Spring Security教程(12)---- 使用数据库来管理方法

最新推荐文章于 2022-12-26 15:16:55 发布
最新推荐文章于 2022-12-26 15:16:55 发布
阅读量646 收藏
点赞数
分类专栏: Spring Security系列

这个稍微有一点复杂,我是通过AOP来实现的,前半部分跟上一章类似,主要在配置上有点不同

读取方法与权限对应列表DAO

[java]  view plain copy 在CODE上查看代码片 派生到我的代码片
  1. public List<Map<String,String>> getMethodResourceMapping(){  
  2.     String sql = "SELECT S3.RESOURCE_PATH,S2.AUTHORITY_MARK FROM SYS_AUTHORITIES_RESOURCES S1 "+  
  3.             "JOIN SYS_AUTHORITIES S2 ON S1.AUTHORITY_ID = S2.AUTHORITY_ID "+  
  4.             "JOIN SYS_RESOURCES S3 ON S1.RESOURCE_ID = S3.RESOURCE_ID AND S3.RESOURCE_TYPE='METHOD' ORDER BY S3.PRIORITY DESC";  
  5.       
  6.     List<Map<String,String>> list = new ArrayList<Map<String,String>>();  
  7.       
  8.     Query query = this.entityManager.createNativeQuery(sql);  
  9.     List<Object[]> result = query.getResultList();  
  10.     Iterator<Object[]> it = result.iterator();  
  11.       
  12.     while(it.hasNext()){  
  13.         Object[] o = it.next();  
  14.         Map<String,String> map = new HashMap<String,String>();  
  15.         map.put("resourcePath", (String)o[0]);  
  16.         map.put("authorityMark", (String)o[1]);  
  17.         list.add(map);  
  18.     }  
  19.       
  20.     return list;  
  21. }  
这里只针对方法名拦截,对于同一个类中的同名方法统统作为一个方法拦截。如果需要更细粒度的拦截,即拦截到参数,请在完成这个内容之后自行进行深入的研究。

MethodKey用来做主键用的

[html]  view plain copy 在CODE上查看代码片 派生到我的代码片
  1. public class MethodKey {  
  2.     private String className;  
  3.     private String methodName;  
  4.       
  5.     public MethodKey(){};  
  6.       
  7.     public MethodKey(String fullName){  
  8.         this.className = StringUtils.stripFilenameExtension(fullName);  
  9.         this.methodName = StringUtils.getFilenameExtension(fullName);  
  10.     };  
  11.       
  12.     public MethodKey(Method method) {  
  13.         super();  
  14.         this.className = method.getDeclaringClass().getName();  
  15.         this.methodName = method.getName();  
  16.     }  
  17.     public String getClassName() {  
  18.         return className;  
  19.     }  
  20.     public void setClassName(String className) {  
  21.         this.className = className;  
  22.     }  
  23.     public String getMethodName() {  
  24.         return methodName;  
  25.     }  
  26.     public void setMethodName(String methodName) {  
  27.         this.methodName = methodName;  
  28.     }  
  29.       
  30.     public String getFullMethodName(){  
  31.         return this.className + "." + this.methodName;  
  32.     }  
  33.       
  34.     @Override  
  35.     public boolean equals(Object obj) {  
  36.         if(!(obj instanceof MethodKey))return false;  
  37.           
  38.         MethodKey target = (MethodKey)obj;  
  39.           
  40.         if(this.className.equals(target.getClassName()) &&   
  41.                 this.methodName.equals(target.getMethodName()))return true;  
  42.           
  43.         return false;  
  44.     }  
  45.       
  46. }  
getDeclaringClass获取到的是接口,这里我们只拦截接口。

