SpringBootSecurity学习(11)网页版登录之URL动态权限

最新推荐文章于 2024-03-25 16:07:00 发布
最新推荐文章于 2024-03-25 16:07:00 发布
阅读量1.5k 收藏 2
点赞数 1
分类专栏: spring-boot-security学习 文章标签: springboot springboot-security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011857851/article/details/101903064
版权

动态权限

前面讨论用户登录认证的时候,根据用户名查询用户会将用户拥有的角色一起查询出来,自动实现判断当前登录用户拥有哪些角色。可以说用户与角色之间的动态配置和判断security做的非常不错。不过在配置方法级别的权限的时候,使用注解虽然是一种比较优雅的方式,但是要求在开发的时候就知道当前url对应哪些角色,无法实现动态的配置,而实际的项目中,每个链接允许哪些角色访问也不是一成不变的,因此下面我们来实现自己的路由判断。

创建表

前面的讨论中,我们创建了用户表,角色表和用户角色中间表,下面来创建菜单功能表,并把现在有的url链接添加进去:

file

然后创建角色菜单中间表,加入角色与url之间的对应关系:

file

创建基础类

首先去掉前面的方法级别权限的注解,然后创建菜单实体类:

file

创建查询方法,根据url查询次链接对应的所有角色名称:

file

对应的sql语句如下:

file

路由动态获取角色

首先增加一个处理类,在收到访问的时候,动态获取当前url的角色:

file

新建一个ObjectPostProcessor类,将这个处理类配置到其中:

file

最后将新建的ObjectPostProcessor类配置到权限配置方法中:

file

路由决策管理

用户与角色是多对多的关系,url与角色也是多对多的关系,这里的设定是,只要用户与url对应的角色中有相同的存在,就表示用户有访问的权限。首先看一下对应判断的处理类:

file

使用双重for循环进行判断,并进行结果投票。在注释中可以看到,使用不同的方式会产生不同的策略。下一步在security配置类中配置路由策略方法:

file

除了UrlRoleAuthHandler类,其它决策类使用的都是security存在的类,最后在权限配置中配置决策管理:

file

测试

这样动态权限url就配置好了,根据上面方法中的数据,可以登录查看是否具有对应的url权限,没有配置的是否不具备权限。

代码地址:https://gitee.com/blueses/spring-boot-security 11

郭艺宾
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring boot中controller的使用及url参数的获取方法
08-28
主要介绍了spring boot中controller的使用及url参数的获取方法,非常不错,具有参考借鉴价值,需要的朋友可以参考下
Springboot+SpringSecurity+JWT实现用户登录权限认证示例
08-19
在现代Web应用开发中,确保用户安全登录权限管理至关重要。Spring Boot结合Spring Security和JWT(JSON Web Token)提供了一种高效且灵活的解决方案。本文将深入探讨如何使用这些技术来构建用户登录权限认证系统...
Springboot+Shiro 基于URL 动态控制权限
Joe_elena的博客
08-13 1万+
前言:    权限控制有 注解的方式,jsp shiro标签的方式,还有url 动态控制的方式。这里我使用最后一种方式来控制权限 思路: 0.利用  PathMatchingFilter 拦截器 1.根据用户名 来查询角色, 2.根据角色查询权限 3.获取请求的url  4判断 根据用户名查询的权限 是否包括 请求的url 5.如果包括 则 放行,不包括重定向到 未授权界面 p...
Spring Boot中实现对特定URL权限验证:拦截器、切面和安全框架的比较
最新发布
diligent_man_z的博客
03-25 967
而如果您的项目安全需求较为复杂,建议使用专门的安全框架(如Spring Security),它提供了一套完整的安全解决方案。本文将比较这三种方式的优劣,并通过示例代码来佐证观点,以帮助您选择适合您项目需求的最佳方案。通过示例代码的演示,您可以更好地理解这三种方式的实现方式和特点。根据您的项目需求和团队的技术能力,选择适合的方式来实现权限验证是关键。无论您选择哪种方式,通过示例代码的展示,您可以更好地理解在Spring Boot中实现对特定URL权限验证的具体实现方式,确保您的应用程序的安全性和合规性。
一文详细讲解SpringBoot 动态权限校验实现方案
白话机器学习
02-25 501
1背景简单先说一下需求吧,这样也好让看的人知道到底适不适合自己。实现自定义的登录认证。登录成功,生成token并将token 交由redis管理。登录后对用户访问的接口进行接口级别权限认证。springSecurity提供的注解权限校验适合的场景是系统中仅有固定的几个角色,且角色的凭证不可修改(如果修改需要改动代码)。注:ROLE_TELLER是写死的。后端系统的访问请求有以下几种类型:登录、登出(可自定义url)匿名用户可访问的接口(静态资源,demo示例等)
SpringBoot整合SpringSecurity权限控制(动态拦截url+单点登录
jiaoqi6132的博客
04-04 2365
Slf4j@Component@Resource@Override//获取身份验证详细信息//用于校验mac地址白名单(这里只是打个比方,登录验证中增加的额外字段)//表单输入的用户名//表单输入的密码//校验用户名密码if (!matches) {!");@Override@Component@Resource@Override//任意登录用户名!");//从数据库获取密码//用户拥有的角色// }
springboot+ spring security实现登录认证
05-04
SpringBoot结合Spring Security实现登录认证是企业级应用开发中常见的安全框架组合,它们为Web应用程序提供了强大的安全性。本文将深入探讨这两个技术的核心概念、配置以及如何整合以实现用户登录认证功能。 ...
springboot springsecurity动态权限控制
09-18
在这个“springboot springsecurity动态权限控制”的主题中,我们将深入探讨如何在Spring Boot项目中集成Spring Security,实现动态权限控制,让菜单权限的管理更加灵活和高效。 首先,我们需要理解Spring Security...
SpringBoot整合权限控制SpringSecurity.docx
12-10
在本文中,我们将探讨如何在SpringBoot项目中整合SpringSecurity实现权限控制,并结合前端Element UI的多标签页(Tabs)组件,提供更加高效的用户体验。SpringBoot是一个流行的Java开发框架,它简化了Spring应用的...
SpringBoot集成Spring Security实现权限控制【完整源码+数据库】
02-16
总的来说,这个项目为学习者提供了一个实际的、完整的SpringBoot集成Spring Security的示例,通过它,你可以了解如何配置和使用Spring Security进行权限控制,同时掌握如何将数据库集成到Spring Boot应用中。...
SpringBoot程序启动后,打开URL跳转到登录界面
weixin_45614626的博客
09-10 2138
出现这个原因是因为你在pom文件里加了springbootsecurity依赖(或者就是某个依赖里包含了security模块),它会强制你进入这个登录界面,登录的password在控制台会打印出来,用户名是user。你可以不嫌麻烦直接登陆。 解决方法很简单,加上一个SecurityConfig文件,手动关闭就可以了。 @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdap
springboot设置默认首页、url的项目名、session等
热门推荐
赶路人儿
06-11 1万+
1、设置默认首页:@Configuration public class DefaultView extends WebMvcConfigurerAdapter{ @Override public void addViewControllers( ViewControllerRegistry registry ) { registry.addViewControll...
Spring Security动态权限管理(基于Spring Boot 2.x 前后端分离)
weixin_33726318的博客
04-25 698
宣传官网 xb.exrick.cn 在线Demo xboot.exrick.cn 开源版Github地址 github.com/Exrick/x-bo… 开发文档 www.kancloud.cn/exrick/xboo… 获取完整版 xpay.exrick.cn/pay?xboot Spring Security核心配置入口 @Configuration @EnableGlobalMe...
springBoot+springSecurity 动态管理Restful风格权限(三)
qq_40588618的博客
05-09 978
https://blog.csdn.net/u012373815/article/details/56832167
springBoot+springSecurity 数据库动态管理用户、角色、权限
weixin_34220179的博客
06-23 1940
  使用spring Security3的四种方法概述 那么在Spring Security3的使用中,有4种方法: 一种是全部利用配置文件,将用户、权限、资源(url)硬编码在xml文件中,已经实现过,并经过验证; 二种是用户和权限用数据库存储,而资源(url)和权限的对应采用硬编码配置,目前这种方式已经实现,并经过验证。 三种是细分角色和权限,并将用户、角色、权限和资源均采用数据库...
SpringSecurity手动忽略双斜杠校验//以及修改Jar包内源码
Damionew的博客
02-15 2018
问题描述:SpringBoot项目中,想修改SpringSecurity中某个jar包内源码 这里是要解决SpringSecurity验证请求中使用双斜杠 // 不符合规范的问题 将return false 修改为 return true 内网服务器部署了一个Tomcat项目,使用Nginx映射到外网服务器时,出现配置问题:test/login 变成了 test//login ...
基于Vue和springBoot登录模块设计
qq_50234089的博客
10-14 1178
基于Vue和springBoot登录模块设计 1.登录页面设计 2.发送登录请求 使用的是axios发送请求, 需求是,将填写的username 和password传递到登录接口,成功,返回token类型的cookie, 并跳转到home页面;失败,则弹出“登录失败”的提示信息。具体方法如下: login(){ //表单预验证npm this.$refs.loginFormRef.validate( async valid=>{ if (!valid) r
