Spring Security教程(12)---- 使用数据库来管理方法

最新推荐文章于 2023-03-16 17:23:16 发布
最新推荐文章于 2023-03-16 17:23:16 发布
阅读量869 收藏
点赞数
分类专栏: SpringSecurity java 文章标签: java spring security

这个稍微有一点复杂,我是通过AOP来实现的,前半部分跟上一章类似,主要在配置上有点不同

读取方法与权限对应列表DAO

[java] view plain copy 在CODE上查看代码片 派生到我的代码片
  1. public List<Map<String,String>> getMethodResourceMapping(){  
  2.     String sql = "SELECT S3.RESOURCE_PATH,S2.AUTHORITY_MARK FROM SYS_AUTHORITIES_RESOURCES S1 "+  
  3.             "JOIN SYS_AUTHORITIES S2 ON S1.AUTHORITY_ID = S2.AUTHORITY_ID "+  
  4.             "JOIN SYS_RESOURCES S3 ON S1.RESOURCE_ID = S3.RESOURCE_ID AND S3.RESOURCE_TYPE='METHOD' ORDER BY S3.PRIORITY DESC";  
  5.       
  6.     List<Map<String,String>> list = new ArrayList<Map<String,String>>();  
  7.       
  8.     Query query = this.entityManager.createNativeQuery(sql);  
  9.     List<Object[]> result = query.getResultList();  
  10.     Iterator<Object[]> it = result.iterator();  
  11.       
  12.     while(it.hasNext()){  
  13.         Object[] o = it.next();  
  14.         Map<String,String> map = new HashMap<String,String>();  
  15.         map.put("resourcePath", (String)o[0]);  
  16.         map.put("authorityMark", (String)o[1]);  
  17.         list.add(map);  
  18.     }  
  19.       
  20.     return list;  
  21. }  
这里只针对方法名拦截,对于同一个类中的同名方法统统作为一个方法拦截。如果需要更细粒度的拦截,即拦截到参数,请在完成这个内容之后自行进行深入的研究。

MethodKey用来做主键用的

[html] view plain copy 在CODE上查看代码片 派生到我的代码片
  1. public class MethodKey {  
  2.     private String className;  
  3.     private String methodName;  
  4.       
  5.     public MethodKey(){};  
  6.       
  7.     public MethodKey(String fullName){  
  8.         this.className = StringUtils.stripFilenameExtension(fullName);  
  9.         this.methodName = StringUtils.getFilenameExtension(fullName);  
  10.     };  
  11.       
  12.     public MethodKey(Method method) {  
  13.         super();  
  14.         this.className = method.getDeclaringClass().getName();  
  15.         this.methodName = method.getName();  
  16.     }  
  17.     public String getClassName() {  
  18.         return className;  
  19.     }  
  20.     public void setClassName(String className) {  
  21.         this.className = className;  
  22.     }  
  23.     public String getMethodName() {  
  24.         return methodName;  
  25.     }  
  26.     public void setMethodName(String methodName) {  
  27.         this.methodName = methodName;  
  28.     }  
  29.       
  30.     public String getFullMethodName(){  
  31.         return this.className + "." + this.methodName;  
  32.     }  
  33.       
  34.     @Override  
  35.     public boolean equals(Object obj) {  
  36.         if(!(obj instanceof MethodKey))return false;  
  37.           
  38.         MethodKey target = (MethodKey)obj;  
  39.           
  40.         if(this.className.equals(target.getClassName()) &&   
  41.                 this.methodName.equals(target.getMethodName()))return true;  
  42.           
  43.         return false;  
  44.     }  
  45.       
  46. }  
getDeclaringClass获取到的是接口,这里我们只拦截接口。

