Spring Security教程(11)---- 使用数据库来管理资源

最新推荐文章于 2023-06-06 10:50:49 发布
最新推荐文章于 2023-06-06 10:50:49 发布
阅读量545 收藏
点赞数
分类专栏: java SpringSecurity 文章标签: java spring security

这个可以说是SpringSecurity最核心的东西,在项目中资源很多肯定不能一一配置到配置文件中,所以用数据库来管理资源是必然的。这个也很容易实现。表结构已经在之前都创建过了。

首先我们要来从数据库中获取到资源与权限的对应列表,这个在dao层实现即可需要获取到url地址和AUTH_**这种权限标识,注意:不是权限ID和资源ID。

[java] view plain copy 在CODE上查看代码片 派生到我的代码片
  1. public List<Map<String,String>> getURLResourceMapping(){  
  2.     String sql = "SELECT S3.RESOURCE_PATH,S2.AUTHORITY_MARK FROM SYS_AUTHORITIES_RESOURCES S1 "+  
  3.             "JOIN SYS_AUTHORITIES S2 ON S1.AUTHORITY_ID = S2.AUTHORITY_ID "+  
  4.             "JOIN SYS_RESOURCES S3 ON S1.RESOURCE_ID = S3.RESOURCE_ID S3.RESOURCE_TYPE='URL' ORDER BY S3.PRIORITY DESC";  
  5.       
  6.     List<Map<String,String>> list = new ArrayList<Map<String,String>>();  
  7.       
  8.     Query query = this.entityManager.createNativeQuery(sql);  
  9.     List<Object[]> result = query.getResultList();  
  10.     Iterator<Object[]> it = result.iterator();  
  11.       
  12.     while(it.hasNext()){  
  13.         Object[] o = it.next();  
  14.         Map<String,String> map = new HashMap<String,String>();  
  15.         map.put("resourcePath", (String)o[0]);  
  16.         map.put("authorityMark", (String)o[1]);  
  17.         list.add(map);  
  18.     }  
  19.       
  20.     return list;  
  21. }  
创建SecurityMetadataSource供过滤器使用,SecurityMetadataSource需要实现FilterInvocationSecurityMetadataSource
[java] view plain copy 在CODE上查看代码片 派生到我的代码片
  1. public class URLFilterInvocationSecurityMetadataSource implements  
  2.         FilterInvocationSecurityMetadataSource,InitializingBean {  
  3.   
  4.     protected final Log logger = LogFactory.getLog(getClass());  
  5.       
  6.     private final static List<ConfigAttribute> NULL_CONFIG_ATTRIBUTE = Collections.emptyList();  
  7.     //权限集合  
  8.     private Map<RequestMatcher, Collection<ConfigAttribute>> requestMap;  
  9.       
  10.     @Autowired  
  11.     private SysResourceRepository sysResourceRepository;  
  12.       
  13.     /* (non-Javadoc) 
  14.      * @see org.springframework.security.access.SecurityMetadataSource#getAttributes(java.lang.Object) 
  15.      */  
  16.     @Override  
  17.     public Collection<ConfigAttribute> getAttributes(Object object)  
  18.             throws IllegalArgumentException {  
  19.         final HttpServletRequest request = ((FilterInvocation) object).getRequest();  
  20.           
  21.         Collection<ConfigAttribute> attrs = NULL_CONFIG_ATTRIBUTE;  
  22.           
  23.         for (Map.Entry<RequestMatcher, Collection<ConfigAttribute>> entry : requestMap.entrySet()) {  
  24.             if (entry.getKey().matches(request)) {  
  25.                 attrs =  entry.getValue();  
  26.                 break;  
  27.             }  
  28.         }  
  29.         logger.info("URL资源:"+request.getRequestURI()+ " -> " + attrs);  
  30.         return attrs;  
  31.     }  
  32.   
  33.     /* (non-Javadoc) 
  34.      * @see org.springframework.security.access.SecurityMetadataSource#getAllConfigAttributes() 
  35.      */  
  36.     @Override  
  37.     public Collection<ConfigAttribute> getAllConfigAttributes() {  
  38.         Set<ConfigAttribute> allAttributes = new HashSet<ConfigAttribute>();  
  39.   
  40.         for (Map.Entry<RequestMatcher, Collection<ConfigAttribute>> entry : requestMap.entrySet()) {  
  41.             allAttributes.addAll(entry.getValue());  
  42.         }  
  43.   
  44.         return allAttributes;  
  45.     }  
  46.   
  47.     /* (non-Javadoc) 
  48.      * @see org.springframework.security.access.SecurityMetadataSource#supports(java.lang.Class) 
  49.      */  
  50.     @Override  
  51.     public boolean supports(Class<?> clazz) {  
  52.         return FilterInvocation.class.isAssignableFrom(clazz);  
  53.     }  
  54.       
  55.     private Map<String,String> loadResuorce(){  
  56.         Map<String,String> map = new LinkedHashMap<String,String>();  
  57.           
  58.         List<Map<String,String>> list = this.sysResourceRepository.getURLResourceMapping();  
  59.         Iterator<Map<String,String>> it = list.iterator();  
  60.         while(it.hasNext()){  
  61.             Map<String,String> rs = it.next();  
  62.             String resourcePath = rs.get("resourcePath");  
  63.             String authorityMark = rs.get("authorityMark");  
  64.               
  65.             if(map.containsKey(resourcePath)){  
  66.                 String mark = map.get("resourcePath");  
  67.                 map.put(resourcePath, mark+","+authorityMark);  
  68.             }else{  
  69.                 map.put(resourcePath, authorityMark);  
  70.             }  
  71.         }  
  72.         return map;  
  73.     }  
  74.       
  75.     protected Map<RequestMatcher, Collection<ConfigAttribute>> bindRequestMap(){  
  76.         Map<RequestMatcher, Collection<ConfigAttribute>> map =   
  77.                 new LinkedHashMap<RequestMatcher, Collection<ConfigAttribute>>();  
  78.           
  79.         Map<String,String> resMap = this.loadResuorce();  
  80.         for(Map.Entry<String,String> entry:resMap.entrySet()){  
  81.             String key = entry.getKey();  
  82.             Collection<ConfigAttribute> atts = new ArrayList<ConfigAttribute>();  
  83.             atts = SecurityConfig.createListFromCommaDelimitedString(entry.getValue());  
  84.             map.put(new AntPathRequestMatcher(key), atts);  
  85.         }  
  86.           
  87.         return map;  
  88.     }  
  89.   
  90.     /* (non-Javadoc) 
  91.      * @see org.springframework.beans.factory.InitializingBean#afterPropertiesSet() 
  92.      */  
  93.     @Override  
  94.     public void afterPropertiesSet() throws Exception {  
  95.         this.requestMap = this.bindRequestMap();  
  96.         logger.info("资源权限列表"+this.requestMap);  
  97.     }  
  98.       
  99.     public void refreshResuorceMap(){  
  100.         this.requestMap = this.bindRequestMap();  
  101.     }  
  102.   
  103. }  
bindRequestMap需要在类初始化的时候就完成,但是这个不能写在构造函数中,因为构造函数执行是SysResourceRepository还没有注入过来。所以就通过实现InitializingBean把初始化操作放在afterPropertiesSet方法中。