SpringBoot服务访问路径动态处理
祥子的博客
01-23 8967
@RestController public class MainController { @RequestMapping(value = "/echo/{message}", method = RequestMethod.GET) public String echo(@PathVariable("message") String msg) { return "【E
springbootsecurity动态权限
04-04
Spring Boot Security提供了动态权限管理的支持,可以在运行时动态地添加、修改和删除用户权限,而无需重新启动应用程序。以下是实现动态权限的步骤: 1. 配置Spring SecuritySpring Security配置类中,需要指定权限管理器和访问决策管理器: ``` @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private CustomUserDetailsService userDetailsService; @Autowired private CustomPermissionEvaluator permissionEvaluator; @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .anyRequest().authenticated() .accessDecisionManager(accessDecisionManager()) .and() .formLogin() .and() .httpBasic() .and() .csrf().disable(); } @Bean public DefaultWebSecurityExpressionHandler webSecurityExpressionHandler() { DefaultWebSecurityExpressionHandler handler = new DefaultWebSecurityExpressionHandler(); handler.setPermissionEvaluator(permissionEvaluator); return handler; } @Bean public AccessDecisionManager accessDecisionManager() { List<AccessDecisionVoter<?>> decisionVoters = Arrays.asList( new WebExpressionVoter(), new RoleVoter(), new AuthenticatedVoter(), new CustomPermissionVoter(permissionEvaluator) ); return new AffirmativeBased(decisionVoters); } @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userDetailsService); } @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } } ``` 2. 实现自定义权限管理器和访问决策管理器 自定义权限管理器和访问决策管理器是实现动态权限管理的关键。权限管理器负责加载用户权限,访问决策管理器负责根据用户权限决策是否允许访问某个资源。 ``` @Component public class CustomPermissionEvaluator implements PermissionEvaluator { @Autowired private PermissionService permissionService; @Override public boolean hasPermission(Authentication authentication, Object targetDomainObject, Object permission) { if (authentication == null || targetDomainObject == null || !(permission instanceof String)) { return false; } CustomUserDetails userDetails = (CustomUserDetails) authentication.getPrincipal(); String targetType = targetDomainObject.getClass().getSimpleName().toUpperCase(); PermissionType permissionType = PermissionType.valueOf((String) permission); return permissionService.hasPermission(userDetails.getUserId(), targetType, permissionType); } @Override public boolean hasPermission(Authentication authentication, Serializable targetId, String targetType, Object permission) { if (authentication == null || targetType == null || !(permission instanceof String)) { return false; } CustomUserDetails userDetails = (CustomUserDetails) authentication.getPrincipal(); PermissionType permissionType = PermissionType.valueOf((String) permission); return permissionService.hasPermission(userDetails.getUserId(), targetType.toUpperCase(), permissionType); } } @Component public class CustomPermissionVoter extends AbstractAccessDecisionVoter<Object> { private final PermissionEvaluator permissionEvaluator; public CustomPermissionVoter(PermissionEvaluator permissionEvaluator) { super("ROLE_USER"); this.permissionEvaluator = permissionEvaluator; } @Override public boolean supports(ConfigAttribute attribute) { return attribute.getAttribute() != null && attribute.getAttribute().startsWith("PERM_"); } @Override public boolean supports(Class<?> clazz) { return true; } @Override public int vote(Authentication authentication, Object object, Collection<ConfigAttribute> attributes) { int result = ACCESS_ABSTAIN; CustomUserDetails userDetails = (CustomUserDetails) authentication.getPrincipal(); for (ConfigAttribute attribute : attributes) { if (this.supports(attribute)) { result = ACCESS_DENIED; String permission = attribute.getAttribute().substring(5); Object targetObject = object; if (object instanceof FilterInvocation) { FilterInvocation filterInvocation = (FilterInvocation) object; HttpServletRequest request = filterInvocation.getRequest(); targetObject = new CustomWebSecurityExpressionRoot(authentication, request); } if (permissionEvaluator.hasPermission(authentication, targetObject, permission)) { return ACCESS_GRANTED; } } } return result; } } ``` 3. 