SpringSecurity入门《之权限控制》

最新推荐文章于 2023-02-19 16:26:58 发布
最新推荐文章于 2023-02-19 16:26:58 发布
阅读量193 收藏 1
点赞数
分类专栏: SpringSecurity学习 文章标签: spring java spring boot jsp 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40425853/article/details/105308975
版权

权限控制

SpringSecurity中当无权访问某个资源时,会返回403错误。

  1. 第一种
    在SpringSecurity的配置类中指定。
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

/**
 1. SpringSecurity配置类
**/
@Configuration
@EnableWebSecurity
public class WebAppSecurityConfig extends WebSecurityConfigurerAdapter {

    /**
     * 配置资源放行和拦截
     *
     * @param security
     * @throws Exception
     */
    @Override
    protected void configure(HttpSecurity security) throws Exception {

        security.authorizeRequests()                                         
                .antMatchers("地址") // 配置需要角色访问的请求地址
                .hasRole("角色编码") // 设置访问该地址需要的角色
                .antMatchers("地址") // 配置需要权限访问的地址
                .hasAuthority("权限名称") // 设置访问该地址需要的权限
                .anyRequest() // 其他请求
                .authenticated() // 认证后访问}
}

注意,所有权限设置需要在anyRequest的设置之前,否则不生效。

  1. 第二种

在对应controller的方法上使用注解。这种方式需要先在SpringSecurity配置类中使用@EnableGlobalMethodSecurity(prePostEnabled = true)开启。

  • 在SpringSecurity配置类中开启
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

/**
 * SpringSecurity配置类
 */
@Configuration
@EnableWebSecurity
// 启用全局[方法权限控制]功能,并设置prePostEnabled为true。保证@PreAuthority/@PostAuthority/@PreFilter/@PostFilter生效
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class WebAppSecurityConfig extends WebSecurityConfigurerAdapter {

}
  • controller方法中使用:
    /* 指定角色 */
    @PreAuthorize("hasRole('角色编码')")
    @RequestMapping("请求地址")
    public String saveAdmin(Admin admin) {
        return "";
    }

    /* 指定权限 */
    @PreAuthorize("hasAuthority('权限名称')")
    @RequestMapping("请求地址")
    public String saveAdmin(Admin admin) {
        return "";
    }

注意:这里指定角色时,是不用加“ROLE_”前缀的。

  • 第三种:
    动态指定需要设置的请求地址,并设置对应的角色和权限。
  • 实现WebSecurityConfigurerAdapter 接口的配置类:
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.ObjectPostProcessor;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.web.access.intercept.FilterSecurityInterceptor;

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private MySecurityMetadataSource metadataSource;
    @Autowired
    private MyAccessDecisionManager decisionManager;

    // 其他需要的配置信息可以在后面加上
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .withObjectPostProcessor(new ObjectPostProcessor<FilterSecurityInterceptor>() {
                    @Override
                    public <O extends FilterSecurityInterceptor> O postProcess(O object) {
                        // 配置资源(路径)和权限的对应关系
                        object.setSecurityMetadataSource(metadataSource);
                        // 设置资源(路径)拦截处理,即判断用户是否有访问资源的权限
                        object.setAccessDecisionManager(decisionManager);
                        return object;
                    }
                })
                .and()
                .csrf()
                .disable()
                .formLogin()
                .permitAll()
        ;
    }
}
  • 实现FilterInvocationSecurityMetadataSource接口,自定义匹配url权限的类:
import lombok.extern.slf4j.Slf4j;
import org.springframework.security.access.ConfigAttribute;
import org.springframework.security.web.FilterInvocation;
import org.springframework.security.web.access.intercept.FilterInvocationSecurityMetadataSource;
import org.springframework.security.web.util.matcher.AntPathRequestMatcher;
import org.springframework.security.web.util.matcher.RequestMatcher;
import org.springframework.stereotype.Component;

import java.util.Collection;
import java.util.List;

@Slf4j
@Component
public class MySecurityMetadataSource implements FilterInvocationSecurityMetadataSource {

