Spring securty<九> 鉴权-自定义鉴权规则

最新推荐文章于 2024-01-19 13:37:02 发布
最新推荐文章于 2024-01-19 13:37:02 发布
阅读量997 收藏 1
点赞数 1
分类专栏: Spring securty 文章标签: spring spring boot java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_28410283/article/details/120435216
版权

Spring securty<九> 鉴权-自定义鉴权规则

文章目录


本地项目的基础环境

环境版本
jdk1.8.0_201
maven3.6.0
Spring-boot2.3.3.RELEASE

1、简介

spring security是一个提供身份验证、授权和防止常见攻击的框架,它对命令式和反应式应用程序都有一流的支持,是保护基于Spring的应用程序的事实上的标准。详细可以参看《spring security官网》

《Spring securty<一> 简介入门案例》

《Spring securty<二> 配置项详解》

《Spring securty<三> 认证案例代码》

《Spring securty<四> 认证的源码解析》

《Spring securty<五> 认证–帐号/邮箱/手机号+密码》

《Spring securty<六> 认证–手机号+验证码》

《Spring securty<七> 认证–匿名用户拦截器源码分析》

《Spring securty<八> 鉴权–框架默认鉴权案例代码》

2、特性

2.1、身份验证

springsecurity作为身份验证,身份验证是验证试图访问特定资源的用户的身份的方法。对用户进行身份验证的常见方法是要求用户输入用户名和密码。一旦执行身份验证,我们就知道身份并可以执行授权。

2.2、资源保护,防止跨站点请求伪造(CSRF)

springsecurity提供了针对常见漏洞利用的保护。只要可能,默认情况下都会启用保护。

3、自定义鉴权规则

在上一篇的编码过程中,可以看到,每次权限的过程中,都需要去配置,或者项目启动的时候,去查询数据库,然后预定义进到代码里;

antMatchers("/test").hasRole("test").anyRequest().hasAuthority("admin");

或者通过注解的形式,编码到具体的请求上,这样,每次新增权限,或者修改权限的时候,就要修改代码,或者重启项目预定义会在项目启动的时候,加载到代码里);这样的缺点也是非常明显的;

并且每次异常的时候,都是返回的系统的英文异常,需要返回中文的指定异常;

有没有,通过权限的页面,对角色或者用户授权后,不需要重启项目或者修改的代码的方法?当然有,这个就需要自定义鉴权规则了;

下面就开始代码的编写了

3.1、复制项目代码

复制《Spring securty<八> 鉴权–框架默认鉴权案例代码》中的案例代码badger-spring-security-7

3.2、创建鉴权的接口

import javax.servlet.http.HttpServletRequest;

import org.springframework.security.core.Authentication;

/**
 * 接口鉴权的方法
 * @author liqi
 */
public interface ResourcePermissionProcessor {

    boolean hasPermission(HttpServletRequest request, Authentication authentication);

}

3.3、鉴权接口的实现

package com.badger.spring.boot.security.config.access;

import java.util.Arrays;
import java.util.HashMap;
import java.util.List;
import java.util.Map;
import java.util.Optional;
import java.util.Set;

import javax.servlet.http.HttpServletRequest;

import org.springframework.security.authentication.AuthenticationServiceException;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.stereotype.Component;
import org.springframework.util.AntPathMatcher;

/**
 * 接口鉴权的方法
 * @author liqi
 */
@Component("resourcePermissionService")
public class ResourcePermissionService implements ResourcePermissionProcessor {

    private AntPathMatcher antPathMatcher = new AntPathMatcher();

    public static final Map<String, List<String>> AUTH_MAP = new HashMap<>();

    static {
        AUTH_MAP.put("admin", Arrays.asList("/admin"));
        AUTH_MAP.put("ROLE_test", Arrays.asList("/test"));
    }

    @Override
    public boolean hasPermission(HttpServletRequest request, Authentication authentication) {
        // 当前用户所具有的权限
        final Set<String> authorityListToSet = AuthorityUtils.authorityListToSet(authentication.getAuthorities());
        final String url = request.getRequestURI();// 当前请求的url
        for (String roleName : authorityListToSet) {
            List<String> list = AUTH_MAP.get(roleName);
            if (list != null) {
                final Optional<String> findAny = list.stream().filter(res -> {
                    // 通配符路径验证 eg: /sys/login/** --表示任意路径 "*"号
                    return antPathMatcher.match(res, url);
                }).findAny();
                if (findAny.isPresent()) {
                    return true;
                }
            }
        }
        // 异常不是鉴权异常的时候,异常无法向上抛出,异常处理的controller无法返回默认异常,需要把异常处理成鉴权异常
        throw new AuthenticationServiceException("没有访问url的权限:" + url);
    }
}

