(二)、spring boot security 授权--自定义授权实现

最新推荐文章于 2024-09-18 17:38:05 发布
最新推荐文章于 2024-09-18 17:38:05 发布
阅读量3.2k 收藏 14
点赞数 3
分类专栏: spring boot security 程序人生 文章标签: spring boot security spring security 授权 AccessDecisionManager AccessDecisionVoter
本文为博主原创文章,转载请附上博文链接,谢谢!
本文链接:https://blog.csdn.net/qq_30062125/article/details/86031713
版权

Spring Security文章目录

1、简介

spring security主要分为两部分,认证(authentication)和授权(authority)。

这一篇主要是授权部分,它由FilterSecurityInterceptor逻辑拦截处理,具体通过AccessDecisionManager实现。

1.1 系统授权实现说明

系统提供了三种实现方式:

  1. AffirmativeBased(spring security默认使用):
    只要有投通过(ACCESS_GRANTED)票,则直接判为通过。
    如果没有投通过票且反对(ACCESS_DENIED)票在1个及其以上的,则直接判为不通过。
  2. ConsensusBased(少数服从多数):
    通过的票数大于反对的票数则判为通过;通过的票数小于反对的票数则判为不通过;
    通过的票数和反对的票数相等,则可根据配置allowIfEqualGrantedDeniedDecisions(默认为true)进行判断是否通过。
  3. UnanimousBased(反对票优先):
    无论多少投票者投了多少通过(ACCESS_GRANTED)票,只要有反对票(ACCESS_DENIED),那都判为不通过;如果没有反对票且有投票者投了通过票,那么就判为通过.

这三种方式都包含了一个AccessDecisionManager(权限控制处理)和多个AccessDecisionVoter(投票项)。

1.2 自定义实现说明

系统默认提供的是基于ROLE(角色)的权限,这里自定义一下,处理 url + httpMethod 方式的权限拦截。

有三种方式可以实现:

方式一:
通过.access 方式实现。
步骤:
1. 自定义MyAuthService:实际权限校验服务
2. WebSecurityConfigurerAdapter配置:注入自定义校验服务

方式二:
通过.accessDecisionManager,覆盖AccessDecisionManager方式实现。
步骤:
1. 自定义AccessDecisionManager: 实现授权逻辑校验。
2. WebSecurityConfigurerAdapter配置:注入自定义AccessDecisionManager

方式三:
通过 添加AccessDecisionVoter投票项处理。这种兼容默认ROLE的AffirmativeBased实现
步骤:
1. 自定义AccessDecisionVoter: 实现授权投票逻辑
2. WebSecurityConfigurerAdapter配置:注入自定义AccessDecisionVoter

2、代码路径

github代码路径

3、方式一(.access 方式)步骤说明:

3.1、自定义MyAuthService

package demo.service;

