android动态权限拒绝访问,Spring Security实战(二)动态权限

最新推荐文章于 2021-10-21 16:13:50 发布
最新推荐文章于 2021-10-21 16:13:50 发布
阅读量190 收藏
点赞数
文章标签: android动态权限拒绝访问

好消息好消息!Security系列终于有了第二期,最近在看项目源码忍不住又搞起来Spring Security,来给大家分享一下,虽然和上一节说好的内容不同🤭

回顾

上节我们介绍了如何进行简单的权限配置,包括url权限和方法权限,还有如何授予用户权限。

protected void configure(HttpSecurity http) throws Exception {

http

.authorizeRequests()

.antMatchers("/", "/home").permitAll()

// 测试配置URL权限

.antMatchers("/match/**").hasAuthority("sys:match")

// 对某URL添加多个权限,可以多次配置

.antMatchers("/match/**").hasAuthority("sys:mm")

.anyRequest().authenticated()

.and()

.formLogin()

.loginPage("/login")

.permitAll()

.and()

.logout()

.permitAll()

.and()

;

}

但是如果现在你的业务系统要求动态权限呢?

比如用户权限变更了,我们可以重新构建Security上下文中Authentication 对象,这还好说。如果说某个接口的权限修改了,如果按照上述的方法来做的话,是不可能实现动态修改的。

本节我们来介绍一下Spring Security 如何实现动态权限

实现原理

FilterSecurityInterceptor 负责 Security中的权限控制,其核心代码在父类AbstractSecurityInterceptor中,我们来看一下

db65ca385361

image

这里我删了一些与核心逻辑无关的代码,我们只需要关注红框里的内容

这时候聪明的你应该已经明白了FilterSecurityInterceptor是如何管理权限的,我们完全可以自己实现上面的AccessDecisionManager和SecurityMetadataSource来实现我们的动态权限

但是先别急,先看看AccessDecisionManager的默认实现AffirmativeBased

db65ca385361

image

这代码写的有意思了,通过遍历所有的Voter,每个Voter实现具体的判断逻辑,返回 1,0,-1(分别代表同意、弃权、拒绝),当存在拒绝时直接抛出AccessDeniedException

非常的民主,我们只需要实现一个Voter即可

注:AccessDecisionManager 还有其他的默认实现,感兴趣的同学可以自行查看源码

Coding

OK,首先我们先捋一下思路

实现SecurityMetadataSource,提供当前资源要求的权限

实现AccessDecisionVoter,用于判断当前用户是否有权限访问

将我们自己的实现注册到FilterSecurityInterceptor中

OK,可以开搞了

SecurityService

实现一个Service,用于从数据库加载数据

@Service

public class SecurityService {

@Autowired

private JdbcTemplate jdbcTemplate;

/**

* 加载资源要求的权限

*

* @param resource

* @return

*/

public List getPermByResource(String resource) {

return jdbcTemplate.queryForList(Sql.getPermByResource, String.class, resource);

}

/**

* 当前用户的权限

*

* @param username

* @return

*/

public List getPermByUsername(String username) {

return jdbcTemplate.queryForList(Sql.getPermByUsername, String.class, username);

}

}

注:这里两个方法都可以加上缓存,由于demo演示,我就没有这么做

实现SecurityMetadataSource

MySecurityMetadataSource 很简单,就是通过SecurityService加载一下数据

public class MySecurityMetadataSource implements FilterInvocationSecurityMetadataSource {

private SecurityService securityService;

public MySecurityMetadataSource(SecurityService securityService) {

this.securityService = securityService;

}

@Override

public Collection getAttributes(Object object) throws IllegalArgumentException {

String uri = ((FilterInvocation) object).getHttpRequest().getRequestURI();

List list = securityService.getPermByResource(uri);

if (list != null && list.size() != 0) {

return SecurityConfig.createList(list.toArray(new String[0]));

}

return null;

}

@Override

public Collection getAllConfigAttributes() {

return null;

}

@Override

public boolean supports(Class> clazz) {

return FilterInvocation.class.isAssignableFrom(clazz);

}

}

实现AccessDecisionVoter

这里加载一下当前用户的权限,判断用户是否满足当前资源所要求的权限

public class MyAccessDecisionVoter implements AccessDecisionVoter {

private SecurityService securityService;

public MyAccessDecisionVoter(SecurityService securityService) {

this.securityService = securityService;

}

@Override

public boolean supports(ConfigAttribute attribute) {

return true;

}

@Override

public boolean supports(Class> clazz) {

return true;

}

@Override

public int vote(Authentication authentication, Object object, Collection attributes) {

