Spring Security FilterSecurityInterceptor身份验证时如何让Hierarchical Roles生效

最新推荐文章于 2024-10-09 22:25:03 发布
最新推荐文章于 2024-10-09 22:25:03 发布
阅读量199 收藏
点赞数
分类专栏: Spring Security 文章标签: spring java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m13012606980/article/details/120726762
版权
本文详细介绍了如何在Spring Security 4.1.0和OAuth2 2.3.5中配置资源服务器,使用roleHierarchy实现管理员角色的继承权限,并解释了为何设置expressionHandler以处理层级角色判断。通过管理员角色访问时,需理解如何利用`ROLE_admin>ROLE_user`这样的角色关系来确保权限正确应用。
摘要由CSDN通过智能技术生成

基于spring-security-4.1.0.RELEASE和spring-security-oauth2-2.3.5.RELEASE

如果Spring提供的对外访问的某个接口需要具备某种角色才可以访问时,例如需要具备普通用户(user)角色,你可以配置为如下代码,假设访问的地址为/api/testInterface

@EnableResourceServer
@Configuration
public class ResourceConfig extends ResourceServerConfigurerAdapter {

	@Override
	public void configure(HttpSecurity http) throws Exception {
		http.authorizeRequests()
				.antMatchers("/api/testInterface").hasRole("user");
	}
}

但你也可能希望管理员(admin)角色能够执行普通用户可以执行的所有操作时,这就牵扯的一个层级角色的问题,也就是Spring Security中提到的Hierarchical Roles,所以这里我们这样配置:

@EnableResourceServer
@Configuration
public class ResourceConfig extends ResourceServerConfigurerAdapter {

	@Bean
	public RoleHierarchy roleHierarchy() {
		RoleHierarchyImpl roleHierarchy = new RoleHierarchyImpl();
		// 该>符号可以被认为是“包括”的意思admin包括user
		roleHierarchy.setHierarchy("ROLE_admin > ROLE_user");
		return roleHierarchy;
	}
	
	public OAuth2WebSecurityExpressionHandler oAuth2WebSecurityExpressionHandler() {
		OAuth2WebSecurityExpressionHandler oAuth2WebSecurityExpressionHandler = new OAuth2WebSecurityExpressionHandler();
		oAuth2WebSecurityExpressionHandler.setRoleHierarchy(roleHierarchy());
		return oAuth2WebSecurityExpressionHandler;
	}

	@Override
	public void configure(ResourceServerSecurityConfigurer resources) throws Exception {
		resources.expressionHandler(oAuth2WebSecurityExpressionHandler());
	}
	
	@Override
	public void configure(HttpSecurity http) throws Exception {
		http.authorizeRequests()
				.antMatchers("/api/testInterface").hasRole("user");
	}
}

为啥要设置一个expressionHandler,因为Spring Security中在ResourceServerSecurityConfigurer 中有一个默认的expressionHandler就是OAuth2WebSecurityExpressionHandler,但OAuth2WebSecurityExpressionHandler它的roleHierarchy属性并没有默认的实现,也就是为null,如果我们不手动给它设置,在进行判断认证对象是否包含指定角色时,它只会判断认证对象是否具备user,它不会获取user具备层级角色的关系在进行判断,从而导致通过admin来访问时,被拒绝访问。相关的判断的逻辑大体如下:

public abstract class SecurityExpressionRoot implements SecurityExpressionOperations {
	private String defaultRolePrefix = "ROLE_";
	