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.security.authentication.AnonymousAuthenticationToken;
import org.springframework
最低0.47元/天 解锁文章
这是一个懒人
关注
专栏目录
oauth2 spring-authorization-server 自定义权限
tof
04-19 3361
1.版本 spring-security-oauth2-authorization-server 0.2.3 spring-boot 2.6.6 2.概述 资源服务请求授权服务校验token的响应时,会将scope转换资源服务认证对象中的权限 参见NimbusOpaqueTokenIntrospector类。 目前需要支持授权服务响应权限信息,资源服务这边转换授权服务响应的权限信息 在授权服务器0.2.0到0.2.1的版本中,不能很好的支持扩展响应的token,内部固定写死响应固定...
Spring Security 6.x 系列【37】授权服务器篇之自定义登录、同意授权页面
记录知识、锤炼自我
05-12 1528
Spring Security 6.x 系列【28】授权服务器篇之Spring Authorization Server 1.0 入门案例授权码模式中,使用的是Spring Authorization Server提供的默认登录和授权页面,在实际开发集成时,需要自定义。 注: 前后端分离场景下,由前端编写相关页面,后端提供JSON,在授权流程中,就需要前端进行各种页面跳转,在了解其原理后,也很容易实现
SpringBoot 中使用 Spring Security 实现权限授权与认证
baolingye的博客
11-13 1447
Spring Security 简介 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统...
spring security实现动态授权
02-08
通过修改spring security源代码实现动态权限管理。用户信息、角色信息和资源信息保存在数据库中,可动态配置权限,不用重新启动服务。改完即时生效,付例子
(已过时)AccessDecisionManager授权(Authorization)流程
2401_85480529的博客
09-18 372
Spring Security 中,和共同作用于(Authorization)流程。它们通过投票机制来决定用户是否具备访问某个受保护资源的权限。:负责最终的访问决策,它通过调用多个对请求进行投票,决定是否授予访问权限。:负责对单一的授权判断进行投票。每个Voter会根据自己的逻辑判断用户是否有权限访问特定资源,并返回投票结果(批准、拒绝或弃权)。:用户的权限或角色信息,它是判断用户是否拥有访问权限的核心依据。Voter。
spring boot 集成 security 授权
ayayazzz的博客
04-17 578
授权 上一篇写了认证,授权其实就是把数据库查出来的角色、权限交给security来管理对比 1.准备工作 用户、用户-角色、角色、角色-权限、权限 2.授权 首先从数据库中查找到用户所拥有的角色信息放入UserDetailsService的实现类里 User user = userRepository.selectByUserName(username); //封装权限信息 这里从数据库通过userId查询出来的权限集合 List<SysRole> roles = us
springboot使用springsecurity认证授权
Deeeelete的博客
05-28 313
官网:https://spring.io/projects/spring-security 一:建立并配置项目 导入thymeleaf依赖: <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter</artifactId> </dependency> <dependency> <groupI
SpringBoot中使用SpringSecurity实现认证和授权(入门)
guoyyy_的博客
08-26 1177
简介 SpringSecuritySpring项目组中用来提供安全认证(authentication)和授权(authorization)服务的框架。所谓的认证通俗的说就是判断正在操作的用户和密码是否匹配,而授权就是控制用户能做什么操作,也就是能干什么能看到什么。 环境搭建 以idea开发工具为例,模板引擎使用的是thymeleaf pom.xml <properties> ...
SpringBoot自定义登录、权限验证
chenguixu的博客
04-19 1641
没有添加 @CAuth注解,所以不会进行拦截,登录成功后返回一个token值,后续请求需要在header中增加C-Token:token参数。1、首先最基础的User实体类,使用了lombok,所以省略了getter、setter方法。5、使用HandlerInterceptor拦截器进行权限验证,详细方法。2、redis基础操作,登录成功后,信息保存到redis中。4、声明注解,只有加了自定义注解的方法,才进行权限验证。无此资源权限,会返回 “您没有权限进行此操作!3、登录成功后token相关处理。
spring-boot-basic-auth:使用基本身份验证的安全Spring Boot REST API
02-04
在本文中,我们将深入探讨如何使用Spring BootSpring Security实现基于基本身份验证(Basic Authentication)的安全RESTful API。Spring Boot简化了创建独立、生产级别的基于Spring的应用程序,并且Spring ...
基于Spring Boot的fanxing-security-spring-boot-starter权限校验与安全框架设计源码
最新发布
09-30
该项目为基于Spring Boot框架构建的轻量级安全框架fanxing-security-spring-boot-starter源码,包含25个文件,主要由22个Java源文件组成,并辅以1个LICENSE文件、1个Markdown文件和1个XML配置文件。该框架专注于权限...
Spring Boot Security 2.5.8 实现账号、手机号、邮件登录,记住密码等功能
11-13
Spring Boot Security 2.5.8 是一个强大的框架,用于为Spring Boot应用程序提供安全控制,包括身份验证和授权。在2.5.8版本中,它增强了灵活性和易用性,使得开发者能够轻松地实现复杂的安全需求。在这个项目中,...
自定义OAuth2授权同意页面
new_ord的博客
06-28 3466
前文我们已经简单的介绍了如何搭建授权服务器,下面将继续介绍如何自定义OAuth2授权同意页面。如果你已经无法容忍Spring Authorization Server 默认丑陋的授权同意页面,那么你可以继续阅读本文,逐步创建一个令自己满意的授权同意页面。从创建一个授权服务器开始。...
oauth2自定义登录和授权页面
热门推荐
一个正在崛起的小码农
12-26 2万+
文章目录介绍实现功能系统环境配置开发步骤引入jar包定义登录和授权页面定义一个关于登录和授权的控制器配置页面授权测试项目源码 介绍 在上一章节中,https://blog.csdn.net/baidu_34389984/article/details/85249733。我们是实现了简单的oauth2服务提供商。但还不能满足现实需要,在现实中,我们需要定制特质的登录和授权页面。下面将讲解如何自定义。...
史上最简单的Spring Security教程():自定义AccessDecisionManager实现简单的访问决策
银河架构师的博客
08-19 2018
​在前面讲过的资源权限动态控制业务场景中,我们使用了 Spring Security 框架默认的 AccessDecisionManager,即 AffirmativeBased。能实现的访问决策即为任一AccessDecisionVoter授予权限,即代表授予访问权限。但是我们只添加了一个AccessDecisionVoter,即RoleVoter。 既然如此,我们就可以简化一下这些逻辑,直接自定义一个新的 AccessDecisionManager,其决策逻辑为:当前请求所需的所有 ...
SpringSecurity自定义授权
qq_58137891的博客
05-10 419
1.在LoginUser类中新增一个List属性一个List属性,包含着权限信息2.重写getAuthorities()方法(因为权限信息需要从该方法中取得),将List封装到List中对应getAuthorities方法的返回值。3.对List属性取消JSON序列化,否则反序列化会出错。
AD20 Altium designer——如何快速批量调整丝印位置、大小_ad丝印层怎么设置
2401_85013850的博客
05-16 1481
如果我们不需要进行批量调整,可以参考一下步骤在一些复杂的PCB,我们可以在选择丝印层后,按下Shift+S键,可以更清楚地看清丝印布局,效果如下所示。
使用AccessDecisionManager实现HttpSecurity自定义动态路由鉴权
CodeCattle的博客
05-06 1217
1. 使用AccessDecisionManager实现HttpSecurity自定义动态路由鉴的主要思路是利用投票机制进行鉴权。即通过自定义实现的AnonymousAccessVoter来鉴权投票,从Redis中读取到的路由权限表配置,进行逻辑判断请求是否符合配置权限要求,从而投出相对应的投票,如果请求是开放的接口,且不符合权限要求直接抛出AccessDeniedException异常即可,若符合权限要求则投已认证票,如果请求不是开放的接口,则投出弃权票
SpringSecurity实现登录和自定义权限认证
qq_49721447的博客
12-07 4239
springboot整合SpringSecurity实现登录和自定义权限认证
SpringBoot整合SpringSecurity实现用户认证授权
资源摘要信息: "本资源详细介绍了如何使用Spring Security框架与Spring Boot进行整合,实现用户认证与授权功能。Spring Security是一个广泛应用于基于Spring的企业应用系统的安全框架,它提供了一套完整的安全访问...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值