【Spring Security】解决资源服务器无法获取userDetail内置的权限的问题

最新推荐文章于 2023-01-31 23:49:05 发布
最新推荐文章于 2023-01-31 23:49:05 发布
阅读量1.5k 收藏
点赞数
文章标签: java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_41282961/article/details/111272166
版权

解决无法获取权限的问题

问题

授权服务器是OAuth2的,对于系统本身用户分配了client,id为browser,scope为all,在资源服务器中获取到的authorities为scope而不是用户本身的系统内权限。

解决方案

授权服务器

授权服务器默认存储一个client为系统内用户集合,scope为all,实现UserDetailsService接口复写loadUserByUsername方法,将系统内权限传递给springsecurity,最后塞入jwt消息中

/**
     * 客户端详情信息在这里进行初始化,你能够把客户端详情信息写死在这里或者是通过数据库来存储调取详情信息
     * @param clients
     * @throws Exception
     */
@Override
public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
   
        clients.inMemory()
                .withClient(OAuth2_Client.BROWSER.getClient_id())
                .authorizedGrantTypes(OAuth2_Client.BROWSER.getGrant_type())
                .secret(OAuth2_Client.BROWSER.getClient_secret())
                .scopes(OAuth2_Client.BROWSER.getClient_scope())
                .authorities("admin","user")
                .accessTokenValiditySeconds(12*60*60);
}

@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
   
    log.info("load user by username " + username);
    Result<User> userRes = userFeignService.getUserDetail(username);
    if (ResultCode.USER_NOT_EXIST.getCode().equals(userRes.getCode())) {
   
        throw new UsernameNotFoundException(ResultCode.USER_NOT_EXIST.getMsg());
    }
    User user = userRes.getData();
    log.info("load user by username success");
    return new CustomerUserDetails(user);
}

