【spring oauth2】spring oauth2添加自定义拦截验证

最新推荐文章于 2023-07-22 11:10:24 发布
最新推荐文章于 2023-07-22 11:10:24 发布
阅读量2.6k 收藏 6
点赞数 2
分类专栏: spring oauth2
原文链接:https://www.cnblogs.com/Mr-XiaoLiu/p/10231542.html
版权

前言

在看其他文章,实现了sso之后,发现通过security配置的拦截失效了,没有起作用。
接着在查找oauth2拦截配置的过程中,有人说到AccessDecisionManager。通过它来配置拦截。
下面开始实现。

查找资料

搜索关键字:AccessDecisionManager配置
参考文档:

搜到了很多,有的可以,有的不行。影响不大的稍微改下就行了。
最后,发现这篇合适http://www.mamicode.com/info-detail-2578727.html
已经贴到项目中,下面开始实现。

开始实现

首先,参考文档,略做修改,实现了基本的拦截
文档:http://www.mamicode.com/info-detail-2578727.html
原文:https://www.cnblogs.com/Mr-XiaoLiu/p/10231542.html
摘自原文:
在Spring Security中实现通过数据库动态配置url资源权限,需要通过配置验证过滤器来实现资源权限的加载、验证。系统启动时,到数据库加载系统资源权限列表,当有请求访问时,通过对比系统资源权限列表和用户资源权限列表(在用户登录时添加到用户信息中)来判断用户是否有该url的访问权限。

在配置验证过滤器时需要的配置项有如下几个:
filterSecurityInterceptor:通过继承AbstractSecurityInterceptor并实现Filter接口自定义一个验证过滤器,替换默认验证过滤器。
accessDecisionManager:通过实现AccessDecisionManager接口自定义一个决策管理器,判断是否有访问权限。判断逻辑可以写在决策管理器的决策方法中,也可以通过投票器实现,除了框架提供的三种投票器还可以添加自定义投票器。自定义投票器通过实现AccessDecisionVoter接口来实现。
securityMetadataSource:实现FilterInvocationSecurityMetadataSource接口,在实现类中加载资源权限,并在filterSecurityInterceptor中注入该实现类。
WebSecurityConfig:系统配置类,需要在配置类中配置启用filterSecurityInterceptor。

下面是代码
MyAccessDecisionManager

import org.apache.commons.collections.CollectionUtils;
import org.springframework.security.access.AccessDecisionManager;
import org.springframework.security.access.AccessDeniedException;
import org.springframework.security.access.ConfigAttribute;
import org.springframework.security.access.SecurityConfig;
import org.springframework.security.authentication.InsufficientAuthenticationException;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.stereotype.Service;

import java.util.Collection;

@Service
public class MyAccessDecisionManager implements AccessDecisionManager {
    /**
     * 决策方法:权限判断
     *
     * @param authentication   用户的身份信息;
     * @param object           包含客户端发起的请求的request信息,可转换为 HttpServletRequest request = ((FilterInvocation) object).getHttpRequest();
     * @param configAttributes 是MyInvocationSecurityMetadataSource的getAttributes(Object object)这个方法返回的结果,
     *                         此方法是为了判定用户请求的url 是否在权限表中,如果在权限表中,则返回给 decide 方法,用来判定用户是否有此权限;如果不在权限表中则放行。
     * @throws AccessDeniedException
     * @throws InsufficientAuthenticationException
     */
    @Override
    public void decide(Authentication authentication, Object object, Collection<ConfigAttribute> configAttributes) throws AccessDeniedException, InsufficientAuthenticationException {

        if (CollectionUtils.isEmpty(configAttributes)) {
            throw new AccessDeniedException("没有权限");
        }
        for (GrantedAuthority ga : authentication.getAuthorities()) {
            String authority = ga.getAuthority();
            if (configAttributes.contains(new SecurityConfig(ga.getAuthority()))) {
                return;
            }
        }
        throw new AccessDeniedException("没有权限");
    }

    @Override
    public boolean supports(ConfigAttribute attribute) {
        return true;
    }

    @Override
    public boolean supports(Class<?> clazz) {
        return true;
    }

