SpringBoot整合SpringSecurity(八)动态权限

最新推荐文章于 2023-04-06 17:23:26 发布
最新推荐文章于 2023-04-06 17:23:26 发布
阅读量1.6k 收藏 9
点赞数 3
分类专栏: SpringSecurity实战 文章标签: springseurity springboot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32867467/article/details/103097190
版权

序言

SpringSecurity 进行的权限验证,有时候可能并不太满足我们的需求。有时候呢可能需要你自己去扩展达到一个对自己业务满意的验证,这时候怎么办呢?第一呢, 先不要百度,你要懂权限验证的一个流程,不懂的话可以去看我之前的博客,第二呢,就是放开手按照自己假象的思路去实践!

思路

我说一下我的需求,我想判断那个角色拥有某些url的权限,这时候该怎么进行扩展呢?

我的思路是对 自定义 AccessDecisionVoter 然后我们知道在 FilterSecurityInterceptor 里是从 SecurityMetadataSource 中拿到的权限配置项,知道了这些后,就可以做出扩展。

  1. 定义一个自己的SecurityMetadataSource 使其从数据库中查询权限自己构建 ConfigAttribute
  2. 定义一个具有自己需求的AccessDecisionVoter
  3. 规定一个自己的AccessDecisionManager

实践

SecurityMetadataSource

首先呢我们先定义一个自己的 SecurityMetadataSource ,然后每次调用的时候都去数据库里去查询。

public class DynamicFilterInvocationSecurityMetadataSource implements FilterInvocationSecurityMetadataSource {


    private FilterInvocationSecurityMetadataSource superMetadataSource;


    public DynamicFilterInvocationSecurityMetadataSource(FilterInvocationSecurityMetadataSource expressionBasedFilterInvocationSecurityMetadataSource) {
        this.superMetadataSource = expressionBasedFilterInvocationSecurityMetadataSource;
        //TODO 在这里去查询你的数据库
    }

    private final AntPathMatcher antPathMatcher = new AntPathMatcher();

    /**
     * 假设这就是从数据库中查询到的数据
     * 意思就是 ROLE_JAVA 的角色 才能访问 /tt
     */
    private final Map<String, String> urlRoleMap = new HashMap<String, String>() {{
        put("/tt", "ROLE_JAVA");
    }};

    @Override
    public Collection<ConfigAttribute> getAttributes(Object object) throws IllegalArgumentException {
        FilterInvocation fi = (FilterInvocation) object;
        String url = fi.getRequestUrl();
        for (Map.Entry<String, String> entry : urlRoleMap.entrySet()) {
            if (antPathMatcher.match(entry.getKey(), url)) {
                return SecurityConfig.createList(entry.getValue());
            }
        }
        //如果没有匹配到就拿 咱们自定义的配置
        return superMetadataSource.getAttributes(object);
    }

    @Override
    public Collection<ConfigAttribute> getAllConfigAttributes() {
        return null;
    }


    @Override
    public boolean supports(Class<?> clazz) {
        return FilterInvocation.class.isAssignableFrom(clazz);
    }
}

AccessDecisionVoter

紧接着我们定义一个自己的 AccessDecisionVoter 这一步的作用是对我们自己构造的 SecurityConfig.createList(entry.getValue()); 进行一个角色验证。

public class MyDynamicVoter implements AccessDecisionVoter<Object> {
    /**
     * supports 方法说明这个投票器是否可以传递到下一个投票器
     * 可以支持传递,则返回true
     *
     * @param attribute
     * @return
     */
    @Override
    public boolean supports(ConfigAttribute attribute) {
        return true;
    }

    @Override
    public boolean supports(Class<?> clazz) {
        return true;
    }

    @Override
    public int vote(Authentication authentication, Object object, Collection<ConfigAttribute> attributes) {
        //如果没有进行认证则永远返回 -1
        if (authentication == null) {
            return ACCESS_DENIED;
        }
        int result = ACCESS_ABSTAIN;
        Collection<? extends GrantedAuthority> authorities = extractAuthorities(authentication);
        for (ConfigAttribute attribute : attributes) {
            if (attribute.getAttribute() == null) {
                continue;
            }
            if (this.supports(attribute)) {
                result = ACCESS_DENIED;
                for (GrantedAuthority authority : authorities) {
                    if (attribute.getAttribute().equals(authority.getAuthority())) {
                        return ACCESS_GRANTED;
                    }
                }
            }
        }
        return result;
    }

    private Collection<? extends GrantedAuthority> extractAuthorities(
            Authentication authentication) {
        return authentication.getAuthorities();
    }

}

AccessDecisionManager

最后呢我们可以选择重写或者使用 Spring Security 提供的验证器 看你自己。这里呢我还是使用 Spring Security提供的 AffirmativeBased

