Spring-Security (学习记录四)--配置权限过滤器,采用数据库方式获取权限

最新推荐文章于 2024-02-20 11:15:12 发布
最新推荐文章于 2024-02-20 11:15:12 发布
阅读量312 收藏 1
点赞数
文章标签: 数据库 java
原文链接:http://www.cnblogs.com/linhp/p/5817054.html
版权

目录

完整代码见附件

1. 需要在spring-security.xml中配置验证过滤器,来取代spring-security.xml的默认过滤器

spring-security中需要配置验证过滤器来实现整个拦截的过程,其中需要配置一下三个来实现。

authenticationManager:在配置用户名和角色的时候,已经配置过了。
accessDecisionManager:用来判断url是否有权限
securityMetadataSource:可以通过url得到角色名称

<!-- 配置 验证过滤器, 此过滤器取代系统的XML权限过滤 , 此过滤器配置完毕之后存放到 系统缺省的过滤链中-->
<bean id="filterSecurityInterceptor" class="org.springframework.security.web.access.intercept.FilterSecurityInterceptor">
    <!-- 需要认证管理器, 通过它可以获取 管理员已经拥有的角色信息  ,
        由于id已经被org.springframework.security.authenticationManager默认了。不能更改,所以用别名-->
    <property name="authenticationManager" ref="authenticationManager"></property>
    <!-- 决策器 -->
    <property name="accessDecisionManager" ref="roleAccessDecisionManager" />         
    <!-- 配置urlService ,security可以通过url得到角色名称 -->
     <property name="securityMetadataSource" ref="urlService" />
</bean>

2. 配置securityMetadataSource,可以通过url来获取角色名称

package com.hp.service.impl;

import java.util.Collection;
import java.util.HashSet;
import java.util.Set;

import javax.annotation.Resource;

import org.springframework.security.access.ConfigAttribute;
import org.springframework.security.web.FilterInvocation;
import org.springframework.security.web.access.intercept.FilterInvocationSecurityMetadataSource;
import org.springframework.stereotype.Service;

import com.hp.dao.UrlDao;
import com.hp.model.Role;
import com.hp.model.Url;
import com.hp.service.UrlService;

/**
 * 通过URL地址获取相应权限然后在获取相应的角色集合
 * 
 * 需要实现FilterInvocationSecurityMetadataSource接口
 * 
 * @author baojulin
 *
 */
@Service("urlService")
public class UrlServiceImpl implements UrlService, FilterInvocationSecurityMetadataSource {

    @Resource
    private UrlDao urlDao;

    @Override
    public Url getRoleByUrl(String url) {
        return urlDao.getRoleByUrl(url);
    }

    /**
     * 此方法就是通过url地址获取 角色信息的方法
     */
    @Override
    public Collection<ConfigAttribute> getAttributes(Object object) throws IllegalArgumentException {
        // 获取当前的URL地址
        System.out.println("object的类型为:" + object.getClass());
        FilterInvocation filterInvocation = (FilterInvocation) object;
        String url = filterInvocation.getRequestUrl();
        System.out.println("访问的URL地址为(包括参数):" + url);
        url = filterInvocation.getRequest().getServletPath();
        System.out.println("访问的URL地址为:" + url);
        Url urlObject = getRoleByUrl(url); //调用自己实现的方法来url
        System.out.println("urlObject:" + urlObject);
        if (urlObject != null && urlObject.getPrivilege() != null) {
            Set<Role> roles = urlObject.getPrivilege().getRoles();
            Collection<ConfigAttribute> c = new HashSet<ConfigAttribute>();
            c.addAll(roles);
            return c; // 将privilege中的roles改为Collection<ConfigAttribute>,role需要实现ConfigAttribute接口
        } else {
            // 如果返回为null则说明此url地址不需要相应的角色就可以访问, 这样Security会放行
            return null;
        }
    }

