SpringSecurity后端访问权限和页面访问权限的动态设置

最新推荐文章于 2024-05-06 16:09:45 发布
最新推荐文章于 2024-05-06 16:09:45 发布
阅读量777 收藏 1
点赞数
分类专栏: springSecurity java springBoot 文章标签: java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45786340/article/details/106052033
版权

创建自定义过滤器调用安全性元数据类,实现FilterInvocationSecurityMetadataSource 接口

@Component
public class CustomFilterInvocationSecurityMetadata implements FilterInvocationSecurityMetadataSource {
    @Autowired
    MenuServiceImpl menuService;
    AntPathMatcher antPathMatcher=new AntPathMatcher();
    @Override
    public Collection<ConfigAttribute> getAttributes(Object o) throws IllegalArgumentException {
        String requestUrl = ((FilterInvocation) o).getRequestUrl();
        //获取菜单的所有权限
        List<Menu> menus=menuService.getAllMenuWithRole();
        for (Menu menu : menus) {
            //判断当前请求接口路径是否和菜单中路径一致
            if(antPathMatcher.match(menu.getUrl(),requestUrl)){
                //如果一致则进入,并创建一个角色集合
                List<Role> roles=menu.getRoles();
                String[] strings=new String[roles.size()];
                for (int i=0;i<roles.size();i++){
                    strings[i]=roles.get(i).getName();
                }
                System.out.println(strings);
                return SecurityConfig.createList(strings);
            }
        }
        return SecurityConfig.createList("ROLE_LOGIN");
    }

    @Override
    public Collection<ConfigAttribute> getAllConfigAttributes() {
        return null;
    }

    @Override
    public boolean supports(Class<?> aClass) {
        return false;
    }
}

创建网址访问决策管理器类,实现AccessDecisionManager接口

public class UrlAccessDecisionManager implements AccessDecisionManager {
    @Override
    public void decide(Authentication auth, Object o, Collection<ConfigAttribute> collection) throws AccessDeniedException, InsufficientAuthenticationException {
        for (ConfigAttribute configAttribute : collection) {
            String needROle = configAttribute.getAttribute();
            if("ROLE_LOGIN".equals(needROle)){
                if (auth instanceof AnonymousAuthenticationToken){
                    throw new AccessDeniedException("尚未登陆,请登录");
                }else {
                    return;
                }
            }
            Collection<? extends GrantedAuthority> authorities = auth.getAuthorities();
            for (GrantedAuthority authority : authorities) {
                if(authority.getAuthority().equals(needROle)){
                    return;
                }
            }
        }
        throw new AccessDeniedException("权限不足,请访问管理员");
    }

    @Override
    public boolean supports(ConfigAttribute configAttribute) {
        return true;
    }

    @Override
    public boolean supports(Class<?> aClass) {
        return true;
    }
}

注入urlAccessDecisionManagercustomFilterInvocationSecurityMetadata

	@Autowired
    CustomFilterInvocationSecurityMetadata customFilterInvocationSecurityMetadata;
    @Autowired
    UrlAccessDecisionManager urlAccessDecisionManager;

修改HttpSecurity配置方法

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                //.anyRequest().authenticated()//任何请求都已认证
                .withObjectPostProcessor(new ObjectPostProcessor<FilterSecurityInterceptor>() {
                    @Override
                    public <O extends FilterSecurityInterceptor> O postProcess(O object) {
                        object.setAccessDecisionManager(urlAccessDecisionManager);
                        object.setSecurityMetadataSource(customFilterInvocationSecurityMetadata);
                        return object;
                    }
                })
                .and()
                ...........省略,详情看上两篇................

