Java List GrantedAuthority

最新推荐文章于 2024-05-31 10:46:10 发布
最新推荐文章于 2024-05-31 10:46:10 发布
阅读量610 收藏
点赞数
分类专栏: Java Spring MySQL 文章标签: java list 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39797583/article/details/119212580
版权
Java 同时被 3 个专栏收录
6 篇文章 0 订阅
订阅专栏
MySQL
6 篇文章 0 订阅
订阅专栏
Spring
2 篇文章 0 订阅
订阅专栏

Spring security 的权限配置使用问题

问题

拦截的资源设置其只要通过认证即可访问,但发现只有具有权限的用户才能登录访问,没有权限的用户即使通过了认证,但还是无法访问。
这里的权限是指对特定请求或特定界面设置的访问权限,认证指的是用户是否可以正常登录账户。
所以这里就是未具有权限的用户无法通过认证。

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xmlns:security="http://www.springframework.org/schema/security"
       xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security.xsd">

  <security:http pattern="/css/**" security="none"/>
  <security:http pattern="/img/**" security="none"/>
  <security:http pattern="/js/**" security="none"/>
  <security:http pattern="/plugins/**" security="none"/>
  <security:http pattern="/template/**" security="none"/>

  <security:global-method-security pre-post-annotations="enabled"/>

  <security:http auto-config="true" use-expressions="true">

    <security:headers>
      <security:frame-options policy="SAMEORIGIN"></security:frame-options>
    </security:headers>

	<!--这里对/pages下的资源的访问权限设置为必须通过认证(登录)才能访问-->
    <security:intercept-url pattern="/pages/**" access="isAuthenticated()"/>

    <security:form-login
      login-page="/login.html"
      username-parameter="uName"
      password-parameter="uPwd"
      login-processing-url="/login.do"
      default-target-url="/pages/main.html"
      authentication-failure-url="/login.html"
      always-use-default-target="true"
      ></security:form-login>
    <security:csrf disabled="true"/>
    <security:logout logout-url="/logout.do" logout-success-url="/login.html" invalidate-session="true"/>
  </security:http>

  <bean id="passwordEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder">
  </bean>

<!--认证管理,可在当前配置文件中配置用户的权限,也可以在组件中进行配置,以下采用的是组件的方式进行用户权限管理-->
  <security:authentication-manager>
    <security:authentication-provider user-service-ref="springSecurityUserService">
      <security:password-encoder ref="passwordEncoder"/>
    </security:authentication-provider>
  </security:authentication-manager>

</beans>

给登录用户配置权限的组件

@Component
public class SpringSecurityUserService implements UserDetailsService {
    @Reference
    private UserService userService;

    @Override
    public UserDetails loadUserByUsername(String name) throws UsernameNotFoundException {
        //userService通过name获取到用户信息后并获取用户所有权限
        User user = userService.getUserByName(name);
        if(user == null){
            return null;
        }
        //将权限存入集合中,返回给UserDetails
        List<String> authorities =  userService.getAuthority(user.getId());
        Iterator<String> iterator = authorities.iterator();
        //存放权限的集合
        List<SimpleGrantedAuthority> authority = new ArrayList<>();
        //遍历当前用户的权限集合
        while(iterator.hasNext()){
            authority.add(new SimpleGrantedAuthority(iterator.next()));
        }
        return new org.springframework.security.core.userdetails.User(user.getUsername() , user.getPassword() , authority);
    }
}

再次使用没有权限的用户登录,debug一步步调试,发现后面被捕获了一个异常,信息如下。
在这里插入图片描述
在网上查询该异常,出现这个异常的原因要么是在new SimpleGrantedAuthority的构造器中传入的空串,要么传入了空值。查看上面的代码发现由于在new SimpleGrantedAuthority(iterator.next()),这里传入了null值。

在这里插入图片描述
分析:这里之所以会有null值,是由于List集合允许存null值,数据库中没有查到数据时,就会给集合赋值一个null值,导致集合长度为1,可以进入到迭代器中,在迭代器中没有进行判空,由此产生了异常。查看前辈写的代码,由于这里是查询用户的权限,涉及到多表查询,如果将权限的List集合作为用户的属性,在MyBatis的resultMap中为List集合配置Collection标签,再查询,这时即使未查询到该用户的权限,List集合中也不会添加一个null值。