}

MyFilterInvocationSecurityMetadataSource

import com.core.server.entity.BasePrivilege;
import com.oauth2.server.system.init.feign.AllFeignServiceApi;
import org.apache.commons.collections.CollectionUtils;
import org.apache.commons.lang.StringUtils;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.access.ConfigAttribute;
import org.springframework.security.access.SecurityConfig;
import org.springframework.security.web.FilterInvocation;
import org.springframework.security.web.access.intercept.FilterInvocationSecurityMetadataSource;
import org.springframework.stereotype.Service;

import java.util.ArrayList;
import java.util.Collection;
import java.util.HashMap;
import java.util.List;

@Service
public class MyFilterInvocationSecurityMetadataSource implements FilterInvocationSecurityMetadataSource {
    @Autowired
    AllFeignServiceApi allFeignServiceApi;
    /**
     * 资源权限
     */
    private volatile HashMap<String, Collection<ConfigAttribute>> urlPermMap = null;

    /**
     * 加载资源,初始化资源变量
     */
    public void loadResourceDefine() {
        List<BasePrivilege> basePrivileges = allFeignServiceApi.baseUserFeignServiceApi.queryAllBasePrivilege();
        if(CollectionUtils.isNotEmpty(basePrivileges)){
            urlPermMap = new HashMap<>();
            basePrivileges.forEach(item->{
                if(StringUtils.isNotBlank(item.getPath())){
                    List<ConfigAttribute> authorityList = new ArrayList<>();
                    ConfigAttribute auth = new SecurityConfig(String.format("%s-%s", item.getResourceCode(), item.getCode()));
                    authorityList.add(auth);
                    urlPermMap.put(item.getPath(), authorityList);
                }
            });
        }
    }

    @Override
    public Collection<ConfigAttribute> getAttributes(Object object) throws IllegalArgumentException {
        loadResourceDefine();
        FilterInvocation fi = (FilterInvocation) object;
        String url = fi.getRequestUrl();

        // 资源权限为空,初始化资源
        if (null == urlPermMap) {
            synchronized (MyFilterInvocationSecurityMetadataSource.class) {
                if (null == urlPermMap) {
                    loadResourceDefine();
                }
            }
        }

        return urlPermMap.get(url);
    }

    @Override
    public Collection<ConfigAttribute> getAllConfigAttributes() {
        return null;
    }

    @Override
    public boolean supports(Class<?> clazz) {
        return FilterInvocation.class.isAssignableFrom(clazz);
    }
}

MyFilterSecurityInterceptor

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.access.ConfigAttribute;
import org.springframework.security.access.SecurityMetadataSource;
import org.springframework.security.access.intercept.AbstractSecurityInterceptor;
import org.springframework.security.access.intercept.InterceptorStatusToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.web.FilterInvocation;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;
import java.util.Collection;

public class MyFilterSecurityInterceptor extends AbstractSecurityInterceptor implements Filter {
    @Autowired
    private MyFilterInvocationSecurityMetadataSource myFilterInvocationSecurityMetadataSource;
    @Autowired
    MyAccessDecisionManager myAccessDecisionManager;

    @Autowired
    public void setMyAccessDecisionManager(MyAccessDecisionManager myAccessDecisionManager) {
        super.setAccessDecisionManager(myAccessDecisionManager);
    }

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        FilterInvocation fi = new FilterInvocation(request, response, chain);
        invoke(fi);
    }

    /**
     * @param fi 里面有一个被拦截的url,调用MyInvocationSecurityMetadataSource的getAttributes(Object object)这个方法获取fi对应的所有权限,
     *           再调用MyAccessDecisionManager的decide方法来校验用户的权限是否足够
     * @throws IOException
     * @throws ServletException
     */
    public void invoke(FilterInvocation fi) throws IOException, ServletException {
        InterceptorStatusToken token = super.beforeInvocation(fi);
        try {
            Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
            Collection<ConfigAttribute> attributes = myFilterInvocationSecurityMetadataSource.getAttributes(fi);
            HttpServletRequest request = fi.getHttpRequest();
            myAccessDecisionManager.decide(authentication, request, attributes);
            fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
        } finally {
            super.afterInvocation(token, null);
        }
    }

    @Override
    public void destroy() {

    }

    @Override
    public Class<?> getSecureObjectClass() {
        return FilterInvocation.class;
    }

