Spring Security 实战内容:动态权限控制实现2

最新推荐文章于 2024-06-28 15:42:21 发布
最新推荐文章于 2024-06-28 15:42:21 发布
阅读量322 收藏
点赞数
文章标签: java 学习 spring struts 程序人生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_68064743/article/details/124201055
版权
本文详细介绍了Spring Security实战中动态权限控制的实现,包括FilterSecurityInterceptor的工作逻辑,自定义元数据加载器、决策管理器和决策投票器的实现思路,以及配置过程。通过对请求URI的角色映射和投票决策机制的探讨,展示了如何实现基于RBAC和动态资源的访问控制。
摘要由CSDN通过智能技术生成

在这里插入图片描述

1. 前言

访问的路径需要什么样的角色和权限? 它就是 FilterSecurityInterceptor ,正是我们需要的那个轮子。

2.FilterSecurityInterceptor

过滤器排行榜第 32 位!肩负对 http 接口权限认证的重要职责。我们来看它的过滤逻辑:

 	public void doFilter(ServletRequest request, ServletResponse response,
 			FilterChain chain) throws IOException, ServletException {
 		FilterInvocation fi = new FilterInvocation(request, response, chain);
 		invoke(fi);
 	}

初始化了一个 FilterInvocation 然后被 invoke 方法处理:

	public void invoke(FilterInvocation fi) throws IOException, ServletException {
		if ((fi.getRequest() != null)
				&& (fi.getRequest().getAttribute(FILTER_APPLIED) != null)
				&& observeOncePerRequest) {
			// filter already applied to this request and user wants us to observe
			// once-per-request handling, so don't re-do security checking
			fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
		}
		else {
			// first time this request being called, so perform security checking
			if (fi.getRequest() != null && observeOncePerRequest) {
				fi.getRequest().setAttribute(FILTER_APPLIED, Boolean.TRUE);
			}

			InterceptorStatusToken token = super.beforeInvocation(fi);

			try {
				fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
			}
			finally {
				super.finallyInvocation(token);
			}

			super.afterInvocation(token, null);
		}
	}

每一次请求被 Filter 过滤都会被打上标记 FILTER_APPLIED,没有被打上标记的 走了父类的 beforeInvocation 方法然后再进入过滤器链,看上去是走了一个前置的处理。那么前置处理了什么呢?
首先会通过 this.obtainSecurityMetadataSource().getAttributes(Object object) 拿受保护对象(就是当前请求的 URI)所有的映射角色(ConfigAttribute 直接理解为角色的进一步抽象) 。然后使用访问决策管理器 AccessDecisionManager 进行投票决策来确定是否放行。 我们来看一下这两个接口。

安全拦截器和“安全对象”模型参考:

[图片上传失败...(image-3b955-1650017686157)]

3. 元数据加载器

元数据加载器 FilterInvocationSecurityMetadataSourceFilterSecurityInterceptor 的属性,UML 图如下:

[图片上传失败...(image-c167d-1650017686157)]

FilterInvocationSecurityMetadataSource 是一个标记接口,其抽象方法继承自 SecurityMetadataSource``AopInfrastructureBean

