spring security中动态更新用户的权限

最新推荐文章于 2024-05-06 19:26:49 发布
最新推荐文章于 2024-05-06 19:26:49 发布
阅读量5.1k 收藏 25
点赞数 7
分类专栏: springboot spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40127376/article/details/102765576
版权

业务背景: 管理员更改其他用户权限,正好用户在登陆状态下,无法刷新管理员刚赋值的权限,只能退出登录,重新登录才能拥有新权限.
业务需求:管理员更改权限,其他用户不退出登录,可以拥有新权限,动态刷新session
感谢这位博客提供的线索
前提条件需要拥有

@Autowired
    SessionRegistry sessionRegistry;

如果找不到SessionRegistrybean 需要自行注册

/**
     * 注册bean sessionRegistry
     */
    @Bean
    public SessionRegistry sessionRegistry() {
        return new SessionRegistryImpl();
    }

配置security http

http
		... 省略代码
				.and()
                .sessionManagement()
                // 无效session跳转
                .invalidSessionUrl(login)
                .maximumSessions(1)
                // session过期跳转
                .expiredUrl(login)
                .sessionRegistry(sessionRegistry())
       ... 省略代码

定义一个 UserSessionManage

package com.gszcn.hisweb.config.session;

import lombok.Data;
import lombok.extern.slf4j.Slf4j;
import org.springframework.cache.annotation.CacheConfig;
import org.springframework.cache.annotation.CachePut;
import org.springframework.cache.annotation.Cacheable;
import org.springframework.stereotype.Component;

import javax.servlet.http.HttpSession;
import java.util.*;

/**
 * 用户存储session
 * 一个用户储存多个session 出现一个用户多个地方登录
 */
@Component
@Data
@Slf4j
@CacheConfig(cacheNames = "UserSessionManage")
public class UserSessionManage {
    /**
     * 用户存储session对象
     */
    private Map<String,List<HttpSession>> userHttpSession=new HashMap <>();

    /**
     * 获取当前在线的session
     * @param id
     * @return
     */
    @Cacheable(key = "#id")
    public List<HttpSession> getUserSession(String id) {
        List <HttpSession> httpSessions = userHttpSession.get(id);
        if(httpSessions==null){
            httpSessions=new ArrayList <>();
        }
        return httpSessions;
    }

    /**
     * 修改缓存
     * @param id
     * @param userSession
     */
    @CachePut(key = "#id")
    public List<HttpSession> putUserSession(String id, List<HttpSession> userSession) {
        userHttpSession.put(id,userSession);
        return userSession;
    }
}

然后在定义一个SessionManage

package com.gszcn.hisweb.config.session;

import lombok.Data;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.cache.annotation.CacheConfig;
import org.springframework.cache.annotation.CacheEvict;
import org.springframework.cache.annotation.Cacheable;
import org.springframework.stereotype.Component;

import javax.servlet.http.HttpSession;
import java.util.HashMap;
import java.util.List;
import java.util.Map;

/**
 * session管理容器
 */
@Data
@Slf4j
@Component
@CacheConfig(cacheNames = "SessionManage")
public class SessionManage {
    @Autowired
    UserSessionManage userSessionManage;
    /**
     * 创建map容器
     */
    private Map<String,HttpSession> httpSessionMap=new HashMap <>();

    /**
     * 创建session
     * @param id
     * @param session
     */
    @Cacheable(key = "#id")
    public HttpSession createdSession(String id, HttpSession session) {
        httpSessionMap.put(id,session);
        return session;
    }

    /**
     * 销毁session
     * @param id
     */
    @CacheEvict(key = "#id")
    public void destroyedSession(String id) {
        httpSessionMap.remove(id);
    }

    /**
     * 改变session
     * @param oldSessionId
     * @param newSessionId
     * @return
     */
    public void changeSession(String oldSessionId, String newSessionId) {
        //查询旧的session

    }
    /**
     * 根据sessionid查询session
     */
    @Cacheable(key = "#id")
    public HttpSession getSessionID(String id){
        return httpSessionMap.get(id);
    }

