SpringSecurity权限管理

最新推荐文章于 2024-09-04 11:02:55 发布
最新推荐文章于 2024-09-04 11:02:55 发布
阅读量762 收藏 3
点赞数
分类专栏: java 文章标签: springsecurity springmvc教程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/panleiaiying/article/details/70596554
版权

登录拦截

流程:
用户登陆,会被AuthenticationProcessingFilter拦截,调用AuthenticationManager的实现,而且AuthenticationManager会调用ProviderManager来获取用户验证信息(不同的Provider调用的服务不同,因为这些信息可以是在数据库上,可以是在LDAP服务器上,可以是xml配置文件上等),如果验证通过后会将用户的权限信息封装一个User放到spring的全局缓存SecurityContextHolder中,以备后面访问资源时使用。

Created with Raphaël 2.1.0 login login AuthenticationProcessingFilter AuthenticationProcessingFilter AuthenticationManager AuthenticationManager ProviderManager ProviderManager User(包含权限) User(包含权限) 登陆过滤 被实现 调用 返回用户验证信息 验证通过

ProvideManager 根据用户名返回对应的角色权限信息
配置方式:

<authentication-manager alias="authenticationManager">  
  <authentication-provider user-service-ref="myUserDetailService">  
      <!--如果用户的密码采用加密的话 <password-encoder hash="md5" /> -->  
  </authentication-provider>  
</authentication-manager>

代码:

/**
 * @author PL
 * 验证配置,认证管理器,实现用户认证的入口
 */
public class MyUserDetailService implements UserDetailsService {
    /**
     *  登陆验证时,通过username获取用户的所有权限信息,  
     *  并返回User放到spring的全局缓存SecurityContextHolder中,以供授权器使用  
     */
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        Collection<GrantedAuthority> auths=new ArrayList<GrantedAuthority>();   
        //GrantedAuthorityImpl auth2=new GrantedAuthorityImpl("ROLE_ADMIN");   
        GrantedAuthorityImpl auth1=new GrantedAuthorityImpl("ROLE_USER");   
        if(username.equals("admin")){   
            auths=new ArrayList<GrantedAuthority>();   
            auths.add(auth1);  
          //  auths.add(auth2);        
        }       
        User user = new User(username, "admin", true, true, true, true, auths);  
        System.out.println("--------UserDetailService:"+JSONObject.toJSONString(user));
        return user;    
    }

登录资源访问拦截

流程:
访问url时,会通过AbstractSecurityInterceptor拦截器拦截,其中会调用FilterInvocationSecurityMetadataSource的方法来获取被拦截url所需的全部权限,在调用授权管理器AccessDecisionManager,这个授权管理器会通过spring的全局缓存SecurityContextHolder获取用户的权限信息,还会获取被拦截的url和被拦截url所需的全部权限,然后根据所配的策略(有:一票决定,一票否定,少数服从多数等),如果权限足够,则返回,权限不够则报错并调用权限不足页面。

加载所有URL对应的角色:

Created with Raphaël 2.1.0 AbstractSecurityInterceptor AbstractSecurityInterceptor securityMetadataSource securityMetadataSource AccessDecisionManager授权管理器 AccessDecisionManager授权管理器 beforeInvocation()调用 加载所有URL和权限,通过getAttibbte()获取 afterInvocation(token, null)调用;

授权管理:

Created with Raphaël 2.1.0 AbstractSecurityInterceptor AbstractSecurityInterceptor AccessDecisionManager AccessDecisionManager SecurityContextHolder(spring全局缓存) SecurityContextHolder(spring全局缓存) afterInvocation(token, null)调用; 用户信息 decide()表决,没通过抛出异常

完整代码:

SpringSecurity.xml:

<?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns="http://www.springframework.org/schema/security"
    xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://www.springframework.org/schema/beans
    http://www.springframework.org/schema/beans/spring-beans.xsd
    http://www.springframework.org/schema/security
    http://www.springframework.org/schema/security/spring-security.xsd">