  • Collection getAttributes(Object object)
最低0.47元/天 解锁文章
Gerald Newton
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringSecurity+JWT项目实战Java权限管理实战(四)--角色权限判断
daimeijin的博客
07-24 541
前言 本文是参考尚学堂SpringSecurity精讲,仅作为学习记录使用。 这个系列设计到的技术点如下: SpringSecurity Oauth2 SpringSecurity + Oauth2 SpringSecurity +JWT SpringSecurity + Oauth2 SpringSecurity + Oauth2 + JWT 背景 除了之前讲解的内置权限控制Spring Security 中还支持很多其他权限控制。这些方法一般都用于用户已经被认证后,判断用户是否具有特定的要求。
Spring Security 实战干货:动态权限控制(下)实现
码农小胖哥
11-29 2164
1. 前言 Spring Security 实战干货:内置 Filter 全解析 中提到的第 32 个 Filter 不知道你是否有印象。它决定了访问特定路径应该具备的权限,访问的用户的角色,权限是什么?访问的路径需要什么样的角色和权限? 它就是 FilterSecurityInterceptor ,正是我们需要的那个轮子。 2.FilterSecurityInterceptor 过滤器排行榜第...
spring security框架使用及源码解析(保姆级教程)
最新发布
边走、边悟、迟早变好
06-28 2063
Spring 框架已经作为企业级应用开发的事实上的标准,而作为 Spring 的亲儿子、专注于企业级应用安全领域的 Spring Security 从出生开始自然备受关注。Spring Security 在诞生之后,由于其对Spring框架的无缝集成、灵活度高、场景多样化以及对OAuth标准的实现,能够满足企业在认证和授权上的各种需求;作为 Apache 的顶级项目的 Shiro 差不多能够满足企业级应用系统对于安全性以及稳定性的要求,但是因为出身的问题,关注度持续走低。
SpringSecurity 动态权限
热门推荐
qq_34287953的博客
01-29 1万+
springboot+mybatis+SpringSecurity 实现用户角色权限数据库管理 spring security的简单原理: 使用众多的拦截器对url拦截,以此来管理权限。但是这么多拦截器,笔者不可能对其一一来讲,主要讲里面核心流程的两个。 首先,权限管理离不开登陆验证的,所以登陆验证拦截器AuthenticationProcessingFilter要讲; 还有就是对访问的资源管理吧,所以资源管理拦截器AbstractSecurityInterceptor要讲; 但拦截器里面的实现
spring security url动态授权
weixin_43931625的博客
09-18 496
spring security url动态授权
SpringSecurity实现动态管理权限(三)
zhoubangbang1的博客
01-07 797
SpringBoot整合SpringSecurity实现接口动态管理权限 接上一篇权限管理是后台管理不可缺少的部分,今天结合SpringSecurity实现接口的动态管理。 动态权限管理 SpringSecurity实现权限动态管理,第一步需要创建一个过滤器,doFilter方法需要注意,对于OPTIONS直接放行,否则会出现跨域问题。并且对在上篇文章提到的IgnoreUrlsConfig中的白名单也是直接放行,所有的权限操作都会在super.beforeInvocation(fi)中实现
Spring Security 实战内容: RBAC权限控制概念的理解
m0_66876551的博客
04-14 1552
1. 前言 如果我们需要一个完整的权限管理系统就必须了解一下 RBAC (Role-Based Access Control基于角色的访问控制) 的权限控制模型。 2. 为什么需要 RBAC? 在正式讨论 RBAC 模型之前,我们要思考一个问题,为什么我们要做角色权限系统? 答案很明显,一个系统肯定具有不同访问权限的用户。比如付费用户和非付费用户的权限,如果你是 QQ音乐的会员那么你能听高音质的歌曲,如果不是就不能享受某些便利的、优质的服务。那么这是一成不变的吗?又时候为了流量增长或者拉新的需要,我们又可.
Java动态分配角色权限_Spring Security 实战干货:动态权限控制(上)思路
weixin_32824711的博客
03-01 988
1. 前言欢迎阅读 Spring Security 实战干货系列文章 。截止目前已经对 基于配置 和 基于注解 的角色访问控制进行了讲解。对于一些小项目来说基本是够用的。然而如果希望运营管理人员能够动态的配置和分配权限,以上两种方式显然是满足不了需求的。接下来我们来一起探讨一下思路。2. 动态权限控制同样依赖 RBAC 模型我们依然应该在 RBAC 及其变种的基础上构建动态权限控制系统。所有被...
Spring Security 实战内容:基于注解的接口角色访问控制
m0_66876551的博客
04-14 382
1. 前言 基于配置的接口角色访问控制[2] 我们讲解了如何通过 javaConfig 的方式配置接口的角色访问控制。其实还有一种更加灵活的配置方式 基于注解 。今天我们就来探讨一下。DEMO 获取方式在文末。 2. Spring Security 方法安全 Spring Security 基于注解的安全认证是通过在相关的方法上进行安全注解标记来实现的。 2.1 开启全局方法安全 我们可以在任何 @Configuration实例上使用 @EnableGlobalMethodSecurity 注解来启用全局方
Spring Security 实战内容:用户信息UserDetails相关入门
V539413949的博客
04-09 1625
