spring-security 记录笔记04 修改用户权限

最新推荐文章于 2024-01-22 22:52:13 发布
最新推荐文章于 2024-01-22 22:52:13 发布
阅读量744 收藏 3
点赞数 1
分类专栏: spring-security spring mvc spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liuyuncd/article/details/117551867
版权

Spring Security 动态权限 拦截器 权限刷新 用户授权
关键词由CSDN通过智能技术生成

我们经常会遇到这样的场景,动态权限的调整,例如张三是个部门主管,本身没有删除员工资料这个权限,但是上级比较信任张三,就想将这个功能交给张三去做。

我们首先使用张三登录(xsc001):
在这里插入图片描述

我们看后台打印出来的张三的角色权限:
在这里插入图片描述
当前角色为SALE_ADMIN,权限为新增和修改

这时候我们需要给他新增员工删除的权限,这里有个问题是,不管直接修改数据库还是使用代码给他新增这些权限和角色,如果张三已经是登录状态的话,需要退出系统重新登录才会加载最新权限(因为张三已经登录了,spring security缓存中加载了他的登录信息,权限是登录的时候就加载到了缓存中的,中间再去新增的权限数据库修改了,但是当前登录的用户没有加载)

显然上述是非常不平滑的权限赋值,我们需要的是当用户动态被新增权限的时候,立即可以使用!!!

解决方案:(参考了阿里巴巴前高级研发工程师大佬的解决方案)

我们还是首先用张三的账户访问删除接口:
在这里插入图片描述
我们看到被我们权限系统拦截了,因为del方法是他没有权限的

我们的解决方案为:
使用拦截器进行拦截请求处理被标记为需要处理的用户,刷新当前用户的权限信息。

详细的思路就是,我们在拦截器中设置一个用户列表,当我们在代码中为某个用户设置权限的时候将用户信息添加在这个用户列表中,这个用户列表中的所有用户(如果有)我们将着里边的用户重新加载权限(从数据库中查询最近的权限列表),然后刷新当前用户的的令牌
我们首先看拦截器:

package com.mysecurity.liuyf.conf.security.filter;

import com.mysecurity.liuyf.pojo.MyUserDetails;

import com.mysecurity.liuyf.pojo.User;
import com.mysecurity.liuyf.service.UserService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.ArrayList;
import java.util.HashSet;
import java.util.List;
import java.util.Set;
@Component
public class RoleCheckInterceptor  implements HandlerInterceptor {
    @Autowired
    private UserService userService;
    //存放username
    public static Set<String> usersToUpdateRoles = new HashSet<>();

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        System.out.println("RoleCheckInterceptor");
        Authentication auth = SecurityContextHolder.getContext().getAuthentication();
        if(auth != null) {
            // 需要排除anonymousUser
            if(auth.getPrincipal() instanceof MyUserDetails) {
                MyUserDetails userDetails = (MyUserDetails)auth.getPrincipal();
                String username = userDetails.getUsername();
                if(usersToUpdateRoles.size()>0 && usersToUpdateRoles.contains(username)) {
                    updateRoles(auth,userDetails);
                    usersToUpdateRoles.remove(username);
                }
            }
        }
        return true;
    }

    private void updateRoles(Authentication auth, MyUserDetails user) {
        User u=userService.findUserByName(user.getUsername());
        List<GrantedAuthority> list = new ArrayList<>();
        List<String> roles=userService.findUserRoleByUserId(u.getId());
        for (String role:roles){
            list.add(new SimpleGrantedAuthority("ROLE_"+role));
        }
        //加载权限表的东西进来
        List<String> permission=userService.findUserPermissionByUserId(u.getId());
        for (String per:permission){
            list.add(new SimpleGrantedAuthority(per));
        }

        Authentication newAuth = new UsernamePasswordAuthenticationToken(auth.getPrincipal(), auth.getCredentials(),list);
        SecurityContextHolder.getContext().setAuthentication(newAuth);
        System.out.println("RoleCheckInterceptor.updateRoles 刷新权限信息");
        System.out.println(newAuth);
    }
}

1:在方法updateRoles中动态查询用户权限,然后调用

SecurityContextHolder.getContext().setAuthentication(newAuth);

经行刷新
2:在usersToUpdateRoles这个列表中保存修改过用户权限的用户(用户名记得去重)

最后将这个连接器记得放到配置文件中去生效:

package com.mysecurity.liuyf.conf;

import com.mysecurity.liuyf.Interceptor.TokenInterceptor;
import com.mysecurity.liuyf.conf.security.filter.RoleCheckInterceptor;
import org.springframework.context.annotation.Configuration;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

import javax.annotation.Resource;

