Spring security 方法级权限控制

最新推荐文章于 2024-09-19 06:21:34 发布
最新推荐文章于 2024-09-19 06:21:34 发布
阅读量2.4k 收藏 7
点赞数 2
分类专栏: springboot springsecurity 文章标签: spring boot spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013066244/article/details/118559426
版权

环境

springboot:1.5
Intellij IDEA:2021.1

序言

以前只是用到架构师搭好的环境,具体怎么配置,怎么用并不是很清楚;
最近因为项目的原因,研究了下,虽然最终没有用上,但是研究的成果,我得记录下来;

步骤

这里假设已经是springboot项目

依赖

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-web</artifactId>
</dependency>

放开URL

登录这块,公司有统一的SSO,并不需要用到spring security的登录控制。
所以我需要对所有的URL进行开放。只想控制方法层。

创建配置类WebSecurityConfig

package com.sgy.securitydemo.config;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.access.expression.DefaultWebSecurityExpressionHandler;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.CorsConfigurationSource;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;

@Configuration
//开启Spring Security的功能
@EnableWebSecurity
//添加@EnableGlobalMethodSecurity注解开启Spring方法级安全
//prePostEnabled属性决定Spring Security的前注解是否可用@PreAuthorize,@PostAuthorize等注解,设置为true
@EnableGlobalMethodSecurity(prePostEnabled=true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {


    @Autowired
    private MyPermissionEvaluator myPermissionEvaluator;

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {

        /*
         * 在内存中配置两个用户 admin和user
         */
        auth.inMemoryAuthentication()
                .withUser("admin")
                .password(passwordEncoder().encode("123456"))
                .roles("admin");

        auth.inMemoryAuthentication()
                .withUser("user")
                .password(passwordEncoder().encode("123456"))
                .roles("user");
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // 定义哪些URL需要被保护、哪些不需要被保护
        http.authorizeRequests()
                // 设置所有人都可以访问登录页面
                .antMatchers("/**").permitAll();
                // 任何请求,登录后可以访问
//                .anyRequest().authenticated()
//                .and()
//                .formLogin().loginPage("/");

        http.authorizeRequests().expressionHandler(defaultWebSecurityExpressionHandler());
    }

	/**
     * 为了将自定义的myPermissionEvaluator注入给spring security
     * @return
     */
    @Bean
    public DefaultWebSecurityExpressionHandler defaultWebSecurityExpressionHandler() {
        DefaultWebSecurityExpressionHandler handler = new DefaultWebSecurityExpressionHandler();
        handler.setPermissionEvaluator(myPermissionEvaluator);
        return handler;
    }

    /**
     * 解决跨域问题
     * @return
     */
    @Bean
    CorsConfigurationSource corsConfigurationSource() {
        CorsConfiguration configuration = new CorsConfiguration();
        configuration.setAllowCredentials(true);
        configuration.addAllowedOrigin(CorsConfiguration.ALL);
        configuration.addAllowedHeader(CorsConfiguration.ALL);
        configuration.addAllowedMethod(CorsConfiguration.ALL);
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**", configuration);
        return source;
    }

    /*
     * 指定加密方式
     */
    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
}

使用@PreAuthorize进行方法控制

@RestController
public class HelloController {

    @GetMapping("/helloAdmin")
    @PreAuthorize("hasPermission('', 'user:view')")
    public String helloAdmin() {
        return "I am Admin";
    }
}

在这里插入图片描述

通过查看源码我们知道:

public boolean hasPermission(Object target, Object permission) {
   return this.permissionEvaluator.hasPermission(this.authentication, target, permission);
}

因为没有使用spring security的登录功能,所以this.authentication肯定就是匿名用户,后面两个:targetpermission参数,就是我们在使用@PreAuthorize("hasPermission('', 'user:view')")注解时,传的两个字符串。target我们传'',permission我们传的是user:view(自己定义的)。