	/** 上面省略部分代码 */
	
	public final boolean hasRole(String role) {
		return hasAnyRole(role);
	}

	public final boolean hasAnyRole(String... roles) {
		return hasAnyAuthorityName(defaultRolePrefix, roles);
	}
	
	private boolean hasAnyAuthorityName(String prefix, String... roles) {
		Set<String> roleSet = getAuthoritySet();

		for (String role : roles) {
			String defaultedRole = getRoleWithDefaultPrefix(prefix, role);
			if (roleSet.contains(defaultedRole)) {
				return true;
			}
		}

		return false;
	}
	
	/** 中间省略部分代码 */
	
	private Set<String> getAuthoritySet() {
		if (roles == null) {
			roles = new HashSet<String>();
			Collection<? extends GrantedAuthority> userAuthorities = authentication
					.getAuthorities();

			if (roleHierarchy != null) {
				userAuthorities = roleHierarchy
						.getReachableGrantedAuthorities(userAuthorities);
			}

			roles = AuthorityUtils.authorityListToSet(userAuthorities);
		}

		return roles;
	}
	
	/** 下面省略部分代码 */
}

可以看到在getAuthoritySet方法中有一行针对roleHierarchy判断是否为空,如果不为空会把user对应的层级关系添加到roles集合中,这时roles中存在两个角色[ROLE_admin, ROLE_user],这时在通过admin来访问时就没有问题了。