 @Bean
 public AccessDecisionManager accessDecisionManager() {
    List<AccessDecisionVoter<?>> decisionVoters = new ArrayList<>();
    decisionVoters.add(new AuthenticatedVoter());
    decisionVoters.add(new WebExpressionVoter());
    decisionVoters.add(new MyDynamicVoter());
    return new AffirmativeBased(decisionVoters);
 }

这里顺便把WebExpressionVoter 投票器加入,让其验证除我们自定义的权限配置。

加入配置项

最后呢把我们定义好的条条框框都加入到我们的配置链中

   protected void configure(HttpSecurity http) throws Exception {
        //http.httpBasic()  //httpBasic 登录
        http.formLogin()
                .failureHandler(failureAuthenticationHandler) // 自定义登录失败处理
                .successHandler(successAuthenticationHandler) // 自定义登录成功处理
                .and()
                .logout()
                .logoutUrl("/logout")
                .and()
                .formLogin()
                .loginPage("/login")
                .loginProcessingUrl("/authentication/form") // 自定义登录路径
                .and()
                .authorizeRequests()// 对请求授权
                // 自定义FilterInvocationSecurityMetadataSource
                .withObjectPostProcessor(new ObjectPostProcessor<FilterSecurityInterceptor>() {
                    @Override
                    public <O extends FilterSecurityInterceptor> O postProcess(O fsi) {
                        fsi.setSecurityMetadataSource(mySecurityMetadataSource(fsi.getSecurityMetadataSource()));
                        fsi.setAccessDecisionManager(accessDecisionManager());
                        return fsi;
                    }
                })
                .antMatchers("/login", "/authentication/require",
                        "/authentication/form").permitAll()
                .anyRequest()
                .authenticated().and().exceptionHandling().accessDeniedHandler(accessDeniedAuthenticationHandler)
                .and()
                .csrf().disable();// 禁用跨站攻击
    }


@Bean
public DynamicFilterInvocationSecurityMetadataSource mySecurityMetadataSource(FilterInvocationSecurityMetadataSource filterInvocationSecurityMetadataSource) {
   return new DynamicFilterInvocationSecurityMetadataSource(filterInvocationSecurityMetadataSource);
}


@Bean
public AccessDecisionManager accessDecisionManager() {
   List<AccessDecisionVoter<?>> decisionVoters = new ArrayList<>();
   decisionVoters.add(new AuthenticatedVoter());
   decisionVoters.add(new WebExpressionVoter());
   decisionVoters.add(new MyDynamicVoter());
   return new AffirmativeBased(decisionVoters);
}

然后定义一个controller

@RestController
public class PermissionController {


    @RequestMapping("/tt")
    public String tt() {
        System.out.println("1");
        return "tt";
    }
}

