四.Spring Security入门-授权流程

最新推荐文章于 2024-04-24 17:37:47 发布
最新推荐文章于 2024-04-24 17:37:47 发布
阅读量955 收藏
点赞数
分类专栏: SpringBoot 文章标签: java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32115993/article/details/109216502
版权

四.授权流程

一.授权流程原理

1.1.授权流程描述

授权一定是在认证通过之后,授权流程是通过FilterSecurityInterceptor拦截器来完成,FilterSecurityInterceptor通过调用SecurityMetadataSource来获取当前访问的资源所需要的权限,然后通过调用AccessDecisionManager投票决定当前用户是否有权限访问当前资源。授权流程如下

RBAC传统授权流程:
在这里插入图片描述

Security授权流程:

1.在FilterSecurityInterceptor中会调用其父类AbstractSecurityInterceptor
的beforeInvocation方法做授权之前的准备工作

2.该方法中通过SecurityMetadataSource…getAttributes(object);获得资源所需要的访问权限 ,通过SecurityContextHolder.getContext().getAuthentication()获取当前认证用户的认证信息,即Authentication对象 。

3.然后通过调用AccessDecisionManager.decide(authenticated, object, attributes);进行授权,该方法使用了投票机制来决定用户是否有资源访问权限
AccessDecisionManager接口有三个实现类,他们通过通过AccessDecisionVoter投票
器完成投票,三种投票策略如下:
AffirmativeBased : 只需有一个投票赞成即可通过
ConsensusBased:需要大多数投票赞成即可通过,平票可以配置
UnanimousBased:需要所有的投票赞成才能通过

4.而投票器也有很多,如RoleVoter通过角色投票,如果ConfigAttribute是以“ROLE_”开头的,则将使用RoleVoter进行投票,AuthenticatedVoter 是用来区分匿名用户、通过Remember-Me认证的用户和完全认证的用户(登录后的)

5.投票通过,放心请求响应的资源

二.Web授权

2.1.web授权API说明

在Security配置类中,可以通过HttpSecurity.authorizeRequests()给资源指定访问的权限,其API如下:

1.anyRequest():任何请求

2.antMatchers(“/path”) :匹配某个资源路径

3.authenticationed() : 保护URL需要登录访问anyRequest().authenticationed()

4.permitAll():指定url无需保护(放行)一般用户静态资源antMatchers(“/path”).permitAll()

5.hasRole(String role):某个资源需要用户拥有什么样的role才能访问
antMatchers(“/path”).hasRole(“admin”)

6.hasAuthority(String authority):某个资源需要用户拥有什么样的权限才能访问
antMatchers(“/path”).hasAuthority(“admin”)

7.hasAnyRole(String …roles):某个资源拥有指定角色中的一个就能访问

8.hasAnyAuthority(String … authorities):某个资源拥有指定权限中的一个就能访问

9.access(String attribute):该方法使用SPEL表达式,可以创建复杂的限制

10.hasIpAddress(String ip):拥有什么样的ip或子网可以访问该资源
授权规则注意
我们通常把细节的规则设置在前面,范围比较大的规则设置放在后面,返例:如有以下配置
.antMatchers("/admin/**").hasAuthority(“admin”)
.antMatchers("/admin/login").permitAll();
那么第二个权限规则将不起作用,因为第一个权限规则覆盖了第二个权限规则
因为权限的设置是按照从上到下的优先级。及满足了最开始的权限设置,那么后面的设置就不起作用了。

2.2.Web授权实战

我们这一次在入门案例的基础上进行修改,所有的认证数据,授权数据都从数据库进行获取
1.准备数据库和Domain,mapper等
t_user //用户登录表
t_user_role //用户和角色中间表
t_permisstion //权限表
t_role //角色表
t_role_permission //角色和权限中间表

2.编写controller

@RestController
public class DeptController {

    @RequestMapping("/dept/list")
    public String list(){
        return "dept.list";
    }

    @RequestMapping("/dept/add")
    public String add(){
        return "dept.add";
    }

    @RequestMapping("/dept/update")
    public String update(){
        return "dept.update";
    }

    @RequestMapping("/dept/delete")
    public String delete(){
        return "dept.delete";
    }

}
---------------------------------------------------------
@RestController
public class EmployeeController {

    @RequestMapping("/employee/list")
    public String list(){
        return "employee.list";
    }
    @RequestMapping("/employee/add")
    public String add(){
        return "employee.add";
    }
    @RequestMapping("/employee/update")
    public String update(){
        return "employee.update";
    }
    @RequestMapping("/employee/delete")
    public String delete(){
        return "employee.delete";
    }
}