    /**
     * 当前用户保存session
     * @param id 用户id
     * @param httpSessions
     */
    @Cacheable(key = "'user'+#id",unless = "!#result.contains(#httpSessions)")
    public List <HttpSession> putUserSession(String id, HttpSession httpSessions) {
        List <HttpSession> userSession = userSessionManage.getUserSession(id);
        if(!userSession.contains(httpSessions)){
            userSession.add(httpSessions);
        }
        userSessionManage.putUserSession(id,userSession);
        return userSession;
    }
}

监听每次的请求防止多账号不同步权限

 /**
     * 监听Servlet 请求
     */
    @Component
    class ServletRequestHandledEventListener implements ApplicationListener <ServletRequestHandledEvent> {

        @Override
        public void onApplicationEvent(ServletRequestHandledEvent event) {
            log.info("ServletRequestHandledEventListener:{}",event);
            String sessionId = event.getSessionId();
            SessionInformation sessionInformation = sessionRegistry.getSessionInformation(sessionId);
            if(sessionInformation==null){return;}
            Object principal = sessionInformation.getPrincipal();


            try {
                if(principal instanceof SysUser){
                    SysUser user = (SysUser) principal;
                    sessionManage.putUserSession(user.getId(),SecurityUtil.getHttpSession());
                }

            } catch (Exception e) {
                log.warn("当前无法监听到用户信息");
            }

        }
    }

sessionManage 中取出当前在线用户的所有session

/**
     * 刷新session
     * 刷新在线用户角色
     * @param save
     */
    private void refreshSession(SysUser save) {
        UserSessionManage userSessionManage = sessionManage.getUserSessionManage();
        List<HttpSession> userSession = userSessionManage.getUserSession(save.getId());
        userSession.forEach(session -> {
            this.reloadUserAuthority(session);
        });
    }

当修改角色调用刷新session中的在线用户权限

/**
     * 重新加载用户的权限
     *
     * @param session
     */
    public void reloadUserAuthority(HttpSession session) {
        try {
            SecurityContext securityContext = (SecurityContext) session.getAttribute(HttpSessionSecurityContextRepository.SPRING_SECURITY_CONTEXT_KEY);
            Authentication authentication = securityContext.getAuthentication();
            Object principal1 = authentication.getPrincipal();
            if (principal1 instanceof SysUser) {
                UserDetails principal = (SysUser) principal1;
                /**
                 * 重载用户对象
                 */
                principal = this.loadUserByUsername(principal.getUsername());

                // 重新new一个token,因为Authentication中的权限是不可变的.
                UsernamePasswordAuthenticationToken result = new UsernamePasswordAuthenticationToken(
                        principal, authentication.getCredentials(),
                        principal.getAuthorities());
                result.setDetails(authentication.getDetails());
                securityContext.setAuthentication(result);
            }
        } catch (Exception e) {
            log.error("当前用户session有可能不存在");
        }