让登录用户拥有ROLE_JAVA 角色的时候,即可访问/tt

当然这只是我的一个需求,具体的怎么扩展决定在你自己,只要懂了大概的流程,既可以对Spring Security的权限校验做出更好的扩展。

顺便说下我们这个自定义权限并不会影响到权限注解,权限注解是进行了切面处理所以还会在走一遍权限认证器和投票的。

本博文是基于springboot2.x 和security 5 如果有什么不对的请在下方留言。

MelancholyCat
关注
  • 3
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot+SpringSecurity整合(实现了登录认证和权限验证)完整案例,基于IDEA项目
02-16
SpringBoot+SpringSecurity整合示例代码,实现了从数据库获取信息进行登录认证和权限认证。 本项目为idea工程,请用idea2019导入(老版应该也可以)。 本项目用户信息所需sql文件,在工程的resources文件夹下,请自行导入mysql。 运行SpringBootMainClass启动后,请在地址栏访问http://ip:port,在页面登录,成功后会跳转至下一个页面,此时需要后退到刚才的页面,点击各个超链接来试验用户的授权情况。未登录时点击任何链接都会跳回首页。 一共提供了4个用户: 1.admin:可以访问所有请求 2.user1:只能访问user1Call请求 3.user2:只能访问user2Call请求 4.user3:只能访问user3Call请求 具体代码配置逻辑和说明,详见代码的注释
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
04-22
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
springboot整合springsecurity、jwt权限验证
最新发布
08-10
该资源包整合基于springboot整合springsecurity结合jwt做权限验证、配置完善,可以直接作为项目的基础框架集成使用使用mybatis作为持久层框架,基础框架搭建完成,只需要写业务代码集合,便于快捷开发。
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注权限验证
08-26
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注权限验证,可根据注的格式不同,做到角色权限控制,角色加资源权限控制等,粒度比较细化。 @PreAuthorize("hasAnyRole('ADMIN','USER')"):具有admin或user角色的用户可以访问。 @PreAuthorize("hasRole('ADMIN') and hasRole('USER')"):具有admin和user角色的用户可以访问 文章地址:https://blog.csdn.net/fuu123f/article/details/108233463
SpringBoot整合权限控制SpringSecurity.docx
12-10
SpringBoot整合权限控制SpringSecurity
Spring Security 动态权限控制踩坑
爱摸鱼的阿恒
07-27 1218
Spring Security 动态权限控制遇到的坑。
spring security实现动态配置url权限的两种方法
weixin_33713350的博客
06-07 1663
缘起 标准的RABC, 权限需要支持动态配置,spring security默认是在代码里约定好权限,真实的业务场景通常需要可以支持动态配置角色访问权限,即在运行时去配置url对应的访问角色。 基于spring security,如何实现这个需求呢? 最简单的方法就是自定义一个Filter去完成权限判断,但这脱离了spring security框架,如何基于spring security优雅的实现...
史上最简单的Spring Security教程(十七):FilterSecurityInterceptor默认初始化逻辑剖析
银河架构师的博客
08-05 3833
Spring Security框架默认会自动创建一个FilterSecurityInterceptor实例,如我们前面所述,自定义的FilterSecurityInterceptor要么是在默认FilterSecurityInterceptor实例之前,要么是在之后,看具体业务场景。为啥我们不能替换掉默认的FilterSecurityInterceptor实例呢?先来剖析一下默认的FilterSecurityInterceptor实例初始化逻辑。 ​ SecurityMeta...
十、Spring Boot 安全管理(3)
走在bug的路上
08-10 1127
高级配置
玩转SpringCloud Security OAuth2资源授权动态权限扩展
Java知音
11-18 659
点击关注公众号,实用技术文章及时了来源:blog.csdn.net/new_com/article/details/104731154在Spring Cloud Security ,认...
史上最简单的Spring Security教程(十九):AccessDecisionVoter简介及自定义访问权限投票器
银河架构师的博客
08-07 4024
为了后续对AccessDecisionManager的介绍,我们先来提前对AccessDecisionVoter做个简单的了,然后,在捎带手自定义一个AccessDecisionVoter。 AccessDecisionVoter的注释介绍如下: Indicatesaclassisresponsibleforvotingonauthorizationdecisions. Thecoordinationofvoting(iepolling{@codeA...
Spring Security动态配置资源权限
Arthur_Holmes的博客
12-20 1426
  在Spring Security实现通过数据库动态配置url资源权限,需要通过配置验证过滤器来实现资源权限的加载、验证。系统启动时,到数据库加载系统资源权限列表,当有请求访问时,通过对比系统资源权限列表和用户资源权限列表(在用户登录时添加到用户信息)来判断用户是否有该url的访问权限。   在配置验证过滤器时需要的配置项有如下几个: filterSecurityInterceptor:通过继承AbstractSecurityInterceptor并实现Filter接口自定义一个验证过滤...
spring-security2.6.3+JWT认证授权
呆萌小新@渊洁的博客
08-26 781
比shiro更适合与spring体系相结合.主要永用户认证和用户授权shiro使用请看此处shiro认证授权加密验证的脚手架搭建//获取当前用户的权限 Authentication authentication = SecurityContextHolder . getContext() . getAuthentication();.....................
架构小白到砖家-16-【权限管理问题】-springsecurity处理动态权限验证
jea_dong的博客
01-17 562
权限管理也面临数据存储同样的动态处理问题,默认security都是使用提前配置权限设置,或者使用控制方法权限,但是这就造成了硬编码的问题,实际生产权限是根据业务要求进行动态调整的。 为了决硬编码问题,就需要动态获取权限信息。 权限信息包含两部分信息,用户拥有权限和资源访问权限。 用户拥有权限,在登录的时候是可以动态进行加载的。 资源访问权限,如果使用security默认的java代码配置方...
Spring Security Config : HttpSecurity安全配置器 ExpressionUrlAuthorizationConfigurer
ywb201314的专栏
04-06 1215
这里每组RequestMatcher表示一组调用者想设定成相同权限控制的Http method/URL pattern,这里所设置的权限属性其实是基于SpEL的权限表达式。// 安全配置器指定一个安全表达式处理器 SecurityExpressionHandler,// 添加一组需要共同权限设置的 RequestMatcher,并对这组 RequestMatcher 设置相同的权限控制。