    @Override
    public SecurityMetadataSource obtainSecurityMetadataSource() {
        return this.myFilterInvocationSecurityMetadataSource;
    }
}

代码添加完毕,可以给过滤器添加断点,会发现请求可以会拦截到。但是想要正式使用,还要加一些逻辑判断。

上面这些代码中,主要有这以下几点,是我这边自己补充的:

  • 第一点,urlPermMap。这里是参考这篇文章:https://www.cnblogs.com/weilu2/p/springsecurity_custom_decision_metadata.html
    其次,MyFilterSecurityInterceptor.invoke方法做了实现。根据方法上面的注释,添加了代码。

    /**
     * @param fi 里面有一个被拦截的url,调用MyInvocationSecurityMetadataSource的getAttributes(Object object)这个方法获取fi对应的所有权限,
     *           再调用MyAccessDecisionManager的decide方法来校验用户的权限是否足够
     * @throws IOException
     * @throws ServletException
     */
    public void invoke(FilterInvocation fi) throws IOException, ServletException {
        InterceptorStatusToken token = super.beforeInvocation(fi);
        try {
            Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
            Collection<ConfigAttribute> attributes = myFilterInvocationSecurityMetadataSource.getAttributes(fi);
            HttpServletRequest request = fi.getHttpRequest();
            myAccessDecisionManager.decide(authentication, request, attributes);
            fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
        } finally {
            super.afterInvocation(token, null);
        }
    }

  • 第二点,上面调用了决策方法。myAccessDecisionManager.decide(authentication, request, attributes)
    决策方法也做了修改,具体改动,可以自己做对比。

        /**
 * 决策方法:权限判断
 *
 * @param authentication   用户的身份信息;
 * @param object           包含客户端发起的请求的request信息,可转换为 HttpServletRequest request = ((FilterInvocation) object).getHttpRequest();
 * @param configAttributes 是MyInvocationSecurityMetadataSource的getAttributes(Object object)这个方法返回的结果,
 *                         此方法是为了判定用户请求的url 是否在权限表中,如果在权限表中,则返回给 decide 方法,用来判定用户是否有此权限;如果不在权限表中则放行。
 * @throws AccessDeniedException
 * @throws InsufficientAuthenticationException
 */
@Override
public void decide(Authentication authentication, Object object, Collection<ConfigAttribute> configAttributes) throws AccessDeniedException, InsufficientAuthenticationException {

    if (CollectionUtils.isEmpty(configAttributes)) {
        throw new AccessDeniedException("没有权限");
    }
    for (GrantedAuthority ga : authentication.getAuthorities()) {
        if (configAttributes.contains(new SecurityConfig(ga.getAuthority()))) {
            return;
        }
    }
    throw new AccessDeniedException("没有权限");
}

    这块逻辑,是看懂判断后,根据自己实现的UserDetailsService,里面的List<SimpleGrantedAuthority> authorities 数据结构来实现的。

  • 第三点,就是MyFilterInvocationSecurityMetadataSource.loadResourceDefine
    这里是加载所有的资源。逻辑:通过fi获取到用户请求的地址,然后通过请求的地址找到controller。 然而,controller 里面的地址都是在数据库的资源里面配置的。 在这里做了初始化。
    如果请求地址没有在这里匹配到,则全部被拦截。
    示例:
    在这里插入图片描述
    在这里插入图片描述

    /**
 * 加载资源,初始化资源变量
 */
public void loadResourceDefine() {
    List<BasePrivilege> basePrivileges = allFeignServiceApi.baseUserFeignServiceApi.queryAllBasePrivilege();
    if(CollectionUtils.isNotEmpty(basePrivileges)){
        urlPermMap = new HashMap<>();
        basePrivileges.forEach(item->{
            if(StringUtils.isNotBlank(item.getPath())){
                List<ConfigAttribute> authorityList = new ArrayList<>();
                ConfigAttribute auth = new SecurityConfig(String.format("%s-%s", item.getResourceCode(), item.getCode()));
                authorityList.add(auth);
                urlPermMap.put(item.getPath(), authorityList);
            }
        });
    }
}