    @Override
    public Collection<ConfigAttribute> getAllConfigAttributes() {
        // TODO Auto-generated method stub
        return null;
    }

    /**
     * 如果为真则说明支持当前格式类型,才会到上面的 getAttributes 方法中
     */
    @Override
    public boolean supports(Class<?> clazz) {
        // TODO Auto-generated method stub
        // 需要返回true表示支持
        return true;
    }

}

urlDao中的实现

    /**
     * 通过URL地址获取相应权限然后在获取相应的角色集合
     */
    @Override
    public Url getRoleByUrl(String url) {
        String hql = "FROM Url u JOIN FETCH u.privilege up JOIN FETCH up.roles WHERE u.url=:url";
        Session session = sessionFactory.openSession();
        return (Url) session.createQuery(hql).setString("url", url).uniqueResult();
    }

3. 配置决策器:roleAccessDecisionManager

package com.hp.service.impl;

import java.util.Collection;

import org.apache.commons.logging.Log;
import org.apache.commons.logging.LogFactory;
import org.springframework.security.access.AccessDecisionManager;
import org.springframework.security.access.AccessDeniedException;
import org.springframework.security.access.ConfigAttribute;
import org.springframework.security.authentication.InsufficientAuthenticationException;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.stereotype.Service;

/**
 * 此类是决策器: 用来对 用户应有的角色,与URL地址可以访问的角色进行对比,如果不匹配则抛出异常
 * 
 * @author baojulin
 *
 */
@Service("roleAccessDecisionManager")
public class RoleAccessDecisionManager implements AccessDecisionManager {

    protected final Log logger = LogFactory.getLog(RoleAccessDecisionManager.class);

    /**
     * 决策方法: 如果方法执行完毕没有抛出异常,则说明可以放行, 否则抛出异常 AccessDeniedException
     */
    @Override
    public void decide(Authentication authentication, Object object, Collection<ConfigAttribute> configAttributes) throws AccessDeniedException, InsufficientAuthenticationException {
        // System.out.println("---------------decide------------------");
        // 如果登陆成功,则信息会存储在Authorities中
        Collection<? extends GrantedAuthority> myRoles = authentication.getAuthorities();
        // 如果前面的 getAttributes() 返回非空,则返回的数据做为形参传入, 如果返回为null 则不会进入decide() 直接放行

        // System.out.println("myRole:" + myRoles);
        // System.out.println("sysRole:" + configAttributes);

        for (GrantedAuthority myRole : myRoles) {// 当前登录的角色
            for (ConfigAttribute urlRoles : configAttributes) {// 前台传入的url的角色,UrlDaoImpl.getAttributes获得的
                if (myRole.getAuthority().equals(urlRoles.getAttribute())) {
                    // 说明此URL地址符合权限,可以放行
                    return;
                }
            }
        }
        // System.out.println("-----权限验证失败------");
        logger.error("-----权限验证失败------");
        throw new AccessDeniedException("权限越界!");
    }

    /**
     * 返回true表示支持
     */
    @Override
    public boolean supports(ConfigAttribute attribute) {
        // System.out.println("public boolean supports(ConfigAttribute attribute)");
        return true;
    }

    /**
     * 返回true表示支持
     */
    @Override
    public boolean supports(Class<?> clazz) {
        // System.out.println("public boolean supports(Class<?> clazz)");
        return true;
    }

}

4. 在配置文件中,修改默认过滤器,将xml方式配置的权限去掉,改用数据库

    <security:http auto-config="false" use-expressions="true" access-denied-page="/login.jsp?error=access-denied-page">
        <!-- xml配置,配置的 pattern="/admin/**" 表示需要登录才能访问,而登录的角色为ROLE_ADMIN
        <security:intercept-url pattern="/admin/**" access="hasRole('ROLE_ADMIN')" />
        <security:intercept-url pattern="/user/**" access="hasAnyRole('ROLE_USER','ROLE_ADMIN')" />    
         -->
    
