实际使用中,资源都是保存在数据库中,而不是在XML中进行配置。
使用数据库管理资源时,需要实现FilterInvocationSecurityMetadataSource接口:
public class MySecurityMetadataSource implements FilterInvocationSecurityMetadataSource, InitializingBean {
private boolean expire = false;
private final static List<ConfigAttribute> NULL_CONFIG_ATTRIBUTE = Collections.emptyList();
private Map<String, Collection<ConfigAttribute>> requestMap;
private AntPathMatcher urlMatcher = new AntPathMatcher();
@Autowired
private SysResourceService sysResourceService;
/**
* 获取所有权限集合
*/
@Override
public Collection<ConfigAttribute> getAllConfigAttributes() {
Set<ConfigAttribute> set = new HashSet<ConfigAttribute>();
for (Map.Entry<String, Collection<ConfigAttribute>> entry : requestMap.entrySet()) {
set.addAll(entry.getValue());
}
return set;
}
/**
* 根据request请求获取访问资源所需权限
*/
@Override
public Collection<ConfigAttribute> getAttributes(Object obj) throws IllegalArgumentException {
//刷新资源
if(isExpire()){
this.requestMap.clear();
expire = false;
}
//若map为空,则重新加载
if(this.requestMap==null || this.requestMap.isEmpty()){
this.requestMap = bindRequestMap();
}
String URL = ((FilterInvocation) obj).getRequestUrl();
if (URL.contains("&")) {
URL = URL.substring(0, URL.indexOf("&"));
}
Collection<ConfigAttribute> attrs = NULL_CONFIG_ATTRIBUTE;
for (Map.Entry<String, Collection<ConfigAttribute>> entry : requestMap.entrySet()) {
if (urlMatcher.match(URL, entry.getKey())) {
attrs = entry.getValue();
break;
}
}
return attrs;
}
@Override
public boolean supports(Class<?> arg0) {
return FilterInvocation.class.isAssignableFrom(arg0);
}
@Override
public void afterPropertiesSet() throws Exception {
this.requestMap = this.bindRequestMap();
}
protected Map<String, Collection<ConfigAttribute>> bindRequestMap() {
Map<String, Collection<ConfigAttribute>> map = new LinkedHashMap<String, Collection<ConfigAttribute>>();
Map<String, String> sourceMap = this.loadResouece();
for (Map.Entry<String, String> entry : sourceMap.entrySet()) {
String key = entry.getKey();
Collection<ConfigAttribute> attr = new ArrayList<ConfigAttribute>();
attr = SecurityConfig.createListFromCommaDelimitedString(entry.getValue());
map.put(key, attr);
}
return map;
}
/**
* 从数据库中加载权限和资源的对应列表
*
* @return
*/
private Map<String, String> loadResouece() {
Map<String, String> map = new LinkedHashMap<String, String>();
List<SysResource> list = sysResourceService.getAllResRole();
if (list != null && list.size() > 0) {
for (SysResource r : list) {
String path = r.getResourcePath();
String code = r.getGroupCode();
if (map.containsKey(path)) {
String existCode = map.get(path);
map.put(path, existCode + "," + code);
} else {
map.put(path, code);
}
}
}
return map;
}
public boolean isExpire() {
return expire;
}
public void expireNow(){
this.expire = true;
}
}以上代码主要的做法就是:
(1)将资源从数据库中查出来,并和其对应的角色做关联,封装到Map<String, Collection<ConfigAttribute>>中;
(2)每次请求到达过滤器后,根据请求的URL去map中匹配对应的权限(即角色)。
在security的配置文件中做相应配置:自己实现的过滤器要在security的之前执行
<!-- 自定义过滤器,在security的过滤器之前执行 -->
<custom-filter ref="filterSecurityInterceptor" before="FILTER_SECURITY_INTERCEPTOR"/>
</pre><pre name="code" class="html"><beans:bean id="filterSecurityInterceptor" class="org.springframework.security.web.access.intercept.FilterSecurityInterceptor">
<beans:property name="securityMetadataSource" ref="securityMetadataSource"></beans:property>
<beans:property name="accessDecisionManager" ref="accessDecisionManager"></beans:property>
<beans:property name="authenticationManager" ref="authenticationManager"></beans:property>
</beans:bean>以上步骤完成后,就可以实现对资源URL的过滤。
在实际使用时,还需要注意到的一个问题就是,在每次分配完权限之后,需重启系统才能生效。这是因为该类初始化之后将资源map加载到了内存中,数据库发生了变化,但内存并没有刷新。
基于以上原理,解决该问题的办法就是:在每次分配完权限之后,重新加载map,这也是代码中加入expire属性的原因。
// 数据库权限发生变化,需要刷新内存
WebApplicationContext wac = WebApplicationContextUtils.getRequiredWebApplicationContext(request
.getServletContext());
MySecurityMetadataSource source = (MySecurityMetadataSource)wac.getBean("securityMetadataSource");
source.expireNow();这样可以做到即使不用LogOut更不用重启项目,也可以动态的刷新权限资源。
479
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
