(二)、spring boot security 授权--自定义授权实现

最新推荐文章于 2024-08-13 03:34:05 发布
最新推荐文章于 2024-08-13 03:34:05 发布
阅读量3.1k 收藏 14
点赞数 3
分类专栏: spring boot security 程序人生 文章标签: spring boot security spring security 授权 AccessDecisionManager AccessDecisionVoter
本文为博主原创文章,转载请附上博文链接,谢谢!
本文链接:https://blog.csdn.net/qq_30062125/article/details/86031713
版权

Spring Security文章目录

1、简介

spring security主要分为两部分,认证(authentication)和授权(authority)。

这一篇主要是授权部分,它由FilterSecurityInterceptor逻辑拦截处理,具体通过AccessDecisionManager实现。

1.1 系统授权实现说明

系统提供了三种实现方式:

  1. AffirmativeBased(spring security默认使用):
    只要有投通过(ACCESS_GRANTED)票,则直接判为通过。
    如果没有投通过票且反对(ACCESS_DENIED)票在1个及其以上的,则直接判为不通过。
  2. ConsensusBased(少数服从多数):
    通过的票数大于反对的票数则判为通过;通过的票数小于反对的票数则判为不通过;
    通过的票数和反对的票数相等,则可根据配置allowIfEqualGrantedDeniedDecisions(默认为true)进行判断是否通过。
  3. UnanimousBased(反对票优先):
    无论多少投票者投了多少通过(ACCESS_GRANTED)票,只要有反对票(ACCESS_DENIED),那都判为不通过;如果没有反对票且有投票者投了通过票,那么就判为通过.

这三种方式都包含了一个AccessDecisionManager(权限控制处理)和多个AccessDecisionVoter(投票项)。

1.2 自定义实现说明

系统默认提供的是基于ROLE(角色)的权限,这里自定义一下,处理 url + httpMethod 方式的权限拦截。

有三种方式可以实现:

方式一:
通过.access 方式实现。
步骤:
1. 自定义MyAuthService:实际权限校验服务
2. WebSecurityConfigurerAdapter配置:注入自定义校验服务

方式二:
通过.accessDecisionManager,覆盖AccessDecisionManager方式实现。
步骤:
1. 自定义AccessDecisionManager: 实现授权逻辑校验。
2. WebSecurityConfigurerAdapter配置:注入自定义AccessDecisionManager

方式三:
通过 添加AccessDecisionVoter投票项处理。这种兼容默认ROLE的AffirmativeBased实现
步骤:
1. 自定义AccessDecisionVoter: 实现授权投票逻辑
2. WebSecurityConfigurerAdapter配置:注入自定义AccessDecisionVoter

2、代码路径

github代码路径

3、方式一(.access 方式)步骤说明:

3.1、自定义MyAuthService

package demo.service;