    <!-- 配置不过滤的资源(静态资源及登录相关) -->
    <http pattern="/**/*.css" security="none"></http>
    <http pattern="/**/*.jpg" security="none"></http>
    <http pattern="/**/*.jpeg" security="none"></http>
    <http pattern="/**/*.gif" security="none"></http>
    <http pattern="/**/*.png" security="none"></http>
    <http pattern="/js/*.js" security="none"></http>
    <http pattern="/login.jsp" security="none"></http>
    <http pattern="/getCode" security="none" /><!-- 不过滤验证码 -->
    <http pattern="/test/**" security="none"></http><!-- 不过滤测试内容 -->

    <http auto-config='true'  >
        <intercept-url pattern="/login.jsp" access="IS_AUTHENTICATED_ANONYMOUSLY" />
        <intercept-url pattern="/main.jsp" access="ROLE_ADMIN" />
        <intercept-url pattern="/**" access="ROLE_USER" />
        <form-login login-page="/login.jsp" />
        <custom-filter ref="myFilter" before="FILTER_SECURITY_INTERCEPTOR" />
    </http>

    <!--一个自定义的filter,必须包含 authenticationManager,accessDecisionManager,securityMetadataSource三个属性, 
        我们的所有控制将在这三个类中实现,解释详见具体配置 -->
    <beans:bean id="myFilter"
        class="cn.panlei.springsecurity.service.MyFilterSecurityInterceptor">
        <beans:property name="authenticationManager" ref="authenticationManager" />
        <beans:property name="accessDecisionManager" ref="myAccessDecisionManagerBean" />
        <beans:property name="securityMetadataSource" ref="securityMetadataSource" />
    </beans:bean>

    <!--验证配置,认证管理器,实现用户认证的入口,主要实现UserDetailsService接口即可 -->  
    <authentication-manager alias="authenticationManager">  
        <authentication-provider user-service-ref="myUserDetailService">  
            <!--如果用户的密码采用加密的话 <password-encoder hash="md5" /> -->  
        </authentication-provider>  
    </authentication-manager>  
    <!--在这个类中,你就可以从数据库中读入用户的密码,角色信息,是否锁定,账号是否过期等 -->  
    <beans:bean id="myUserDetailService" class="cn.panlei.springsecurity.service.MyUserDetailService" />  
    <!--访问决策器,决定某个用户具有的角色,是否有足够的权限去访问某个资源 -->  
    <beans:bean id="myAccessDecisionManagerBean" 
        class="cn.panlei.springsecurity.service.MyAccessDecisionManager">  
    </beans:bean>  
    <!--资源源数据定义,将所有的资源和权限对应关系建立起来,即定义某一资源可以被哪些角色访问 -->  
    <beans:bean id="securityMetadataSource" 
        class="cn.panlei.springsecurity.service.MyInvocationSecurityMetadataSource" />   
</beans:beans>

MyUserDetailService.java

import java.util.ArrayList;
import java.util.Collection;

import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.GrantedAuthorityImpl;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;

import com.alibaba.fastjson.JSONObject;
/**
 * @author PL
 * 验证配置,认证管理器,实现用户认证的入口
 */
public class MyUserDetailService implements UserDetailsService {
    /**
     *  登陆验证时,通过username获取用户的所有权限信息,  
     *  并返回User放到spring的全局缓存SecurityContextHolder中,以供授权器使用  
     */
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        Collection<GrantedAuthority> auths=new ArrayList<GrantedAuthority>();   
        //GrantedAuthorityImpl auth2=new GrantedAuthorityImpl("ROLE_ADMIN");   
        GrantedAuthorityImpl auth1=new GrantedAuthorityImpl("ROLE_USER");   
        if(username.equals("admin")){   
            auths=new ArrayList<GrantedAuthority>();   
            auths.add(auth1);  
          //  auths.add(auth2);        
        }       
        User user = new User(username, "admin", true, true, true, true, auths);  
        System.out.println("--------UserDetailService:"+JSONObject.toJSONString(user));
        return user;    
    }
}

MyFilterSecurityInterceptor.java

/**
 * 
 * @author PL
 *
 *  资源访问是进行拦截
 */
public class MyFilterSecurityInterceptor extends AbstractSecurityInterceptor implements Filter {