SpringSecurity 5.7.3使用withObjectPostProcessor遇到的配置无效问题
胡海龙
09-12 2468
使用Spring Security 5.7.3 的时候在配置withObjectProcessor时遇到配置无效的问题,主要原因是authorizeHttpRequest的原因,改为authorizeRequest后配置生效,authorizeHttpRequest为Spring Security 官方后续推荐的配置方式,它有新的替代配置方式。
Spring Security默认过滤器链之FilterSecurityInterceptor(十四)
欢谷悠扬
07-15 838
1.作用 这个主要是针对http请求进行权限校验 权限校验需要注意的几点: 1.用户需要先认证 2.获取资源所需授权 3.获取用户被授权信息 4.授权校验 5.授权成功处理 6.授权失败处理 2.直接开撸 2.1 参数封装 public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { // 先构建了一
Springboot整合SpringSecurity实现登录认证和鉴权
weixin_44068320的博客
08-12 9607
springboot整合springsecurity实现用户登录认证和鉴权
spring security 自定义AccessDecisionVoter类
neweastsun的专栏
06-09 7850
spring security 自定义AccessDecisionVoter类 针对spring web应用或rest api,spring security提供很多方法实现安全控制,但有时会遇到一些具体场景默认提供功能难以满足。本文我们自定义AccessDecisionVoter类展示如何抽象web应用程序的授权逻辑,并将其与应用程序的业务逻辑分离开来。 应用场景 为了演示Access...
SpringBoot整合SpringSecurity权限控制 详情用法
04-04
Spring Boot和Spring Security是一对好朋友,Spring Boot提供了强大的自动配置和快速开发的能力,而Spring Security则提供了完整的安全决方案,可以实现用户认证、授权、安全过滤等功能。本文将介绍如何在Spring Boot整合Spring Security实现权限控制。 1. 添加Spring Security依赖 在pom.xml文件添加以下依赖: ``` <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> ``` 2. 配置Spring SecuritySpring Boot,可以通过application.properties或application.yml文件配置Spring Security。以下是一个简单的配置: ``` spring.security.user.name=admin spring.security.user.password=123456 spring.security.user.roles=ADMIN ``` 这个配置定义了一个用户名为admin,密码为123456,角色为ADMIN的用户。在实际应用,应该将用户名和密码存储在数据库或其他安全存储。 3. 创建SecurityConfig类 创建一个继承自WebSecurityConfigurerAdapter的SecurityConfig类,并重写configure方法: ``` @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/", "/home").permitAll() .anyRequest().authenticated() .and() .formLogin() .loginPage("/login") .permitAll() .and() .logout() .permitAll(); } @Autowired public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { auth .inMemoryAuthentication() .withUser("admin").password("{noop}123456").roles("ADMIN"); } } ``` configure方法定义了应用程序的安全策略,这里配置了所有请求都需要认证(即登录)才能访问,除了首页和登录页,这两个页面可以匿名访问。formLogin方法配置了自定义的登录页面,logout方法配置了退出登录的操作。 configureGlobal方法定义了一个内存的用户,用户名为admin,密码为123456,角色为ADMIN。在实际应用,应该将用户信息存储在数据库或其他安全存储。 4. 创建登录页面 在templates目录下创建一个名为login.html的登录页面,例如: ``` <!DOCTYPE html> <html> <head> <title>Login Page</title> </head> <body> <h1>Login Page</h1> <div th:if="${param.error}"> Invalid username and password. </div> <div th:if="${param.logout}"> You have been logged out. </div> <form th:action="@{/login}" method="post"> <div> <label>Username:</label> <input type="text" name="username" /> </div> <div> <label>Password:</label> <input type="password" name="password" /> </div> <div> <button type="submit">Login</button> </div> </form> </body> </html> ``` 5. 运行应用程序 在浏览器访问http://localhost:8080/login,输入用户名admin和密码123456,即可登录成功。如果输入错误的用户名或密码,则会提示“Invalid username and password.”。如果成功登录后再访问http://localhost:8080/home,则可以看到“Welcome home!”的欢迎消息。 6. 实现权限控制 上面的例子只实现了登录认证,没有实现权限控制。下面介绍如何实现权限控制。 首先需要在configureGlobal方法添加更多的用户和角色: ``` @Autowired public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { auth .inMemoryAuthentication() .withUser("admin").password("{noop}123456").roles("ADMIN") .and() .withUser("user").password("{noop}password").roles("USER"); } ``` 这里定义了一个管理员用户和一个普通用户,分别拥有ADMIN和USER两个角色。 然后在configure方法添加更多的安全策略: ``` @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/", "/home").permitAll() .antMatchers("/admin/**").hasRole("ADMIN") .anyRequest().authenticated() .and() .formLogin() .loginPage("/login") .permitAll() .and() .logout() .permitAll(); } ``` 这里添加了一个安全策略,即/admin/**路径需要拥有ADMIN角色才能访问。 现在管理员用户可以访问/admin/**路径,而普通用户则不能访问。如果普通用户尝试访问/admin/**路径,则会提示“Access is denied”。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值