方法上的requestmapping就对应了权限表t_permission的资源

3.配置HttpSecurity

 @Override
    protected void configure(HttpSecurity http) throws Exception {
        List<Permission> permissions = loginMapper.listPermissions();
     ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry
                expressionInterceptUrlRegistry = http.csrf().disable()   //关闭CSRF跨站点请求伪造防护
                .authorizeRequests()          //对请求做授权处理
                .antMatchers("/login").permitAll()  //登录路径放行
                .antMatchers("/login.html").permitAll();//对登录页面跳转路径放行

        //动态添加授权:从数据库动态查询出,哪些资源需要什么样的权限
        for(Permission permission : permissions){
            System.out.println(permission.getResource()+" - "+permission.getSn());
            //如: /employee/list    需要     employee:list 权限才能访问
            expressionInterceptUrlRegistry.antMatchers(permission.getResource()).hasAuthority(permission.getSn());
        }

        expressionInterceptUrlRegistry
                .anyRequest().authenticated() //其他路径都要拦截
                .and().formLogin()  //允许表单登录, 设置登陆页
                .successForwardUrl("/loginSuccess") // 设置登陆成功页
                .loginPage("/login.html")   //登录页面跳转地址
                .loginProcessingUrl("/login")   //登录处理地址
                .and().logout().permitAll();    //登出

    }

解释:上面代码从权限表查询出了所有的资源(对应controller中的Requestmapping路径),然后通过循环调用expressionInterceptUrlRegistry.antMatchers(permission.getResource())
.hasAuthority(permission.getSn()); 进行一一授权,指定哪个资源需要哪个权限才能访问。

4.修改UserDetailService加载用户权限

public UserDetails loadUserByUsername(String username)  {
        Login loginFromMysql = loginService.selectByUsername(username);
        if(loginFromMysql == null){
            throw new UsernameNotFoundException("无效的用户名");
        }
        //前台用户
        List<GrantedAuthority> permissions = new ArrayList<>();
        List<String> permissionSnList =
 systemManageClient.listByUserId(loginFromMysql.getId());
        permissionSnList.forEach(e->{
            System.out.println("用户:"+username+" :加载权限 :"+e);
            permissions.add(new SimpleGrantedAuthority(e));
        });

        return new User(username,loginFromMysql.getPassword(),permissions);
    }

这里在通过UserDetailServer加载用户认证信息的时候就把用户的权限信息一并加载

5.登录测试
合理分配用户的权限,登录测试对于不同的资源是否应该有对应的访问权限

三.方法授权

SpringSecurity提供了一些授权的注解让我们可以在service,controller等的方法上贴注解进行授权,即在方法上指定方法方法需要什么样的权限才能访问

3.1.@Secured

标记方法需要有什么样的权限才能访问,这个注解需要在配置类上开启授权注解支持;@EnableGlobalMethodSecurity(securedEnabled=true) ,然后在Controller方法上贴该注解如:
@Secured(“IS_AUTHENTICATED_ANONYMOUSLY”) :方法可以匿名访问
@Secured(“ROLE_DEPT”) ,需要拥有部门的角色才能访问,ROLE_前缀是固定的

1.开启Secured授权支持

@Configuration
@EnableGlobalMethodSecurity(securedEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
使用@Secured进行方法授权
@RequestMapping("/employee/list")
@Secured("ROLE_employee:list")
public String list(){
   return "employee.list";
}

解释:这里使用了 @Secured(“ROLE_employee:list”) 意思是 “/employee/list” 这个资源需要“ROLE_employee:list”权限才能访问,如果认证的用户有该权限(UserDetailService中加载)包含了“ROLE_employee:list”即可访问该资源,否则不能访问。
注意:对于方法授权,没有贴注解的方法默认是匿名访问。@Secured注解授权是需要加上前缀“ROLE_”