代码实现就比较简单了,从上下文中,拿到请求HttpServletRequest request以及,当前登录用户的会话信息Authentication authentication

然后拿到请求的url以及当前用户的角色信息,去跟数据库匹配就可以了,我这里,只是模拟了数据库的查询操作;

并且如果,鉴权失败了,还可以返回指定的中文异常;当然,你要是返回false,也是会返回系统的英文异常;

3.4、配置WebSecurityConfig类

之前的配置

	http.authorizeRequests().antMatchers(EXCLUDE_URLS).permitAll().antMatchers("/test").hasRole("test")
                .anyRequest().hasAuthority("admin");

替换的配置

   http.authorizeRequests().antMatchers(EXCLUDE_URLS).permitAll().anyRequest()
                .access("@resourcePermissionService.hasPermission(request,authentication)");

@:符号,固定写法

resourcePermissionService:为注入的实例的名称;

hasPermission:为方法名称

(request,authentication):从容器中,拿到的参数对象

4、测试演示

就不演示了,参考上一篇《Spring securty<八> 鉴权–框架默认鉴权案例代码》

详细的代码,可以查看《码云》

SpringSecurity实现自定义登录认证、权限验证、鉴权
紫眸的博客
04-25 1万+
SpringSecurity实现自定义登录认证、权限验证、鉴权 Demo源码:https://github.com/ygsama/ipa 自定义登录认证的实现需要实现三个接口 UserDetails 用户类接口 UserDetailsService 查询用户密码的service 接口 AuthenticationProvider 为认证管理器AuthenticationManager 提供验证 自定义权限验证时也需要实现三个接口:
Spring Security 使用自定义界面及数据库登录认证
Ronz 的博客
06-23 1648
一、 Spring Security 登录进阶 由上一篇文章《初识 Spring Security》可以知道,在默认情况下,Spring Security 会为我们提供一个默认的登录界面。但是 Spring Security 提供的登录界面从美感上而言,简直是毫无美感,所以我们往往需要自己指定登录界面。 而登录界面的指定,则需要借助于 http 元素下的 form-login 元素来定义表单登录的信息。 1.1 关于登录的几个重要属性 username-parameter 表示登录时用户名使用的是前端页
Spring Security)实战干货一:自定义权鉴的实现
希克的博客
08-10 694
SpringSecurity是主流的安全管理框架。作为初次使用过程中,希望完美的实现 RBAC权限控制。
spring security 实现自定义url鉴权
骆佳威的博客
03-11 2343
package com.liuyanzhao.sens.config.security; import com.liuyanzhao.sens.common.utils.SecurityUtil; import com.liuyanzhao.sens.config.security.jwt.AuthenticationFailHandler; import com.liuyanzhao.sens....
Spring Security 优化鉴权注解:自定义鉴权注解的崭新征程
学IT,找陈寒
01-19 2039
Spring Security是一个功能强大且灵活的安全框架,用于保护Spring应用程序中的资源。它提供了身份验证(Authentication)和授权(Authorization)等安全性功能,可用于Web应用程序和非Web应用程序。自定义鉴权注解是指根据业务需求,在Spring Security基础上创建符合具体场景的鉴权注解。相对于接下来,让我们通过一个实际的例子来演示如何实现自定义鉴权注解。假设我们有一个场景,只有在特定时间段内才能执行某个操作,我们可以创建一个注解。@Target({
Spring全家桶-Spring Security自定义表单,认证,鉴权
HQ DevJ的专栏
04-26 2296
Spring全家桶-Spring Security自定义表单,认证,鉴权 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC(控制反转),DI(依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。 文章目录Spring全家桶-Spring Security自定义表单,认证,
Spring Security--自定义成功&失败处理器
我和井盖都笑了博客
04-04 642
自定义登录成功处理器       1 源码分析       使用 successForwardUrl()时表示成功后转发请求到地址。内部是 通过 successHandler()方法进行控制成功后交给哪个类进行处理.    &nbsp...
springcloud微服务体系(一)— 基于security和jwt实现认证及鉴权服务
热门推荐
BecauseSy的博客
05-22 2万+
文章目录知识点讲解具体实现一、业务流程 知识点讲解 传统的单体应用体系下,应用是一个整体,一般针对所有的请求都会进行权限校验。请求一般会通过一个权限的拦截器进行权限的校验,在登录时将用户信息缓存到 session 中,后续访问则从缓存中获取用户信息 但在微服务架构下,一个应用会被拆分成若干个微应用,每个微应用都需要对访问进行鉴权,每个微应用都需要明确当前访问用户以及其权限。尤其当访问来源不只是浏览...
SpringSecurity学习四-自定义Login请求和返回的数据格式
lee353086的专栏
09-21 1万+
完美解决了Spring Security自定义Login请求,自定义Login返回内容及其数据格式的需求。
一篇spring-securty文档
07-11
Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架,用于Java应用程序。这篇文档将深入探讨Spring Security的核心概念和关键特性,帮助开发者理解和实施安全控制。 1. **身份验证**:Spring ...
Spring Security账号密码认证 + 自定义鉴权(示例)
JustryDeng
04-09 4279
声明: 本文先演示效果,然后再给出几个相对关键的类;完整测试项目,可详见文末链接。 效果演示: 说明: 张三属于普通用户,能访问一些普通的页面以及/user页。 李四属于数据库管理员,能访问一些普通的页面以及/user页、/dba页。 王五属于超级管理员,能访问一些普通的页面以及/user页、/dba页、/admin页。 演示: 普通用户张三: 数据库管理员李四: 超级管理员王五...
Spring Security入门(3-6)Spring Security鉴权 - 自定义权限前缀
weixin_30379911的博客
06-15 114
转载于:https://www.cnblogs.com/lexiaofei/p/7016764.html
SpringSecurity如何自定义权限认证
weixin_42589700的博客
02-10 142
Spring Security 是一个强大的 Java 安全框架,它可以帮助您在应用程序中保护用户数据和资源。 要自定义 Spring Security 的权限认证,您需要做以下几步: 创建自定义用户服务类。这个类需要实现 Spring Security 提供的 UserDetailsService 接口,并覆盖其中的 loadUserByUsername() 方法。在这个方法中,您可以从数据库...
spring security鉴权
行云的博客
07-07 3809
1.SpringSecurity 鉴权 - [重点]RBAC 基于角色访问控制 Role-Based Access Control组成部分:RBAC模型里面,有3个基础组成部分,分别是:用户user、角色role 和 权限permssionUser(用户):每个用户都有唯一的UID识别,并被授予不同的角色Role(角色):不同角色具有不同的权限Permission...
Spring全家桶-Spring Security自定义数据库表认证和鉴权
HQ DevJ的专栏
05-10 1502
Spring全家桶-Spring Security自定义数据库表认证和鉴权 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC(控制反转),DI(依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。 文章目录Spring全家桶-Spring Security自定义数据库表认
spring sercurity之鉴权
知我饭否
10-06 1227
在上一篇博客登录用户,我们需要对资源 url进行保护,这个就用到了鉴权。 我个人理解,spring sercurity 的鉴权的类 主要有这两个类。当然 我们也可以自定义类来完成相同的功能。 FilterSecurityInterceptor 这个类和我们配置文件的authorizeRequests息息相关,例如 那个url 需要登录,哪个url 不需要登录 就可以访问。 MethodSecur...
Spring Security用户认证和权限控制(自定义实现)
Java大数据联盟
03-29 2万+
Spring Security用户认证和权限控制(自定义实现)1 说明2 用户认证相关的自定义实现2.1 自定义用户认证页面2.2 自定义退出功能2.3 自定义用户认证拦截器2.4 自定义用户认证处理器2.5 自定义用户认证对象2.6 自定义用户认证成功处理器2.7 自定义用户认证失败处理器2.8 自定义用户认证处理逻辑的应用3 权限控制相关的自定义实现3.1 自定义权限数据获取类3.2 自定义权...
Spring Security自定义身份验证
xujj的博客
04-21 475
想要在Spring Security自定义身份验证时,可以实现自定义自定义。@Overrideauth方式一方式二在AuthenticationProvider中,可以检查用户名和密码,并返回包含自定义对象的。在中,只获得用户名,当返回自定义UserDeatails时,框架会对密码进行检查。
springboot排除securty
最新发布
09-28
Spring Boot Security是一个强大的框架,用于简化基于Spring的应用程序的安全配置。如果你想在Spring Boot项目中排除Security,你可以采取以下步骤: 1. 首先,在你的`application.properties`或`application.yml`文件中,移除或注释掉security相关的配置,比如`spring.security.enabled: false`,这将关闭整个Security模块。 ```yaml # application.yml spring: security: enabled: false ``` 2. 如果你想完全避免使用Spring Security,可以移除依赖并从Maven或Gradle的`build.gradle`或`pom.xml`中删除`spring-boot-starter-security`依赖。 ```xml <!-- pom.xml (Maven) --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> <optional>true</optional> </dependency> ``` 或者 ```gradle // build.gradle (Gradle) implementation('org.springframework.boot:spring-boot-starter-security', { exclude group: 'org.springframework.boot' }) ``` 记住,这样做意味着你的应用程序将不会有任何安全措施,你需要手动处理认证、授权等安全方面的需求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

葵花下的獾

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值