        <!-- 增加权限过滤器,采用数据库方式获取权限 -->
        <security:custom-filter ref="filterSecurityInterceptor" before="FILTER_SECURITY_INTERCEPTOR"/>
        
        <!-- 默认登录地址:j_spring_security_check -->
        <security:form-login default-target-url="/index.jsp" 
            username-parameter="username"
            password-parameter="password"
            authentication-failure-url="/login.jsp?error=authentication-failure-url"
            login-page="/login.jsp"/>
        <!-- 注销也是由,Security框架来实现,LogoutFilter ,默认地址j_spring_security_logout   -->
         <security:logout logout-success-url="/login.jsp"/>
    </security:http>

5. 图解spring-security整个流程

893235-20160829103606480-530047490.png

百度云链接:http://pan.baidu.com/s/1cBTdb4 密码:pjzk

转载于:https://www.cnblogs.com/linhp/p/5817054.html

weixin_30900589
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
spring-security-project.zip- Spring Security实现RBAC权限模型demo
02-09
Spring Security 是一个强大...总结来说,"spring-security-project.zip"提供了一个使用Spring Security实现RBAC权限模型的实例,涵盖了认证、授权、角色和权限的管理,是学习和理解Spring Security安全框架的好材料。
Spring Security之动态配置资源权限
Arthur_Holmes的博客
12-20 1582
  在Spring Security中实现通过数据库动态配置url资源权限,需要通过配置验证过滤器来实现资源权限的加载、验证。系统启动时,到数据库加载系统资源权限列表,当有请求访问时,通过对比系统资源权限列表和用户资源权限列表(在用户登录时添加到用户信息中)来判断用户是否有该url的访问权限。   在配置验证过滤器时需要的配置项有如下几个: filterSecurityInterceptor:通过继承AbstractSecurityInterceptor并实现Filter接口自定义一个验证过滤...
Spring Security系列 自定义决策管理器(动态权限码)
程序猿开发日志【学习永无止境】
01-13 3332
前言 前面我们已经实现了用户的自定义登录及密码的加密,接下来就是动态的权限验证了,也就是实现Spring Security的决策管理器AccessDecisionManager。 权限资源 SecurityMetadataSource 要实现动态的权限验证,当然要先有对应的访问权限资源了。Spring Security是通过SecurityMetadataSource来加载访
数据权限-SpringJpa拦截示例
树高千尺 唯有根深
10-13 4131
需求:已知系统有很多表然后在每个表都有个公共字段,比如叫租户。需要从租户来隔离数据权限 比较直观的方法可能是重写Dao接口的查询,但我们大多场景可能用的JPA或mybatis,写的纯SQL语句来查询业务数据 这时就需要想到使用过滤器,拦截所有查询SQL加入数据权限的过滤,这时要考虑的SQL写法就多了 常见SQL写法 select * from table1 t1 wheret1.field = xxx and t1.field2=bbb select * from table12 tsg l..
灵活的数据权限思路
BUG指挥课堂
02-20 1504
我一年java,在小公司,当前公司权限这块都没有成熟的方案,目前我知道权限分为功能权限和数据权限,我不知道数据权限这块大家是怎么解决的,但在实际项目中我遇到数据权限真的复杂,你永远不知道业主在这方面的需求是什么。
springboot权限控制_Spring Security 中的权限控制方式
weixin_39632397的博客
11-21 1248
Spring Security 中对于权限控制默认已经提供了很多了,但是,一个优秀的框架必须具备良好的扩展性,恰好,Spring Security 的扩展性就非常棒,我们既可以使用 Spring Security 提供的方式做授权,也可以自定义授权逻辑。一句话,你想怎么玩都可以!今天松哥来和大家介绍一下 Spring Security种常见的权限控制方式。表达式控制 URL 路径权限表达式控...
spring-security-demo.zip
08-10
- **Filter Chain**: Spring Security通过一系列过滤器处理HTTP请求,实现身份验证和授权。 2. **配置Spring Security**: - 使用`@EnableWebSecurity`注解开启Spring Security。 - 创建自定义的`SecurityConfig...