3.2.@PreAuthorize

PreAuthorize适合进入方法前的权限验证,拥有和Secured同样的功能,甚至更强大,该注解需要在配置类开启:@EanbleGlobalMethodSecurity(prePostEnabled=true) 方法授权支持,然后在Controller贴注解如下:
@PreAuthorize(“isAnonymous()”) : 方法匿名访问
@PreAuthorize(“hasAnyAuthority(‘p_user_list’,‘p_dept_list’)”) :拥有p_user_listr或者p_dept_list的权限能访问
@PreAuthorize(“hasAuthority(‘p_transfer’) and hasAuthority(‘p_read_accout’)”) : 拥有p_transfer权限和p_read_accout权限才能访问.
该标签不需要有固定的前缀。
1.开启@PreAuthorize授权支持
@Configuration
@EnableGlobalMethodSecurity(securedEnabled = true,prePostEnabled= true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
2.使用@PreAuthorize进行方法授权
@PreAuthorize(“hasAnyAuthority(‘employee:add’,‘employee:update’)”)
@RequestMapping("/employee/add")
public String add(){
return “employee.add”;
}
指明了方法必须要有 employee:add 或者 employee:update的权限才能访问 , 该注解不需要有固定的前缀。注意格式“@PreAuthorize(“hasAuthority(‘employee:add’)”)” ,hasAuthority不能省略,括号中是单引号。

3.3.@PostAuthorize

该注解使用并不多,适合在方法执行后再进行权限验证,使用该注解需要在配置类开启:@EanbleGlobalMethodSecurity(prePostEnabled=true) 方法授权支持,用法同 @PreAuthorize一样