MethodSecurityMetadataSource

[java]  view plain copy 在CODE上查看代码片 派生到我的代码片
  1. public class MethodSecurityMetadataSource extends  
  2.         AbstractMethodSecurityMetadataSource implements InitializingBean{  
  3.       
  4.     //protected Log logger = LogFactory.getLog(getClass());  
  5.       
  6.     private final static List<ConfigAttribute> NULL_CONFIG_ATTRIBUTE = Collections.emptyList();  
  7.       
  8.     private final static String RES_KEY = "resourcePath";  
  9.     private final static String AUTH_KEY = "authorityMark";  
  10.       
  11.     private Map<MethodKey, Collection<ConfigAttribute>> requestMap;  
  12.       
  13.     @Autowired  
  14.     private SysResourceRepository sysResourceRepository;  
  15.       
  16.     /** 
  17.      * 根据方法获取到访问方法所需要的权限 
  18.      * @param method 访问的方法 
  19.      * @param targetClass 方法所属的类 
  20.      */  
  21.     @Override  
  22.     public Collection<ConfigAttribute> getAttributes(Method method,  
  23.             Class<?> targetClass) {  
  24.         MethodKey key = new MethodKey(method);  
  25.         Collection<ConfigAttribute> attrs = NULL_CONFIG_ATTRIBUTE;  
  26.           
  27.         for (Map.Entry<MethodKey, Collection<ConfigAttribute>> entry : requestMap.entrySet()) {  
  28.             if (entry.getKey().equals(key)) {  
  29.                 attrs =  entry.getValue();  
  30.                 break;  
  31.             }  
  32.         }  
  33.         logger.info("METHOD资源:"+key.getFullMethodName()+ " -> " +attrs);  
  34.           
  35.         return attrs;  
  36.     }  
  37.   
  38.     /** 
  39.      * 获取到所有方法对应的权限集合 
  40.      */  
  41.     @Override  
  42.     public Collection<ConfigAttribute> getAllConfigAttributes() {  
  43.         Set<ConfigAttribute> allAttributes = new HashSet<ConfigAttribute>();  
  44.   
  45.         for (Map.Entry<MethodKey, Collection<ConfigAttribute>> entry : requestMap.entrySet()) {  
  46.             allAttributes.addAll(entry.getValue());  
  47.         }  
  48.   
  49.         return allAttributes;  
  50.     }  
  51.   
  52.     /** 
  53.      * 初始化方法权限对应集合,绑定方法权限集合 
  54.      */  
  55.     @Override  
  56.     public void afterPropertiesSet() throws Exception {  
  57.         this.requestMap = this.bindRequestMap();  
  58.     }  
  59.       
  60.     /** 
  61.      * 从数据库中获取方法及权限对应信息 
  62.      * @return 
  63.      */  
  64.     private Map<String,String> loadMehod(){  
  65.         Map<String,String> resMap = new LinkedHashMap<String, String>();  
  66.         List<Map<String,String>> list = this.sysResourceRepository.getMethodResourceMapping();  
  67.           
  68.         for(Map<String,String> map : list){  
  69.             String resourcePath = map.get(RES_KEY);  
  70.             String authorityMark = map.get(AUTH_KEY);  
  71.               
  72.             if(resMap.containsKey(resourcePath)){  
  73.                 String mark = resMap.get(resourcePath);  
  74.                 resMap.put(resourcePath, mark+","+authorityMark);  
  75.             }else{  
  76.                 resMap.put(resourcePath, authorityMark);  
  77.             }  
  78.         }  
  79.           
  80.         return resMap;  
  81.     }  
  82.       
  83.     /** 
  84.      * 封装从数据库中获取的方法权限集合 
  85.      * @return 
  86.      */  
  87.     public Map<MethodKey, Collection<ConfigAttribute>> bindRequestMap(){  
  88.         Map<MethodKey, Collection<ConfigAttribute>> resMap =   
  89.                 new LinkedHashMap<MethodKey, Collection<ConfigAttribute>>();  
  90.           
  91.         Map<String,String> map = this.loadMehod();  
  92.         for(Map.Entry<String, String> entry : map.entrySet()){  
  93.             MethodKey key = new MethodKey(entry.getKey());  
  94.             Collection<ConfigAttribute> atts =   
  95.                     SecurityConfig.createListFromCommaDelimitedString(entry.getValue());  
  96.               
  97.             resMap.put(key, atts);  
  98.         }  
  99.           
  100.         return resMap;  
  101.     }  
  102.   
  103. }  
与资源的SecurityMetadataSource类似,只不过拦截方法的SecurityMetadataSource需要继承自AbstractMethodSecurityMetadataSource或实现MethodSecurityMetadataSource

