spring securiy4如何动态加载URL拦截规则

最新推荐文章于 2024-09-10 14:58:05 发布
最新推荐文章于 2024-09-10 14:58:05 发布
阅读量2.2k 收藏 2
点赞数
分类专栏: springsecurity4 架构 SpringSecurity4源码解读
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/json20080301/article/details/79339825
版权
本文介绍如何通过自定义ProtectedUrlSecurityMetadataSource实现Spring Security的URL拦截规则动态加载。利用该方法可在不重启应用的情况下更新权限配置,并保持了Spring Security 4的原有优势。
摘要由CSDN通过智能技术生成

springsecuriy4官方案例中的URL拦截规则在容器初始化时加载完成,后面如果URL拦截规则需求有变化,则只有修改配置,重启容器。

通过自定义FilterInvocationSecurityMetadataSource实现类 ProtectedUrlSecurityMetadataSource就可以完成URL拦截规则运行时重新加载。 

FilterSecurityInterceptor有一个小bug,所以ProtectedUrlSecurityMetadataSource必须使用配套的FilterSecurityInterceptor子类ProtectedUrlFilter 来进行URL权限验证。bug描述见 https://github.com/spring-projects/spring-security/pull/4997

ProtectedUrlSecurityMetadataSource核心代码见:

/**
     * @param urlMap 存储URL和权限的对应关系
     */
    public synchronized void loadSecurityMetadataSourceFromUrlMap(Map<String, String> urlMap) {
        LinkedHashMap<RequestMatcher, Collection<ConfigAttribute>> requestMap  = new LinkedHashMap(urlMap.size());
        for (Map.Entry<String, String> entry : urlMap
                .entrySet()) {
            RequestMatcher requestMatcher = new AntPathRequestMatcher(entry.getKey());
            Set<String> set = StringUtils.commaDelimitedListToSet(entry.getValue());
            Collection<ConfigAttribute> configAttributes = new LinkedHashSet<>(set.size());
            for (String str : set) {
                configAttributes.add(new SecurityConfig(str));
            }
            requestMap.put(requestMatcher, configAttributes);

        }
        FilterInvocationSecurityMetadataSource metadataSource =
                new ExpressionBasedFilterInvocationSecurityMetadataSource(requestMap, new DefaultWebSecurityExpressionHandler());
        this.securityMetadataSource = metadataSource;
    }

具体的配置案例见:SpringSecurityConfig.buildProtectedUrlFilter;

如何从数据库中加载URL配置规则?

1.在自己的controller中注入ProtectedUrlSecurityMetadataSource,

2.从数据库中获得所有URL的拦截规则,然后赋值到Map,

3.调用loadSecurityMetadataSourceFromUrlMap方法,完成拦截规则的重新加载。

@Autowired
ProtectedUrlSecurityMetadataSource metadataSource;

@GetMapping("/access/clear")
public String clear() {
    metadataSource.loadSecurityMetadataSourceFromUrlMap(new HashMap<>());
    return "/home";
}
ProtectedUrlSecurityMetadataSource 拦截规则可以使用web security expressions,保留springsecurity4本身的优势部分,同时提供外部接口,可以运行时重新加载拦截规则,提高了灵活性。

