【Spring Security OAuth2】- Security控制授权- 权限表达式

最新推荐文章于 2024-10-11 16:47:39 发布
最新推荐文章于 2024-10-11 16:47:39 发布
阅读量256 收藏 3
点赞数 4
分类专栏: Spring Security OAuth2专题 文章标签: spring OAuth2 spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/smart_an/article/details/142857875
版权

作者简介:大家好,我是smart哥,前中兴通讯、美团架构师,现某互联网公司CTO

联系qq:184480602,加我进群,大家一起学习,一起进步,一起对抗互联网寒冬

学习必须往深处挖,挖的越深,基础越扎实!

阶段1、深入多线程

阶段2、深入多线程设计模式

阶段3、深入juc源码解析


阶段4、深入jdk其余源码解析


阶段5、深入jvm源码解析

码哥源码部分

码哥讲源码-原理源码篇【2024年最新大厂关于线程池使用的场景题】

码哥讲源码【炸雷啦!炸雷啦!黄光头他终于跑路啦!】

码哥讲源码-【jvm课程前置知识及c/c++调试环境搭建】

​​​​​​码哥讲源码-原理源码篇【揭秘join方法的唤醒本质上决定于jvm的底层析构函数】

码哥源码-原理源码篇【Doug Lea为什么要将成员变量赋值给局部变量后再操作?】

码哥讲源码【你水不是你的错,但是你胡说八道就是你不对了!】

码哥讲源码【谁再说Spring不支持多线程事务,你给我抽他!】

终结B站没人能讲清楚红黑树的历史,不服等你来踢馆!

打脸系列【020-3小时讲解MESI协议和volatile之间的关系,那些将x86下的验证结果当作最终结果的水货们请闭嘴】

权限表达式

看源码得知,最后都会转成一个表达式,然后进行投票评估;
那么有哪些表达式呢?

这些表达式的由来,由代码中的配置而来。

    .antMatchers().xxx  每个函数都包装了一个表达式生成。
    
    跟着源码得到 返回的是一个  ExpressionUrlAuthorizationConfigurer.AuthorizedUrl 对象

202306181908263081.png

联合使用是通过access方法,自己写表达式

    .antMatchers("xx").access("hasRole('ROLE_USER') and hasRole('ROLE_SUPER')")

那么能自定义表达式,并且使用自己的代码逻辑来判定吗?是可以的,下一节讲解;

分离配置

如下配置,一部分是安全模块的配置,一部分是使用安全模块的应用自己的业务配置;

那么怎么能把这种业务配置分离出去呢?

    .antMatchers(
             SecurityConstants.DEFAULT_UNAUTHENTICATION_URL,
             SecurityConstants.DEFAULT_LOGIN_PROCESSING_URL_MOBILE,
             "/user/regist", // 注册请求,后面会介绍怎么把这个只有使用方知道放行的配置剥离处理
             // org.springframework.boot.autoconfigure.web.servlet.error.BasicErrorController
             // BasicErrorController 类提供的默认错误信息处理服务
             "/error",
             "/connect/*",
             "/auth/*",
             "/signin"
     )
     .permitAll()
     // 该路径,只允许有 ADMIN 角色的人访问
     .antMatchers(HttpMethod.GET, "/user/*").hasRole("ADMIN")

202306181908301132.png

思路:

  • 提供AuthorizeConfigProvider接口
  • 权限模块的通用配置实现该接口,然后进行配置
  • 其他的应用或则模块配置可以自己实现
  • 最后使用 AuthorizeConfigManager类来管理所有的AuthorizeConfigProvider实现
  • 拿到所有的配置后,进行统一设置

接口定义

    package cn.mrcode.imooc.springsecurity.securitycore.authorize;
    
    import org.springframework.security.config.annotation.web.builders.HttpSecurity;
    import org.springframework.security.config.annotation.web.configurers.ExpressionUrlAuthorizationConfigurer;
    