    // 配置文件注入
    private FilterInvocationSecurityMetadataSource securityMetadataSource;

    // 登陆后,每次访问资源都通过这个拦截器拦截
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {
        FilterInvocation fi = new FilterInvocation(request, response, chain);
        invoke(fi);
    }

    public FilterInvocationSecurityMetadataSource getSecurityMetadataSource() {
        return this.securityMetadataSource;
    }

    public Class<? extends Object> getSecureObjectClass() {
        return FilterInvocation.class;
    }

    public void invoke(FilterInvocation fi) throws IOException, ServletException {
        // fi里面有一个被拦截的url
        // 里面调用MyInvocationSecurityMetadataSource的getAttributes(Object object)这个方法获取fi对应的所有权限
        // object)这个方法获取fi对应的所有权限
        // 再调用MyAccessDecisionManager的decide方法来校验用户的权限是否足够
        InterceptorStatusToken token = super.beforeInvocation(fi);
        try {
            // 执行下一个拦截器
            fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
        } finally {
            super.afterInvocation(token, null);
        }
    }

    public SecurityMetadataSource obtainSecurityMetadataSource() {
        return this.securityMetadataSource;
    }

    public void setSecurityMetadataSource(FilterInvocationSecurityMetadataSource newSource) {
        this.securityMetadataSource = newSource;
    }

    public void destroy() {
    }

    public void init(FilterConfig arg0) throws ServletException {
    }
}

MyAccessDecisionManager .java 表决器

public class MyAccessDecisionManager implements AccessDecisionManager {

    public void decide(Authentication authentication, Object object, Collection<ConfigAttribute> configAttributes)
            throws AccessDeniedException, InsufficientAuthenticationException {
        System.out.println("进入AccessDecisionManager:"+authentication);
        if (configAttributes == null) {
            return;
        }

        Iterator<ConfigAttribute> ite = configAttributes.iterator();
        while (ite.hasNext()) {
            ConfigAttribute ca = ite.next();
            String needRole = ((SecurityConfig) ca).getAttribute();
            for (GrantedAuthority ga : authentication.getAuthorities()) {
                if (needRole.equals(ga.getAuthority())) {

                    return;
                }
            }
        }
        // 注意:执行这里,后台是会抛异常的,但是界面会跳转到所配的access-denied-page页面
        throw new AccessDeniedException("no right");
    }

    public boolean supports(ConfigAttribute attribute) {
        // TODO Auto-generated method stub
        return true;
    }

    public boolean supports(Class<?> clazz) {
        // TODO Auto-generated method stub
        return true;
    }

}

MyInvocationSecurityMetadataSource.java

/**
 * 
 * @author PL
 * 
 *  资源源数据定义,将所有的资源和权限对应关系建立起来,即定义某一资源可以被哪些角色访问
 *
 */
public class MyInvocationSecurityMetadataSource implements FilterInvocationSecurityMetadataSource {

    protected final Log logger = LogFactory.getLog(getClass());
    //将所有的角色和url的对应关系缓存起来  
    //private static List<RoleUrlResource> rus = null;  
    private UrlMatcher urlMatcher = new AntUrlPathMatcher();
    private static Map<String, Collection<ConfigAttribute>> resourceMap = null;

    // tomcat启动时实例化一次
    public MyInvocationSecurityMetadataSource() {
        loadResourceDefine();
    }

    // tomcat开启时加载一次,加载所有url和权限(或角色)的对应关系
    private void loadResourceDefine() {
        resourceMap = new HashMap<String, Collection<ConfigAttribute>>();
        Collection<ConfigAttribute> atts = new ArrayList<ConfigAttribute>();
        ConfigAttribute ca = new SecurityConfig("ROLE_ADMIN");
        atts.add(ca);
        resourceMap.put("/index.jsp", atts);
        Collection<ConfigAttribute> attsno = new ArrayList<ConfigAttribute>();
        ConfigAttribute cano = new SecurityConfig("ROLE_NO");
        attsno.add(cano);
        resourceMap.put("/other.jsp", attsno);
        System.out.println("---------FilterInvocationSecurityMetadataSource"+JSONObject.toJSONString(resourceMap));
    }