MethodSecurityMetadataSource

[java] view plain copy 在CODE上查看代码片 派生到我的代码片
  1. public class MethodSecurityMetadataSource extends  
  2.         AbstractMethodSecurityMetadataSource implements InitializingBean{  
  3.       
  4.     //protected Log logger = LogFactory.getLog(getClass());  
  5.       
  6.     private final static List<ConfigAttribute> NULL_CONFIG_ATTRIBUTE = Collections.emptyList();  
  7.       
  8.     private final static String RES_KEY = "resourcePath";  
  9.     private final static String AUTH_KEY = "authorityMark";  
  10.       
  11.     private Map<MethodKey, Collection<ConfigAttribute>> requestMap;  
  12.       
  13.     @Autowired  
  14.     private SysResourceRepository sysResourceRepository;  
  15.       
  16.     /** 
  17.      * 根据方法获取到访问方法所需要的权限 
  18.      * @param method 访问的方法 
  19.      * @param targetClass 方法所属的类 
  20.      */  
  21.     @Override  
  22.     public Collection<ConfigAttribute> getAttributes(Method method,  
  23.             Class<?> targetClass) {  
  24.         MethodKey key = new MethodKey(method);  
  25.         Collection<ConfigAttribute> attrs = NULL_CONFIG_ATTRIBUTE;  
  26.           
  27.         for (Map.Entry<MethodKey, Collection<ConfigAttribute>> entry : requestMap.entrySet()) {  
  28.             if (entry.getKey().equals(key)) {  
  29.                 attrs =  entry.getValue();  
  30.                 break;  
  31.             }  
  32.         }  
  33.         logger.info("METHOD资源:"+key.getFullMethodName()+ " -> " +attrs);  
  34.           
  35.         return attrs;  
  36.     }  
  37.   
  38.     /** 
  39.      * 获取到所有方法对应的权限集合 
  40.      */  
  41.     @Override  
  42.     public Collection<ConfigAttribute> getAllConfigAttributes() {  
  43.         Set<ConfigAttribute> allAttributes = new HashSet<ConfigAttribute>();  
  44.   
  45.         for (Map.Entry<MethodKey, Collection<ConfigAttribute>> entry : requestMap.entrySet()) {  
  46.             allAttributes.addAll(entry.getValue());  
  47.         }  
  48.   
  49.         return allAttributes;  
  50.     }  
  51.   
  52.     /** 
  53.      * 初始化方法权限对应集合,绑定方法权限集合 
  54.      */  
  55.     @Override  
  56.     public void afterPropertiesSet() throws Exception {  
  57.         this.requestMap = this.bindRequestMap();  
  58.     }  
  59.       
  60.     /** 
  61.      * 从数据库中获取方法及权限对应信息 
  62.      * @return 
  63.      */  
  64.     private Map<String,String> loadMehod(){  
  65.         Map<String,String> resMap = new LinkedHashMap<String, String>();  
  66.         List<Map<String,String>> list = this.sysResourceRepository.getMethodResourceMapping();  
  67.           
  68.         for(Map<String,String> map : list){  
  69.             String resourcePath = map.get(RES_KEY);  
  70.             String authorityMark = map.get(AUTH_KEY);  
  71.               
  72.             if(resMap.containsKey(resourcePath)){  
  73.                 String mark = resMap.get(resourcePath);  
  74.                 resMap.put(resourcePath, mark+","+authorityMark);  
  75.             }else{  
  76.                 resMap.put(resourcePath, authorityMark);  
  77.             }  
  78.         }  
  79.           
  80.         return resMap;  
  81.     }  
  82.       
  83.     /** 
  84.      * 封装从数据库中获取的方法权限集合 
  85.      * @return 
  86.      */  
  87.     public Map<MethodKey, Collection<ConfigAttribute>> bindRequestMap(){  
  88.         Map<MethodKey, Collection<ConfigAttribute>> resMap =   
  89.                 new LinkedHashMap<MethodKey, Collection<ConfigAttribute>>();  
  90.           
  91.         Map<String,String> map = this.loadMehod();  
  92.         for(Map.Entry<String, String> entry : map.entrySet()){  
  93.             MethodKey key = new MethodKey(entry.getKey());  
  94.             Collection<ConfigAttribute> atts =   
  95.                     SecurityConfig.createListFromCommaDelimitedString(entry.getValue());  
  96.               
  97.             resMap.put(key, atts);  
  98.         }  
  99.           
  100.         return resMap;  
  101.     }  
  102.   
  103. }  
与资源的SecurityMetadataSource类似,只不过拦截方法的SecurityMetadataSource需要继承自AbstractMethodSecurityMetadataSource或实现MethodSecurityMetadataSource

具体配置

[html] view plain copy 在CODE上查看代码片 派生到我的代码片
  1. <bean id="methodSecurityInterceptor"   
  2.     class="org.springframework.security.access.intercept.aopalliance.MethodSecurityInterceptor">  
  3.     <property name="accessDecisionManager" ref="accessDecisionManager" />  
  4.     <property name="authenticationManager" ref="authenticationManager" />  
  5.     <property name="securityMetadataSource" ref="methodSecurityMetadataSource" />  
  6. </bean>  
  7.   
  8. <bean id="methodSecurityMetadataSource"  
  9.     class="com.zrhis.system.security.MethodSecurityMetadataSource" />  
  10.   
  11. <aop:config>  
  12.     <aop:pointcut id="sevicePointcut"   
  13.         expression="execution(* com.zrhis.**.service.*.*(..))"/>  
  14.     <aop:advisor advice-ref="methodSecurityInterceptor" pointcut-ref="sevicePointcut" order="1"/>  
  15. </aop:config>  