    }

本页面的代码本人测试无误,请放心参考,当然源码不提供公司的代码,如果又不懂的地方请留言或者联系QQ:1810258114及时帮你解答

qq_40127376
关注
  • 7
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
SpringSecurity: 授权和修改User配置角色和权限,修改loadUserByUsername方法,修改SpringSecurity配置类,控制Controller层接口权限,异常处理
qq_73126462的博客
01-22 1486
用户所属角色为基础进行授权,如管理员、普通用户等,通过为用户分配角色来控制其对资源的访问权限。:以资源为基础进行授权,如 URL、方法等,通过定义资源所需的权限,来控制对该资源的访问权限Spring Security 提供了多种实现授权的机制,最常用的是使用基于注解的方式,建立起访问资源和权限之间的映射关系。其最常用的两个注解是@Secured和。@Secured注解是更早的注解,基于角色的授权比较适用,基于SpEL表达式的方式,可灵活定义所需的权限,通常用于基于资源的授权。
springBoot+security+mybatis 实现用户权限的数据库动态管理
05-03
NULL 博文链接:https://veiking.iteye.com/blog/2429172
springboot版本升级,及解决springsecurity漏洞问题
最新发布
喜羊羊love红太狼
05-06 1457
项目要解决 Spring Security RegexRequestMatcher 认证绕过漏洞(CVE-2022-22978) 漏洞问题,并且需要将项目的版本整体升级到boot版本2.1.7,升级改造过程非常的痛苦,一方面对整个框架的代码不是很熟悉,另外对解决漏洞问题相对较少。但是明明可以用鼠标点击进去,此类问题经常是idea,什么缓存,或者是pom依赖下载不全导致,然后就陷入了这个误区,一直以为是idea的问题,然后idea缓存清理了很多次还是无法解决。此时我就怀疑可能不是idea的问题了。
Spring Security动态更新已登录用户信息
谅搁的博客
06-09 4336
记录 Spring Security如何动态更新已登录用户信息 /** * 设置当前登录用户,保存 或 更新登录信息 * * @param userDetails */ public static void setLoginUser(UserDetails userDetails) { SecurityContextHolder.getContext().setAuthentication( new UsernamePasswordAuthenticationToken(userDetail
Spring Security真正的实时更新权限方法!无需拦截器、踢出用户,直接修改Redis的内容
Tan_LC的博客
01-23 251
相信很多用了Spring Security的小伙伴在日常开发,总会遇到需要实时更新权限的问题,比如,对一个新调入某个部门的员工,我们希望在管理员设置他的权限之后,这位员工立刻就能使用了,而不需要先退出登录然后再重新登录,以达到更好的用户体验。那么,我们能不能在后台悄悄地就把权限更新,而不需要用户自己访问呢?以上2、3都有一个问题,就是更新权限并不是经常发生的事情,可能用户用了几个月,管理员才会修改一次权限,如果只是为了确认权限有没有更新,就多一个步骤,那属实是有点浪费性能。首先,我们的项目采用的是。
Spring Security真正的实时更新权限方法!无需拦截器、踢出用户,直接修改Redis的内容
qq_37436987的博客
02-05 2005
相信很多用了Spring Security的小伙伴在日常开发,总会遇到需要实时更新权限的问题,比如,对一个新调入某个部门的员工,我们希望在管理员设置他的权限之后,这位员工立刻就能使用了,而不需要先退出登录然后再重新登录,以达到更好的用户体验。那么,我们能不能在后台悄悄地就把权限更呢?
SpringSecurity动态加载用户角色权限实现登录及鉴权功能
08-25
Spring Security 动态加载用户角色权限是实现登录及鉴权功能的关键步骤。本文将详细介绍如何使用 Spring Security 实现动态加载用户角色权限,并讲解相关的基础知识和实现方法。 一、动态数据登录验证的基础...
springboot springsecurity动态权限控制
09-18
在这个“springboot springsecurity动态权限控制”的主题,我们将深入探讨如何在Spring Boot项目集成Spring Security,实现动态权限控制,让菜单权限的管理更加灵活和高效。 首先,我们需要理解Spring Security...
spring security动态配置url权限的2种实现方法
08-27
本文将探讨两种在Spring Security实现动态配置URL权限的方法。 ### 方法一:自定义Filter 虽然自定义Filter可以实现动态权限判断,但这并不符合Spring Security的设计原则,因为这会使你绕过框架提供的安全机制...
Spring security用户URL权限FilterSecurityInterceptor使用解析
08-25
Spring Security框架,`FilterSecurityInterceptor`是一个关键组件,用于控制用户对应用程序不同URL的访问权限。这个拦截器在用户发起HTTP请求时介入,基于预定义的安全策略判断用户是否被授权访问请求的资源。...
spring security解决用户权限的方案
11-12
使用spring security解决用户权限的方案