结尾

实现步骤:先参考原文,把代码复制进去。然后参考上面的文章,添加urlPermMap后!自己根据自己的逻辑,慢慢一点一点添加,尽量不要使用我上面贴的代码,因为里面包含了自己的逻辑。
后面的再继续完善。

my596257
关注
专栏目录
Springboot OAuth2 自定义验证
dw147258dw的专栏
07-21 2005
一,业务背景 公司业务需要使用ldap验证,原来的用户名密码验证无法满足需求,又不想使用springboot实现的ldap验证,因为我们有一些特殊的逻辑,那么我们就需要自己实现一套登录验证逻辑,下面就是授权服务器的具体实现,首先是引入依赖: <dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud-starter-oau...
Spring Security Oauth2 添加自定义过滤器和oauth2认证后API权限控制
热门推荐
Little_fxc的博客
06-18 1万+
Spring Security Oauth2 添加自定义过滤器和oauth2认证后API权限控制 在搭建完 spring-security-oauth2 整个微服务框架后,来了一个需求: 每个微服务都需要对访问进行鉴权,每个微服务应用都需要明确当前访问用户和他的权限。 auth 系统的主要功能是授权认证和鉴权。 授权认证已经完成,那么如何对用户的访问进行鉴权呢? 首先需要明确什么时候发生鉴权?...
oauth2 如何在拦截器最前面添加fileter_SpringOauth2在获取token流程添加拦截
weixin_39972264的博客
12-08 1436
最近在开发oauth2相关功能时,因需要要用json数据进行oauth2的校验,便想到在BasicAuticaitonFilter前通过添加拦截器进行client信息的校验。通过调试源码,最终找到了添加的方法。 oauth2拦截器在初始化完成后,共会生成三个拦截器调用链,分别对应oauth/token等的oauth2认证拦截器调用链,对resource资源访问的拦截器调用链,springsec...
Spring Security之动态配置资源权限
weixin_34117522的博客
01-08 1946
  在Spring Security中实现通过数据库动态配置url资源权限,需要通过配置验证过滤器来实现资源权限的加载、验证。系统启动时,到数据库加载系统资源权限列表,当有请求访问时,通过对比系统资源权限列表和用户资源权限列表(在用户登录时添加到用户信息中)来判断用户是否有该url的访问权限。   在配置验证过滤器时需要的配置项有如下几个: filterSecurityIntercep...
spring security oauth2 自定义异常拦截InternalAuthenticationServiceException
fuck487的博客
01-08 1万+
转:https://blog.csdn.net/c5113620/article/details/89576545 待完善
Spring Security 自定义拦截器Filter实现登录认证
qq_34898847的博客
11-16 6635
Spring Security 自定义拦截器Filter 实现登录认证
Oauth2拦截微服务请求获取token使用负载均衡,解决unKown Host
ceshiyuan001的博客
10-13 1548
Oauth2拦截微服务请求获取token使用负载均衡 一,问题引出 微服务之间相互调用,使用oauth默认的配置,获取token的方式为grant-type: client_credentials,yml配置:access-token-uri: http://cloud-auth-dev.crpt-dev:8001/oauth/token,获取认证的url必须指定端口,不能使用负载均衡的方式,否则会报错,unKown Host xxx; yml配置截图: security: oauth2: cl
Spring Security OAuth2集成短信验证码登录以及第三方登录
08-27
Spring Security OAuth2集成短信验证码登录以及第三方登录 Spring Security OAuth2是基于Spring Cloud/Spring Boot环境下使用OAuth2.0的解决方案,为开发者提供了全套的组件来支持OAuth2.0认证。然而,在开发过程中...
Spring Security+OAuth2 精讲,打造企业级认证与授权
10-12
Spring Security和OAuth2是两个非常关键的框架,它们分别处理身份验证(Authentication)和授权(Authorization)的问题。本课程"Spring Security+OAuth2 精讲,打造企业级认证与授权"深入浅出地讲解了这两个框架的...
Spring Cloud 集成OAuth2实现身份认证和单点登录
07-20
Spring Security OAuth2提供了授权服务器、资源服务器和客户端的实现,使得开发者可以方便地在微服务架构中实现安全的身份验证和授权。 首先,我们需要创建一个授权服务器,这通常是我们系统的认证中心。授权服务器...