实现自定义用户权限加载器 自定义用户权限加载器负责从数据库或其他数据源中加载用户权限,可以在运行时动态地添加、修改和删除用户权限。 ``` @Service public class CustomUserDetailsService implements UserDetailsService { @Autowired private UserService userService; @Autowired private PermissionService permissionService; @Override public CustomUserDetails loadUserByUsername(String username) throws UsernameNotFoundException { User user = userService.getUserByUsername(username); if (user == null) { throw new UsernameNotFoundException("User not found"); } List<Permission> permissions = permissionService.getPermissionsByUserId(user.getId()); Set<GrantedAuthority> authorities = new HashSet<>(); for (Permission permission : permissions) { authorities.add(new SimpleGrantedAuthority("PERM_" + permission.getPermissionType())); } return new CustomUserDetails(user.getId(), user.getUsername(), user.getPassword(), authorities); } } ``` 4. 实现自定义权限管理器 自定义权限管理器负责将用户权限加载到Spring Security的安全上下文中。 ``` @Component public class CustomSecurityMetadataSource implements FilterInvocationSecurityMetadataSource { private final Map<String, Collection<ConfigAttribute>> resourceMap = new ConcurrentHashMap<>(); @Autowired private PermissionService permissionService; @Override public Collection<ConfigAttribute> getAttributes(Object object) throws IllegalArgumentException { if (object instanceof FilterInvocation) { FilterInvocation filterInvocation = (FilterInvocation) object; HttpServletRequest request = filterInvocation.getRequest(); String url = request.getRequestURI(); String method = request.getMethod(); String key = url + ":" + method; if (resourceMap.containsKey(key)) { return resourceMap.get(key); } else { List<Permission> permissions = permissionService.getPermissionsByUrlAndMethod(url, method); Collection<ConfigAttribute> configAttributes = new HashSet<>(); for (Permission permission : permissions) { configAttributes.add(new SecurityConfig("PERM_" + permission.getPermissionType())); } resourceMap.put(key, configAttributes); return configAttributes; } } return null; } @Override public Collection<ConfigAttribute> getAllConfigAttributes() { return null; } @Override public boolean supports(Class<?> clazz) { return FilterInvocation.class.isAssignableFrom(clazz); } } ``` 5. 实现自定义权限服务 自定义权限服务负责提供添加、修改和删除用户权限的接口。 ``` @Service public class PermissionService { @Autowired private PermissionRepository permissionRepository; public List<Permission> getPermissionsByUserId(Long userId) { return permissionRepository.findByUserId(userId); } public List<Permission> getPermissionsByUrlAndMethod(String url, String method) { return permissionRepository.findByUrlAndMethod(url, method); } public boolean hasPermission(Long userId, String targetType, PermissionType permissionType) { List<Permission> permissions = permissionRepository.findByUserIdAndTargetTypeAndPermissionType(userId, targetType, permissionType); return !permissions.isEmpty(); } public void addPermission(Permission permission) { permissionRepository.save(permission); } public void updatePermission(Permission permission) { permissionRepository.save(permission); } public void deletePermission(Long permissionId) { permissionRepository.deleteById(permissionId); } } ``` 6. 在运行时动态添加、修改和删除用户权限 在需要添加、修改和删除用户权限的地方,调用自定义权限服务的接口即可。 例如,可以实现一个RESTful API,用于添加、修改和删除用户权限: ``` @RestController @RequestMapping("/permissions") public class PermissionController { @Autowired private PermissionService permissionService; @PostMapping public void addPermission(@RequestBody Permission permission) { permissionService.addPermission(permission); } @PutMapping("/{id}") public void updatePermission(@PathVariable Long id, @RequestBody Permission permission) { permission.setId(id); permissionService.updatePermission(permission); } @DeleteMapping("/{id}") public void deletePermission(@PathVariable Long id) { permissionService.deletePermission(id); } } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值