接着看源码我们发现permissionEvaluator.hasPermission()方法有个默认实现:

public boolean hasPermission(Authentication authentication, Object target, Object permission) {
    this.logger.warn(LogMessage.format("Denying user %s permission '%s' on object %s", authentication.getName(), permission, target));
    return false;
}

只是打印了下日志,并且始终返回false

这也就意味着我们需要重写hasPermission()方法。

重写hasPermission()方法

重写hasPermission()方法方法需要实现PermissionEvaluator接口。

package com.sgy.securitydemo.config;

import org.springframework.security.access.PermissionEvaluator;
import org.springframework.security.core.Authentication;
import org.springframework.stereotype.Component;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;

import javax.servlet.http.HttpServletRequest;
import java.io.Serializable;

@Component
public class MyPermissionEvaluator implements PermissionEvaluator {

    @Override
    public boolean hasPermission(Authentication authentication, Object o, Object o1) {
		//假设是HTTP请求,那么用户ID问问需要到HttpServletRequest中去获取。
        HttpServletRequest request = ((ServletRequestAttributes) RequestContextHolder.getRequestAttributes())
                .getRequest();
        System.out.println(o + "-=-=-=-=" + o1 + authentication);
        //这里写业务判断来决定是否返回true or false
        return true;
    }

    @Override
    public boolean hasPermission(Authentication authentication, Serializable serializable, String s, Object o) {
        return false;
    }
}

实际业务开发:我们先去用户权限表中查询该用户权限,然后比较该用户是否拥有该方法的权限。
方法的权限就是我们配置@PreAuthorize("hasPermission('', 'user:view')")中的user:view

全局异常

当权限不通过时,我们往往会抛出业务异常。
这时我们还需要一个全局异常捕获:

package com.sgy.securitydemo.config;

import org.springframework.web.bind.annotation.ExceptionHandler;
import org.springframework.web.bind.annotation.RestControllerAdvice;

@RestControllerAdvice
public class GlobalExceptionRespone {

    /**
     * 全局异常捕获
     * @param e
     * @return
     */
    @ExceptionHandler(value = Exception.class)
    public Object errorHandler( Exception e) {
    	//这里写的很简单,实际上应该转成业务对象返回出去。
        e.printStackTrace();
        return null;
    }

	//具体业务写法参考:
	/**
     * 捕获所有异常
     */
    @ExceptionHandler(Throwable.class)
    @ResponseBody
    public ResponseEntity<?> handleAllException(HttpServletRequest request,
                                                HttpServletResponse response,
                                                Throwable error) {

        JsonResult json = exceptionHandler.handleException(request, response, error);
        //401 error
        if (error instanceof AccessDeniedException) {
            json.setErrMessage(Optional.of("您没有权限,请联系管理员"));
            json.setErrCode(Optional.of(SC_UNAUTHORIZED));
            response.setStatus(SC_UNAUTHORIZED);
        }
        ResponseEntity.BodyBuilder resp = ResponseEntity.status(response.getStatus());
        if (_isJsonRequest(request)) {
            return resp.body(json);
        } else {
            // 如有必要,可以 Forward 到一个错误页面;或者定义一个 ErrorController 和 error 页面。
            String errMsg = String.format("出错啦:%s", json.getErrMessage().orElse("未知错误!"));
            return resp.body(errMsg);
        }
    }
}

总结

①方法级控制,本质上也是AOP控制,在方法执行前进行AOP处理。
只不过spring security帮我们做了很多。比如提供@PreAuthorize注解和hasPermission()方法等等。
②重点是重写hasPermission()方法这一步,里面包含的是我们的业务。

直接参考地址

pringBoot整合Spring Security安全框架(一)

spingsecurity中haspermission用法以及配置自定义PermissionEvaluator

间接参考地址

spring security下的跨域问题

Spring Security下解决跨域问题

springboot全局异常捕获

Spring Security基于方法级别的自定义表达式(可以完成任何权限判断)