spring-boot-oauth2-demo
05-12
3. spring-boot-oauth-resource-server:表明该项目包含了资源服务器的配置,资源服务器是保护了敏感数据的服务,它验证OAuth2令牌来确定是否允许访问请求的资源。 4. 附件源码:提示此项目提供了源代码,用户可以...
Spring Authorization Server 的 /oauth2/token 请求怎么被拦截
qq_50743124的博客
04-11 951
所有看向父类OncePerRequestFilter(太多不展开,有兴趣可以去了解spring bean 初始化、 servlet等),这个类的意思就是对于每次的请求都进行请求过滤;所有这就是/oauth2/token post 会被拦截的原因。意思就是说这个类响应/oauth2/token POST这个URI,好了知道在那里拦截了。看看源码你就会发现这个类在构造器创建了请求匹配的对象如下图。先找这个类OAuth2TokenEndpointFilter。这个时候发现这个方法是实现了抽象方法。
oaut2.0使用自定义身份验证拦截OAuth2AuthenticationException异常
最新发布
XM的博客
07-22 344
然后在ResourceConfig重写configure(ResourceServerSecurityConfigurer resources)方法。首先在资源服务中配置一个自定义OAuth2身份验证入口点。
SpringBoot使用SpringSecurity,使用oauth2登录,使用自定义/uaa/oauth/token报错解决
CSDN新星计划JAVA赛道TOP5、CSDN内容合伙人、JAVA领域优质创作者、资深JAVA开发深耕JAVA领域。
08-03 2040
SpringBoot使用SpringSecurity,使用oauth2登录,使用自定义/uaa/oauth/token报错解决
SpringSecurity Oauth2 - 06 拦截器获取用户登录信息并存储到本地线程ThreadLocal
你今天真好看呀
11-07 3883
上一讲已经我们分析了/oauth/token认证流程,明白了整个认证过程核心做了哪些事情,这一讲看一下如何配置拦截器判断用户是否登录并获取用户登录信息,同时将获取的登录信息存储到本地线程中,主要分为两点展开说明
springsecurity oauth2 一文搞定 Spring Security 异常拦截处理机制!
yrsg666的博客
07-02 1603
https://wangsong.blog.csdn.net/article/details/107033269
配合OAuth2进行单设备登录拦截
weixin_33966365的博客
11-21 2432
2019独角兽企业重金招聘Python工程师标准>>> ...
Spring Boot实现OAuth 2.0(二)-- 自定义权限验证
曱熊的博客
01-04 8466
自定义拦截器进行权限验证 涉及到的姿势: 自定义注解 拦截Spring Boot添加拦截器 文章目录: 自定义拦截器进行权限验证 自定义注解 自定义拦截器 配置WebMvcConfigurer 自定义注解 @Target(ElementType.METHOD)//作用在方法 @Retention(RetentionPolicy.RUNTIME)//仅在运
shiro-oauth2拦截流程
dark
11-18 759
抽象类: org.apache.shiro.web.filter.authc.AuthenticatingFilter 类图 类图的顺序为:AuthenticatingFilter -> AuthenticationFilter -> AccessControlFilter -> PathMatchingFilter -> AdviceFilter -> OncePerRequestFilter -> NameableFilter -> AbstractFilte
java Spring oauth2 gateway Filter拦截器返回401
06-06
如果你的Java Spring OAuth2网关Filter拦截器返回了401错误,可能是由于以下一些原因: 1. 未经授权的访问:可能是因为用户未经授权,没有提供有效的凭据,或者凭据无效。在这种情况下,您可以考虑使用OAuth2授权框架来确保只有经过身份验证和授权的用户才能访问您的资源。 2. 无效的令牌:如果您使用了令牌来保护您的资源,那么令牌可能已经过期或被撤销。在这种情况下,您可以考虑实现一个令牌刷新机制,以确保用户可以在令牌过期时获取新的令牌。 3. 资源不存在:如果请求的资源不存在,您的过滤器可能会返回401错误。在这种情况下,您可以考虑使用404错误来表示资源不存在。 4. 服务器错误:如果您的服务器出现错误,可能会导致过滤器返回401错误。在这种情况下,您应该查看服务器日志以了解更多信息,并尝试修复服务器错误。 希望这些解释可以帮助您找到解决方案。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值