没有认证时,在这里处理结果,不要重定向,告诉前端

        /*没有认证时,在这里处理结果,不要重定向*/
                .exceptionHandling().authenticationEntryPoint(new AuthenticationEntryPoint() {
            @Override
            public void commence(HttpServletRequest httpServletRequest, HttpServletResponse resp, AuthenticationException e) throws IOException, ServletException {
                resp.setContentType("application/json;charset=utf-8");
                PrintWriter out=resp.getWriter();
                RespBean respBean = RespBean.error("访问失败");
                if (e instanceof InsufficientAuthenticationException){
                    respBean.setMsg("请求失败,请联系管理员");
                }
                out.write(new ObjectMapper().writeValueAsString(respBean));
                out.flush();
                out.close();
            }
        });
是小冥呀
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
微人事第十天:HttpSecurity配置
qq_41998938的博客
02-01 647
Spring Security可以针对不同的访问路径,来根据登陆的用户判断该用户是否可以访问。实现这个功能就需要HttpSecurity配置来解决。 1.配置类 以下配置类可以看出,这里提供了两个登陆的用户,用户javaboy具有admin权限,用户江南一点雨既有admin又有user权限。 接下来配置类中根据不同的访问权限来设定该用户是否能访问。 例如以下代码就表示以admin开头的路径只能ad...
基于springBoot+springSecurity+jwt实现前后端分离用户权限认证
12-09
springSecurity也有很多种权限认证方式,本项目主要实现基于接口授权,也就是说通过注解给controller赋予权限,用户只有拥有某个接口的权限才能成功访问这个接口,从而实现不同用户拥有不同访问权限;
01_SpringSecurity学习之配置HttpSecurity
ShiJunzhiCome的博客
08-06 8161
Spring Security 学习之配置 HttpSecurity
Spring Security实现动态配置权限
qq_60458298的博客
03-25 919
需要注意的是,如果我们需要根据数据库或其他外部数据源动态配置权限,可以在 MyVoter 中进行相关的查询操作,以动态获取资源的 ConfigAttribute,然后再进行决策。在上面的代码中,我们通过实现 vote() 方法,根据当前用户的 Authentication 对象和资源的 ConfigAttribute 对象,决策当前用户是否有权限访问该资源。
使用AccessDecisionManager实现HttpSecurity的自定义动态路由鉴权
最新发布
CodeCattle的博客
05-06 1010
1. 使用AccessDecisionManager实现HttpSecurity的自定义动态路由鉴的主要思路是利用投票机制进行鉴权。即通过自定义实现的AnonymousAccessVoter来鉴权投票,从Redis中读取到的路由权限表配置,进行逻辑判断请求是否符合配置权限要求,从而投出相对应的投票,如果请求是开放的接口,且不符合权限要求直接抛出AccessDeniedException异常即可,若符合权限要求则投已认证票,如果请求不是开放的接口,则投出弃权票
Security 配置
12-24 1559
security 配置
SpringSecurity配置了登录链接无权限
ybb_ymm的专栏
01-17 1127
我们在使用SpringSecurity作为后台权限框架的时候,框架给我们提供了配置登录请求的接口,供我们配置登录链接,当我们配置了登录链接地址后,前端访问登陆请求的时候显示无权限
SpringBoot+Vue前后端分离,使用SpringSecurity完美处理权限问题的解决方法
08-28
在本文中,我们将使用SpringBoot作为后端框架,Vue作为前端框架,并使用SpringSecurity来处理权限问题。我们的整体架构如下: 1. 前端:使用Vue框架,负责处理用户界面和交互逻辑。 2. 后端:使用SpringBoot框架,...
基于SSM框架的健康项目管理源码,整合Dubbo分布式与SpringSecurity权限认证
03-25
项目整合了Dubbo分布式服务框架,以及SpringSecurity进行权限认证,确保系统的安全性和高效性。技术栈多元,主要使用JavaScript进行开发,同时涵盖了CSS、HTML、Java、PHP等多种语言。 文件构成:项目共包含3390个...