getAllConfigAttributes:获取所有权限集合

getAttributes:根据request请求获取访问资源所需权限

代码很简单,很容易看懂,就不再多做解释,下面看配置文件

[html] view plain copy 在CODE上查看代码片 派生到我的代码片
  1. <sec:http auto-config="true" access-decision-manager-ref="accessDecisionManager">  
  2.       
  3.     <sec:access-denied-handler ref="accessDeniedHandler"/>  
  4.       
  5.     <sec:session-management invalid-session-url="/login.jsp" />  
  6.       
  7.     <sec:form-login login-page="/login.jsp"  
  8.         login-processing-url="/login.do"  
  9.         authentication-failure-url="/login.jsp"  
  10.         authentication-success-handler-ref="authenticationSuccessHandler"  
  11.     />  
  12.       
  13.     <sec:custom-filter ref="filterSecurityInterceptor" before="FILTER_SECURITY_INTERCEPTOR"/>  
  14.           
  15. </sec:http>  
  16.   
  17. <bean id="filterSecurityInterceptor" class="org.springframework.security.web.access.intercept.FilterSecurityInterceptor">  
  18.     <property name="accessDecisionManager" ref="accessDecisionManager" />  
  19.     <property name="authenticationManager" ref="authenticationManager" />  
  20.     <property name="securityMetadataSource" ref="securityMetadataSource" />  
  21. </bean>  
  22.   
  23. <bean id="securityMetadataSource"  
  24.     class="com.zrhis.system.security.URLFilterInvocationSecurityMetadataSource"/>  