具体配置

[html]  view plain copy 在CODE上查看代码片 派生到我的代码片
  1. <bean id="methodSecurityInterceptor"   
  2.     class="org.springframework.security.access.intercept.aopalliance.MethodSecurityInterceptor">  
  3.     <property name="accessDecisionManager" ref="accessDecisionManager" />  
  4.     <property name="authenticationManager" ref="authenticationManager" />  
  5.     <property name="securityMetadataSource" ref="methodSecurityMetadataSource" />  
  6. </bean>  
  7.   
  8. <bean id="methodSecurityMetadataSource"  
  9.     class="com.zrhis.system.security.MethodSecurityMetadataSource" />  
  10.   
  11. <aop:config>  
  12.     <aop:pointcut id="sevicePointcut"   
  13.         expression="execution(* com.zrhis.**.service.*.*(..))"/>  
  14.     <aop:advisor advice-ref="methodSecurityInterceptor" pointcut-ref="sevicePointcut" order="1"/>  
  15. </aop:config>  

首先创建pointcut,pointcut是项目中的Service层。然后在advisor中配置拦截器及切面的对应关系

方法的拦截是通过AOP来实现的,方法的拦截到此结束

有资源的拦截和方法的拦截基本上就能保证项目的权限能够灵活分配了。

LUCAS-LJ
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security使用数据库数据完成认证--练气后期2
qq_43788185的博客
09-05 117
写在前面 没错,这篇文章还是练气后期!但作者我相信筑基指日可待! 在前一篇文章当中,我们简单地分析了一下Spring Security的认证流程,知道了如果想要实现对自己用户数据(账户、角色、权限)的读取,需要实现UserDetailsService这个接口以及实现对应的loadUserByUsername 的方法,编写自己的业务逻辑。并在spring security的配置文件当中指定认证使用的业务对象 。 步骤 第一步:编写自己的User实体类 /** * @author 赖柄沣 bingfengde
SpringBoot集成Spring Security(开启菜单权限验证)
m0_59805036的博客
03-16 536
springboot整合springsecurity完成认证和权限,通过from表单形式进行登录。
权限控制策略
m0_58466443的博客
02-17 481
50-52
SpringSecurity生成权限流程源码分析
HHoao的博客
05-03 577
SpringSecurity生成权限流程源码分析 自定义match路径, @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/lib/*", "/js/*").permitAll() //配置POST访问/users需要有ADMIN权限 .mvcMatc
SpringSecurity-数据库认证-简单授权
最新发布
06-03
在这个“SpringSecurity-数据库认证-简单授权”的主题中,我们将深入探讨如何结合SpringSecurity数据库来实现用户身份验证和权限管理。 首先,我们需要理解SpringSecurity的核心组件。`Authentication`代表认证,...
spring-Security-oauth2.zip
05-26
本压缩包文件“spring-Security-oauth2.zip”很可能包含一系列关于如何在Spring Security中集成和配置OAuth2的教程、示例代码或文档。 1. **OAuth2 概述** OAuth2 是一种授权协议,它允许用户授权第三方应用访问其...
spring-security-demo.zip
08-10
- 创建自定义的`SecurityConfig`类继承`WebSecurityConfigurerAdapter`,并重写其方法来配置安全性。 - 配置`http.authorizeRequests()`以定义访问规则,例如允许匿名访问某些URL,而其他URL则需要登录。 - 实现`...
ssm-spring-security-Aop.zip
09-05
【描述】"ssm-spring-security-安全登入-aop日志入数据库" 描述的是一个项目或教程,它演示了如何在SSM框架中整合Spring Security以提供用户安全登录功能,并且结合AOP(面向切面编程)来实现对系统操作的全面日志...