关于Spring Security的拦截器加载顺序的一些猜想,在配置文件中配置的拦截顺序会影响实际的资源请求,同时,配置文件中的拦截器先于注解@PreAuthorize加载。

--------------------------更新001------------------------------------------------

复盘:最近敲代码时,突然想到查list要不要判空,想到了之前这个情况,又去看了之前的代码,突然发现查询语句写的有问题,以下是产生All elements are null的查询sql。

<select id="getAuthority" resultType="String">
    select p.keyword 'authority'
      from t_user u 
      left join t_user_role ur 
      on u.id = ur.user_id
      left join t_role r 
      on ur.role_id = r.id
      left join t_role_permission rp 
      on r.id = rp.role_id
      left join t_permission p 
      on rp.permission_id = p.id
      where u.id = #{userId}
  </select>

要查的是某个用户的权限,权限表和用户内连接才对,我竟然用了左联结,导致即使某个用户没有权限,左联结会导致用null填充p.keyword。

参考
https://blog.csdn.net/Java_Mr_Zheng/article/details/52528712
https://www.cnblogs.com/hdwang/p/7002086.html

qq_39797583
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
自定义GrantedAuthority
qq_37205911的博客
07-04 1万+
自定义GrantedAuthority1.工作时需要返回角色的id,这是需要重写GrantedAuthority接口2.常用SimpleGrantedAuthority类public final class SimpleGrantedAuthority implements GrantedAuthority { private static final long serialVersion...
spring security 2 配置说明
11-04
spring security 2 配置说明
springboot-jpa-security:Spring Data JPA和Spring Security配置示例项目
05-15
Spring Data JPA和Spring Security Sample项目 连接Spring Data JPA和Spring Security的示例项目 1.配置说明 用户:实现Spring Security的UserDetails界面 Authority:一种实现Spring Security的GrantedAuthority接口的枚举类型。 应用程序的用户权限更有可能在应用程序设计阶段定义。 如果您想将权限作为实体来管理...(我还没有这样做) 在此项目中,将授予ADMIN,PROJECT_MANAGER和USER特权。 权威 管理:应用程序管理员权限 PROJECT_MANAGER:项目经理,项目CRUD,负责团队CRUD USER:一般用户权限 WebSecurityConfig:Web Spring安全性配置类 2.实施的事情 每个实体的存储库 交易处理服务 控制器
通用类型转化转换工具类()
qq_25190901的博客
07-14 168
import org.springframework.beans.BeanUtils; import java.io.Serializable; import java.util.ArrayList; import java.util.List; /** * 通用类型转化转换工具类 * * @author Administrator */ public class BeanConvertUtils { /** * 类型转化 */ public sta...
SpringBoot 下 SpringSecurity 入门搭建
爱学的狼
08-08 1333
提示:仅供自己学习参考(开发环境maven3.9+jdk1.7+eclipseMar4.5.2) 1、目录结构: 2、源代码: (1)Springboot001Application 类 package com.ljh.springboot001; import org.springframework.boot.SpringApplication; import org
Java开发技巧 数组,list,set之间的转换 Map转Collection
weixin_44131922的博客
07-22 2234
数组转list使用JDK自带Arrays.asList但这样的转换出来的只能时引用类型的数组,基本数据类型的数组不可以,同时转换出来的对象不能执行增删操作;使用JDK的Collections或者ApacheJakartaCommonsCollections使用时导入如下。此时还不能直接使用,可以调用Collection的toArray方法转为Object数组。通过使用Map的values()方法,这样获取的是map中所有的value。...
Java 泛型
KEEP CODING
10-26 2287
无论在何时,只要你能做到,你就应该尽量使用泛型方法。
springSecurity报错:Cannot pass a null GrantedAuthority collection