首先创建pointcut,pointcut是项目中的Service层。然后在advisor中配置拦截器及切面的对应关系

方法的拦截是通过AOP来实现的,方法的拦截到此结束有资源的拦截和方法的拦截基本上就能保证项目的权限能够灵活分配了。
pingyan158
关注
专栏目录
Spring Security使用数据库数据完成认证--练气后期2
qq_43788185的博客
09-05 127
写在前面 没错,这篇文章还是练气后期!但作者我相信筑基指日可待! 在前一篇文章当中,我们简单地分析了一下Spring Security的认证流程,知道了如果想要实现对自己用户数据(账户、角色、权限)的读取,需要实现UserDetailsService这个接口以及实现对应的loadUserByUsername 的方法,编写自己的业务逻辑。并在spring security的配置文件当中指定认证使用的业务对象 。 步骤 第一步:编写自己的User实体类 /** * @author 赖柄沣 bingfengde
Springboot整合SpringSecurity实现登录认证和鉴权
weixin_44068320的博客
08-12 9885
springboot整合springsecurity实现用户登录认证和鉴权
SpringBoot集成Spring Security(开启菜单权限验证)
m0_59805036的博客
03-16 614
springboot整合springsecurity完成认证和权限,通过from表单形式进行登录。
权限控制策略
m0_58466443的博客
02-17 518
50-52
Spring Security教程(11)---- 使用数据库管理资源
pingyan158的专栏
10-30 561
这个可以说是SpringSecurity最核心的东西,在项目中资源很多肯定不能一一配置到配置文件中,所以用数据库管理资源是必然的。这个也很容易实现。表结构已经在之前都创建过了。 首先我们要来从数据库中获取到资源与权限的对应列表,这个在dao层实现即可需要获取到url地址和AUTH_**这种权限标识,注意:不是权限ID和资源ID。 [java] view plaincopy
Spring Security教程(6)---- 使用数据库管理用户及权限
pingyan158的专栏
10-30 834
上一章已经把表结构上传了,今天这部分主要用到的表是 SYS_USERS  用户管理表SYS_ROLES  角色管理表SYS_AUTHORITIES权限管理表SYS_USERS_ROLES用户角色表SYS_ROLES_AUTHORITIES角色权限表 要实现使用数据库管理用户,需要自定义用户登录功能,而Spring已经为我们提供了接口UserDetailsServ
SpringSecurity-数据库认证-简单授权
最新发布
06-03
在这个“SpringSecurity-数据库认证-简单授权”的主题中,我们将深入探讨如何结合SpringSecurity数据库来实现用户身份验证和权限管理。 首先,我们需要理解SpringSecurity的核心组件。`Authentication`代表认证,...
spring-security-jwt-mysql:在spring引导中构建rest api,使用数据库mysql在spring security jwt中进行授权认证
02-04
Spring Boot(Maven)-Spring Security(注释)-JWT / MySql(授权,认证) 入门 需要JDK,弹簧靴,工作机。 先决条件 安装Spring Boot。 在环境变量中配置Java。 它是什么? 使用Spring Boot项目,Spring安全性。 ...
spring-security-material-master.zip
09-24
本资料“spring-security-material-master.zip”显然是一份关于Spring Security教程材料,特别关注的是在Spring Boot环境下如何配置和使用Spring Security来保护静态资源。 在Spring Boot集成Spring Security时,...
spring-boot-security-添加数据库-注册用户添加权限.zip
08-03
spring-boot-security-添加数据库-注册用户添加权限 spring-boot-security-添加数据库-注册用户添加权限 spring-boot-security-添加数据库-注册用户添加权限 spring-boot2.0
spring-Security-oauth2.zip
05-26
本压缩包文件“spring-Security-oauth2.zip”很可能包含一系列关于如何在Spring Security中集成和配置OAuth2的教程、示例代码或文档。 1. **OAuth2 概述** OAuth2 是一种授权协议,它允许用户授权第三方应用访问其...
SpringSecurity生成权限流程源码分析
HHoao的博客
05-03 616
SpringSecurity生成权限流程源码分析 自定义match路径, @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/lib/*", "/js/*").permitAll() //配置POST访问/users需要有ADMIN权限 .mvcMatc
Spring Security 实现 antMatchers 配置路径的动态获取
MrLee的博客
12-26 2448
2,实现 SecurityConfigAttributeLoader (这里也可以从数据库获取)
Spring Boot——配置Spring Security配置类DEMO
无限迭代中......
03-08 309
源代码 package club.zstuca.myzstu.filter; import club.zstuca.myzstu.entity.Resource; import club.zstuca.myzstu.entity.Role; import club.zstuca.myzstu.mapper.ResourceMapper; import org.springframework....
springSecurity自定义处理器基本配置
lc257的博客
11-19 416
springSecurity自定义处理器基本配置
软件测试实践干货 | 测试登录功能的思路与原理解析(基于 Spring Security
weixin_46635091的博客
11-23 555
本文为霍格沃兹测试学院优秀学员测试开发学习笔记,进阶学习文末加群。 登录功能对软件测试工程师可能是最常见却是最重要,也是最容易被忽视的测试场景。本文整理一些经验丰富的测试工程师总结的测试用例,并结合 Java Spring Security 框架来简单说下登录的测试方向思路和部分原理,供大家交流探讨。 登录测试方向 功能测试(基础) 输入已注册的用户名和正确的密码,验证是否登录成功; 输入已注册的用户名和不正确的密码,验证是否登录失败,并且提示信息正确; 输入未注册的用户名和任意密码,验证是否登录失败.
spring security 使用数据库管理资源
03-19
NULL 博文链接:https://zengguo1988.iteye.com/blog/704627
spring-security-web-extensions:Spring Security Web的扩展
04-29
Spring Security中,你可以利用`Spring Security OAuth2`模块实现OAuth2服务提供商的功能,或者使用`jjwt`库(Java JWT)集成JWT支持。这些扩展使得开发人员能够轻松地创建安全的RESTful API,它们为API请求提供...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值