spring-security-material-master.zip
09-24
本资料“spring-security-material-master.zip”显然是一份关于Spring Security教程材料,特别关注的是在Spring Boot环境下如何配置和使用Spring Security来保护静态资源。 在Spring Boot集成Spring Security时,...
Spring Security 实现 antMatchers 配置路径的动态获取
MrLee的博客
12-26 2340
2,实现 SecurityConfigAttributeLoader (这里也可以从数据库获取)
Spring Boot——配置Spring Security配置类DEMO
无限迭代中......
03-08 300
源代码 package club.zstuca.myzstu.filter; import club.zstuca.myzstu.entity.Resource; import club.zstuca.myzstu.entity.Role; import club.zstuca.myzstu.mapper.ResourceMapper; import org.springframework....
springSecurity自定义处理器基本配置
lc257的博客
11-19 390
springSecurity自定义处理器基本配置
软件测试实践干货 | 测试登录功能的思路与原理解析(基于 Spring Security
weixin_46635091的博客
11-23 525
本文为霍格沃兹测试学院优秀学员测试开发学习笔记,进阶学习文末加群。 登录功能对软件测试工程师可能是最常见却是最重要,也是最容易被忽视的测试场景。本文整理一些经验丰富的测试工程师总结的测试用例,并结合 Java Spring Security 框架来简单说下登录的测试方向思路和部分原理,供大家交流探讨。 登录测试方向 功能测试(基础) 输入已注册的用户名和正确的密码,验证是否登录成功; 输入已注册的用户名和不正确的密码,验证是否登录失败,并且提示信息正确; 输入未注册的用户名和任意密码,验证是否登录失败.
spring security 自定义数据库权限
jaesonchen
05-10 162
&lt;bean id="filterSecurityInterceptor" class="org.springframework.security.web.access.intercept.FilterSecurityInterceptor"&gt; &lt;property name="authenticationManager" ref="authenticati...
Spring Security教程(11)---- 使用数据库管理资源
jaune162的专栏,最新动态请关注:https://jaune162.blog
01-18 1万+
这个可以说是SpringSecurity最核心的东西,在项目中资源很多肯定不能一一配置到配置文件中,所以用数据库管理资源是必然的。这个也很容易实现。表结构已经在之前都创建过了。 首先我们要来从数据库中获取到资源与权限的对应列表,这个在dao层实现即可需要获取到url地址和AUTH_**这种权限标识,注意:不是权限ID和资源ID。 public List> getURLResourceMap
SpringBoot结合SpringSecurity动态权限认证设置
幸运小男神的博客
07-08 6708
前言 本例环境: SpringBoot:2.3.0.RELEASE SpringSecurity:5.3.2.RELEASE Mybatis:2.1.3 Mysql:5.6 开发工具:IDEA 源码下载网盘链接:https://pan.baidu.com/s/1TPqzSIFf_0Z0szzIrFHlAw 提取码:9i3p 一、创建数据库和表结构数据 创建名为“spring-security”字符集为“utf-8”的数据库,整个数据库的表结构如下: 注意:角色名必须...
SpringBoot+SpringSecurity+JWT实RESTfulAPI权限控制
热门推荐
林老师带你学编程
10-26 4万+
关于什么是jwt(json web token),还有jwt的工作流程我这边就不多介绍,主要给大家介绍一下SpringBoot中如何整合Security然后在添加jwt的支持。 想学习分布式、微服务、JVM、多线程、架构、java、python的童鞋,千万不要扫码,否则后果自负~ 通过SpringBoot+Security+JWT来实现token校验的过程。在生产环境中,对发布API增加授...
spring security 整合mybatis-plus
10-23
Spring Security 是一个开源的安全框架,用于保护基于Spring框架构建的应用程序。MyBatis-Plus 是基于 MyBatis 的增强工具,用于简化 MyBatis 操作和提高开发效率。 将 Spring Security 与 MyBatis-Plus 整合主要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值