山鬼谣me
关注
专栏目录
Spring Security 基于表达式的权限控制
weixin_38927257的博客
11-22 619
文章目录前言常见的表达式URL安全表达式在Web安全表达式中引用beanRbacServiceImplMethod安全表达式使用method注解PreAuthorizePostAuthorizePreAuthorize 针对参数进行过滤PostFilter 针对返回结果进行过滤 前言 spring security 3.0已经可以使用spring el表达式来控制授权,允许在表达式中使用复杂的布...
springboot springsecurity动态权限控制
09-18
在这个“springboot springsecurity动态权限控制”的主题中,我们将深入探讨如何在Spring Boot项目中集成Spring Security,实现动态权限控制,让菜单权限的管理更加灵活和高效。 首先,我们需要理解Spring Security...
Spring Security(16)——基于表达式的权限控制
dotedy的博客
10-16 1906
EL表达式hasPermissionPreFilterPreAuthorizeSpring Security  基于表达式的权限控制 目录 1.1      通过表达式控制URL权限 1.2      通过表达式控制方法权限 1.2.1     使用@PreAuthorize和@PostAuthorize进行访问控制 1.2.2     使用@PreFilter和@Post
Spring Security 权限控制
最新发布
2012年开始工作,全栈开发老兵,目前已是一个老师,分享这么多年的心得体会
09-19 1332
在前面的章节中,已经给大家介绍了Spring Security的很多功能,在这些众多功能中,我们知道其核心功能其实就是 认证+授权。
SpringBootSecurity学习(06)网页版登录方法别的权限
Blues的专栏
09-29 964
用户授权 前面讨论过,Web应用的安全管理,主要包括两个方面的内容,一个是用户身份的认证,即用户登录的设计,二是用户授权,即一个用户在一个应用系统中能够执行哪些操作的权限管理。前面介绍了登录,下面简单介绍一下用户授权。用户拥有的权限是根据用户的角色来决定的,并且security中,用户的权限可以控制方法别。 方法别的权限控制 每个url的访问都是定义在controller方法上面的,因此需要...
spingsecurity中haspermission用法以及配置自定义PermissionEvaluator
热门推荐
xmj_0422的博客
08-13 1万+
一、原理剖析 先看一段官方文档对haspermission的描述(文档链接:https://docs.spring.io/spring-security/site/docs/5.2.7.BUILD-SNAPSHOT/reference/htmlsingle/#el-permission-evaluator) 开头的意思是haspermission的注解会委托给PermissionEvaluator接口,而这个接口默认实现是DenyAllPermissionEvaluator(源码如下) 这个类的两个
SpringSecurity授权功能的实现
m0_63624484的博客
07-31 1083
Security:认证 (判断你是平台合法用户)授权(有没有权限访问这个资源)a:b:c我们使用的是自定义的权限表达式 ,也就是说我们的权限用的是a:b:c这种格式来定义权限的,我们在判断权限的时候也是用这种格式来查询是否有对用的权限SpringSecurity支持表达式:@PreAuthorize 注解的常用参数有:。。。。。。。。。用于判断接口需要的访问权限登录的用户是否拥有/***自定义权限实现,ss取自SpringSecurity首字母*/
Vue 动态路由的实现及 Springsecurity 按钮别的权限控制
10-16
1. **自定义权限注解**:在Spring Security中,可以通过注解来控制方法的访问权限。对于按钮别的权限控制,可以创建自定义的注解。 2. **权限检查**:通过自定义的权限注解,可以在控制方法执行前检查用户是否...
Spring security实现登陆和权限角色控制
09-09
在这个场景中,我们将探讨如何使用Spring Security来实现登录和权限角色控制。首先,确保你正在使用的Spring版本为4.3.2.RELEASE,而Spring Security版本是4.1.2.RELEASE。在开始之前,你需要对Spring MVC、SPeL...
Spring Security如何使用URL地址进行权限控制
08-25
Spring Security如何使用URL地址进行权限控制 Spring Security是一个功能强大且广泛应用的Java安全框架,它提供了许多功能,包括身份验证、授权、加密等。其中,权限控制Spring Security的一个重要组件,它允许...