骚戴的博客
11-15 825
springSecurity报错:Cannot pass a null GrantedAuthority collection
解决:java.lang.IllegalArgumentException: Cannot pass a null GrantedAuthority collection
Symon的博客
06-12 3637
深入了解 java.lang.IllegalArgumentException: Cannot pass a null GrantedAuthority collection 异常:IllegalArgumentException: Cannot pass a null GrantedAuthority collection 异常信息: org.springframework.beans.factory.BeanCreationException: Error creating bean with na.
java实现角色权限认证
m0_65724213的博客
01-17 1011
角色权限
spring-security-db-example:使用DB进行身份验证和授权的Spring Boot应用程序中的Spring Security
01-30
在Spring Boot应用程序中使用Mysql授权的Spring Security 此示例包括以下内容: 使用MySql DB Connectivity使用... 使用GrantedAuthority角色进行授权以实现方法级安全性利用Spring Security的登录页面注入登录详细信息
SpringSecurity 3.0.1.RELEASE.CHM
03-21
20. Java认证和授权服务(JAAS)供应器 20.1. 概述 20.2. 配置 20.2.1. JAAS CallbackHandler 20.2.2. JAAS AuthorityGranter 21. CAS认证 21.1. 概述 21.2. CAS是如何工作的 21.3. 配置CAS客户端 22. X....
Spring Security 中文教程.pdf
12-06
21. Java认证和授权服务(JAAS)供应器 21.1. 概述 21.2. 配置 21.2.1. JAAS CallbackHandler 21.2.2. JAAS AuthorityGranter 22. CAS认证 22.1. 概述 22.2. CAS是如何工作的 22.3. 配置CAS客户端 ...
java中集合Collection转list对象
热门推荐
比坚持更厉害的是把坚持日常化
08-24 6万+
首先我的需求是获取到购物车列表,购物车列表是一个Map对象,构造方法获取购物项,这里购物项是Collection对象 // 购物项集合,K商品ID,V就是购物项 Map&lt;Integer, CartItem&gt; map = new LinkedHashMap&lt;Integer, CartItem&gt;(); public Collection&lt;Cart...
【STM32学习】HAL库点灯学习
2301_78895982的博客
05-26 892
STM32基于HAL库流水灯实验_hel库安装教程中文版-CSDN博客t=N7T8。
operator <=> (spaceship operator)
janeqi1987的专栏
05-28 898
= 与!= 操作符为了检查是否相等,现在定义== 操作符就够了。当编译器找不到表达式的匹配声明a!=b 时,编译器会重写表达式并查找!(a==b)。若这不起作用,编译器也会尝试改变操作数的顺序,所以也会尝试!(b==a):a!=b,!(b==a)因此,对于TypeA 的a 和TypeB 的b,编译器将能够识别并编译a!= b若需要的话,可以这样做• 一个独立函数operator!• 一个独立函数operator==(TypeA, TypeB)
Spring6基础笔记
质胜文则野,文胜质则史。文质彬彬,然后君子。
05-21 1209
Spring 是一款主流的 Java EE 轻量级开源框架 ,Spring 由“Spring 之父”Rod Johnson 提出并创立,其目的是用于简化 Java 企业级应用的开发难度和开发周期。Spring的用途不仅限于服务器端的开发。从简单性、可测试性和松耦合的角度而言,任何Java应用都可以从Spring中受益。Spring 框架除了自己提供功能外,还提供整合其他技术和框架的能力。Spring 自诞生以来备受青睐,一直被广大开发人员作为 Java 企业级应用程序开发的首选。时至今日,Spring 俨然
Java 异常处理中try-catch块、finally子句以及自定义异常的使用
最新发布
Itmastergo的博客
05-31 671
异常是程序运行过程中出现的非正常情况。Java 使用异常类(Exception 类及其子类)来表示这些异常情况。异常处理的核心思想是将正常的程序流程与异常处理流程分离开来,使代码更加清晰和可维护。Throwable 类:所有异常和错误的基类。Error 类:表示系统级的错误,程序通常无法处理,比如内存不足(OutOfMemoryError)。Exception 类:表示程序中可以处理的异常情况。RuntimeException 类。
java获取登录用户信息
05-31
```java import org.springframework.security.core.Authentication; import org.springframework.security.core.context.SecurityContextHolder; import org.springframework.security.core.userdetails....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值