    /**
     * 权限自定义配置管理
     * @author : zhuqiang
     * @version : V1.0
     * @date : 2023/8/12 21:09
     */
    public interface AuthorizeConfigManager {
        void config(ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry config);
    }

    package cn.mrcode.imooc.springsecurity.securitycore.authorize;
    
    import org.springframework.security.config.annotation.web.builders.HttpSecurity;
    import org.springframework.security.config.annotation.web.configurers.ExpressionUrlAuthorizationConfigurer;
    
    /**
     * 自定义权限控制接口
     * @author : zhuqiang
     * @version : V1.0
     * @date : 2023/8/12 21:09
     */
    public interface AuthorizeConfigProvider {
        /**
         * @param config
         * @see HttpSecurity#authorizeRequests()
         */
        void config(ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry config);
    }

核心实现: 通用配置的抽取,只是把app和browser中用到的配置都抽到公用的里面了

    package cn.mrcode.imooc.springsecurity.securitycore.authorize;
    
    import cn.mrcode.imooc.springsecurity.securitycore.properties.SecurityConstants;
    import cn.mrcode.imooc.springsecurity.securitycore.properties.SecurityProperties;
    import org.springframework.beans.factory.annotation.Autowired;
    import org.springframework.security.config.annotation.web.builders.HttpSecurity;
    import org.springframework.security.config.annotation.web.configurers.ExpressionUrlAuthorizationConfigurer;
    import org.springframework.stereotype.Component;
    
    /**
     * app和browser通用静态权限配置
     * @author : zhuqiang
     * @version : V1.0
     * @date : 2023/8/12 21:12
     */
    @Component
    public class CommonAuthorizeConfigProvider implements AuthorizeConfigProvider {
        @Autowired
        private SecurityProperties securityProperties;
    
        @Override
        public void config(ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry config) {
            config.antMatchers(
                    SecurityConstants.DEFAULT_UNAUTHENTICATION_URL,
                    SecurityConstants.DEFAULT_LOGIN_PROCESSING_URL_MOBILE,
                    SecurityConstants.DEFAULT_LOGIN_PROCESSING_URL_OPEN_ID,
                    SecurityConstants.DEFAULT_VALIDATE_CODE_URL_PREFIX + "/*",
                    securityProperties.getBrowser().getLoginPage(),
                    securityProperties.getBrowser().getSignUpUrl(),
                    securityProperties.getBrowser().getSession().getSessionInvalidUrl() + ".json",
                    securityProperties.getBrowser().getSession().getSessionInvalidUrl() + ".html"
            ).permitAll();
            // 退出成功处理,没有默认值,所以需要判定下
            String signOutUrl = securityProperties.getBrowser().getSignOutUrl();
            if (signOutUrl != null) {
                config.antMatchers(signOutUrl).permitAll();
            }
        }
    }

    package cn.mrcode.imooc.springsecurity.securitycore.authorize;
    
    import org.springframework.beans.factory.annotation.Autowired;
    import org.springframework.security.config.annotation.web.builders.HttpSecurity;
    import org.springframework.security.config.annotation.web.configurers.ExpressionUrlAuthorizationConfigurer;
    import org.springframework.stereotype.Component;
    
    import java.util.Set;
    
    /**
     * @author : zhuqiang
     * @version : V1.0
     * @date : 2023/8/12 21:21
     */
    @Component
    public class DefaultAuthorizeConfigManager implements AuthorizeConfigManager {
        @Autowired
        private Set<AuthorizeConfigProvider> providers;
    
        @Override
        public void config(ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry config) {
            for (AuthorizeConfigProvider provider : providers) {
                provider.config(config);
            }
            // 除了上面配置的,其他的都需要登录后才能访问
            config.anyRequest().authenticated();
        }
    }

浏览器中的安全配置:

    // 有三个configure的方法,这里使用http参数的
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        applyPasswordAuthenticationConfig(http);
        SessionProperties session = securityProperties.getBrowser().getSession();
        http
                .apply(validateCodeSecurityConfig)
                .and()
                .apply(smsCodeAuthenticationSecurityConfigs)
                .and()
                .apply(imoocSocialSecurityConfig)
                .and()
                .rememberMe()
                .tokenRepository(persistentTokenRepository)
                .tokenValiditySeconds(securityProperties.getBrowser().getRememberMeSeconds())
                .userDetailsService(userDetailsService)
                .and()
                .sessionManagement()
                .invalidSessionStrategy(invalidSessionStrategy)
                .maximumSessions(session.getMaximumSessions())
                .maxSessionsPreventsLogin(session.isMaxSessionsPreventsLogin())
                .expiredSessionStrategy(sessionInformationExpiredStrategy)
                .and()
                .and()
                .logout()
                .logoutSuccessHandler(logoutSuccessHandler)
                .deleteCookies("JSESSIONID")
                .and()
                .csrf()
                .disable();
        // 注入进来,然后把调用下配置对象即可
        // 可以看到上面的配置都没有了http.authorizeRequests()的配置
        // 全部由具体的去实现配置了
        // app项目中的安全配置改动其实和这里一样
        authorizeConfigManager.config(http.authorizeRequests());
    }

demo项目的安全配置

    package com.example.demo.security;
    
    import cn.mrcode.imooc.springsecurity.securitycore.authorize.AuthorizeConfigProvider;
    import org.springframework.security.config.annotation.web.builders.HttpSecurity;
    import org.springframework.security.config.annotation.web.configurers.ExpressionUrlAuthorizationConfigurer;
    import org.springframework.stereotype.Component;
    
    /**
     * @author : zhuqiang
     * @version : V1.0
     * @date : 2023/8/12 21:25
     */
    @Component
    public class DemoAuthorizeConfigProvider implements AuthorizeConfigProvider {
        @Override
        public void config(ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry config) {
            config.antMatchers(
                    "/user/regist", // 注册请求
                    // org.springframework.boot.autoconfigure.web.servlet.error.BasicErrorController
                    // BasicErrorController 类提供的默认错误信息处理服务
                    "/error",
                    "/connect/*",
                    "/auth/*",
                    "/signin",
                    "/social/signUp",  // app注册跳转服务
                    "/swagger-ui.html",
                    "/swagger-ui.html/**",
                    "/webjars/**",
                    "/swagger-resources/**",
                    "/v2/**"
            )
                    .permitAll()
                    // 这里配置了一个不存在的角色。
                    // 可以访问下 看是否有效果
                    .antMatchers("/user/*").hasRole("xxx")
            ;
        }
    }

