Spring Security FilterSecurityInterceptor身份验证时如何让Hierarchical Roles生效

最新推荐文章于 2023-03-07 14:35:16 发布
最新推荐文章于 2023-03-07 14:35:16 发布
阅读量179 收藏
点赞数
分类专栏: Spring Security 文章标签: spring java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m13012606980/article/details/120726762
版权

基于spring-security-4.1.0.RELEASE和spring-security-oauth2-2.3.5.RELEASE

如果Spring提供的对外访问的某个接口需要具备某种角色才可以访问时,例如需要具备普通用户(user)角色,你可以配置为如下代码,假设访问的地址为/api/testInterface

@EnableResourceServer
@Configuration
public class ResourceConfig extends ResourceServerConfigurerAdapter {

	@Override
	public void configure(HttpSecurity http) throws Exception {
		http.authorizeRequests()
				.antMatchers("/api/testInterface").hasRole("user");
	}
}

但你也可能希望管理员(admin)角色能够执行普通用户可以执行的所有操作时,这就牵扯的一个层级角色的问题,也就是Spring Security中提到的Hierarchical Roles,所以这里我们这样配置:

@EnableResourceServer
@Configuration
public class ResourceConfig extends ResourceServerConfigurerAdapter {

	@Bean
	public RoleHierarchy roleHierarchy() {
		RoleHierarchyImpl roleHierarchy = new RoleHierarchyImpl();
		// 该>符号可以被认为是“包括”的意思admin包括user
		roleHierarchy.setHierarchy("ROLE_admin > ROLE_user");
		return roleHierarchy;
	}
	
	public OAuth2WebSecurityExpressionHandler oAuth2WebSecurityExpressionHandler() {
		OAuth2WebSecurityExpressionHandler oAuth2WebSecurityExpressionHandler = new OAuth2WebSecurityExpressionHandler();
		oAuth2WebSecurityExpressionHandler.setRoleHierarchy(roleHierarchy());
		return oAuth2WebSecurityExpressionHandler;
	}

	@Override
	public void configure(ResourceServerSecurityConfigurer resources) throws Exception {
		resources.expressionHandler(oAuth2WebSecurityExpressionHandler());
	}
	
	@Override
	public void configure(HttpSecurity http) throws Exception {
		http.authorizeRequests()
				.antMatchers("/api/testInterface").hasRole("user");
	}
}

为啥要设置一个expressionHandler,因为Spring Security中在ResourceServerSecurityConfigurer 中有一个默认的expressionHandler就是OAuth2WebSecurityExpressionHandler,但OAuth2WebSecurityExpressionHandler它的roleHierarchy属性并没有默认的实现,也就是为null,如果我们不手动给它设置,在进行判断认证对象是否包含指定角色时,它只会判断认证对象是否具备user,它不会获取user具备层级角色的关系在进行判断,从而导致通过admin来访问时,被拒绝访问。相关的判断的逻辑大体如下:

public abstract class SecurityExpressionRoot implements SecurityExpressionOperations {
	private String defaultRolePrefix = "ROLE_";
	
	/** 上面省略部分代码 */
	
	public final boolean hasRole(String role) {
		return hasAnyRole(role);
	}

	public final boolean hasAnyRole(String... roles) {
		return hasAnyAuthorityName(defaultRolePrefix, roles);
	}
	
	private boolean hasAnyAuthorityName(String prefix, String... roles) {
		Set<String> roleSet = getAuthoritySet();

		for (String role : roles) {
			String defaultedRole = getRoleWithDefaultPrefix(prefix, role);
			if (roleSet.contains(defaultedRole)) {
				return true;
			}
		}

		return false;
	}
	
	/** 中间省略部分代码 */
	
	private Set<String> getAuthoritySet() {
		if (roles == null) {
			roles = new HashSet<String>();
			Collection<? extends GrantedAuthority> userAuthorities = authentication
					.getAuthorities();

			if (roleHierarchy != null) {
				userAuthorities = roleHierarchy
						.getReachableGrantedAuthorities(userAuthorities);
			}