spring-security-web源码所需jar包
12-03
10. **spring-security-config-3.1.2.RELEASE.jar**:提供了基于XML或Java配置方式,用于定义安全规则和策略,如定义访问控制列表,自定义过滤器链等。 通过以上这些jar包,我们可以深入研究Spring Security Web...
SpringSecurity-数据库认证-简单授权
最新发布
06-03
在这个“SpringSecurity-数据库认证-简单授权”的主题中,我们将深入探讨如何结合SpringSecurity数据库来实现用户身份验证和权限管理。 首先,我们需要理解SpringSecurity的核心组件。`Authentication`代表认证,...
spring-security.rar
04-06
FSI包含了多个内置的Spring Security过滤器,如`DelegatingAuthenticationEntryPoint`和`FilterSecurityInterceptor`。 2. **Authentication**:表示用户的身份信息,包括用户名、密码等。Spring Security提供了...
【Spring Security】五、自定义过滤器
weixin_34049032的博客
07-04 321
在之前的几篇security教程中,资源和所对应的权限都是在xml中进行配置的,也就在http标签中配置intercept-url,试想要是配置的对象不多,那还好,但是平常实际开发中都往往是非常多的资源和权限对应,而且写在配置文件里面写改起来还得该源码配置文件,这显然是不好的。因此接下来,将用数据库管理资源和权限的对应关系。数据库还是接着之前的,用mysql数据库,因此也不用另外引入额外的jar包...
org.springframework.security.authentication.InternalAuthenticationServiceException
weixin_51146698的博客
03-22 9631
错误:org.springframework.security.authentication.InternalAuthenticationServiceException: Invalid bound statement (not found): com.fish.Mapper.UserMapper.selectUserByUsername 原因找不到xxxMapper.xml配置文件 解决:在配置文件中加入你的配置文件的地址 ...
Spring动态切换多数据源解决方案
w36680130的博客
10-05 62
Spring动态切换多数据源解决方案
Spring Security-动态权限控制(2)
射手座的程序媛的专栏
01-18 698
spring security 动态权限控制
spring boot多数据源的动态切换
weixin_30855761的博客
12-03 284
添加配置文件 spring: jpa: properties: hibernate: session_factory: statement_inspector: com.gutousu.dynamic_switch_data_source.config.StatementInspectorImpl datasourc...
spring-boot jpa 实现拦截器 StatementInspector
lifeifeixz的博客
09-03 4446
springbootjpa实现sql拦截的方式很简单,只要实现 StatementInspector 接口既可以。 package com.zsh.masterdata.config; import org.hibernate.resource.jdbc.spi.StatementInspector; public class JpaStatementInspector implements StatementInspector { private ApplicationContext ap.
SpringSecurity权限认证框架(一)
qq_54421200的博客
01-12 1173
SpringSecurity的使用,自定义校验成功和失败类,通过自定义校验规则,让SpringSecurity变得更加灵活
spring security 权限控制
weixin_34391854的博客
11-22 121
2019独角兽企业重金招聘Python工程师标准>>> ...
、Spring Security之默认的过滤器链及自定义Filter
panchang199266的博客
05-26 8698
别名 类名称 Namespace Element or Attribute CHANNEL_FILTER ChannelProcessingFilter http/intercept-url@requires-channel SECURITY_CONTEXT_FILTER SecurityContextPersistenceFilter http CONCURRENT_SE...
Spring Security 3入门指南:权限管理与Web过滤器详解
2. **数据库管理用户权限**:讲解如何利用Spring Security数据库交互,涉及配置文件修改、数据库表结构设计以及用户权限信息的获取和处理。 - **自定义数据库表结构**:允许开发者根据项目需求定制用户权限模型。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值