SpringBoot — 安全框架 Spring Security 详解四

最新推荐文章于 2024-04-30 15:46:08 发布
最新推荐文章于 2024-04-30 15:46:08 发布
阅读量436 收藏 1
点赞数
分类专栏: SpringBoot 文章标签: SpringBoot SpringSecurit
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/small_love/article/details/110927280
版权

虽然前面我们实现了通过数据库来配置用户与角色,但认证规则仍然是使用 HttpSecurity 进行配置,还是不够灵活,无法实现资源和角色之间的动态调整。这篇文章我们就介绍一下通过数据库查询某个URL资源的访问角色。

四、基于数据库的URL权限规则配置 

1、数据库设计

这里在上一篇文章的基础上再添加 资源表资源权限表 两种数据表,表结构如下所示:

  • 资源表,保存每个菜单的URL
 CREATE TABLE `menus` (
  `id` bigint(20) unsigned NOT NULL AUTO_INCREMENT, -- 主键
  `menu` varchar(20) NOT NULL,                      -- 菜单路径
  `menu_name` varchar(30) NOT NULL,                 -- 菜单名称
  `enabled` tinyint(1) DEFAULT '1',                 -- 是否启用 1-启用,0-未启用
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=1 DEFAULT CHARSET=utf8
  • 资源角色表,主要保存 每个URL允许哪几个角色访问
CREATE TABLE `menu_role` (
  `id` bigint(20) unsigned NOT NULL AUTO_INCREMENT, -- 主键
  `m_id` bigint(20) unsigned DEFAULT NULL,          -- 资源ID
  `r_id` bigint(20) unsigned DEFAULT NULL,          -- 角色ID
  PRIMARY KEY (`id`),
  UNIQUE KEY `m_r_idx` (`m_id`,`r_id`)
) ENGINE=InnoDB AUTO_INCREMENT=1 DEFAULT CHARSET=utf8

2、创建实体类及数据访问层

(1)、创建menus表的实体类 Menus

@AllArgsConstructor
@NoArgsConstructor
@Getter
@Setter
public class Menus {
    private Long id;
    private String menu;
    private String menuName;
    private short enabled;
}

(2)、创建menus表的数据访问层 MenusMapper


@Repository
public interface MenusMapper {

    @Select("select * from `menus`")
    @Results(value = {
            @Result(property = "id", column = "id"),
            @Result(property = "menu", column = "menu"),
            @Result(property = "menu_name", column = "menuName"),
            @Result(property = "enabled", column = "enabled"),
            @Result(property = "roles", column = "id",
                    many = @Many(select = "com.yuange.www.mapper.MenusMapper.queryRoleByMenuId"))
    })
    public List<Menus> queryAllMenus();

    @Select("select * from `role` as r, menu_role as mr where r.id = mr.r_id and mr.m_id = #{id}")
    @ResultType(Role.class)
    List<Role> queryRoleByMenuId(Long id);
}

3、自定义 FilterInvocationSecurityMetadataSource

要实现动态配置权限,首先需要自定义 FilterInvocationSecurityMetadataSource:

注意:自定义 FilterInvocationSecurityMetadataSource 主要实现该接口中的 getAttributes 方法,该方法用来确定一个请求需要哪些角色。

@Component
public class MySecurityMetadataSource implements FilterInvocationSecurityMetadataSource {

    // 创建一个AnipathMatcher,主要用来实现ant风格的URL匹配。
    private AntPathMatcher antPathMatcher = new AntPathMatcher();
    @Resource
    private MenusMapper menusMapper;

    @Override
    public Collection<ConfigAttribute> getAttributes(Object object) throws IllegalArgumentException {
        //从参数中获取请求URL
        String url = ((FilterInvocation) object).getRequestUrl();
        //查询所有的菜单需要的权限,实际项目中可以先加载到缓存中
        List<Menus> menus = menusMapper.queryAllMenus();
        Collection<String> roles = null;
        try {
            //匹配出符合条件的URL,并把URL所需要的权限返回
            roles  = menus.stream()
                    .filter(menu -> antPathMatcher.match(menu.getMenu(), url))
                    .findFirst().orElse(new Menus()).getRoles()
                    .stream().map(Role::getName).collect(Collectors.toList());
        } catch (Exception e) {
            System.err.printf("解析url[%s]需要的角色时出现异常: %s \n", url, e.getMessage());
        }
        //如果没有匹配到需要重新登录
        if(CollectionUtils.isEmpty(roles)){
            roles = Collections.singleton("ROLE_LOGIN");
        }
        return SecurityConfig.createList(roles.toArray(new String[]{}));
    }

    @Override
    public Collection<ConfigAttribute> getAllConfigAttributes() {
        return null;
    }

    @Override
    public boolean supports(Class<?> clazz) {
        return FilterInvocation.class.isAssignableFrom(clazz);
    }
}

4、自定义 AccessDecisionManager

当一个请求走完 FilterInvocationSecurityMetadataSource 中的 getAttributes 方法后,接下来就会来到 AccessDecisionManager 类中进行角色信息的对比,自定义 AccessDecisionManager 代码如下:


@Component
public class MyAccessDecisionManager implements AccessDecisionManager {
    @Override
    public void decide(Authentication authentication, Object object, Collection<ConfigAttribute> configAttributes) throws AccessDeniedException, InsufficientAuthenticationException {

        //获取当前登录用户的角色信息
        Collection<? extends GrantedAuthority> authorities = authentication.getAuthorities();

        for (ConfigAttribute ca: configAttributes){
            //如果此时是 ROLE_LOGIN 角色并且用户登录操作,则直接放开
            if("ROLE_LOGIN".equals(ca.getAttribute()) && authentication instanceof UsernamePasswordAuthenticationToken){
                 return;
            }
            for(GrantedAuthority ga: authorities){
                //如用户角色中有匹配的角色则直接结束
               if(ca.getAttribute().equals(ga.getAuthority())){
                   return;
               }
            }
        }
        //没有匹配的角色说明没有权限访问此资源
        throw new AccessDeniedException("权限不足!");
    }

    @Override
    public boolean supports(ConfigAttribute attribute) {
        return true;
    }

    @Override
    public boolean supports(Class<?> clazz) {
        return true;
    }
}

5、配置Security

 这里与前文的配置相比,主要是修改了 configure(HttpSecurity http) 方法的实现并注入了两个 Bean。至此我们边实现了动态权限配置,权限和资源的关系可以在 menu_role 表中动态调整。


@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    //注入userDetailsService
    @Resource
    private UserDetailsService userDetailsService;
    @Resource
    @Qualifier("MyAccessDecisionManager")
    private AccessDecisionManager accessDecisionManager;
    @Resource
    @Qualifier("MySecurityMetadataSource")
    private FilterInvocationSecurityMetadataSource metadataSource;

    //配置内存用户
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
       auth.userDetailsService(userDetailsService) //修改默认的 userDetailsService
           .passwordEncoder(NoOpPasswordEncoder.getInstance());
    }

    // URL访问权限配置
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .withObjectPostProcessor(new ObjectPostProcessor<FilterSecurityInterceptor>() {
                    @Override
                    public <O extends FilterSecurityInterceptor> O postProcess(O object) {
                        object.setAccessDecisionManager(accessDecisionManager);
                        object.setSecurityMetadataSource(metadataSource);
                        return object;
                    }
                })
                .and().formLogin().loginProcessingUrl("/login").permitAll()
                .and().csrf().disable();
    }
}