通过配置custom-filter来增加过滤器,before="FILTER_SECURITY_INTERCEPTOR"表示在SpringSecurity默认的过滤器之前执行。

FilterSecurityInterceptor还用SpringSecurity默认的就可以了,这个是没有必要自己写的只要在SecurityMetadataSource处理好资源与权限的对应关系就可以了。

到此为止SpringSecurity框架已基本完善,可以说在项目中用已经没什么问题了。

pingyan158
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Boot Security 详解
程序员果果的博客
03-20 463
简介 Spring Security,这是一种基于 Spring AOP 和 Servlet 过滤器的安全框架。它提供全面的安全性解决方案,同时在 Web 请求级和方法调用级处理身份确认和授权。 工作流程 从网上找了一张Spring Security 的工作流程图,如下。 图中标记的MyXXX,就是我们项目中需要配置的。 快速上手 建表 表结构 建表语句 DROP TABLE IF EXIST...
java使用spirng框架之spring security
sumengnan的博客
10-11 469
spring security 核心功能 认证 授权 攻击防护 使用 引入pom依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 有两种授权认证方式 基于内存 基于数据库 一、基于内存的认证 1
别再用过时的方式了!全新版本Spring Security,这样用才够优雅!
m0_67698950的博客
06-20 2694
首先修改项目的文件,把Spring Boot版本升级至版本。 旧用法 在Spring Boot 2.7.0 之前的版本中,我们需要写个配置类继承,然后重写Adapter中的三个方法进行配置; 如果你在SpringBoot 2.7.0版本中进行使用的话,你就会发现已经被弃用了,看样子Spring Security要坚决放弃这种用法了!新用法非常简单,无需再继承,只需直接声明配置类,再配置一个生成Bean的方法,把原来的HttpSecurity配置移动到该方法中即可。 新用法感觉非常简洁干脆,避免
Spring Security : 概念模型 SecurityMetadataSource
Details Inside Spring
06-23 5315
概述 介绍 SecurityMetadataSource是Spring Security的一个概念模型接口。用于表示对受权限保护的"安全对象"的权限设置信息。一个该类对象可以被理解成一个映射表,映射表中的每一项包含如下信息 : * 安全对象 * 安全对象所需权限信息 围绕该映射表,SecurityMetadataSource 定义了如下方法 : Collection<ConfigAttri...
Spring Security怎么给方法配置权限的?
bangiao的博客
06-06 1440
目前在Spring Boot中基于方法的权限管理主要是通过注解来实现,我们需要通过:开启Spring Security提供的四个权限注解,以及@PreFilter,这四个注解支持权限表达式,功能比较丰富。:开启Spring Security提供的@Secured注解,该注解不支持权限表达式。:开启JSR-250提供的注解,主要包括@DenyAll@PermitAll以及三个注解,这些注解也不支持权限表达式。:在目标方法执行之后进行权限校验。:在目标方法执行之后对方法的返回结果进行过滤。
SpringSecurity-数据库认证-简单授权
最新发布
06-03
在这个“SpringSecurity-数据库认证-简单授权”的主题中,我们将深入探讨如何结合SpringSecurity数据库来实现用户身份验证和权限管理。 首先,我们需要理解SpringSecurity的核心组件。`Authentication`代表认证,...
spring-Security-oauth2.zip
05-26
本压缩包文件“spring-Security-oauth2.zip”很可能包含一系列关于如何在Spring Security中集成和配置OAuth2的教程、示例代码或文档。 1. **OAuth2 概述** OAuth2 是一种授权协议,它允许用户授权第三方应用访问其...
spring-security-demo.zip
08-10
在"spring-security-demo.zip"的项目中,开发者可能会展示如何配置以上各种功能,通过代码和配置文件来解释如何在实际项目中实施Spring Security。这个示例对于学习和理解Spring Security的工作原理以及如何在实际...
ssm-spring-security-Aop.zip
09-05
【描述】"ssm-spring-security-安全登入-aop日志入数据库" 描述的是一个项目或教程,它演示了如何在SSM框架中整合Spring Security以提供用户安全登录功能,并且结合AOP(面向切面编程)来实现对系统操作的全面日志...
spring-security-material-master.zip
