spring security 自定义URL权限和权限校验异常

最新推荐文章于 2024-08-30 14:52:53 发布
最新推荐文章于 2024-08-30 14:52:53 发布
阅读量2.9k 收藏 5
点赞数 2
分类专栏: spring boot 文章标签: spring security spring boot spring 自定义权限
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mapleleafforest/article/details/106637052
版权
本文介绍如何在Spring Security中实现自定义URL权限验证和权限校验异常处理。通过数据库动态配置url资源权限,系统启动时加载权限列表,用户登录时获取角色列表。在请求访问时对比权限进行判断。自定义配置包括实现接口加载资源权限,自定义决策管理器和投票器。同时,针对匿名用户和已认证用户的权限异常进行了自定义处理。
摘要由CSDN通过智能技术生成

Spring Security使用FilterSecurityInterceptor过滤器来进行URL权限校验,实际使用流程大致如下:

  1. 通过数据库动态配置url资源权限
  2. 系统启动时,通过FilterSecurityInterceptor滤器到数据库加载系统资源权限列表
  3. 用户登陆时通过自定义的UserDetailsService加载当前用户的角色列表
  4. 当有请求访问时,通过FilterSecurityInterceptor对比系统资源权限列表和用户资源权限列表(在用户登录时添加到用户信息中)来判断用户是否有该url的访问权限。
自定义URL权限验证需要在FilterSecurityInterceptor自定义的配置项
  1. securityMetadataSource:实现FilterInvocationSecurityMetadataSource接口,在实现类中加载资源权限,并在filterSecurityInterceptor中注入该实现类。
  2. accessDecisionManager:通过实现AccessDecisionManager接口自定义一个决策管理器,判断是否有访问权限。判断逻辑可以写在决策管理器的决策方法中,也可以通过投票器实现,除了框架提供的三种投票器还可以添加自定义投票器。自定义投票器通过实现AccessDecisionVoter接口来实现。
    下是Spring Security官方文档提供的一个图,其展示了与基于投票的AccessDecisionManager实现相关的类
    在这里插入图片描述
权限校验异常需要在ExceptionTranslationFilter自定义的配置项

1、AuthenticationEntryPoint 用来解决匿名用户访问无权限资源时的异常
2、AccessDeineHandler 用来解决登陆认证过的用户访问无权限资源时的异常

demo代码如下:
1、自定义securityMetadataSource从数据库加载动态配置的角色url资源权限

@Component
public class MyFilterInvocationSecurityMetadataSource implements FilterInvocationSecurityMetadataSource {
   
    private Map<RequestMatcher, Collection<ConfigAttribute>> allRoleSource = new HashMap<>();
    public MyFilterInvocationSecurityMetadataSource(){
   
        //模拟从数据库加载角色URL权限信息
        Map<String,String> urlRoleMap = new HashMap<String,String>(){
   {
   