    // 该方法的作用是获取请求的url在数据库中配置的权限的集合,方法的具体事实需要根据设计修改
    @Override
    public Collection<ConfigAttribute> getAttributes(Object object) throws IllegalArgumentException {
        // 从数据库加载url对应的角色和权限信息
        List<ConfigAttribute> list = loadResourceDefine(object);
        // 获取当前请求资源
        FilterInvocation fi = (FilterInvocation) object;
        // 获取所有的url
        String url = fi.getRequestUrl();
        // url匹配器,这里需要根据具体设计情况进行实现,matches方法是用来匹配请求的url是否是数据库配置的url的子域。如果设计是全匹配,则这步可以省略,直接做相等判断。
        RequestMatcher requestMatcher = new AntPathRequestMatcher(url + "**");
        if(requestMatcher.matches(fi.getHttpRequest())){
            return list;
        }

        return null;
    }

    @Override
    public Collection<ConfigAttribute> getAllConfigAttributes() {
        return null;
    }

    @Override
    public boolean supports(Class<?> aClass) {
        // 设置为true
        return true;
    }

}
  • 实现AccessDecisionManager接口,自定义权限校验的类。
import lombok.extern.slf4j.Slf4j;
import org.springframework.security.access.AccessDecisionManager;
import org.springframework.security.access.AccessDeniedException;
import org.springframework.security.access.ConfigAttribute;
import org.springframework.security.authentication.InsufficientAuthenticationException;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.stereotype.Component;

import java.util.Collection;
import java.util.Iterator;

/**
 * 决策管理器
 * decide 方法决定用户是否有权访问url
 */
@Slf4j
@Component
public class MyAccessDecisionManager implements AccessDecisionManager {

    /**
     * 判断用户是否有访问指定资源的权限【直接返回表示能够访问,不能访问则抛异常】
     *
     * @param authentication   当前登录用户拥有的权限,如果没有登录则为游客,登录了则为权限
     * @param object           指定的资源,即url
     * @param configAttributes 该资源设置的权限集合
     * @throws AccessDeniedException
     * @throws InsufficientAuthenticationException
     */
    @Override
    public void decide(Authentication authentication, Object object, Collection<ConfigAttribute> configAttributes) throws AccessDeniedException, InsufficientAuthenticationException {
        // 如果该资源没有设置任何权限,则可以访问
        if (configAttributes == null) {
            return;
        }
        log.info("访问地址:" + object.toString());
        Iterator<ConfigAttribute> iterator = configAttributes.iterator();
        while (iterator.hasNext()) {
            ConfigAttribute configAttribute = iterator.next();
            // 获取单个权限信息
            String attribute = configAttribute.getAttribute();
            // 和用户拥有的权限进行匹配
            Collection<? extends GrantedAuthority> authorities = authentication.getAuthorities();
            for (GrantedAuthority authority : authorities) {
                // 如果能匹配上,说明该用户拥有访问权限
                String authority1 = authority.getAuthority();
                if (attribute.equals(authority1)) {
                    return;
                }
            }
        }
        // 如果都没有匹配上,则说明用户没有访问此资源的权限
        throw new AccessDeniedException("抱歉!您没有访问该资源的权限!");
    }

    @Override
    public boolean supports(ConfigAttribute configAttribute) {
        // 返回true
        return false;
    }

    @Override
    public boolean supports(Class<?> aClass) {
        // 返回true
        return false;
    }

}
  • 设置一个无权访问的跳转页面(在SpringSecurity配置类中设置):
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

/**
 * SpringSecurity配置类
**/
@Configuration
@EnableWebSecurity
public class WebAppSecurityConfig extends WebSecurityConfigurerAdapter {

    /**
     * 配置资源放行和拦截
     *
     * @param security
     * @throws Exception
     */
    @Override
    protected void configure(HttpSecurity security) throws Exception {

        security.authorizeRequests()                                         
                .antMatchers("地址") // 配置需要角色访问的请求地址
                .hasRole("角色编码") // 设置访问该地址需要的角色
                .antMatchers("地址") // 配置需要权限访问的地址
                .hasAuthority("权限名称") // 设置访问该地址需要的权限
                .anyRequest() // 其他请求
                .authenticated() // 认证后访问
                .and()
                .exceptionHandling()                                        // 设置无权访问时异常处理
                // .accessDeniedPage("错误页面地址")                        // 直接跳转到页面,如果需要做处理则使用下面这个
                .accessDeniedHandler(new AccessDeniedHandler() {
                    @Override
                    public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException e) throws IOException, ServletException {
                        // 设置页面提示信息
                        request.setAttribute("errorMsg", "错误提示信息");
                        // 请求转发
                        request.getRequestDispatcher("/WEB-INF/page/common/system-error.jsp").forward(request, response);
                    }
                })                                                          // 处理方法[这里是返回一个错误提示页面]}
}

注意:需要将springMVC的异常拦截器取消,否则使用注解时,异常会被springMVC拦截,导致无法到达SpringSecurity中定义的处理方法中。因为在方法中配置时,请求到达SpringSecurity中没有经过springMVC,但是基于注解的则是已经经过了springMVC。