    // 参数是要访问的url,返回这个url对于的所有权限(或角色)
    public Collection<ConfigAttribute> getAttributes(Object object) throws IllegalArgumentException {

        /*String url = ((FilterInvocation) object).getRequestUrl();

        // 查询所有的url和角色的对应关系
        if (rus == null) {
            rus = roleUrlDao.findAll();
        }

        // 匹配所有的url,并对角色去重
        Set<String> roles = new HashSet<String>();
        for (RoleUrlResource ru : rus) {
            if (urlMatcher.pathMatchesUrl(ru.getUrlResource().getUrl(), url)) {
                roles.add(ru.getRole().getRoleName());
            }
        }
        Collection<ConfigAttribute> cas = new ArrayList<ConfigAttribute>();
        for (String role : roles) {
            ConfigAttribute ca = new SecurityConfig(role);
            cas.add(ca);
        }
        return cas;*/

        // 将参数转为url
        //logger.info("getAttributes"+JSONObject.toJSONString(object));
        // 将参数转为url      
        String url = ((FilterInvocation)object).getRequestUrl();     
        Iterator<String>ite = resourceMap.keySet().iterator();   
        while (ite.hasNext()) {           
            String resURL = ite.next();    
            if (urlMatcher.pathMatchesUrl(resURL, url)) {   
                return resourceMap.get(resURL);           
                }         
            }   
        return null;
    }

    public boolean supports(Class<?> clazz) {
        return true;
    }

    public Collection<ConfigAttribute> getAllConfigAttributes() {
        return null;
    }

}

UrlMatcher.java

public interface UrlMatcher {
    Object compile(String paramString);  
    boolean pathMatchesUrl(Object paramObject, String paramString);  
    String getUniversalMatchPattern();   
    boolean requiresLowerCaseUrl();  
}