Object principal = authentication.getPrincipal();

if ("anonymousUser".equals(principal)) {

// 当前用户未登录,如果不要求权限->允许访问,否则拒绝访问

return CollectionUtils.isEmpty(attributes) ? ACCESS_GRANTED : ACCESS_DENIED;

} else {

// 这里我的逻辑是,当前资源的要求权限,用户必须全部满足时才可以访问

User user = (User) principal;

List permitList = securityService.getPermByUsername(user.getUsername());

List stringAttributes = attributes.stream().map(ConfigAttribute::getAttribute).collect(Collectors.toList());

return permitList.containsAll(stringAttributes) ? ACCESS_GRANTED : ACCESS_DENIED;

}

}

}

注册到FilterSecurityInterceptor

我们核心的业务已经实现完了,现在需要把MySecurityMetadataSource和MyAccessDecisionVoter注册到FilterSecurityInterceptor中

需要注意的是,FilterSecurityInterceptor并不可以通过@Bean的方式来声明,该对象是在WebSecurityConfigurerAdapter的初始化方法中默认创建的

但是Spring Security为我们提供了ObjectPostProcessor,用于解决上述问题,具体用法如下

http

.authorizeRequests()

.antMatchers("/", "/home", "/403").permitAll()

.anyRequest().authenticated()

.withObjectPostProcessor(new ObjectPostProcessor() {

@Override

public O postProcess(

O fsi) {

fsi.setSecurityMetadataSource(new MySecurityMetadataSource(securityService));

fsi.setAccessDecisionManager(new AffirmativeBased(getDecisionVoters()));

return fsi;

}

})