  • 页面上获取错误提示信息
<h3>
     <!-- SpringSecurity无权访问提示 -->
     ${requestScope.errorMsg}
</h3>

一般情况,第一种 和 第二种虽然可以解决问题,但是是硬编码写死的,框架中一般不采取。

潘大Q仙
关注
专栏目录
【系统权限管理】SpringSecurity实现动态权限菜单控制
2401_84048542的博客
04-18 541
现在正是金三银四的春招高潮,前阵子小编一直在搭建自己的网站,并整理了全套的**【一线互联网大厂Java核心面试题库+解析】:包括Java基础、异常、集合、并发编程、JVM、Spring全家桶、MyBatis、Redis、数据库、中间件MQ、Dubbo、Linux、Tomcat、ZooKeeper、Netty等等**《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!/getAuthority()返回用户对应的菜单权限
快速入门SpringSecurity权限控制一步解决
qq_15267283的博客
11-23 2834
SpringSecurity快速入门 Spring Security 是一个提供身份验证、授权和针对常见攻击的保护的框架。凭借对命令式和反应式应用程序的一流支持,它是保护基于 Spring 的应用程序的事实上的标准。 01 环境搭建 在pom.xml中加入依赖 导入静态资源 welcome.html |views |level1 1.html 2.html 3.html |level2 1.html 2.html
1_SpringSecurity基于SpringBoot的简单环境搭建
P_ning的博客
03-24 176
1.首先搭建一个简单的ssm框架 如何搭建可以看我写的如何使用SpringBoot搭建SSM框架. 2.导包和写配置类 添加依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-secur...
JavaWeb进阶修炼手册35---spring-security(一)概述及入门案例
渐渐的忘记,赶不上明天(读研ing,2024年毕业)
04-04 244
1. 今日内容 2. spring-security概述 1. 为什么学习spring-security? * spring-security框架是一套专门针对于权限处理的一套解决方案,比如登入操作,不同的用户有不同的权限。当然这个登入操作我们使用拦截器或 者过滤器也可以实现,并在这样更加的轻量级。但是,在实际的开发过程中,针对于权限的操作不止限于登入操作,还有一系列其他的操作,比 如记...
SpringSecurity权限校验详解说明(附完整代码)
qq_51076413的博客
02-19 3775
SpringSecurity安全检验、SpringSecurity权限认证、SpringSecurity权限校验、SpringSecurity自定义校验、SpringSecurity自定义校验规则、SpringSecurity异常处理器
SpringBoot 分析 @EnableGlobalMethodSecurity注解 GlobalMethodSecurityConfiguration源码
lkr_lkr的博客
07-09 1411
SpringBoot 分析 @EnableGlobalMethodSecurity注解 GlobalMethodSecurityConfiguration源码GlobalMethodSecurityConfigurationMethodSecurityInterceptorMethodSecurityExpressionHandlerDefaultMethodSecurityExpressionHandler总结 GlobalMethodSecurityConfiguration 实例字段 private
SpringBoot - @EnableGlobalMethodSecurity注解详解
记录并分享
08-03 2866
使用@EnableGlobalMethodSecurity注解,用于开启Spring环境的方法级安全,如果实现该方案需要在添加了@Configuration注解的类上再添加@EnableGlobalMethodSecurity注解即可,通常是继承WebSecurityConfigurerAdapter基类,使用自定义的处理器或者过滤器,实现符合业务场景的访问控制。......
springboot+springsecurity入门
12-06
在这个"springboot+springsecurity入门"项目中,我们将关注如何将这两个框架结合使用,实现一个自定义表单登录的功能。自定义表单登录意味着我们可以根据应用需求设计登录界面,并且处理用户提交的登录信息。 1. ...
全套Spring Security入门到项目实战课程
最新发布
03-21
### Spring Security 全套入门到项目实战课程知识点详解 #### 一、Spring Security 概述 **1.1 Spring Security 介绍** - **定义**: Spring Security 是一款基于 Spring 框架的身份认证(Authentication)与用户...
spring security 入门demo
08-11
通过深入研究这个入门demo,开发者可以逐步了解并掌握Spring Security的强大功能,从而能够为自己的应用程序构建出健壮且安全的访问控制机制。无论是对于Web应用还是RESTful API,Spring Security都能提供全面的解决...
spring security 注解@EnableGlobalMethodSecurity的三种开启注解方式