			roles = AuthorityUtils.authorityListToSet(userAuthorities);
		}

		return roles;
	}
	
	/** 下面省略部分代码 */
}

可以看到在getAuthoritySet方法中有一行针对roleHierarchy判断是否为空,如果不为空会把user对应的层级关系添加到roles集合中,这时roles中存在两个角色[ROLE_admin, ROLE_user],这时在通过admin来访问时就没有问题了。

zhaoll98k
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring security用户URL权限FilterSecurityInterceptor使用解析
08-25
主要介绍了Spring security用户URL权限FilterSecurityInterceptor使用解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
SpringSecurity给用户授权,一个用户能同拥有多种身份Role,及权限鉴权注解方法hasRole及hasAuthority的使用区别
质量不太好的博客
03-13 9157
SpringSecurity给用户授权,一个用户能同拥有多种身份Role
SpringSecurity学习(四)访问权限,角色匹配,验证码
周帅傅
06-09 416
访问权限 访问权限可以配置URL匹配用户角色或权限 http.authorizeRequests() .antMatchers("/admin/**").hasRole("admin") .antMatchers("/user/**").hasRole("user") 对应HiController @RestController public class HiController { @GetMapping("/hi") public String hi() { r
史上最简单的Spring Security教程(十六):FilterSecurityInterceptor详解
银河架构师的博客
07-29 8831
FilterSecurityInterceptor作为Spring Security Filter Chain的最后一个Filter,承担着非常重要的作用。如获取当前 request 对应的权限配置,调用访问控制器进行鉴权操作等,都是核心功能。 先简单看一下FilterSecurityInterceptor类的主要功用。 获取当前 request 对应的权限配置,首先是调用基类的beforeInvocation方法。 public void invoke(FilterInv...
spring-security(十八)核心Filter-FilterSecurityInterceptor
高枫的博客
02-25 2726
前言: 当用spring security,我们会用到各种各样的filter,在接下来的章节中我们我们将着重讨论几个核心的Filter,本节将讨论FilterSecurityInterceptor这个filter。 和这个类相关的对象如下图所示 [img]http://dl2.iteye.com/upload/attachment/0128/9716/26917b9a-17ba-320...
Spring Security使用了动态权限后,角色继承就不起作用了
qq_42331202的博客
03-15 687
当你配置了动态权限,你配置的角色继承就没用了,就是下面一段代码已经没用了 @Bean RoleHierarchy roleHierarchy() { RoleHierarchyImpl roleHierarchy = new RoleHierarchyImpl(); String hierarchy = "ROLE_DBA > ROLE_ADMIN\n ROLE_ADMIN > ROLE_USER"; roleHierarchy.
spring security 参考手册中文版
02-01
Spring Security 参考 1 第一部分前言 15 1.入门 16 2.介绍 17 2.1什么是Spring Security? 17 2.2历史 19 2.3版本编号 20 2.4获得Spring安全 21 2.4.1使用Maven 21 Maven仓库 21 Spring框架 22 2.4.2 Gradle 23 ...
Spring Security 文档
04-18
那么在Spring Security3的使用中,有4种方法: 一种是全部利用配置文件,将用户、权限、资源(url)硬编码在xml文件中,已经实现过,并经过验证; 二种是用户和权限用数据库存储,而资源(url)和权限的对应采用硬编码...
Spring Security 中文教程.pdf
12-06
5.5. Spring Security中的访问控制(验证) 5.5.1. 安全和AOP建议 5.5.2. 安全对象和AbstractSecurityInterceptor 5.5.2.1. 配置属性是什么? 5.5.2.2. RunAsManager 5.5.2.3. AfterInvocationManager ...
SpringSecurity 3.0.1.RELEASE.CHM
03-21
5.5. Spring Security中的访问控制(验证) 5.5.1. 安全和AOP建议 5.5.2. 安全对象和AbstractSecurityInterceptor 5.5.2.1. 配置属性是什么? 5.5.2.2. RunAsManager 5.5.2.3. AfterInvocationManager 5.5.2.4...
