spring security自定义权限拦截FilterInvocationSecurityMetadataSource

最新推荐文章于 2024-04-27 09:42:10 发布
最新推荐文章于 2024-04-27 09:42:10 发布
阅读量2.2w 收藏 18
点赞数 6
分类专栏: SpringBoot spring security 文章标签: spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lichuangcsdn/article/details/95041605
版权

一般情况下,我们如果需要自定义权限拦截,则需要涉及到FilterInvocationSecurityMetadataSource这个接口了。

这里有个坑爹的地方。如果用户未登录,但是已经设置了拦截白名单的URL,仍然会进入到权限验证里面来。起初,我以为不会进来,但后来跟踪源代码发现,还是会进来。只是此时的身份是一个匿名用户。其默认的实现为DefaultFilterInvocationSecurityMetadataSource。

spring security的认证和权限流程,大概就是有多个过滤器,一步步调用filter chain。它的身份认证其实是始于访问资源开始。如果一个用户已登录,那么访问受保护的资源,则会校验该用户是否有权限访问。如果没有权限,则会调用权限拒绝的处理器进行处理。如果有权限,则能顺利访问该资源;

一个用户未登录情况下,也即匿名用户,访问受保护的资源时,spring security会首先检查该资源是否需要权限,如果需要权限,然后再检查,该资源是否是白名单里面。如果是白名单,也能正常访问。如果是受保护的资源,则会提示该用户需要登录。