完整Demo

移移
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
一篇文章带你搞定 SpringBoot 配合 SpringSecurity 实现自动登录功能
南淮北安的博客
09-16 2025
自动登录是我们在软件开发时一个非常常见的功能,例如我们登录 QQ 邮箱: 很多网站我们在登录的时候都会看到类似的选项,毕竟总让用户输入用户名密码是一件很麻烦的事。 自动登录功能就是,用户在登录成功后,在某一段时间内,如果用户关闭了浏览器并重新打开,或者服务器重启了,都不需要用户重新登录了,用户依然可以直接访问接口数据 作为一个常见的功能,我们的 Spring Security 肯定也提供了相应的支持,本文我们就来看下 Spring Security 中如何实现这个功能。 文章目录一、加入 remember
android 请求权限 拒绝访问,Win10中 HttpListener 权限不够拒绝访问解决方案
weixin_35406877的博客
06-05 313
private HttpListener listerner = new HttpListener();listerner.AuthenticationSchemes = auth;listerner.Prefixes.Add("http://" + ip + ":" + port + "/");try{listerner.Start();}catch{throw new Exception("权...
android 6.0动态权限申请以及拒绝后的控制
wuyoutiyu的博客
11-30 5800
Android 6.0后官方对权限做了更改,一些涉及到用户隐私的权限必须要用户手动允许;而对于某些app来说,某个权限一旦被用户拒绝,则面临的是整个app的瘫痪,所以,我们要在合适的位置对出现的异常情况进行特殊操作: 首先调用权限的方法:ActivityCompat.requestPermissions(final @NonNull Activity activity,final @Non
Android动态权限详解
360技术
04-28 5369
1什么是动态权限去年底,上级主管部门为加强国内Android应用隐私管理,出台了一系列规定,我们的App也做了相应的修改。主要一条修改为,隐私提示权限获取顺序。修改测试过程中,发觉部分...
Android6.0动态权限(获取权限提示框允许与拒绝状态信息)
D.K专栏
08-02 1万+
在最近的项目中需要对用户安装的程序点击的权限状态信息进行获取,当用户点击了禁止权限后,没有任何信息反馈,对于风控及安全类软件都无法进行管控。在Android6.0之前,我看了好多的安全软件,比如360手机卫士,安全管家等类似的没有Root权限的软件是无法获取到动态权限信息的,360安全卫士要获取此类信息需要对手机进行root操作在Android6.0之后对动态权限进行了加入下面我对动态权限信息进行
android 服务器 鉴权,Android应用搭配Spring Security实现登陆鉴权
weixin_39959482的博客
05-25 616
在普通基于浏览器的web应用中,我们的验证鉴权一般使用sessionid实现,即验证通过时服务端返回一个sessionid,在cookies中。以后的每次请求都在请求头中设置cookies的值为返回的sessionid,即标志该请求是验证通过的。在android应用中,我们可以通过用户名密码去请求登陆接口,得到服务端响应的sessionid,持久化存储起来,每次请求网络的时候都带上该session...
安全运维 安天 实战化守卫网络安全 - spring cloud.zip
11-06
文档中可能详细讲解了Spring Cloud环境下可能出现的安全隐患,如API安全、数据加密、权限控制等,并给出了针对性的解决方案,如利用Spring Security进行认证和授权,以及如何设置安全配置以防止恶意攻击。...
基于springboot实现的图书管理系统【源码+数据库】
07-07
登录验证和用户权限: SpringSecurity 三、系统划分与功能 系统包含两种角色:管理员、读者。主要功能如下: 登录、注销、修改密码 管理员对图书信息的增删改查、查看读者、查看借阅记录 读者对图书信息的查看查询、...
Android 社交App+java web后台整套源代码
03-07
6. **安全性**:学习如何使用Spring Security进行权限控制,防止授权访问和SQL注入攻击。 7. **JSON数据交换**:前后端通过JSON格式进行数据交换,需要了解Jackson或Gson库的使用。 8. **服务器部署**:学习如何...
基于springboot+uniapp+vue开发的学生互动课堂,包含PC后台系统、微信小程序,采用前后端分离开发模式.zip
08-18
**Spring Security** 由于这是一个学生互动课堂,涉及到用户身份验证和权限管理,因此可能使用了Spring Security来实现安全控制。Spring Security提供了一套完整的安全解决方案,包括登录认证、权限授权、CSRF...
基于uniapp+Springboot+vue2的汽车租赁平台APP项目源码+数据库
最新发布
03-26
6. **权限控制**:基于Spring Security或JWT实现用户权限管理,确保不同角色(如普通用户、管理员)访问不同的功能。 7. **消息通知**:当订单状态发生变化或有新的消息时,通过推送通知告知用户。 8. **统计分析*...
android用户拒绝权限
hunanqi的博客
05-12 2965
------------------------------------------------HNQ------------------------------------------------------------------- 第一次写博客 录音时如何判断android用户是否拒绝了权限,网上找了很多资料没找到,通过研究QQ等应用的处理方式,有了一个不太成熟的方案。 checkpe
android中访问本机服务器的方法
weixin_33716941的博客
02-10 276
2019独角兽企业重金招聘Python工程师标准>>> ...
Security之基础篇
qq_43654581的博客
10-21 544
创建内存用户,进行登录 访问权限接口
(管用)Android动态鉴权(获取动态权限,用户同意权限,拒绝权限
xiyangyang8110的博客
03-16 1126
android 6.0及以上需要动态获取权限,即运行时权限 以获取相机权限为例 if (Build.VERSION.SDK_INT>22){ if (ContextCompat.checkSelfPermission(MainActivity.this, android.Manifest.permission.CAMERA)!...
Android踩坑日记:Android动态权限分析和解决方案
tuke_tuke的博客
11-18 5855
关于运行时权限  在旧的权限管理系统中,权限仅仅在APP安装时询问一次,用户同意了这些权限App才能安装,APP一旦安装后就可以偷偷做很多不为人知的事情。 我们知道从Android6.0开始,App可以直接安装,在运行时需要用到权限的地方,会一个一个询问用户授予权限,比如照相,写SD卡,读联系人等,系统会弹出一个对话框让用户选择是否授予权限(这个dialog是各个手机厂商定制的,不能由开发者定
Android6.0动态权限申请步骤以及需要注意的一些坑
u013255337的博客
09-17 1032
6.0权限的基本知识,以下是需要单独申请的权限,共分为9组,每组只要有一个权限申请成功了,就默认整组权限都可以使用了。 group:android.permission-group.CONTACTS permission:android.permission.WRITE_CONTACTS permission:android.permission.GET_ACCOUN...
Android6.0以上权限管理问题(权限被拒绝后)
热门推荐
疯狂的dialog的博客
04-13 1万+
Android6.0添加了运行时权限,用户可以在已安装的app上立刻同意或者拒绝权限,那么就意味着我们在使用APP的时候,当一个app会使用一些危险权限的时候就会提示用户是否授权.新的权限机制更好的保护了用户的隐私,Google将权限分为两类,一类是Normal Permissions,这类权限一般不涉及用户隐私,是不需要用户进行授权的,比如手机震动、访问网络等;另一类是Dangerous Permission,一般是涉及到用户隐私的,需要用户进行授权,比如读取sdcard、访问通讯录等。
Spring Security实战权限管理深度解析
"Spring Security安全权限管理手册" Spring Security是一个强大的且高度可定制的安全框架,用于为Java应用程序提供安全控制。这个框架源于Acegi项目,并在2007年成为Spring框架的一部分。Spring Security提供了全面...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值