史上最简单的Spring Security教程(十五):资源权限动态控制(FilterSecurityInterceptor
银河架构师的博客
07-27 3475
在前面的讲解中,我们分别对动态用户、动态权限的实现做了相关介绍。可能大家在看的过程中,会发现一个问题:目前都是通过注解控制权限的,并且角色是事先定义好的,且需要数据库、Java程序保持一致。 这是非常不友好的,不能自由的定义角色及其所能控制的资源。角色比较少且固定的业务场景还好,如OA,只有管理员和普通用户两种角色。但是遇到大型业务系统,角色细且繁多,需要自定义,且需要频繁变更其所拥有的资源,那么,目前的形式就显得非常笨拙。 接下来,就如何进行资源权限动态控制进行讲解,要实现的目标为:Java程序...
SpringSecurity6.0.1中角色继承无效的问题
m0_51030618的博客
03-07 288
SpringSecurity6.0.1中角色继承无效的问题
Spring Security# RoleHierarchy
来啊 快活啊
09-08 2234
参考RoleVoter RoleHierarchyVoter RoleHierarchyImpl spring-security-reference#Hierarchical Roles Spring Security Role Hierarchy not working using Java Config
Spring Security默认过滤器链之FilterSecurityInterceptor(十四)
欢谷悠扬
07-15 838
1.作用 这个主要是针对http请求进行权限校验 权限校验需要注意的几点: 1.用户需要先认证 2.获取资源所需授权 3.获取用户被授权信息 4.授权校验 5.授权成功处理 6.授权失败处理 2.直接开撸 2.1 参数封装 public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { // 先构建了一
spring security FilterSecurityInterceptor过滤器访问控制流程分析
a807719447的专栏
11-18 865
FilterSecurityInterceptor.doFilter中调用了当前类的invoke(fi)方法参数fi为FilterInvocation(调用的对象内部封装了当前请求的一些列信息),该方法主要流程如下 public void invoke(FilterInvocation fi) throws IOException, ServletException { //判断当前请求的request不为null,FILTER_APPLIED这个属性限制 //了当前类型的过滤器仅执行一个,它结合obser
史上最简单的Spring Security教程(十七):FilterSecurityInterceptor默认初始化逻辑剖析
银河架构师的博客
08-05 3836
Spring Security框架默认会自动创建一个FilterSecurityInterceptor实例,如我们前面所述,自定义的FilterSecurityInterceptor要么是在默认FilterSecurityInterceptor实例之前,要么是在之后,看具体业务场景。为啥我们不能替换掉默认的FilterSecurityInterceptor实例呢?先来剖析一下默认的FilterSecurityInterceptor实例初始化逻辑。 ​ SecurityMeta...
记录 Role Hierarchy 在 spring security 6 无法生效的问题
chang_chan的博客
02-04 243
记录 Role Hierarchy 在 spring security 6 无法生效的问题
聊聊spring security的role hierarchy
weixin_33795743的博客
12-22 459
序 本文就来研究一下spring security的role hierarchy 背景 默认情况下,userDetailsService建立的用户,他们的权限是没有继承关系的 @Bean @Override protected UserDetailsService userDetailsService(){ ...
spring security底层拦截器是通过url验证信息的么
最新发布
06-09
Spring Security 的底层拦截器并不是通过 URL 验证信息的,它的实现原理要比这更加复杂。 Spring Security 的拦截器主要是通过过滤器和拦截器链来实现的。在过滤器链中,Spring Security 首先会拦截所有的 HTTP 请求,并将它们传递给一个名为 FilterSecurityInterceptor 的过滤器。这个过滤器会根据配置文件中的规则,判断当前用户是否有权限访问该请求。 在拦截器链中,Spring Security 使用了一个名为 MethodSecurityInterceptor 的拦截器来拦截方法调用。这个拦截器会检查调用者的身份和权限,并根据配置决定是否允许调用方法。 在 Spring Security 中,URL 配置只是一种配置方式,它可以通过 antMatchers()、regexMatchers() 等方法来配置。这些方法会将 URL 和对应的权限信息配置到 Spring Security 中,但是它们并不是用来验证信息的。实际上,Spring Security 的验证是基于用户的身份和权限信息来实现的,而不是基于 URL。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值