smart哥
关注
专栏目录
Spring Security OAuth2.0认证授权 --- 基础篇
shuai_h的博客
06-19 1041
一、基本概念 1.1、什么是认证 进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条等,下边拿微信来举例子说明认证相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号和密码即可登录微信,输入账号和密码登录微信的过程就是认证。 系统为什么要认证? 认证是为了保护系统的隐私数据与资源,用户的身份合法方可访问该系统的资源。 认证 :用户认证就是判断一个用户的身份是否合法的过程,用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问,不合法则拒绝访问。常见的用户身份认
Spring Security OAuth2.0认证授权 --- 高级篇
shuai_h的博客
06-19 1599
六、OAuth2.0 6.1、OAuth2.0介绍 OAuth(开放授权)是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容。OAuth2.0是OAuth协议的延续版本,但不向后兼容OAuth 1.0即完全废止了OAuth1.0。很多大公司如Google,Yahoo,Microsoft等都提供了OAUTH认证服务,这些都足以说明OAUTH标准逐渐成为开放资源授权的标准。 Oauth协议目前发展到2.0版本,1.0版本过
SpringSecurity Oauth2 - 09 自定义SpEL权限表达式
你今天真好看呀
11-10 567
*** MethodSecurityExpressionOperations 接口方法的属性/*** 添加一个新的方法,这个方法就是我们自定义的权限表达式} /*** 构造方法} /*** 下面的方法都是 MethodSecurityExpressionOperations 接口中的实现方法,没有更改} }} }
SpringSecurity Oauth2 - 08 SpEL权限表达式源码分析及两种权限控制方式原理
你今天真好看呀
11-10 1298
SpringSecurity提供的权限管理功能主要有两种类型:① 基于过滤器的权限管理(FilterSecurityInterceptor):用来拦截HTTP请求,拦截下来之后,根据HTTP请求地址进行权限校验;请求首先到大过滤器FilterSecurityInterceptor,在其执行过程中,首先会由前置处理器去判断发起请求的用户是否具备响应的权限,如果具备则继续向下走,到达目标方法后执行完毕。拦截请求的url,这种权限管理方式粒度较粗。
Spring Security OAuth2.0 - 学习笔记
瞅你咋滴。
07-24 949
Spring Security是解决安全访问控制的问题,就是认证和授权Spring Security的重点是对所有进入系统的请求进行拦截,校验每个请求是否能够访问所期望的资源,对web资源的保护是通过Filter来实现的。当初始化Spring Security时,在org.springframework.security.config.annotation.web.configuration.WebSecurityConfiguration。
Spring Security OAuth2】- Security控制授权- 基于数据库Rbac数据模型控制权限
最新发布
smart_an的专栏
10-11 317
作者简介:大家好,我是哥,前中兴通讯、美团架构师,现某互联网公司联系qq:184480602,加我进群,大家一起学习,一起进步,一起对抗互联网寒冬学习必须往深处挖,挖的越深,基础越扎实!
springboot2.0 结合Spring Security oauth2 (一)
xuexijava85的专栏
08-31 467
之前学过oauth2,后来好久没用,又忘得差不多了,而且现在用到了springboot ,于是就在网上查些资料,balabala半天好多都是springboot1.0版本的,按着撸了遍代码后发现有问题,只好自己重新走个spingboot2.0的代码。 Springboot1.0更新至Spring Boot 2.0.5.RELEASE版本时会出现一些小问题。 先复习下oaut...
Spring Security OAuth2.0认证授权知识概括
weixin_41005188的博客
03-31 3596
Spring Security OAuth2.0认证授权知识概括安全框架基本概念基于Session的认证方式Spring SecuritySpringSecurity应用详解 安全框架基本概念 什么是认证: 进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条等,下边拿微信来举例子说明认证相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号和密码即可登录微信,输入账号和密码 登录微信的过程就是认证。 系统为什么要认证? ①认证是为了保护系统的隐私数据与资源,用户的身份合法方
SpringSecurity Oauth2 - 10 自定义SpEL权限表达式配置白名单url不需要token认证和鉴权
你今天真好看呀
11-10 4369
*** MethodSecurityExpressionOperations 接口方法的属性/*** SecurityExpressionRoot 类中的属性/*** 判断是否是白名单WhiteUrl,不校验权限,不需要token// 白名单url,直接返回true return true;} /*** 修改 SecurityExpressionRoot 类中的该方法** 登录请求url是否是白名单WhiteUrl,如果是则不需要校验权限,直接返回true。
spring-security-oauth2