SpringBoot--- SpringSecurity进行注销权限控制的配置方法
08-24
SpringBoot--- SpringSecurity 进行注销权限控制的配置方法 SpringBoot 是一个基于 Java 的框架,提供了大量的配置选项和功能,而 SpringSecurity 是一个基于 Spring 的安全框架,提供了身份验证、授权、加密等功能...
SpringSecurity页面按钮权限控制
自知的博客
08-11 2932
页面按钮权限控制,其实就是利用RBAC1权限控制和sec:authorize标签。 一、引入pom依赖 <dependency> <groupId>org.thymeleaf.extras</groupId> <artifactId>thymeleaf-extras-springsecurity5</artifactId> </dependency> 此处使用spring-boot-starter-parent:2
基于SpringSecurity自定义权限表达式
CNchangan的博客
07-04 427
基于SpringSecurity自定义权限表达式
Spring security权限管理
weixin_47072986的博客
04-02 4024
Spring Security是一个高度自定义的安全框架。利用Spring IoC/DI和AOP功能,为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。​ 使用Spring Secruity的原因有很多,但大部分都是发现了javaEE的Servlet规范或EJB规范中的安全功能缺乏典型企业应用场景。同时认识到他们在WAR或EAR别无法移植。因此如果你更换服务器环境,还有大量工作去重新配置你的应用程序。
spring security
lin的博客
08-23 661
本文讲述spring Boot整合Spring Security方法上使用注解实现权限控制,使用自定义UserDetailService,从MySQL中加载用户信息。使用Security自带的MD5加密,对用户密码进行加密。spring security 的验证流程: 用户发出请求 过滤器拦截(OauthAuthenticationFilter:doFilter) 取得请求资源所需权限(Secur
SpringBoot中使用Spring Security实现权限控制
小屁孩大帅-保密的博客
10-30 1054
这里就不对Spring Security进行过多的介绍了,具体的可以参考官方文档 我就只说下SpringSecurity核心功能: 认证(你是谁) 授权(你能干什么) 攻击防护(防止伪造身份) 基本环境搭建 这里我们以SpringBoot作为项目的基本框架,我这里使用的是maven的方式来进行的包管理,所以这里先给出集成Spring Security的方式 &lt...
springboot 整合spring security
LiaoHongHB的博客
10-31 494
转载务必说明出处:https://blog.csdn.net/LiaoHongHB/article/details/83576911        spring security 是一种安全框架,主要的作用是认证和授权;其中认证则是判断该用户是谁,授权则是判断该用户有无权限访问该url。一个项目一般情况分为前台的业务系统(电商网站)和后台管理系统;其中前台的业务系统主要操作对象为普通用户,角色相...
springboot集成security(角色权限和资源权限)
qq_41501190的博客
12-25 1803
1.和集成shiro一样,首先得有一个springboot项目,并且集成了mybatis和thymeleaf 导入的坐标: application.yaml配置文件 由于使用了Druid,所以还有个DruidConfig.java 以下是Mybatis相关的文件 UserMapper.java UserMapper.xml 以下是controller相关的文件 RouteController.java 控制页面跳转 web所有的页面 整合完springboot和mybatis最后进行测试
SpringBoot第二十三篇:安全性之Spring Security
weixin_30722589的博客
08-14 342
作者:追梦1819 原文:https://www.cnblogs.com/yanfei1819/p/11350255.html 版权声明:本文为博主原创文章,转载请附上博文链接! 引言   系统的安全的重要性人人皆知,其也成为评判系统的重要标准。   Spring Security 是基于 Spring 的安全框架。传统的 Spring Security 框架需要配置大量的 xml 文...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

山鬼谣me

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值