09-24
本资料“spring-security-material-master.zip”显然是一份关于Spring Security教程材料,特别关注的是在Spring Boot环境下如何配置和使用Spring Security来保护静态资源。 在Spring Boot集成Spring Security时,...
Spring Security API: SecurityMetadataSource
dengdeying的博客
12-29 418
文章目录SecurityMetadataSourceDeclaredClass JdocgetAttributesDeclaredMethod JdocgetAllConfigAttributesDeclaredMethod JdocsupportsDeclared SecurityMetadataSource Declared package org.springframework.securi...
Spring Security系列四 自定义决策管理器(动态权限码)
程序猿开发日志【学习永无止境】
01-13 3326
前言 前面我们已经实现了用户的自定义登录及密码的加密,接下来就是动态的权限验证了,也就是实现Spring Security的决策管理器AccessDecisionManager。 权限资源 SecurityMetadataSource 要实现动态的权限验证,当然要先有对应的访问权限资源了。Spring Security是通过SecurityMetadataSource来加载访
SpringBoot 2整合SpringSecurity权限管理(五)基于数据库的角色授权
The man was lazy and left no message
03-19 829
本篇文章部分参考了https://www.ktanx.com/blog/p/4929 前言 上一篇文章中,我们已经实现了基于数据库的用户认证,接下来要做的就是基于数据库的角色授权,即动态的权限验证,实现Spring Security的决策管理器AccessDecisionManager。 要实现动态的权限验证,当然要先有对应的访问权限资源了。Spring Security是通过Security...
Spring Security教程(五):自定义过滤器从数据库从获取资源信息
dichengyan0013的博客
11-19 335
在之前的几篇security教程中,资源和所对应的权限都是在xml中进行配置的,也就在http标签中配置intercept-url,试想要是配置的对象不多,那还好,但是平常实际开发中都往往是非常多的资源和权限对应,而且写在配置文件里面写改起来还得该源码配置文件,这显然是不好的。因此接下来,将用数据库管理资源和权限的对应关系。数据库还是接着之前的,用mysql数据库,因此也不用另外引...
springboot+spring security + mybatis 从数据库动态地配置访问权限(小案例)
怪老四的博客
03-18 1078
自定义的访问决策管理需要实现AccessDecisionManager,supports方法需要返回 true,提供支持。decide方法中,authentication代表登录用户的认证信息, configAttributes是从MyFilter中返回的根据请求路径查询的角色信息。此方法的目的就是为了决策,请求路径需要的角色信息,是否和登录用户所具备的角色信息是否匹配;如果不匹配抛出非法请求,否则return;放行。
Spring Boot2 总结(四) Spring Security 动态权限配置
09-15 1077
  使用HttpSecurity配置认证授权并不是很灵活,无法实现资源和角色之间的动态调整,要实现动态配置URL权限,开发者需要自定义权限配置。(结合总结三实现) 1.数据库设计   在总结三的基础上新增一张资源表和一张角色关联表,如下图所示,资源表中定义了用户能够访问的URL模式,资源角色表定义了访问该模式的URL需要什么样的角色。 2.自定义 FilterInvocationSecurityMetadataSource   要实现动态配置权限,首先自定义一个类实现FilterInvocationS
解决自定义securityMetadataSource不能使用依赖注入的问题,nullpointer问题,空指针问题
极品小肥羊的博客
07-12 6314
spring3,spring security,MySecurityMetadataSource,自定义securityMetadataSource,依赖注入,注解,注入,空指针异常,nullpointer,service 解决自定义securityMetadataSource不能使用依赖注入的问题,nullpointer问题,空指针问题  我在配置spring3和S
AG-Admin:Spring Cloud微服务框架实战指南
- **数据库管理**:了解MySQL或其他数据库使用和优化。 通过以上学习和实践,开发者可以快速上手AG-Admin,构建自己的微服务系统,并根据业务需求进行扩展和定制。同时,参与官方提供的QQ群和博客,可以获取最新...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值