03-17
总结,Spring Security OAuth2是Spring Security框架的重要组成部分,它提供了一套完整的OAuth2授权解决方案。通过理解和掌握Spring Security OAuth2,开发者能够构建出安全、高效且符合标准的授权系统,为现代Web...
Spring MVC的运行流程详解
J老熊
10-03 1070
Spring MVC作为一个广泛使用的框架,提供了灵活且强大的MVC架构支持。尤其在业务系统中,Spring MVC能够有效地处理大量并发请求,提供良好的用户体验。本文将详细讲解Spring MVC的运行流程,以电商交易系统为案例,帮助读者深入理解其工作原理。
美发店管理革新:SpringBoot系统的应用
2401_85743969的博客
10-10 769
同时,一个大型的计算机网站系统,必须有一个正确的设计指导思想,通过合理选择数据结构、网络结构、操作系统以及开发环境,构成一个完善的网络体系结构,才能充分发挥计算机信息管理的优势。随着计算机技术的发展以及计算机网络的逐渐普及,互联网成为人们查找信息的重要场所,二十一世纪是信息的时代,所以信息的管理显得特别重要。随着互联网技术的快速发展,网络时代的到来,网络信息也将会改变当今社会。2.高可靠性:一个实用的网站同时必须是可靠的,本设计通过合理而先进的网络设计以及软、硬件的优化选型,可保证网站的可靠性与容错性。
netty之SpringBoot+Netty+Elasticsearch收集日志信息数据存储
CSDN_LiMingfly的博客
10-04 851
将大量的业务以及用户行为数据存储起来用于分析处理,但是由于数据量较大且需要具备可分析功能所以将数据存储到文件系统更为合理。尤其是一些互联网高并发级应用,往往数据库都采用分库分表设计,那么将这些分散的数据通过binlog汇总到一个统一的文件系统就显得非常有必要。#开发环境环境准备windows安装包 下载注意 es是以来java环境 所以需要安装jdk 支持1.7以上es-hander下载可视化操作插件@Id//姓名//年龄//级别//时间//电话//邮箱//地址。
毕业设计_基于springboot+layui+mybatisPlus的中小型仓库物流管理系统源码+SQL+教程+可运行】41004
pingguocu3的博客
10-04 964
毕业设计--课程设计--springboot--java 登录管理员账号:system 密码:123456 验证码输入:注意验证码字母要大写。启动项目后运行http://locahost:8080跳转到登录界面即可。后端:springboot、mybatis-plus、shiro。application.yml文件中的数据库连接信息。运行sql目录下的warehouse.sql文件。1.基础管理:商品管理、客户管理、供应商管理;2.物流管理:进货管理、发货管理、交付管理...
旅游管理系统开发新篇章:SpringBoot技术解析
2401_85812053的博客
10-07 571
通过实践让我获得了实践经验。在这次设计中我得到了老师和同学的指导和帮助,使我们认识到团队精神的重要性,因为一个人所学的知识不可能面面俱到的,只有通过合作,发挥自己的优点,体现团队精神,才能使工作做得更为出色。我们开发的是一套常州地方旅游管理系统,我们可以把常州地方旅游管理系统系统配置在远程的服务器上,在得到访问权限之后,只要能够上网就可以使用和访问该系统并进行相关的操作,这样的一种先进模式我们之后只需要对服务器上的程序进行维护即可保证程序的正常使用,大大的提高了工作效率,降低了维护的成本。
Spring Security】基于SpringBoot3.3.4版本②如何配置免鉴权Path
Java技术栈,分享不断学习、不断超越、不断积累的历程!
10-03 1315
[【Spring Security】基于SpringBoot3.3.4版本①整合JWT的使用教程](https://blog.csdn.net/friendlytkyj/article/details/142679120) 在这篇文章中,详细演示了使用最新版`Spring Boot`,完成一个微服务开发,并使用`Spring Security`组件完成登录认证,同时整合了`JWT`,使用的`RSA`公私钥签名、验签。 接下来继续讲解下一个业务场景:一个真实场景的微服务,难免会有一些请求`Path`不需要任
基于SpringBoot+Uniapp的家庭记账本微信小程序系统设计与实现
源码好优多
10-07 572
它采用约定大于配置的理念,提供了一套默认的配置,让开发者可以更专注于业务逻辑而不是配置文件。Spring Boot 通过自动化配置和约定大于配置的方式,大大简化了应用程序的配置工作。开发者不再需要手动配置大量的 XML 文件或繁琐的注解,框架提供了默认的配置,根据项目的依赖关系和约定,自动完成配置。Vue 提供了直观的 API,使开发者能够轻松地构建交互式的用户界面。Vue.js 提供了简单而强大的数据绑定机制,通过使用指令(例如 v-model)可以实现视图和数据的双向绑定。
宠物咖啡馆数字化解决方案:基于SpringBoot的实现
2402_85761468的博客
10-08 826
B/S架构的运行方式是在远程的服务器上把开发的软件系统部署在远程的服务器上,在部署好软件系统之后就可以实现在任何接入互联网的电脑上访问部署好的软件系统。6、网络上的客户端和服务器可以用来编程任何独立的编程环境,也有中国,GB2312,BIG5,日文写作,一般基金,用于支持多国语言,并且可以嵌入在数据表和其他软件shift_jis访问柱可以用作的名称。编程语言,如C, C ++,Python和Java的,的Perl,PHP,埃菲尔铁塔,Ruby和Tcl的。8、管理工具的管理,控制和优化数据库的操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值