户登录后台执行的相关的鉴证授权的逻辑。在下面的文章中荔枝主要是补充梳理一下在真实的项目中如何使用Spring Security来实现接口动态权限控制的功能。
spring security动态配置权限
qq_36022463的博客
03-02 852
一个资源需要什么权限才能访问,资源 和 权限的表,,动态配置资源,权限涉及到的类:: 是一个决策器,决定此次访问是否被允许: 是一个投票器,会检查用户是否具备应有的角色,进而投出,赞成,反对,或者弃权票AccessDecisionManager会挨个遍历 AccessDecisionVoter ,进而决定是否允许用户访问,关系类似于AuthenticationProvider 和 ProviderManager 的关系。
security动态配置权限(三)
weixin_41359273的博客
03-02 1145
security动态配置权限(三)1.要准备的sql2.pom.xml3.application.properties4.实体类5.mapper6.mapper.xml7.service8.自定义源数据拦截器9.自定义决策管理器10.securityconfig11.controller12.测试 前言:在security基于数据库的认证(二)时,我们懂得了security是怎么从db里获取用户名和密码并且验证的,不过那些些权限还是静态配置的,本章主要讲如何实现动态配置权限 1.要准备的sql /* Na
springsecurity动态数据查询
elapse008的专栏
02-11 242
请先阅读下面内容 sprinboot整合springsecurity 1、数据库准备 SET FOREIGN_KEY_CHECKS=0; -- ---------------------------- -- Table structure for sys_permission -- ---------------------------- DROP TABLE IF EXISTS `sys_...
一篇文章带你搞定 SpringSecurity 中的动态权限配置
南淮北安的博客
09-28 1362
文章目录一、前期准备1. 数据库脚本2. 创建 SpringBoot 项目加入依赖二、定义 Service1. UserService2. MenuService三、定义 Mapper1. 定义 UserMapper 和 UserMapper.xml2. 定义 MenuMapper 和 MenuMapper.xml三、定义 Config1. MyFilter2. MyAccessDecisionManager3. SecurityConfig四、定义 Controller 一、前期准备 1. 数据库脚本 U
Spring Boot + security 动态权限配置简单案例
那杯热咖啡
09-06 307
项目已上传至 :https://github.com/astronger/securitydy
Spring Security入门】10-动态权限修改
通往神秘的道路的专栏
02-15 1624
前言 你需要知道 ROLE_XXX 在Spring Security 中的意义。 动态权限修改示例 @GetMapping("/vip/test") @Secured("ROLE_VIP") // 需要ROLE_VIP权限可访问 public String vipPath() { return "仅 ROLE_VIP 可看"; ...
security 动态权限路径
weixin_42797012的博客
02-01 473
security角色,用户,路径访问决策管理器(MyAccessDecisionManager implements AccessDecisionManager)过滤器(返回符合当前条件的路径的过滤器)security 配置UserService 角色,用户,路径 用户需要实现 User implements UserDetails 接口 访问决策管理器(MyAccessDecisionManager implements AccessDecisionManager) package com.exam
Spring Security动态配置URL权限解决方案
"本文将探讨如何在Spring Security框架中实现动态配置URL权限的两种方法,以满足在运行时根据业务需求调整URL访问角色的需求。在标准的基于角色的访问控制(RBAC)系统中,权限的灵活性至关重要。Spring Security...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值