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.security.authentication.AnonymousAuthenticationToken;
import org.springframework
最低0.47元/天 解锁文章
这是一个懒人
关注
专栏目录
oauth2 spring-authorization-server 自定义权限
tof
04-19 3293
1.版本 spring-security-oauth2-authorization-server 0.2.3 spring-boot 2.6.6 2.概述 资源服务请求授权服务校验token的响应时,会将scope转换资源服务认证对象中的权限 参见NimbusOpaqueTokenIntrospector类。 目前需要支持授权服务响应权限信息,资源服务这边转换授权服务响应的权限信息 在授权服务器0.2.0到0.2.1的版本中,不能很好的支持扩展响应的token,内部固定写死响应固定...
spring security实现动态授权
02-08
通过修改spring security源代码实现动态权限管理。用户信息、角色信息和资源信息保存在数据库中,可动态配置权限,不用重新启动服务。改完即时生效,付例子
SpringBoot 中使用 Spring Security 实现权限授权与认证
baolingye的博客
11-13 1425
Spring Security 简介 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统...
springsecurity的学习(四):实现授权
最新发布
weixin_45037073的博客
08-13 976
springsecurity授权自定义授权失败的处理,跨域的处理和自定义权限校验方法的介绍
spring boot 集成 security 授权
ayayazzz的博客
04-17 567
授权 上一篇写了认证,授权其实就是把数据库查出来的角色、权限交给security来管理对比 1.准备工作 用户、用户-角色、角色、角色-权限、权限 2.授权 首先从数据库中查找到用户所拥有的角色信息放入UserDetailsService的实现类里 User user = userRepository.selectByUserName(username); //封装权限信息 这里从数据库通过userId查询出来的权限集合 List<SysRole> roles = us
springboot使用springsecurity认证授权
Deeeelete的博客
05-28 296
官网:https://spring.io/projects/spring-security 一:建立并配置项目 导入thymeleaf依赖: <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter</artifactId> </dependency> <dependency> <groupI
SpringBoot中使用SpringSecurity实现认证和授权(入门)
guoyyy_的博客
08-26 1166
简介 SpringSecuritySpring项目组中用来提供安全认证(authentication)和授权(authorization)服务的框架。所谓的认证通俗的说就是判断正在操作的用户和密码是否匹配,而授权就是控制用户能做什么操作,也就是能干什么能看到什么。 环境搭建 以idea开发工具为例,模板引擎使用的是thymeleaf pom.xml <properties> ...
spring-boot-basic-auth:使用基本身份验证的安全Spring Boot REST API
02-04
在本文中,我们将深入探讨如何使用Spring BootSpring Security实现基于基本身份验证(Basic Authentication)的安全RESTful API。Spring Boot简化了创建独立、生产级别的基于Spring的应用程序,并且Spring ...
spring-boot-security-basic-demo:spring-boot-security的基础功能例子
06-24
Spring Boot Security是一个强大的工具,用于在Spring Boot应用中轻松实现安全控制。这个"spring-boot-security-basic-demo"项目是为了展示Spring Boot Security的基本功能而创建的。它涵盖了身份验证、授权、访问...
spring-boot-security
07-16
Spring Boot Security是一个强大的工具,它集成了Spring Security框架,使得在Spring Boot应用中实现安全控制变得简单高效。Spring Security是一个全面的、可高度定制的安全框架,适用于Java Web应用程序,包括认证...
SpringBoot自定义登录、权限验证
chenguixu的博客
04-19 1622
没有添加 @CAuth注解,所以不会进行拦截,登录成功后返回一个token值,后续请求需要在header中增加C-Token:token参数。1、首先最基础的User实体类,使用了lombok,所以省略了getter、setter方法。5、使用HandlerInterceptor拦截器进行权限验证,详细方法。2、redis基础操作,登录成功后,信息保存到redis中。4、声明注解,只有加了自定义注解的方法,才进行权限验证。无此资源权限,会返回 “您没有权限进行此操作!3、登录成功后token相关处理。
自定义OAuth2授权同意页面
new_ord的博客
06-28 3364
前文我们已经简单的介绍了如何搭建授权服务器,下面将继续介绍如何自定义OAuth2授权同意页面。如果你已经无法容忍Spring Authorization Server 默认丑陋的授权同意页面,那么你可以继续阅读本文,逐步创建一个令自己满意的授权同意页面。从创建一个授权服务器开始。...
oauth2自定义登录和授权页面
热门推荐
一个正在崛起的小码农
12-26 2万+
文章目录介绍实现功能系统环境配置开发步骤引入jar包定义登录和授权页面定义一个关于登录和授权的控制器配置页面授权测试项目源码 介绍 在上一章节中,https://blog.csdn.net/baidu_34389984/article/details/85249733。我们是实现了简单的oauth2服务提供商。但还不能满足现实需要,在现实中,我们需要定制特质的登录和授权页面。下面将讲解如何自定义。...
Spring Security 6.x 系列【37】授权服务器篇之自定义登录、同意授权页面
记录知识、锤炼自我
05-12 1458
Spring Security 6.x 系列【28】授权服务器篇之Spring Authorization Server 1.0 入门案例授权码模式中,使用的是Spring Authorization Server提供的默认登录和授权页面,在实际开发集成时,需要自定义。 注: 前后端分离场景下,由前端编写相关页面,后端提供JSON,在授权流程中,就需要前端进行各种页面跳转,在了解其原理后,也很容易实现
史上最简单的Spring Security教程(十一):AccessDecisionManager简介及自定义访问决策管理器
银河架构师的博客
08-10 1万+
AccessDecisionManager顾名思义,访问决策管理器。 Makesafinalaccesscontrol(authorization)decision 做出最终的访问控制(授权)决定。 而常用的AccessDecisionManager有三个,分别介绍一下其权限决策逻辑。 AffirmativeBased Spring Security框架默认的AccessDecisionManager。 /** * Simple concrete ...
SpringSecurity自定义授权
qq_58137891的博客
05-10 393
1.在LoginUser类中新增一个List属性一个List属性,包含着权限信息2.重写getAuthorities()方法(因为权限信息需要从该方法中取得),将List封装到List中对应getAuthorities方法的返回值。3.对List属性取消JSON序列化,否则反序列化会出错。
SpringSecurity授权
小钟不想敲代码
05-28 5581
SpringSecurity授权
SpringSecurity--工作原理详解
吴声子夜歌的博客
03-30 3749
结构总览 Spring Security所解决的问题就是安全访问控制,而安全访问控制功能其实就是对所有进入系统的请求进行拦截, 校验每个请求是否能够访问它所期望的资源。根据前边知识的学习,可以通过Filter或AOP等技术来实现Spring Security对Web资源的保护是靠Filter实现的,所以从这个Filter来入手,逐步深入Spring Security原理。 当初始化Spring ...
Spring Security实现Oauth2授权详解
"基于Spring Security的Oauth2授权实现方法,通过示例代码详细解析,适合学习和工作中参考,包括授权码模式、认证服务和资源服务等核心概念" 在本文中,我们将深入探讨如何使用Spring Security实现Oauth2授权。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值