springsecurity+jwt权限系统demo.zip
11-19
springsecurity+jwt权限系统demo,只有后端,测试请使用postman,未登录情况下不可以访问指定路径的接口,用户登录之后不可以访问管理员接口,管理员可以访问其角色一下的所有接口,角色可以继承
通用权限管理系统+springboot+mybatis plus+spring security+jwt+redis+mysql
05-30
后端使用SpringBoot框架进行业务逻辑开发,利用Spring Security实现权限控制。数据库采用MySQL进行数据存储,使用MyBatis进行数据访问权限控制模块设计包括用户、角色和权限三个主要模块。用户模块用于管理用户...
springboot使用springsecurity权限访问配置
少为人的博客
07-13 565
import org.springframework.beans.factory.annotation.Autowired; import org.springframework.context.annotation.Configuration; import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder; import org.springframew.
Spring Security 使用、实现权限访问控制
猫吻鱼的博客
10-18 3344
文章目录一、简介:二、简单搭建1. 前期准备2. 通过配置类方式配置 `DelegatingFilterProxy`:3. 配置Security配置类 -> 继承 WebSecurityConfigurerAdapter:注:三、用户认证方式 : configure(AuthenticationManagerBuilder auth) 详解四、configure(HttpSecurity h...
spring security用户认证成功之后,无法访问页面问题
weixin_53438263的博客
04-22 463
springbot项目中使用spring security对用户身份进行认证通过之后,跳转到默认页面,默认页面中有子页面,子页面显示localhost拒绝访问问题,但是请求响应是200,直接访问这个页面也没问题,也排除了跨域问题,就是访问不到这个子页面的就是浏览器的安全策略导致的。ps:这个问题困扰了我很久,在百度上面也搜了很多答案对我来说都无法解决,最后还是问的chatgpt,不得不说是真的好用,一下就解决了。
spring security----HttpSecurity常用配置
小汤圆
08-10 1426
HttpSecurity常用配置
html 访问权限,访问权限控制
weixin_29467373的博客
06-05 1014
在开发SwaggerBootstrapUi功能时,同很多开发者经常讨论的问题就是在生产环境时,屏蔽或者去除Swagger的文档很麻烦,通常有时候我们碰到的问题如下:系统部署生产环境时,我们想屏蔽Swagger的文档功能,不管是接口或者html文档通常我们有时候需要生产环境部署后,又需要Swagger的文档调试功能,辅助开发者调试,但是存在安全隐患,没有对Swagger的资源接口过滤等等针对以上两种...
Spring Security权限控制
walker_0312的博客
08-13 350
Spring Security权限控制 入门案例 1.导包 <!-- 安全框架 --> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-web</artifactId> <version>${spring.security.version}</version>
html页面访问安全控制,Spring Boot如何使用Spring Security进行安全控制
weixin_42510271的博客
06-04 302
我们在编写Web应用时,经常需要对页面做一些安全控制,比如:对于没有访问权限的用户需要转到登录表单页面。要实现访问控制的方法多种多样,可以通过Aop、拦截器实现,也可以通过框架实现(如:Apache Shiro、spring Security)。本文将具体介绍在Spring Boot中如何使用Spring Security进行安全控制。准备工作首先,构建一个简单的Web工程,以用于后续添加安全控制...
SpringBoot通过自己的配置文件或者从数据库spring security动态配置url权限
qq_28929589的博客
01-10 6030
我使用springboot的时候想做自己的配置文件的,用不了xml就重写了过滤器 首先需要了解spring security内置的各种filter: Alias Filter Class Namespace Element or Attribute CHANNEL_FILTER ChannelProcessingFilter http/
[] - 2022-07-10 Spring Security 实现动态权限菜单方案(附源码).pdf
12-11
本文档详细介绍了如何使用Spring Security实现动态权限菜单方案,特别是在一个典型的互联网或IT项目中,权限管理是至关重要的组成部分。作者结合自己多年的经验,分享了基于Spring Security的权限管理实践,包括但不...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值