红旗欧巴
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security bug记录:antMatchers找不到符号(已解决)
weixin_51937688的博客
08-31 1124
antMatchers()找不到符号(已解决)
springsecurity过滤指定url【.antMatchers(***).permitAll()】失效分析
yangfeng20的博客
07-24 1万+
springsercurity过滤指定url【antMatchers().permitAll】失效分析
SpringSecurity授权流程(自己做笔记用的)
最新发布
gaoqiandr的博客
04-24 665
本文主要介绍的是在SpringSecurity中进行授权流程
idea 代码报Cannot resolve method 问题解决方案
Fatelzg的博客
09-02 4万+
在idea中引入项目后,出现代码报**Cannot resolve method**问题的主要原因是缺少**Lombok**插件。那么如何解决呢! 方案一: 首先,我们检查一下idea中有没有安装Lombok。 如果没有的情况下我们要安装Lombok插件,安装步骤如下 安装完后,勾选、Apply、OK 然后会弹出弹框提示重启idea,重启就没问题了。 方案二: idea的File —>setting—>搜索Annotation Processors—>勾选Enable annot.
Spring Security OAuth2 实战
qq_34898847的博客
11-16 1190
Spring Security OAuth2 实战
idea Cannot resolve method (最新2020解决办法)
热门推荐
hello_world
06-15 7万+
环境:W10 + idea2019.2.2 问题:idea 在源文件中提示Cannot resolve method,但是项目可以编译运行; 解决方法:最后发现的原因是没安装lombok插件导致的,所以安装一下,并允许就行了 1、安装lombok插件,点击菜单栏中的【File】->【Setting】->【Plugins】-> 输入lombok ,【install】-> 【Ok】 2、允许插件运行,点击菜单栏中的【File】->【Setting】->搜...
全套Spring Security入门到项目实战课程
03-21
Spring Security框架介绍 Spring Security认证与授权机制 ...Spring Security用户认证流程 Spring Security用户授权管理 Spring SecuritySpring集成 Spring Security最佳实践 Spring Security安全漏洞与防范
Spring Security 中文教程.pdf
12-06
1.1. Spring Security是什么? 1.2. 历史 1.3. 发行版本号 1.4. 获得Spring Security 1.4.1. 项目模块 1.4.1.1. Core - spring-security-core.jar 1.4.1.2. Web - spring-security-web.jar 1.4.1.3. ...
Spring Security-3.0.1中文官方文档(翻译版)
03-08
Spring Security-3.0.1 中文官方文档(翻译版) 这次发布的Spring Security-3.0.1 是一个bug fix 版,主要是对3.0 中存在的一些问题进 行修 正。文档中没有添加新功能的介绍,但是将之前拼写错误的一些类名进行...
SpringSecurity 3.0.1.RELEASE.CHM
03-21
1.1. Spring Security是什么? 1.2. 历史 1.3. 发行版本号 1.4. 获得Spring Security 1.4.1. 项目模块 1.4.1.1. Core - spring-security-core.jar 1.4.1.2. Web - spring-security-web.jar 1.4.1.3. Config -...
spring security 参考手册中文版
02-01
9.5 Spring Security中的访问控制(授权) 84 9.5.1安全和AOP建议 84 9.5.2安全对象和AbstractSecurityInterceptor 85 什么是配置属性? 85 RunAsManager 86 AfterInvocationManager 86 扩展安全对象模型 87 9.6本地...
3.spring security授权流程
weixin_45974277的博客
02-26 3699
Spring Security授权流程如下: 分析授权流程: 1. 拦截请求,已认证用户访问受保护的web资源将被SecurityFilterChain中的 FilterSecurityInterceptor 的子类拦截。 2. 获取资源访问策略,FilterSecurityInterceptor会从 SecurityMetadataSource 的子类 DefaultFilterInvocationSecurityMetadataSource 获取要访问当前资源所需要的权限 Collection.
Cannot resolve method 如何解决
山雨的博客
11-30 7605
IDEA报错Cannot resolve method 但是项目可编译可运行 是缺少Lombok插件 在Files-settings-plugins搜索lombok 下载、重启、解决
玩转SpringSecurity之四授权规则配置
xtho62的博客
02-10 1575
1.授权资源匹配 授权呢就是分配访问权限,可使用的方法,我们可通过点击进入传的参数对象进行查看。 antMatchers antMatcher表示的是匹配放行,而antMatchers则是放行匹配到的多个资源的意思,是通过传入可变参实现的。 通常我们都需要放行一些通过的路径,如登录错误等,还有一个就是静态的资源。 放入图片,测试: 加入b.jpg和c.png,分别访问: 值得注意的是b.jpg有可能被拦截,最后重启项目以及刷新几次maven,而访问c.png则会被拦截,跳转到登录页面,登录后就
SpringBoot集成SpringSecurity(五)授权控制
xinshengdelei的专栏
03-31 719
授权控制 授权包括web授权、方法注解授权。 web授权 SpringSecurity通过http.authorizeRequests()对web请求(URL访问)进行授权保护。 一、请求匹配 1、antMatchers("/login","/getver"):匹配到的请求。此时实际上访问这些路径的用户为匿名用户anonymousUser,其权限列表为[ROLE_ANONYMOUS]。 antMatchers中可以添加多个字符串,每个字符串支持?(单个字符)、*(0或任意个字符)、**(0或更多
idea 提示Cannot resolve method 'setAttribute(java.lang.String, java.lang.String)解决方案
weixin_41298572的博客
02-05 1万+
是由于创建了web应用但是没有导入jsp的原因   找到tomcat安装的路径在Lib目录下找到 jsp-api 与 servlet -api然后导入即可  
五.SpringSecurity基础-授权流程
墨家巨子@俏如来
08-27 2992
1.授权流程分析 授权一定是在认证通过之后,授权流程是通过FilterSecurityInterceptor拦截器来完成,FilterSecurityInterceptor通过调用SecurityMetadataSource来获取当前访问的资源所需要的权限,然后通过调用AccessDecisionManager投票决定当前用户是否有权限访问当前资源。授权流程如下 1.1.RBAC传统授权流程: 1.2.Security授权流程: 在FilterSecurityInterceptor中会调用其父类Abs
.antMatchers(xx).permitAll()不生效原因
feng_xiaofeng的专栏
02-27 2501
.antMatchers().permitAll()不生效原因
Spring-Security源码分析】Spring安全表达式解析
通往神秘的道路的专栏
02-28 5642
在使用Spring Security进行权限检查的时候会用到SecurityExpressionHandler,具体参考《【Spring-Security源码分析】Spring Security基于注解认证原理》。 SecurityExpressionHandler接口定义了两个方法。 public interface SecurityExpressionHandler&lt;T&gt; e...
Cannot resolve org.springframework.security:spring-security-config:5.3.2.RELEASE
07-27
根据引用\[1\],问题中提到的错误是"Cannot resolve org.springframework.security:spring-security-config:5.3.2.RELEASE"。这个错误通常表示在项目的pom文件中找不到所需的Spring Security依赖。根据引用\[1\]中的pom文件片段,可以看到项目中已经添加了spring-boot-starter-security依赖,但是可能缺少了spring-security-config依赖。 解决这个问题的方法是在项目的pom文件中添加spring-security-config依赖。可以在<dependencies>标签中添加以下代码: ```xml <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-config</artifactId> <version>5.3.2.RELEASE</version> </dependency> ``` 这样就可以解决"Cannot resolve org.springframework.security:spring-security-config:5.3.2.RELEASE"的错误了。 #### 引用[.reference_title] - *1* *3* [微服务A读配置中心报Could not locate PropertySource错误](https://blog.csdn.net/weixin_53802962/article/details/113811491)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [springcloud框架搭建遇见的问题及解决办法](https://blog.csdn.net/m0_37546844/article/details/109525353)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值