@Configuration
public class WebConfig implements WebMvcConfigurer {
    /**
     * 拦截器用于动态刷新用户权限
     */
    @Resource
    private RoleCheckInterceptor roleCheckInterceptor ;
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(roleCheckInterceptor).addPathPatterns("/**");
    }
}

这样就可以了,最后我们模拟一个修改用户权限的方法:

/**
     *测试赋值一个新得角色
     * @param
     * @return
     */
    @GetMapping("/upAuthForUpRole")
    public JsonResult upAuthForUpRole(HttpServletResponse response) throws IOException {
        //参数1:接收用户ID
        //参数2:接收需要新增/去除的权限
        //操作1:数据库操作,将需要修改的数据存储到数据中

        //将用户姓名存储到上一步的列表中用于刷新用户权限
        RoleCheckInterceptor.usersToUpdateRoles.add("xs001");
        return new JsonResult(ResultCode.SUCCESS);
    }

这里都是写的伪代码,数据库操作自己补上,这里最主要的就是将用户列明放到列表中去

注意:这个位置需要注意我们的权限拦截器会优先于自定义用于刷新权限的拦截器,也就是说出去访问下其他请求(直接访问del还是无权限),调用下自定义拦截器才能完成刷新权限的操作

最终实验:
我们直接在数据库中修改用户角色(因为前边写的是伪代码),这时候我们之前登录的用户是没有退出的,也就是说依然没有删除的权限
在这里插入图片描述
将张三的角色id也修改为1(超管)
这时候调用upAuthForUpRole方法刷新授权
在这里插入图片描述