            put("/open/**","ROLE_ANONYMOUS");
            put("/home","ADMIN,USER");
            put("/admin/**","ADMIN");
            put("/user/**","ADMIN,USER");
        }};
        Map<RequestMatcher, Collection<ConfigAttribute>> loadRequestMap = new HashMap<>();
        for(Map.Entry<String,String> entry:urlRoleMap.entrySet()
最低0.47元/天 解锁文章
雷X峰
关注
专栏目录
SpringBoot+JWT+Spring Security实现登录鉴权
lsl520hah的博客
11-04 1375
1、配置pom文件,添加依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency...
10、SpringSecurity自定义认证配置
weixin_44478828的博客
01-27 1005
经过上一小结配置,我们发现用户认证通过后,资源是都可被访问的。如果我们想为不同的用户指定不同的访问资源,该如何实现呢?接下来,我们通过配置为不同用户访问授权。@Bean@Override@Overridehttp.formLogin()//开启默认form表单登录方式.and().logout()//登出用默认的路径登出 /logout.permitAll()//允许所有的用户访问登录或者登出的路径.and()
关于spring securityURL路径验证问题
qiuqiuit的专栏
02-15 1461
在前一篇文章中,还是有些地方没讲清楚,但那篇文章已经有点长了,所以还是另外单独讲一下吧。见SecureResourceFilterInvocationDefinitionSource代码: [code="java"] /** * RegexUrlPathMatcher默认不进行小写转换,而AntUrlPathMatcher默认要进行小写转换 */ public void ...
Spring Security之动态配置资源权限
最新发布
weixin_34278711的博客
08-30 778
Spring Security中实现通过数据库动态配置url资源权限,需要通过配置验证过滤器来实现资源权限的加载、验证。系统启动时,到数据库加载系统资源权限列表,当有请求访问时,通过对比系统资源权限列表和用户资源权限列表(在用户登录时添加到用户信息中)来判断用户是否有该url的访问权限
我的开源:SpringSecurity分布式session与url授权验证
陈海龙的格物之路
09-14 279
springsecurity通过配置实现自定义扩展,例如实现分布式session、url授权验证等。来吧,一起看看怎么玩security
Spring Security 动态url权限控制
weixin_44809110的博客
11-25 1687
记录一下。。。
Springboot实现自定义注解权限校验
55555的博客
11-04 544
Springboot实现自定义注解权限校验自定义注解类定义拦截器注册拦截器注解使用示例controller层js层 自定义注解类 /** * @author whx * 权限 */ @Documented @Target(ElementType.METHOD) @Retention(RetentionPolicy.RUNTIME) public @interface FunctionPermission { int functionId() default 0; } @Documente
SpringSecurity实现自定义登录认证、权限验证、鉴权
热门推荐
紫眸的博客
04-25 1万+
SpringSecurity实现自定义登录认证、权限验证、鉴权 Demo源码:https://github.com/ygsama/ipa 自定义登录认证的实现需要实现三个接口 UserDetails 用户类接口 UserDetailsService 查询用户密码的service 接口 AuthenticationProvider 为认证管理器AuthenticationManager 提供验证 自定义权限验证时也需要实现三个接口:
循序渐进学习spring security 第十四篇 自定义验证码认证逻辑,自定义动态权限URL白名单配置
huangxuanheng的专栏
08-08 1567
文章目录学习目标回顾自定义认证逻辑,增加验证码校验创建项目:security-verify创建类:UsernamePasswordProvider编写获取验证码接口配置URL白名单测试如何添加URL白名单DefaultFilterInvocationSecurityMetadataSource 源码剖析将过滤器 MenuFilterInvocationSecurityMetadataSource 改为继承DefaultFilterInvocationSecurityMetadataSource配置URL
利用Spring Security做角色权限校验
12-10
综上所述,利用Spring Security进行角色权限校验是一个多步骤的过程,涉及认证、授权、动态数据查询和自定义配置等多个方面。通过灵活的配置和扩展,我们可以构建一个安全、高效且符合业务需求的权限管理系统。在...
Spring Security 自定义异常处理类
zongzhibin117的博客
09-15 570
http.exceptionHandling().authenticationEntryPoint( new AuthenticationEntryPoint() ).
SpringBoot+Spring security自定义登录校验
niuxingfan123的博客
01-21 1446
springboot项目中使用Spring security做安全管理,自定义校验方法。 1. 自定义WebSecurityConfig 继承WebSecurityConfigurerAdapter,重写configure方法,注入自定义校验bean @Override protected void configure(AuthenticationManagerBuilder auth) thro...
基于SpringSecurity+JWT的微服务鉴权解决方案
zquwei的博客
05-05 1162
基于SpringSecurity+JWT的微服务鉴权解决方案 背景 公司一旧项目权鉴改造 达到目的 任意一端登录(web、app、h5)后可以携带对应的token 来请求访问后台服务资源。 #### 传统认证流程: 互联网服务离不开用户认证。一般流程是下面这样: 用户向服务器发送用户名和密码 服务器验证通过后,在当前对话(session)里面保存相关数据,比如用户角色、登录时间等等 服务器向用户返回一个 session_id,写入用户的 Cookie。 用户随后的每一次请求,都会通过 Cookie,将 s
SpringSecurity实现登录和自定义权限认证
qq_49721447的博客
12-07 4208
springboot整合SpringSecurity实现登录和自定义权限认证
SpringSecurity自定义权限校验(三)
臆想的一只猫
04-15 1340
INSERT INTO `tb_resource` VALUES (5, '登录权限', 'all:login'); INSERT INTO `tb_resource` VALUES (6, '登出权限', 'all:logout'); INSERT INTO `tb_resource` VALUES (7, '错误逻辑显示权限', 'all:error'); INSERT INTO `tb_resource` VALUES (8, '入口页面显示权限', 'all:toMain'); INSERT IN.
spring security实现表单登录以及自定义URL权限认证
coolwind的博客
03-03 5537
本文主要介绍怎么快速搭建一个带spring security安全认证的应用,其他基础介绍,基本操作,内容原理略过,着重介绍实现步骤,如需详细了解请阅读相关文档。 0.环境 jdk 1.8 spring boot MySQL 5 需要准备5张表: 以上为5张表需要的字段,可根据实际需求变更 1.引入spring security 创建一个spring boot工程,在pom....
spring boot整合spring security实现权限校验和控制(一)--初步入门
意田天的博客
10-29 1万+
引言 ##权限校验框架分类 目前常用的权限校验框架主要有appache的shiro框架和springsecurity框架, 这两个各有优缺点, shiro: Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理(: spring boot集成shiro链接.) security: spring security属于spring的几个顶级项目之一, 和他并列的有spring cloud等, 是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解
5.Spring Security 自定义异常
Z17839935459的博客
06-23 661
Spring Security中的异常主要分为两大类:一类是认证异常,另一类是授权相关的异常 说的通俗点: 一个是你去买票,你要提供身份证信息,才能买(也就是认证),一个是买到了票,你根据你的座位入座,否则不能入座(也就是权限) 对应到浏览器报的错误:前者是401,后者是403 代码我们去实现的话,思路就很明了了,我们只需要实现两个类,一个去捕获登陆时发生的错误,一个去捕获权限认证时发生的错误,再把两个类加到登陆配置类 里面就好了。 登陆异常捕获类 public class Simpl...
SpringBoot 3.2.0 基于Spring Security+JWT实现动态鉴权
大橘的博客
12-25 2087
基于SpringBoot3.2.0+Spring Security 6.2.0+JWT实现动态鉴权。完全基于Spring Security6.x的新配置方式,丝滑接入。
springsecurity 自定义校验
05-19
自定义校验方式可以通过继承`WebSecurityConfigurerAdapter`类,重写其中的`configure(HttpSecurity http)`方法,通过`.antMatchers().permitAll()`或`.antMatchers().hasAuthority()`等方法设置不同的URL访问权限,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值