6、重启运行测试

(1)、用 admin 用户登录访问 “/add” 可以正常访问

 (2)、用 user 用户登录访问 “/add”则出现如下错误

瞎胡扯
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security 3 基于角色访问控制过程详解
深蓝传说
12-02 1万+
访问控制: 由于我们配置了访问控制(授权)的默认拦截器org.springframework.security.web.access.intercept.FilterSecurityInterceptor。其主要业务方法是InterceptorStatusToken beforeInvocation(Object object) 该方法会将URL传给SecurityMetadata
详解Springboot2.3集成Spring security 框架(原生集成)
08-18
2. **创建Security配置类**:创建一个名为`SpringSecurityConfig`的类,通常会标记为`@Configuration`和`@EnableWebSecurity`,以启用Spring Security的Web安全功能。这个配置类是Spring Security的核心,可以在这里...
spring security自定义权限拦截FilterInvocationSecurityMetadataSource
热门推荐
lichuangcsdn的博客
07-08 2万+
一般情况下,我们如果需要自定义权限拦截,则需要涉及到FilterInvocationSecurityMetadataSource这个接口了。 这里有个坑爹的地方。如果用户未登录,但是已经设置了拦截白名单的URL,仍然会进入到权限验证里面来。起初,我以为不会进来,但后来跟踪源代码发现,还是会进来。只是此时的身份是一个匿名用户。其默认的实现为DefaultFilterInvocationSecuri...
SpringBoot学习笔记(十Spring Security安全管理 )
最新发布
2401_84003554的博客
04-30 487
如果想要注销登录 也只需要提供简单的配置即可://注销登录.logout()//注销登录请求url.logoutUrl(“/logout”)//清除身份认证信息.clearAuthentication(true)//使 Session失效.invalidateHttpSession(true)//定义注销成功的业务逻辑,这里返回一段json.logoutSuccessHandler(new LogoutSuccessHandler() {@Overridepublic void onLogoutSucces
Spring BootSpring Security高级配置(权限和资源的关系)
探索er的博客
05-11 1054
Spring Security高级配置(权限和资源的关系)
SpringSecurity自定义权限
qq_62770345的博客
02-17 448
SpringSecurity对权限的校验主要有和校验。本文主要解释基于路径校验。SpringSecurity对权限的校验主要通过这个过滤链实现的。
关于每次请求都要执行两个,即经过重写FilterInvocationSecurityMetadataSource的getAttributes()方法
weixin_42947972的博客
02-26 840
关于每次请求都要执行两个,即经过重写FilterInvocationSecurityMetadataSource的getAttributes()方法 执行两次的方法 @Override public Collection<ConfigAttribute> getAttributes(Object object) throws IllegalArgumentException { //获取请求地址 String requestUrl = ((FilterI
详解SpringBoot+SpringSecurity+jwt整合及初体验
08-25
SpringBoot+SpringSecurity+jwt整合详解 SpringBoot是当前最流行的Java框架之一,它提供了便捷的方式来构建基于Web的应用程序。然而,在构建Web应用程序时,安全性是不可忽视的重要方面。因此,本文将详细介绍如何...
SpringBoot + Spring Security 基本使用及个性化登录配置详解
08-27
SpringBoot + Spring Security 基本使用及个性化登录配置详解 Spring Security 是一个功能强大且灵活的安全框架,它提供了认证、授权、攻击防护等功能。SpringBoot 是一个基于 Spring 框架框架,它提供了很多便捷...
SpringBoot+SpringSecurity+JWT权限管理练习项目
01-16
**SpringBoot+SpringSecurity+JWT权限管理练习项目详解** 在当今的Web开发中,权限管理和认证是不可或缺的部分,尤其对于企业级应用来说更是如此。本项目以SpringBoot为基础,结合SpringSecurity进行权限控制,并...
基于springboot+springSecurity+jwt实现的基于token的权限管理的一个demo,适合新手
03-02
**基于SpringBoot+SpringSecurity+JWT的权限管理系统详解** 在当今的Web开发中,权限管理和认证是不可或缺的部分,尤其在企业级应用中更是如此。本篇文章将深入探讨如何使用SpringBootSpringSecurity以及JSON Web...
Spring security(五)-完美权限管理系统(授权过程分析)
FengZhihao的博客
02-02 792
权限管理相关概念   权限管理是一个几乎所有后台系统的都会涉及的一个重要组成部分,主要目的是对整个后台管理系统进行权限的控制。常见的基于角色的访问控制,其授权模型为“用户-角色-权限”,简明的说,一个用户拥有多个角色,一个角色拥有多个权限。其中, 用户: 不用多讲,大家也知道了; 角色: 一个集合的概念,角色管理是确定角色具备哪些权限的一个过程 ; 权限: 1).页面权限,控制你可以看到哪个页...
SpringSecurity框架原理浅谈之AccessDecisionManager
黄先生的博客
02-14 1408
授权流程 Spring Security可以通过 http.authorizeRequests() 对web请求进行授权保护。 Spring Security使用标准Filter建立了对web请求的拦截,最终实现对资源的授权访问。
动态权限常见问题(一)
PointerIsSoul的博客
04-06 629
问题描述:FilterInvocationSecurityMetadataSource 下的 getAttributes(Object o)方法执行完后不走AccessDecisionManager的实现类 解决办法: getAttributes 方法返回一个 无权限,而不是返回null Collection<ConfigAttribute> collection = new LinkedList<>(); //防止数据库中没有数据,不能进行权限拦截
SpringSecurity授权流程分析+动态授权实现
张氏小毛驴的博客
08-12 1929
代码运行到这里后,我们拿到了系统配置的URL权限attributes,认证用户对象Authentication也拿到了,还有当前请求相关的信息FilterInvocation ,也就是这个方法的参数object,接下来授权肯定是拿着三部分的信息去实现的。之前说过,SpringSecurity过滤器链,图中绿色的是认证相关的,蓝色部分是异常相关的,而橙色部分是授权相关,今天我们就是要理清橙色部分授权相关的流程,以及实现动态授权。通过上面的分析,我们大体能了解到整个授权的流程是这样的:(网上找的图)......
Spring-Security (学习记录七)--实现FilterInvocationSecurityMetadataSource的类将无法切入声明式事物...
weixin_30376083的博客
08-29 713
目录 1 查看继承关系 2 说明 3 查看源码: 实现了FilterInvocationSecurityMetadataSource 的类将无法切入声明式事物。 原因: 1 查看继承关系 先查看FilterInvocationSecurityMetadataSource的继承结构...
CustomFilterSecurityMetadataSource和CustomAccessDecisionManager中的代码不执行
过于丰富,无法简介
03-18 1256
问题描述: 使用springsecurity中,对用户进行权限验证,自定义权限控制管理器始终无法执行decide(Authentication authentication, Object object, Collection<ConfigAttribute> configAttributes)方法和getAttributes(Object object)方法。 一开始以为是两个实现类...
Spring Security系列 自定义决策管理器(动态权限码)
weixin_34051201的博客
10-25 251
2019独角兽企业重金招聘Python工程师标准>>> ...
Spring框架详解:核心概念与5.1.x版本特性
Spring作为一个全面的框架,覆盖了从表现层、业务层到持久层的多个层次,并能与其他知名框架SpringWebFlow、SpringSecuritySpringMVC、SpringBootSpringData等无缝集成。Spring的核心理念是简化开发,它提倡...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值