1. 前言 从今天开始我们来一步步窥探它是如何工作的。我们又该如何驾驭它。本篇将通过 Spring Boot 2.x 来讲解 Spring Security 中的用户主体UserDetails。以及从中找点乐子。 2. Spring Boot 集成 Spring Security 这个简直老生常谈了。不过为了照顾大多数还是说一下。集成 Spring Security 只需要引入其对应的 Starter 组件。Spring Security 不仅仅能保护Servlet Web 应用,也可以保护Reactiv.
spring security实现动态配置url权限的两种方法
weixin_33713350的博客
06-07 1687
缘起 标准的RABC, 权限需要支持动态配置,spring security默认是在代码里约定好权限,真实的业务场景通常需要可以支持动态配置角色访问权限,即在运行时去配置url对应的访问角色。 基于spring security,如何实现这个需求呢? 最简单的方法就是自定义一个Filter去完成权限判断,但这脱离了spring security框架,如何基于spring security优雅的实现...
如何在 Spring 安全性中动态决定<拦截 url> 访问属性值?
allway2的博客
10-27 827
请注意后者,因为它是在启动时调用的,并且此时可能没有很好地配置(我的意思是,数据源或持久性上下文自动连接,具体取决于您使用的内容)。集合 getAttributes(Object 对象),您可以在其中访问数据库,搜索受保护的“对象”(通常是要访问的 URL)以获取允许的 ConfigAttribute(通常是 ROLE 的)我有同样的问题,基本上我想将拦截网址列表与其他 springsecurity 配置部分分开,第一个属于应用程序配置,后者属于产品(核心、插件)配置。遗憾的是,没有简单的方法来拆分定义。
springBoot+springSecurity+swagger2 Unable to infer base url. This is common when using dynamic
mengtianning的博客
05-08 218
项目场景: springBoot+springSecurity+swagger2, 访问http://localhost:8080/swagger-ui.html#/时出现: 解决方案: 在配置访问白名单的时候将swagger相关路径添加进去, String[] whiteUrl = new String[] {"/swagger-ui.html", "/swagger-resources/**", "/v2/api-docs", "/webjars/springfox-swagger-ui
12.SpringSecurity-web权限方案-用户授权(基于权限访问控制
自能生羽翼,何必仰云梯
04-11 334
hasAuthority方法   如果当前的主体具有指定的权限,则返回 true,否则返回 false;   1.在WebSecurityConfig.configure(HttpSecurity http)方法中,增加如下配置: //当前登录用户,只有具备admins权限才可以访问这个路径 .antMatchers("/test/index").hasAuthority("admins")   2.在UserDetailsService的实现类中赋予admins权限 //权限 List<Grant
五、SpringSecurity Web权限方案(2)——自定义登录页面与权限访问控制
付之一笑的专栏
01-16 446
一、自定义登录页面 1.1、项目结构 1.2、编写登录页面 <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Title</title> </head> <body> <form action="/user/login" method="post"> 用户名:<input type
【系统权限管理SpringSecurity实现动态权限菜单控制
2401_84048671的博客
05-08 1106
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数Java工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。因此收集整理了一份《2024年Java开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
springboot+springsecurity跨域配置完整版(俺被坑了一个上午,特此前来用爱发电)
GD_MRS_LIN的博客
02-05 731
springboot跨域配置不必多说,网上很多: 首先配置好,我用的是继承WebMvcConfigurer配置,还可以通过过滤器配置,我觉得这样应该是最方便了,缺点就是这种配置不能在interceptor中再配置header。 @Configuration public class MyWebConfigurer implements WebMvcConfigurer { @Autowired private LoginInterceptor loginInterceptor;
仿牛客项目SpringSecurity学习
秃头计划2.0
09-07 332
AuthenticationManager(接口)是认证相关的核心接口,也是发起认证的出发点,因为在实际需求中,我们可能会允许用户使用用户名+密码登录,同时允许用户使用邮箱+密码,手机号码+密码登录,甚至,可能允许用户使用指纹登录(还有这样的操作?对于权限控制是比较靠前的。getPrincipal(),最重要的身份信息,大部分情况下返回的是UserDetails接口的实现类,也是框架中的常用接口之一。由这个顶级接口,我们可以得到用户拥有的权限信息列表,密码,用户细节信息,用户身份信息,认证信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值