成功的重定向到另外一个方法中去了
后台也成功的打印出授权方法中的提示信息:
在这里插入图片描述

然后不需要退出登录,访问del方法:
在这里插入图片描述
我们看到不需要退出登录,不需要重启服务器,已经完成了动态授权

欧阳云
关注
专栏目录
spring security中动态更新用户的权限
huan的学习记录
02-22 9832
在程序的执行过程中,有时有这么一种需求,需要动态的更新某些角色的权限或某些人对应的权限,当前在线的用户拥有这个角色或拥有这个权限时,在不退出系统的情况下,需要动态的改变的他所拥有的权限。 需求:张三 登录了系统拥有 ROLE_ADMIN,和ROLE_USER 的权限,但是ROLE_ADMIN的权限太强了,不应该给张三,后台管理人员应该可以取消张三的ROLE_ADMIN的权限,那么在张三...
spring-security【2022-3-18更新】
m0_53964515的博客
03-14 4873
话不多说导包本质上主要是使用了AOP 和 拦截器! 导包 <!-- spring security 包含下面两个注释掉的包 --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <!-- &l
spring security解决用户权限的方案
11-12
使用spring security解决用户权限的方案
java spring security oauth2 动态 修改当前登录用户的 角色以及权限(无需重新登录
ycg的博客
08-31 3751
/** * 动态修改自身权限,无需重新登录 * @return */ @PostMapping("/oneselfUpdateAuth") public R oneselfUpdateAuth() { //获取当前用户信息 BaseUser users = SecurityUtils.getUser(); //token存放的地方 RedisTokenStore tokenStore = new RedisTokenStore(redisConnectionFac
Spring Security入门】10-动态权限修改
通往神秘的道路的专栏
02-15 1618
前言 你需要知道 ROLE_XXX 在Spring Security 中的意义。 动态权限修改示例 @GetMapping("/vip/test") @Secured("ROLE_VIP") // 需要ROLE_VIP权限可访问 public String vipPath() { return "仅 ROLE_VIP 可看"; ...
SpringSecurity: 授权和修改User配置角色和权限修改loadUserByUsername方法,修改SpringSecurity配置类,控制Controller层接口权限,异常处理
最新发布
qq_73126462的博客
01-22 1838
以用户所属角色为基础进行授权,如管理员、普通用户等,通过为用户分配角色来控制其对资源的访问权限。:以资源为基础进行授权,如 URL、方法等,通过定义资源所需的权限,来控制对该资源的访问权限Spring Security 提供了多种实现授权的机制,最常用的是使用基于注解的方式,建立起访问资源和权限之间的映射关系。其中最常用的两个注解是@Secured和。@Secured注解是更早的注解,基于角色的授权比较适用,基于SpEL表达式的方式,可灵活定义所需的权限,通常用于基于资源的授权。
springsecurity学习笔记
12-13
在"springsecurity学习笔记"中,你可能会涉及以下主题: - Spring Security的基本配置,包括web安全配置和全局安全配置。 - 如何自定义认证和授权流程,比如实现自定义的AuthenticationProvider和...
Spring-Security笔记5 去除spring-security默认的权限前缀ROLE
杨毅的专栏
03-01 8709
spring-security默认的权限前缀ROLE_,使用的时候较为不便使用自定义的accessDecisionManager注入roleVoter,修改roleVoter中的rolePrefix属性为“”可以解决此问题&lt;!-- 注入 roleVoter修改rolePrefix,否则Spring要求权限必须以ROLE_开头 --&gt; &lt;bean id="accessDecisio...
SpringSecurity笔记,编程不良人笔记
10-28
在`SpringSecurity.md`和`SpringSecurity.pdf`文档中,可能包含SpringSecurity配置、自定义用户服务、授权策略等方面的代码示例。`codes`目录可能包含实际运行的项目代码,方便读者实践和理解。 8. **图笔记.draw...
SpringSecurity笔记2-SpringSecurity命名空间
03-29
在"SpringSecurity笔记2-SpringSecurity命名空间"这个主题中,我们将深入探讨SpringSecurity配置的核心——命名空间。 SpringSecurity通过XML配置文件中的命名空间来简化设置过程,这些命名空间提供了丰富的元素和...
SpringBoot+SpringSecurity改造为前后端分离+Jwt的权限认证系统,Token过期刷新问题
热门推荐
zzzgd_666的博客
07-18 1万+
前言 一般来说,我们用SpringSecurity默认的话是前后端整在一起的,比如thymeleaf或者Freemarker,SpringSecurity还自带login登录页,还让你配置登出页,错误页。 但是现在前后端分离才是正道,前后端分离的话,那就需要将返回的页面换成Json格式交给前端处理了 SpringSecurity默认的是采用Session来判断请求的用户是否登录的,但是不方便分布式...
Spring Security真正的实时更新权限方法!无需拦截器、踢出用户,直接修改Redis的内容
qq_37436987的博客
02-05 2265
相信很多用了Spring Security的小伙伴在日常开发中,总会遇到需要实时更新权限的问题,比如,对一个新调入某个部门的员工,我们希望在管理员设置他的权限之后,这位员工立刻就能使用了,而不需要先退出登录然后再重新登录,以达到更好的用户体验。那么,我们能不能在后台悄悄地就把权限更呢?
SpringSecurity解决更新权限信息需要重启服务器和角色无法动态更新的Bug
m0_46084075的博客
05-23 1837
这两天在用SpringSecurity的时候发现两个很有意思的小问题,和大家分享一下,SpringSecuritySpring家族的一个安全框架,具体的就不多说了,后续会写一些关于这个框架内容的博客 1. 第一个问题是SpringSecurity在更新权限信息后不会立即进行权限拦截,只有重启服务器才会开始拦截 2. 第二个问题是,在添加权限的时候,然后再访问被添加权限的页面的时候结果发现,我!被!限!制!访!问!了,就很离谱,这次解决了第一个问题,然后发现了第二个问题,自己写的代码自己无权访问哈哈哈.
解决springsecurity资源权限一次加载,导致角色授资源要重启服务问题
yuhui666666的博客
10-18 1015
DefaultSecurityMetadataSource Map (放资源菜单的权限对应的) 公用用static类型,拿到了单利类就只有一份,直接就是最早的, //在更新角色菜单时更新map roleMenuservice.updateRoleMenu(menuDtos,roleId); defaultSecurityMetadataSource.init();//...
springsecurity自定义角色权限授权
明平姚的博客
02-16 1232
springsecurity自定义角色权限授权
Spring Security(10)权限处理
weixin_43189971的博客
07-20 2181
1.getAuthorities的方法中实现权限配置 2.权限评估器 permissionEvaluator 3. @PreAuthorize权限注解的两种写法(user中先开启注解)
SpringSecurity 禁用用户后 实现清除指定用户缓存
Yolanda_jie的博客
03-26 6011
介绍之前如果对cookie,session,cache不熟悉的,可参照此篇文章 https://blog.csdn.net/u012251421/article/details/45333315 问题出现的场景: 一般在类似于信息管理平台,通常会有对用户的状态进行操作,我遇到的问题是,当管理员用户,禁用普通用户后,普通用户仍然可以登录。 出现的原因: SpringSecurity在用户登...
java实时更新权限_java – 如何使用Spring Security重新加载用户更新的权限
weixin_39608509的博客
02-28 1061
如果您需要动态更新登录用户权限(当这些权限发生变化时,无论什么原因),无需登出并登录,您只需要重置Spring SecurityContextHolder中的Authentication对象(安全令牌)即可.例:Authentication auth = SecurityContextHolder.getContext().getAuthentication();List updatedAuth...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值