zhaoll98k
关注
专栏目录
spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
浅析基于Spring Security 的身份认证流程
xxxzzzqqq_的博客
03-21 213
Spring Security 是一个专注于为 Java 应用程序提供身份认证和授权的框架。身份认证(authentication),即验证用户身份的合法性,以判断用户能否登录。授权(authorization),即验证用户是否有权限访问某些资源或者执行某些操作。本文将结合源码对身份认证(authentication)的流程和核心组件进行详细讲解。Spring Security 进行身份认证这一功能主要是通过一系列的过滤器链配合来实现的。
Spring security用户URL权限FilterSecurityInterceptor使用解析
08-25
主要介绍了Spring security用户URL权限FilterSecurityInterceptor使用解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring Security# RoleHierarchy
来啊 快活啊
09-08 2295
参考RoleVoter RoleHierarchyVoter RoleHierarchyImpl spring-security-reference#Hierarchical Roles Spring Security Role Hierarchy not working using Java Config
Spring Security API: FilterSecurityInterceptor
dengdeying的博客
12-27 251
FilterSecurityInterceptor Declare package org.springframework.security.web.access.intercept; public class FilterSecurityInterceptor extends AbstractSecurityInterceptor implements Filter Class Jdoc ...
史上最简单的Spring Security教程(十五):资源权限动态控制(FilterSecurityInterceptor
银河架构师的博客
07-27 3619
在前面的讲解中,我们分别对动态用户、动态权限的实现做了相关介绍。可能大家在看的过程中,会发现一个问题:目前都是通过注解控制权限的,并且角色是事先定义好的,且需要数据库、Java程序保持一致。 这是非常不友好的,不能自由的定义角色及其所能控制的资源。角色比较少且固定的业务场景还好,如OA,只有管理员和普通用户两种角色。但是遇到大型业务系统,角色细且繁多,需要自定义,且需要频繁变更其所拥有的资源,那么,目前的形式就显得非常笨拙。 接下来,就如何进行资源权限动态控制进行讲解,要实现的目标为:Java程序...
史上最简单的Spring Security教程(十六):FilterSecurityInterceptor详解
银河架构师的博客
07-29 9263
FilterSecurityInterceptor作为Spring Security Filter Chain的最后一个Filter,承担着非常重要的作用。如获取当前 request 对应的权限配置,调用访问控制器进行鉴权操作等,都是核心功能。 先简单看一下FilterSecurityInterceptor类的主要功用。 获取当前 request 对应的权限配置,首先是调用基类的beforeInvocation方法。 public void invoke(FilterInv...
SpringSecurity-授权验证原理
陈海龙的格物之路
09-14 505
本文介绍SpringSecurity授权验证的原理。如果你还不了解原理,快来看看吧。
springsecurity原理流程图.pdf
09-08
Spring Security 是一个功能强大且高度可定制的身份验证和访问控制框架,它是安全领域中Spring生态系统的一部分。Spring Security旨在为Java应用程序提供一个全面的安全解决方案,尤其适用于企业级应用场景。它主要...
Spring Security默认过滤器链之FilterSecurityInterceptor(十四)
欢谷悠扬
07-15 932
1.作用 这个主要是针对http请求进行权限校验 权限校验需要注意的几点: 1.用户需要先认证 2.获取资源所需授权 3.获取用户被授权信息 4.授权校验 5.授权成功处理 6.授权失败处理 2.直接开撸 2.1 参数封装 public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { // 先构建了一
spring security FilterSecurityInterceptor过滤器访问控制流程分析
a807719447的专栏
11-18 955
FilterSecurityInterceptor.doFilter中调用了当前类的invoke(fi)方法参数fi为FilterInvocation(调用的对象内部封装了当前请求的一些列信息),该方法主要流程如下 public void invoke(FilterInvocation fi) throws IOException, ServletException { //判断当前请求的request不为null,FILTER_APPLIED这个属性限制 //了当前类型的过滤器仅执行一个,它结合obser
spring-security(十八)核心Filter-FilterSecurityInterceptor
高枫的博客
02-25 2803
前言: 当用spring security,我们会用到各种各样的filter,在接下来的章节中我们我们将着重讨论几个核心的Filter,本节将讨论FilterSecurityInterceptor这个filter。 和这个类相关的对象如下图所示 [img]http://dl2.iteye.com/upload/attachment/0128/9716/26917b9a-17ba-320...
Spring Security
最新发布
junxinsiwo的专栏
10-09 1351
Spring Security 是一个功能强大且高度可定制的身份验证和授权框架,它是 Spring Framework 的一部分,专门用于为 Java 应用程序提供安全服务。Spring Security 可以帮助开发者实现安全控制,包括认证(Authentication)、授权(Authorization)以及会话管理等功能。
Spring Security使用了动态权限后,角色继承就不起作用了
qq_42331202的博客
03-15 741
当你配置了动态权限,你配置的角色继承就没用了,就是下面一段代码已经没用了 @Bean RoleHierarchy roleHierarchy() { RoleHierarchyImpl roleHierarchy = new RoleHierarchyImpl(); String hierarchy = "ROLE_DBA > ROLE_ADMIN\n ROLE_ADMIN > ROLE_USER"; roleHierarchy.
Spring Security内置过滤器详解_springsecurity过滤器,2024年最新大数据开发开发入门教程
2401_84166896的博客
04-17 1179
/设置SecurityContextHolderStrategy context。//当前请求是否是logoutSuccessUrl指定的地址。//是否是登录请求,是否是重定向的错误请求,是否是登出地址。//该请求已经运行过该过滤,跳过,执行下一个过滤器。//当前请求是否是failureUrl指定的地址。//生成一个默认的登录页。//否则执行下一个过滤器。//地址是/logout。//获取当前的权限配置。//生成一个登出页面。
SpringSecurity给用户授权,一个用户能同拥有多种身份Role,及权限鉴权注解方法hasRole及hasAuthority的使用区别
质量不太好的博客
03-13 9494
SpringSecurity给用户授权,一个用户能同拥有多种身份Role
史上最简单的Spring Security教程(十七):FilterSecurityInterceptor默认初始化逻辑剖析
银河架构师的博客
08-05 3986
Spring Security框架默认会自动创建一个FilterSecurityInterceptor实例,如我们前面所述,自定义的FilterSecurityInterceptor要么是在默认FilterSecurityInterceptor实例之前,要么是在之后,看具体业务场景。为啥我们不能替换掉默认的FilterSecurityInterceptor实例呢?先来剖析一下默认的FilterSecurityInterceptor实例初始化逻辑。 ​ SecurityMeta...
聊聊spring security的role hierarchy
weixin_33795743的博客
12-22 483
序 本文就来研究一下spring security的role hierarchy 背景 默认情况下,userDetailsService建立的用户,他们的权限是没有继承关系的 @Bean @Override protected UserDetailsService userDetailsService(){ ...
Spring Security 3.0:身份验证与授权深度解析
用户尝试访问受保护的资源,会先通过这个阶段,通常通过UsernamePasswordAuthenticationFilter进行基本的身份验证。 2. **访问决策管理器**:基于已通过认证的用户信息,以及与受保护资源关联的安全属性(如角色...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值