获取用户输入的密码:UsernamePasswordAuthenticationFilter

今夕何年-
关注
专栏目录
【第七篇】SpringSecurity中的权限管理
m0_67403272的博客
05-15 3511
SpringSecurity中的权限管理 SpringSecurity是一个权限管理框架,核心是认证和授权,前面已经系统的给大家介绍过了认证的实现和源码分析,本文重点来介绍下权限管理这块的原理。 一、权限管理的实现 服务端的各种资源要被SpringSecurity权限管理控制我们可以通过注解和标签两种方式来处理。 放开了相关的注解后我们在Controller中就可以使用相关的注解来控制了 /** * JSR250 */ @Controller @RequestMapping("/user") pu.
spring security权限管理
04-18
在"spring security权限管理"这个主题中,我们将深入探讨如何利用Spring Security来实现复杂而灵活的权限控制。 首先,`MyUser.java`可能是自定义的用户实体类,它通常会包含用户的基本信息,如用户名、密码、角色...
Spring Security3实践总结
一条宝鱼的专栏
06-03 1362
在线项目最近要对管理系统进行细粒度的权限控制,细化到URL级别。Spring Security3在这个时候引入到了系统总来。Spring Security3的学习曲线并不是非常的平坦。现在将使用场景和使用方法总结如下。 一、需求        做项目肯定要从项目背景和需求谈起。这个在线项目的背景和需求如下: 该项目为一个对外网开发的管理系统,系统功能丰富,需要将系统的功能进行切分
Spring security权限管理
weixin_47072986的博客
04-02 3987
Spring Security是一个高度自定义的安全框架。利用Spring IoC/DI和AOP功能,为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。​ 使用Spring Secruity的原因有很多,但大部分都是发现了javaEE的Servlet规范或EJB规范中的安全功能缺乏典型企业应用场景。同时认识到他们在WAR或EAR级别无法移植。因此如果你更换服务器环境,还有大量工作去重新配置你的应用程序。
话说Spring Security权限管理(源码详解)
08-31
权限管理Spring Security的核心功能之一,它确保只有具有相应权限的用户才能访问特定的资源或执行特定的操作。在Spring Security中,权限管理的实现涉及到多个组件,如`AccessDecisionManager`、`...
Spring Security权限管理
Leon_Jinhai_Sun的博客
05-03 801
基本上涉及到用户参与的系统都要进行权限管理权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。 权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。 ...
spring security 权限管理
qq_56895799的博客
05-21 1975
spring security 的核心功能主要包括: 认证 (你是谁) 授权 (你能干什么) 攻击防护 (防止伪造身份) 其核心就是一组过滤器链,项目启动后将会自动配置。最核心的就是 Basic Authentication Filter 用来认证用户的身份,一个在spring security中一种过滤器处理一种认证方式。 一、配置加入spring security 在pom文件中加入依赖 <dependency> <gro...
spring security 登录、权限管理配置
08-13
登录流程 1)容器启动(MySecurityMetadataSource:loadResourceDefine加载系统资源与权限列表) 2)用户发出请求 3)过滤器拦截(MySecurityFilter:doFilter) 4)取得请求资源所需权限(MySecurityMetadataSource:getAttributes) 5)匹配用户拥有权限和请求权限(MyAccessDecisionManager:decide),如果用户没有相应的权限, 执行第6步,否则执行第7步。 6)登录 7)验证并授权(MyUserDetailServiceImpl:loadUserByUsername) 内附完整数据库
基于springsecurity+springmvc+spring+hibernate的权限管理系统(免积分)
01-16
基于springsecurity+springmvc+spring+hibernate的权限管理系统,实现资源、用户、权限、角色的增删改查,角色-资源管理,用户-角色管理等基础功能,可以作为springmvc+spring+hibernate的增删改查入门项目,也可以对spring-security简单了解,界面使用bootstrap3,非常简洁,免积分
springsecurity权限管理
lanlan112233的博客
03-23 253
是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在 Spring 应用上下文中配置的 Bean,充分利用了 Spring IoC(Inversion of Control 控制反转),DI(Dependency Injection 依赖注入)和 AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
SpringSecurity_权限管理
PIKapikaaaa的博客
07-05 687
SpringSecurity_权限管理的理解与简单应用
SpringSecurity权限控制
qq_61544409的博客
03-21 7791
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。 正如你可能知道的关于安全方面的两个核心功能是“认证”和“授权”,一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分,这两点也是 SpringSecurity 重要核心功
13.Spring security权限管理
热门推荐
EdSheeran的博客
04-14 1万+
文章目录*权限管理**13.1什么是权限管理**13.2Spring security权限管理策略**13.3核心概念**13.3.1角色与权限**13.3.2角色继承**13.3.3两种处理器**13.3.4前置处理器**投票器**决策器**13.3.5后置处理器**13.3.6权限元数据**`ConfigAttribute`**`SecurityMetadataSource`**13.3.7权限表达式**`SecurityExpressionRoot`**`WebSecurityExpressionRo
使用springSecurity进行权限管理
weixin_44203609的博客
08-06 228
1、加入所需要的依赖 <!-- SpringSecurity 对 Web 应用进行权限管理 --> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-web</artifactId> <version>
Spring Security源码分析一:Spring Security认证过程
weixin_34138377的博客
01-03 250
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了...
Spring Security 安全权限管理实战指南
最新发布
weixin_36047538的博客
09-04 1016
本文还有配套的精品资源,点击获取 简介:本手册深入探讨了如何在Spring框架中利用Spring Security实现安全权限管理。涵盖认证、授权、HTTP安全等核心概念,包括表单登录、令牌登录、OAuth2认证和CSRF防护等。详细介绍了访问控制、过滤器链的自定义,以及在分布式系统中的应用。同时提供配置指导和实战案例,帮助开发者构建安全的Spring应用。 1....
Spring Security权限管理实战教程
"Spring security是Java应用中广泛使用的安全框架,用于实现高级的权限管理和认证机制。本示例将深入探讨如何使用Spring security来构建一个权限管理系统。" 在Spring security实现权限管理的过程中,主要包括以下...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值