也即,当一个匿名用户,访问受保护的资源时,就会提示该用户需要登录。

lichuangcsdn
关注
  • 6
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 8
    评论
专栏目录
Spring Security 3 基于角色访问控制过程详解
深蓝传说
12-02 1万+
访问控制: 由于我们配置了访问控制(授权)的默认拦截器org.springframework.security.web.access.intercept.FilterSecurityInterceptor。其主要业务方法是InterceptorStatusToken beforeInvocation(Object object) 该方法会将URL传给SecurityMetadata
spring security自定义登录页面
08-29
Spring Security自定义登录页面 在 Spring Security 框架中,默认的登录页面并不是很友好,特别是在实际项目中,我们通常需要使用自己的登录页面来满足业务需求。今天,我们将讨论如何自定义 Spring Security 的...
关于每次请求都要执行两个,即经过重写FilterInvocationSecurityMetadataSource的getAttributes()方法
weixin_42947972的博客
02-26 840
关于每次请求都要执行两个,即经过重写FilterInvocationSecurityMetadataSource的getAttributes()方法 执行两次的方法 @Override public Collection<ConfigAttribute> getAttributes(Object object) throws IllegalArgumentException { //获取请求地址 String requestUrl = ((FilterI
Spring Security介绍(三)过滤器(2)自定义
w_t_y_y的博客
04-27 763
Component@Slf4j@Overridelog.info("进入UrlFilter");@Component@Slf4j@Overridelog.info("进入UrlFilter-one");修改自定义的UrlFilter,修改为继承OncePerRequestFilter@Component@Slf4j@Overridelog.info("进入UrlFilter");
Spring-Security (学习记录七)--实现FilterInvocationSecurityMetadataSource的类将无法切入声明式事物...
weixin_30376083的博客
08-29 713
目录 1 查看继承关系 2 说明 3 查看源码: 实现了FilterInvocationSecurityMetadataSource 的类将无法切入声明式事物。 原因: 1 查看继承关系 先查看FilterInvocationSecurityMetadataSource的继承结构...
Spring Security中动态处理角色和资源的关系(VHR)
weixin_42030357的博客
03-23 357
文章目录1.创建Hr和HrService2. 自定义FilterInvocationSecurityMetadataSource3. 自定义AccessDecisionManager4.自定义AccessDeniedHandler5. 配置WebSecurityConfig 原博文(Github上的项目VHR),点击这里 1.创建Hr和HrService 首先我们需要创建Hr类,即我们的用户类,该类实现了UserDetails接口,该类的属性如下: public class Hr implements Us
Spring Boot 之 Spring Security高级配置(权限和资源的关系)
探索er的博客
05-11 1055
Spring Security高级配置(权限和资源的关系)
spring security自定义决策管理器
08-29
Spring Security 自定义决策管理器 Spring Security 提供了一种自定义决策管理器的机制,允许开发者根据自己的需求实现自定义的决策逻辑。在 Spring Security 中,决策管理器是指 AccessDecisionManager 接口的实现...
Spring security自定义用户认证流程详解
08-24
Spring Security 自定义用户认证流程详解 Spring Security 是一个功能强大且广泛使用的 Java 认证和授权框架,提供了许多高级特性来保护基于 Spring 的应用程序。在本文中,我们将详细介绍 Spring Security 自定义...
java中自定义Spring Security权限控制管理示例(实战篇)
08-31
在本文中,我们将深入探讨如何在Java项目中自定义Spring Security权限控制管理。这通常涉及到对URL和HTTP方法的细粒度控制,允许某些角色仅访问特定的资源或执行特定的操作。 首先,我们需要了解项目的背景。假设...
SpringSecurity权限控制实现原理解析
08-24
SpringSecurity 权限控制实现原理解析 SpringSecurity 权限控制实现原理是指在应用程序中对用户的操作权限进行控制和限制,以确保应用程序的安全性和可靠性。权限控制是指在应用程序中对用户的操作权限进行控制和...
SpringSecurity——基于SpringSpringMVC和MyBatis自定义SpringSecurity权限认证规则
weixin_30537391的博客
12-20 201
本文在SpringMVC和MyBatis项目框架的基础上整合Spring Security作为权限管理。并且完全实现一套自定义权限管理规则。 1.权限管理 在本例中所使用的权限管理的思路如下图所示,在系统中存在着许多帐号,同时存在着许多资源,在一个Web系统中一个典型的资源就是访问页面的URL,控制了这个就能够直接控制用户的访问权。 由于资源非常多,直接针对资源与用户进行设置关系会比...
Springboot + Spring Security 实现前后端分离登录认证及权限控制
热门推荐
I_am_Hutengfei的博客
09-05 10万+
Springboot + Spring Security 实现前后端分离登录认证及权限控制前言本文主要的功能文章目录一、数据库表设计建表语句初始化表数据语句二、Spring Security核心配置:WebSecurityConfig三、用户登录认证逻辑:UserDetailsService1、创建自定义UserDetailsService2、准备service和dao层方法(1)根据用户名查询...
Spring Security怎么给方法配置权限的?
bangiao的博客
06-06 1438
目前在Spring Boot中基于方法的权限管理主要是通过注解来实现,我们需要通过:开启Spring Security提供的四个权限注解,以及@PreFilter,这四个注解支持权限表达式,功能比较丰富。:开启Spring Security提供的@Secured注解,该注解不支持权限表达式。:开启JSR-250提供的注解,主要包括@DenyAll@PermitAll以及三个注解,这些注解也不支持权限表达式。:在目标方法执行之后进行权限校验。:在目标方法执行之后对方法的返回结果进行过滤。
SpringSecurity自定义权限
qq_62770345的博客
02-17 449
SpringSecurity权限的校验主要有和校验。本文主要解释基于路径校验。SpringSecurity权限的校验主要通过这个过滤链实现的。
SpringSecurity授权流程分析+动态授权实现
张氏小毛驴的博客
08-12 1929
代码运行到这里后,我们拿到了系统配置的URL权限attributes,认证用户对象Authentication也拿到了,还有当前请求相关的信息FilterInvocation ,也就是这个方法的参数object,接下来授权肯定是拿着三部分的信息去实现的。之前说过,SpringSecurity过滤器链,图中绿色的是认证相关的,蓝色部分是异常相关的,而橙色部分是授权相关,今天我们就是要理清橙色部分授权相关的流程,以及实现动态授权。通过上面的分析,我们大体能了解到整个授权的流程是这样的:(网上找的图)......
Spring Security(二)拦截请求
逝去的往事的博客
06-20 2万+
拦截请求 在第一篇中,我们看到一个特别简单的Spring Security配置,在这个默认的配置中,会 要求所有请求都要经过认证。
Spring Security3实践总结
一条宝鱼的专栏
06-03 1348
在线项目最近要对管理系统进行细粒度的权限控制,细化到URL级别。Spring Security3在这个时候引入到了系统总来。Spring Security3的学习曲线并不是非常的平坦。现在将使用场景和使用方法总结如下。 一、需求        做项目肯定要从项目背景和需求谈起。这个在线项目的背景和需求如下: 该项目为一个对外网开发的管理系统,系统功能丰富,需要将系统的功能进行切分
spring security自定义权限
最新发布
05-22
自定义权限Spring Security 中的一项重要功能,允许开发者根据业务需求对权限进行自定义,具体的实现方式如下: 1. 自定义访问控制表达式:Spring Security 提供了许多内置的访问控制表达式,如 hasRole()、has...
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值