热门推荐
FAHA的博客
06-08 2万+
@EnableGlobalMethodSecuritySpring Security默认是禁用注解的,要想开启注解,需要在继承WebSecurityConfigurerAdapter的类上加@EnableGlobalMethodSecurity注解,并在该类中将AuthenticationManager定义为Bean。 一、JSR-250注解 @DenyAll 拒绝所有访问 @R
Spring SecurityEnableGlobalMethodSecurity注解详解
Smiling Ron的博客
02-12 4063
@EnableGlobalMethodSecurity 详解 @EnableGlobalMethodSecurity(securedEnabled=true) 开启@Secured 注解过滤权限 例如:@Secured({“ROLE_EMP”})、@Secured({“ROLE_EMP”, “ROLE_ROOT”})、@Secured({“ROLE_ROOT”}) @EnableGlobalMet...
springSecurity授权简单分析
qiuxinfa123的博客
04-16 743
弄完了认证流程,当然要看看授权是怎样进行的了。这里,不会把每一步的代码都贴出来,完整的代码,已经放到了GitHub:https://github.com/qiuxinfa/springSecurity-study 当访问系统的某个接口时,比如http://localhost:8080/admin/users,那么会先来到FilterSecurityInterceptor的doFilter方...
使用SpringMVC+Spring Security3.1.0
mulinsen77的博客
12-26 2063
出错记录: 1.Failed to evaluate expression ‘ROLE_USER’ 解决办法: 在security.xml文件中 ,对有权限的用户都设置了role &lt;authentication-manager&gt;&lt;!-- 权限提供者 --&gt; &lt;authentication-provider&gt; &lt;!-- 可提供登陆访问的...
Spring Security教程(五)
码猿同学
01-10 5476
在之前的几篇security教程中,资源和所对应的权限都是在xml中进行配置的,也就在http标签中配置intercept-url,试想要是配置的对象不多,那还好,但是平常实际开发中都往往是非常多的资源和权限对应,而且写在配置文件里面写改起来还得该源码配置文件,这显然是不好的。因此接下来,将用数据库管理资源和权限的对应关系。数据库还是接着之前的,用mysql数据库,因此也不用另外引入额外的jar包
Spring Security基于数据库配置权限(角色,路径)
pujiaolin的专栏
06-29 1万+
Spring Security基于数据库配置权限(角色,路径) 传统的后台管理系统,在权限处理上通常5个表:用户表,角色表,资源表,用户角色关联表,角色资源关联表。现在为了避免重复造轮子,自己写拦截处理,我们可以使用Spring Security来做权限控制Spring Security官方推荐通过配置来实现角色和资源的对应,这样的问题是假如需要线上配置角色与资源对应就不行了,所以下面
SpringSecurity使用@PreAuthorize、@PostAuthorize实现Web系统权限认证
u011930054的博客
07-17 4853
SpringSecurity可以使用@PreAuthorize和@PostAuthorize进行访问控制,下面进行说明。 项目使用Springboot2.3.3+SpringSecurtiy+Mbatis实现。 首先先引入pom.xml <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artif
eclipse 中 spring security +springmvc入门 (自定义登录页面)
苝花向暖丨楠枝向寒
06-24 1570
上网上看了很多个教程,基本上都不太全面,而且经常是xml的头文件报错。自己研究好久,终于弄出来了,下面分享给大家。首先做一下思路梳理,spring security的作用主要就是一个拦截器,它会拦截指定的请求,并判断你是否登录了账号,如没有则会自动跳转到登录页面,这个登录页面是spring security内置的,特别简陋,项目中肯定不会使用,但我们可以自己配置登录页面。同时我们需要在配置文件中 ...
SpringBoot+Vue前后端分离,使用SpringSecurity完美处理权限问题(二)
weixin_34248487的博客
01-10 6931
当前后端分离时,权限问题的处理也和我们传统的处理方式有一点差异。笔者前几天刚好在负责一个项目的权限管理模块,现在权限管理模块已经做完了,我想通过5-6篇文章,来介绍一下项目中遇到的问题以及我的解决方案,希望这个系列能够给小伙伴一些帮助。本系列文章并不是手把手的教程,主要介绍了核心思路并讲解了核心代码,完整的代码小伙伴们可以在GitHub上...
Spring Security入门权限控制与MVC集成示例
总结:在这个Spring Security入门示例中,我们配置了一个基本的Spring MVC应用,并通过Spring Security实现了用户登录和基于角色的权限控制。通过在web.xml中配置Spring MVC和Spring Security,以及在spring-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值