生成的JWT消息示例

{
   
 alg: "RS256",
 typ: "JWT"
}.
{
   
 sub: "admin",
 exp: 1608031046,
 authorities: [
  "ROLE_admin",
  "ROLE_user"
最低0.47元/天 解锁文章
枉生__
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
玩转SpringBoot安全管理:SpringSecurityUserDetailService身份认证
Xmumu_的博客
08-03 3649
SpringSecurity身份认证之UserDetailsService
SpringSecurity源码分析3--UserDetail部分
最新发布
moernagedian的博客
04-15 456
一个允许子类重写和处理UserDetails对象的基AuthenticationProvider。该类旨在响应UsernamePasswordAuthenticationToken身份验证请求。通过预先编码这个密码,可以确保在后续的时间攻击防护方法中,不会因为实时编码操作而导致时间差异,这些时间差异可能会被攻击者用来推断密码或其他敏感信息。默认都是null,可以通过setUserCache设置Cache。从缓存中获取UserDetail对象。加密方法升级后,重新更新密码。默认页面,生产不会使用。
Spring Security UserDetail
Claroja
03-19 814
userdetail接口 public interface UserDetails extends Serializable { Collection<? extends GrantedAuthority> getAuthorities();//用户的权限集, 默认需要添加ROLE_ 前缀 String getPassword();//用户的加密后的密码, 不加密会使用{noop}前缀 String getUsername();//应用内唯一的用户名 boolea
说说SpringSecurity的入门级别的使用吧
成长需要沉淀。
12-26 1843
说说SpringSecurity的入门级别的使用吧 在本人大四即将毕业的时候,一个学弟我做他的课设,这个时候再去做他们的课设,真的觉得太简单了,SpringBoot帮忙做的事太多了,又是简单的CRUD,前端用的模板引擎,为了让他顺利上岸,我觉得帮他加上权限,并尝试了我没有用过的JPA 1、说说安全 安全就得有,在SpringBoot实战一书中,作者已经说明,门要上锁头,信息可能事我们最有价值的东西了。老哥你还用拦截器?还用Session保存用户信息?别了啊! <dependency&gt
Spring Security--UserDetailServer and PasswordEncoder简介
我和井盖都笑了博客
04-04 616
UserDetailsService 详解       当什么也没有配置的时候,账号和密码是由 Spring Security 定义 生成的。而在实际项目中账号和密码都是从数据库中查询出来的。所以我们要通过自定义逻辑控制认证逻辑。       如果需要自定义逻辑时,只需要实现...
spring mvc入门基础
10-15
Spring MVC 是一款强大的Java Web开发框架,用于构建可维护、高性能的Web应用程序。它是Spring生态体系中的重要组成部分,尤其在企业级应用开发中被广泛使用。本教程将深入讲解Spring MVC的基础知识,包括其基本配置...
userDetail
09-04
"UserDetail"这个项目,从标题和描述来看,主要是关于查看并编辑用户详细信息的界面设计。这样的设计通常用于社交应用、电商平台、会员管理系统等,让用户能够查看自己的账户详情或者管理员能查看并管理用户资料。 ...
14个编写Spring MVC控制器的实用小技巧(吐血整理)
08-25
- 使用`@RequestParam`可以从请求参数中获取值,而`@PathVariable`用于从路径变量中获取值。 7. **返回ModelAndView对象** - 通过返回`ModelAndView`对象,你可以添加模型数据并指定视图名称,例如: ```java ...
java project整合spring和hibernate 例子
04-04
Java开发领域,Spring和Hibernate是两个非常重要的框架。Spring是一个全面的后端应用程序框架,提供了依赖注入、AOP(面向切面编程)、MVC(模型-视图-控制器)等核心特性,而Hibernate则是一个优秀的对象关系映射...
JavaScript源代码】Vue router传递参数并解决刷新页面参数丢失问题.docx
12-29
这里我们将详细探讨这两种方式以及如何解决刷新页面时参数丢失的问题。 1. **通过 `params` 传递参数** 当我们使用 `params` 传递参数时,这些参数不会显示在 URL 的查询字符串中,而是作为路径的一部分。例如,...
Spring Security UserDetails实现原理详解
09-07
主要介绍了Spring Security UserDetails实现原理详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
spring security oauth2 资源服务/客户端无法正确获取权限
路过君的博客
08-05 8281
异常现象 当资源服务使用token-info-uri校验token时无法获取全部的授权权限,只能获取其中一个权限,使用user-info-uri则可以获取全部的授权权限 spring security 版本2.3.8 资源服务配置 security: oauth2: client: client-id: client1 client-secret: client1pwd access-token-uri: 'http://localhost:11000/oau
Spring Security Oauth2核心组件之ClientDetailsService
clyu的博客
01-10 2394
一、客户端 public interface ClientDetails extends Serializable { String getClientId();//客户端id Set<String> getResourceIds();//此客户端可以访问的资源。如果为空,则调用者可以忽略 boolean isSecretRequired();//验证此客户端是否需要secret String getClientSecret();//获取客户端的secret bool
spring security-源码流程分析(四)-spring-security-oauth
luoxiaomei999的博客
04-02 769
spring security经常在项目中用到,但是平常只是简单的使用肯定是不够的,我们需要了解深层次的东西,才能在使用的过程中不畏惧,本次打算从demo入手,跟踪源码,剖析security内在 本文在spring security基础上继续分析spring security oauth源码,关于spring-security-oauth是在oauth2基础上进行的封装,关于oauth2内容建议看oauth2 ---------------------以下内容都在上图里面有所表现,看图能理解就不用看文.
SpringSecurity+SpringBoot2.0.4+JPA
renbowen9758的博客
05-24 1049
简介: 一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方式的安全框架。简单的说就是访问权限控制。 应用的安全性包括:用户认证(Authentication)和用户授权(Authorization) 框架原理: 对web资源保护 --------->Filter 对方法进行保护 --------->AOP 主要过滤器: ...
Spring GateWay OAuth2ResourceServer 配置ServerHttpSecurity中的hasRole 无效的问题
热门推荐
Sober的博客
03-25 1万+
文章目录问题解决方案JwtGrantedAuthoritiesConverter源码 问题 原因来自于ServerHttpSecurity.OAuth2ResourceServerSpec.JwtSpec中默认的ReactiveAuthenticationManager没有将jwt中authorities 的负载部分当做Authentication的权限。 简而言之,我们需要把jwt 的Claim...
springsecurity基于数据库中的用户信息实现登陆
qq_60614034的博客
01-31 1093
SpringSecurity是一个强大且高效的安全框架,能够提供用户验证和访问控制服务,能够很好地整合到以Spring为基础的项目中。SpringBoot对SpringSecurity进行了大量的自动配置,使开发者通过少量的代码和配置就能完成很强大的验证和授权功能,下面我们就体验下SpringSecurity的基本使用。登陆大致流程:1.输入任意路径,configure(HttpSecurity http)方法判断是否放行2.不放行则打回到登陆页面3.当我们在登陆页面输入用户名和密码。
Spring boot使用使用@PathVariable可以获取url中的参数
05-27
是的,@PathVariable 是 Spring MVC 中的一个注解,用于将 URL 中的参数绑定到方法的参数上。在 Spring Boot 中,我们可以在方法的参数上添加 @PathVariable 注解来获取 URL 中的参数。@PathVariable 注解中可以使用一个变量名来指定要获取的参数名,Spring Boot 会自动将 URL 中该参数的值绑定到该变量上。 下面是一个使用 @PathVariable 注解获取 URL 参数的示例: ``` @Controller @RequestMapping("/user") public class UserController { @GetMapping("/{id}") public String getUserById(@PathVariable("id") Long id, Model model) { // 处理逻辑 return "userDetail"; } } ``` 在这个示例中,我们定义了一个控制器类 UserController,使用 @RequestMapping 注解来指定了该控制器对应的 URL 路径为 "/user"。在 getUserById 方法上,我们使用了 @GetMapping 注解来指定该方法处理 GET 请求,并将路径设置为 "/{id}",其中的 "{id}" 表示该参数是一个占位符,最终对应的请求 URL 可以是 "/user/1"、"/user/2" 等等。在方法的参数 id 上,我们使用了 @PathVariable 注解来指定要获取的参数名为 "id",Spring Boot 会自动将 URL 中该参数的值绑定到 id 变量上,我们可以在方法中使用该变量来处理业务逻辑,并返回一个字符串 "userDetail",这个字符串对应的是一个模板的名称,Spring Boot 会自动使用视图解析器来渲染该模板,并返回给客户端。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值