强大的WSE :https://springcloud.cc/spring-security-zhcn.html#el-access-web

源码地址:https://gitee.com/json20080301/spring-boot-spring-security-thymeleaf
json20080301
关注
专栏目录
Spring Security-antMatchers 访问控制-url-匹配、白名单
西京刀客
09-23 1万+
文章目录一、问题背景二、spring security访问控制 url 匹配1. 匹配规则1.1 antMatcher()1.2 regexMatchers()三、实战配置demo举例 一、问题背景 每个不同的业务服务有的接口需要认证后才能访问,有的接口是不需要认证就可以访问的,有的接口可能是需要某些权限、角色才可以访问。 二、spring security访问控制 url 匹配 Spring Security——访问控制 url 匹配 参考URL: http://www.wjxin.cn/wjx/2020
Spring Security通过URL模式匹配的声明式权限控制
luenxin的博客
12-03 1万+
Spring Security的声明式安全授权有两种方式,一种是以url模式匹配的方式,另一种是方法上使用注解声明权限,这里重点说第一种。 一、创建一个类继承WebSecurityConfigurerAdapter,并使用注解@EnableWebSecurity标注。这个类我之前写到过很多次,是配置CAS客户端和Spring Security的核心类。同时也是启动注解声明权限的入口。 @Ena
spring 接口拦截动态url参数
marlon^-^
12-18 544
spring 接口拦截动态url参数 @RequestMapping(value = “/index{year}.json”) public String index(Model model,@PathVariable String year) { System.out.println(year); } 注:1、{year}拦截动态url 2、@PathVariable String year ...
springmvc动态拦截URL
qq_20780563的博客
09-17 610
第一步 配置数据service和拦截路径 本文忘记借鉴谁的文章了 本人又修改了一次 亲测可以使用 @Configuration public class MyMvcConfig extends WebMvcConfigurationSupport { @Autowired private TestService testService; @Override publ...
Spring security 动态权限管理(基于数据库)
最新发布
冬阳
09-10 1377
当我们配置的 URL 拦截规则请求 URL 所需要的权限都是通过代码来配置的,这样就比较死板,如果想要调整访问某一个 URL 所需要的权限,就需要修改代码。动态管理权限规则就是我们将UR 拦截规则和访问 URI 所需要的权限都保存在数据库中,这样,在不修改源代码的情况下,只需要修改数据库中的数据,就可以对权限进行调整。
SpringSecurity学习笔记之四:拦截请求
热门推荐
zhoucheng05_13的博客
03-05 5万+
在任何应用中,并不是所有请求都需要同等程度地保护起来。有些请求需要认证,有些则不需要。 对每个请求进行细粒度安全性控制的关键在于重载configure(HttpSecurity)方法。如下代码片段展现了重载的configure(HttpSecurity)方法,它为不同的URL路径有选择地应用安全性:@Override protected void configure(HttpSecurity ht
浅谈Spring Security 对于静态资源的拦截与放行
08-25
在上面的代码中,`antMatchers("/css/**", "/vendors/**")`表示匹配以`/css/`和`/vendors/`开头的所有URL路径,使得Spring Security不会拦截这些路径下的资源请求。这允许浏览器正确加载CSS和依赖库文件,从而使页面...
SpringSecurity实现动态url拦截。基于rbac模型
你还有好多未完成的梦,你有什么理由停下?
04-08 4820
springSecurity实现url拦截 1、了解主要的过滤器 1、SecurityMetadataSource 权限资源拦截器。 有一个接口继承与它FilterInvocationSecurityMetadataSource,但FilterInvocationSecurityMetadataSource只是一个标识接口, 对应于FilterInvocation,本身并无任何内容: 主要...
springboot springsecurity动态权限控制
09-18
在这个“springboot springsecurity动态权限控制”的主题中,我们将深入探讨如何在Spring Boot项目中集成Spring Security,实现动态权限控制,让菜单权限的管理更加灵活和高效。 首先,我们需要理解Spring Security...
SpringBoot_SpringSecurity:前后端分离登陆拦截设计
05-01
SpringBoot项目中,我们可以通过添加相应的Maven或Gradle依赖来引入SpringSecurity模块,这样就可以快速地开始进行安全控制。 SpringSecurity提供了认证(Authentication)和授权(Authorization)功能,可以实现...
Spring Security 3.1 配置实例,有URL 方法拦截,都存数据库 maven
04-05
总结,Spring Security 3.1提供了一套强大且灵活的安全解决方案,包括URL和方法拦截、用户数据的数据库存储,以及通过Maven进行依赖管理。通过学习和实践,我们可以有效地保护我们的Web应用程序。
五、Spring Security之拦截规则
panchang199266的博客
05-26 6068
案例1: http .authorizeRequests() //请求路径“/”容许访问 .antMatchers("/").permitAll() //其它请求都需要校验才能访问 .anyRequest().authent...
HTTP代理实现请求报文的拦截与篡改--目录
weixin_30340353的博客
03-10 226
HTTP请求报文的拦截与篡改--目录 HTTP代理实现请求报文的拦截与篡改1--开篇 HTTP代理实现请求报文的拦截与篡改2--功能介绍+源码下载 HTTP代理实现请求报文的拦截与篡改3--代码分析开始 HTTP代理实现请求报文的拦截与篡改4-...
SpringAOP动态拦截方法并重写
lpp_dd的博客
07-19 3407
需求理解:当我们在对某个方法进行重写的时候,我们不想修改源代码,希望通过读取配置文件,获取标识符,判断是否需要重写,在不修改源代码的基础上实现动态的修改了方法。 在这里我们用到了SpringAOP的Aspect注解,通过添加@Around注解实现拦截指定切点的方法。 下面代码举例:@Aspect@Component public class AroundAop { //创建标识符 priv
关于spring security的URL路径验证问题
qiuqiuit的专栏
02-15 1470
在前一篇文章中,还是有些地方没讲清楚,但那篇文章已经有点长了,所以还是另外单独讲一下吧。见SecureResourceFilterInvocationDefinitionSource代码: [code="java"] /** * RegexUrlPathMatcher默认不进行小写转换,而AntUrlPathMatcher默认要进行小写转换 */ public void ...
Spring Security系列四 自定义决策管理器(动态权限码)
xqhys的博客
02-14 822
转载:https://www.ktanx.com/blog/p/4929 前言 前面我们已经实现了用户的自定义登录及密码的加密,接下来就是动态的权限验证了,也就是实现Spring Security的决策管理器AccessDecisionManager。 权限资源 SecurityMetadataSource 要实现动态的权限验证,当然要先有对应的访问权限资源了。Spring Securit...
springsecurity不拦截url
09-18
可以通过在Spring Security配置文件中添加一些配置,来实现对特定URL的忽略。...总结起来,要实现Spring Security不拦截某些URL,你可以通过动态添加ignore请求URLs或在配置文件中配置对系统资源文件的认证忽略来实现。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值