Spring Security 强制退出指定用户的方法
08-27
在本篇文章,我们将介绍如何使用 Spring Security 强制退出指定用户。 首先,让我们来看看应用场景。假设我们有一个社区,最近有人发文章带上小广告,严重影响社区氛围。这时,我们需要对这些用户采取措施,例如...
spring-security 记录笔记04 修改用户权限
liuyuncd的博客
06-04 701
我们经常会遇到这样的场景,动态权限的调整,例如张三是个部门主管,本身没有删除员工资料这个权限,但是上级比较信任张三,就想将这个功能交给张三去做。 我们首先使用张三登录(xsc001): 我们看后台打印出来的张三的角色权限未: 当前角色未SALE_ADMIN,权限未新增和修改 这时候我们需要给他新增员工删除的权限,这里有个问题是,不管直接修改数据库还是使用代码给他新增这些权限和角色,如果张三已经是登录状态的话,需要退出系统重新登录才会加载最新权限(因为张三已经登录了,spring security缓存
如何更新 springsecurity用户信息_Spring Security 实战干货:图解用户是如何登录的...
weixin_39953100的博客
01-25 383
1. 前言 欢迎阅读Spring Security 实战干货系列文章,在集成Spring Security安全框架的时候我们最先处理的可能就是根据我们项目的实际需要来定制注册登录了,尤其是Http登录认证。根据以前的相关文章介绍,Http登录认证由过滤器UsernamePasswordAuthenticationFilter 进行处理。我们只有把这个过滤器搞清楚才能做一些定制化。今天我们就简单分...
修改spring security源码实现动态授权
cyoubunketu的专栏
02-08 2836
spring security 安全框架都是通过xml配置文件在容器启动时把资源和角色之间的许可信息加载到内存,可往往我们需要通过在数据库配置资源和角色的许可管理来实现动态授权,下面介绍一些通过修改springsecurity源代码的方法来实现动态授权。 首先下载spring security的源代码找到org.springframework.security.intercept.we
SpringSecurity + jwt + Oauth2实现动态权限管理(有源码)
qq_44993268的博客
03-31 1206
spring security权限管理
SpringBoot+SpringSecurity改造为前后端分离+Jwt的权限认证系统,Token过期刷新问题
热门推荐
zzzgd_666的博客
07-18 1万+
前言 一般来说,我们用SpringSecurity默认的话是前后端整在一起的,比如thymeleaf或者Freemarker,SpringSecurity还自带login登录页,还让你配置登出页,错误页。 但是现在前后端分离才是正道,前后端分离的话,那就需要将返回的页面换成Json格式交给前端处理了 SpringSecurity默认的是采用Session来判断请求的用户是否登录的,但是不方便分布式...
java实时更新权限_java – 如何使用Spring Security重新加载用户更新权限
weixin_39608509的博客
02-28 1013
如果您需要动态更新登录的用户权限(当这些权限发生变化时,无论什么原因),无需登出并登录,您只需要重置Spring SecurityContextHolder的Authentication对象(安全令牌)即可.例:Authentication auth = SecurityContextHolder.getContext().getAuthentication();List updatedAuth...
springsecurity更新用户权限
09-06
Spring Security可以通过刷新用户的Session来更新用户权限。在代码,可以调用`reloadUserAuthority(HttpSession session)`方法来重新加载用户权限。这个方法首先获取当前用户的安全上下文,并从获取认证信息。然后,通过调用`loadUserByUsername(String username)`方法重新加载用户对象,得到新的用户对象。接下来,创建一个新的`UsernamePasswordAuthenticationToken`对象,其包含新的用户对象、认证凭证和权限列表。最后,将新的认证信息设置回安全上下文,以更新用户权限。 为了实现动态刷新Session,需要满足以下前提条件: 1. 需要使用`@Autowired`注入`SessionRegistry`对象。 2. 在业务需求,管理员更改了用户权限后,可以调用`sessionRegistry`对象的相应方法来使其他用户的Session得到刷新,从而拥有新的权限。 综上所述,通过调用`reloadUserAuthority`方法并满足前提条件,可以实现Spring Security动态更新用户权限的功能。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [spring security动态更新用户权限](https://blog.csdn.net/qq_40127376/article/details/102765576)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [SpringSecurity动态加载用户角色权限实现登录及鉴权](https://blog.csdn.net/hanxiaotongtong/article/details/103268544)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值