Spring security3 sec:authorize url 无效的问题

最新推荐文章于 2023-06-13 18:44:15 发布
最新推荐文章于 2023-06-13 18:44:15 发布
阅读量137 收藏
点赞数
文章标签: java
原文链接:https://my.oschina.net/qiaojj/blog/476044
版权

为什么80%的码农都做不了架构师?>>>   hot3.png

sexurity的xml文件里

1、在<http auto-config="true">上面加上如下代码

<beans:bean id="customWebInvocationPrivilegeEvaluator" class="org.springframework.security.web.access.DefaultWebInvocationPrivilegeEvaluator">  
        <beans:constructor-arg name="securityInterceptor" ref="filterSecurityInterceptor" />  
    </beans:bean>

2、ref="filterSecurityInterceptor" 这里是自定义的过滤器

<beans:bean id="filterSecurityInterceptor"
    class="org.springframework.security.web.access.intercept.FilterSecurityInterceptor" autowire="byType">
    <beans:property name="securityMetadataSource" ref="filterInvocationSecurityMetadataSource" />
    <beans:property name="authenticationManager" ref="org.springframework.security.authenticationManager"/>
</beans:bean>

<beans:bean id="filterInvocationSecurityMetadataSource"
    class="com.iqilu.security.JdbcFilterInvocationDefinitionSourceFactoryBean">
    <beans:property name="dataSource" ref="dataSource"/>
    <beans:property name="resourceQuery" value="
            select re.c_res_string,r.c_name 
            from t_role r 
            join t_resc_role rr on r.C_ID=rr.C_ROLE_ID 
            join t_resc re on re.C_ID=rr.C_RESC_ID 
            order by re.c_priority
    "/>
</beans:bean>


完整的配置:

<?xml version="1.0" encoding="UTF-8"?>  
<beans:beans xmlns="http://www.springframework.org/schema/security"   
    xmlns:beans="http://www.springframework.org/schema/beans"   
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"   
    xsi:schemaLocation="http://www.springframework.org/schema/beans   
        http://www.springframework.org/schema/beans/spring-beans-3.0.xsd   
        http://www.springframework.org/schema/security   
        http://www.springframework.org/schema/security/spring-security-3.1.xsd">  
        
    <beans:bean id="customWebInvocationPrivilegeEvaluator" class="org.springframework.security.web.access.DefaultWebInvocationPrivilegeEvaluator">  
        <beans:constructor-arg name="securityInterceptor" ref="filterSecurityInterceptor" />  
    </beans:bean>      
    
    <!-- 对于一些css、js、图片等文件不进行过滤 -->
	<http pattern="/css/**" security="none" />
	<http pattern="/js/**" security="none" />
	<http pattern="/images/**" security="none" />
	<http pattern="/themes/**" security="none" />
	<http auto-config="true" access-denied-page="/accessDenied.jsp">
		<intercept-url pattern="/login.jsp" access="IS_AUTHENTICATED_ANONYMOUSLY" />
		<intercept-url pattern="/upload.jsp" access="ROLE_ADMIN" />
		<intercept-url pattern="/**" access="ROLE_USER,ROLE_ADMIN" />
	    <form-login login-page="/login.jsp"
			authentication-failure-url="/login.jsp?error=true"
			default-target-url="/index.jsp" />
		<logout invalidate-session="true"  
	    	logout-success-url="/login.jsp"  
	    	logout-url="/j_spring_security_logout"/>
        <custom-filter ref="filterSecurityInterceptor" before="FILTER_SECURITY_INTERCEPTOR" />
    </http>  
    
    <!-- 认证管理器 -->
    <authentication-manager>
		<authentication-provider>
			<jdbc-user-service data-source-ref="dataSource"
				users-by-username-query="select C_ACCOUNT as username,C_PASSWORD as password, 1  as enabled from t_user where C_ACCOUNT=?"
				authorities-by-username-query="select u.C_ACCOUNT as username,r.c_name as authority 
					from t_user u
					join t_user_role ur
					on u.C_BH=ur.c_user_id
					join t_role r
					on r.c_id=ur.c_role_id
					where u.C_ACCOUNT=?"/>
		</authentication-provider>
	</authentication-manager>
	
	<beans:bean id="filterSecurityInterceptor"
        class="org.springframework.security.web.access.intercept.FilterSecurityInterceptor" autowire="byType">
        <beans:property name="securityMetadataSource" ref="filterInvocationSecurityMetadataSource" />
        <beans:property name="authenticationManager" ref="org.springframework.security.authenticationManager"/>
    </beans:bean>

    <beans:bean id="filterInvocationSecurityMetadataSource"
        class="com.iqilu.security.JdbcFilterInvocationDefinitionSourceFactoryBean">
        <beans:property name="dataSource" ref="dataSource"/>
        <beans:property name="resourceQuery" value="
            select re.c_res_string,r.c_name 
            from t_role r 
            join t_resc_role rr on r.C_ID=rr.C_ROLE_ID 
            join t_resc re on re.C_ID=rr.C_RESC_ID 
            order by re.c_priority
        "/>
    </beans:bean>
</beans:beans>

4、过滤器代码:

package com.iqilu.security;

import java.sql.ResultSet;
import java.sql.SQLException;
import java.util.Collection;
import java.util.LinkedHashMap;
import java.util.List;
import java.util.Map;

import javax.sql.DataSource;

import org.springframework.beans.factory.FactoryBean;
import org.springframework.jdbc.core.support.JdbcDaoSupport;
import org.springframework.jdbc.object.MappingSqlQuery;
import org.springframework.security.access.ConfigAttribute;
import org.springframework.security.access.ConfigAttributeEditor;
import org.springframework.security.web.access.intercept.DefaultFilterInvocationSecurityMetadataSource;
import org.springframework.security.web.access.intercept.FilterInvocationSecurityMetadataSource;
import org.springframework.security.web.util.AntPathRequestMatcher;
import org.springframework.security.web.util.RequestMatcher;


@SuppressWarnings({ "rawtypes", "deprecation" })
public class JdbcFilterInvocationDefinitionSourceFactoryBean
    extends JdbcDaoSupport implements FactoryBean {
    private String resourceQuery;

    public boolean isSingleton() {
        return true;
    }

	public Class getObjectType() {
        return FilterInvocationSecurityMetadataSource.class;
    }

    public Object getObject() {
        return new DefaultFilterInvocationSecurityMetadataSource(this
            .buildRequestMap());
    }

    @SuppressWarnings("unchecked")
	protected Map<String, String> findResources() {
        ResourceMapping resourceMapping = new ResourceMapping(getDataSource(),
                resourceQuery);

        Map<String, String> resourceMap = new LinkedHashMap<String, String>();

        for (Resource resource : (List<Resource>) resourceMapping.execute()) {
            String url = resource.getUrl();
            String role = resource.getRole();

            if (resourceMap.containsKey(url)) {
                String value = resourceMap.get(url);
                resourceMap.put(url, value + "," + role);
            } else {
                resourceMap.put(url, role);
            }
        }

        return resourceMap;
    }

    @SuppressWarnings({ "unchecked" })
	protected LinkedHashMap<RequestMatcher, Collection<ConfigAttribute>> buildRequestMap() {
        LinkedHashMap<RequestMatcher, Collection<ConfigAttribute>> requestMap =
            null;
        requestMap = new LinkedHashMap<RequestMatcher, Collection<ConfigAttribute>>();

        ConfigAttributeEditor editor = new ConfigAttributeEditor();

        Map<String, String> resourceMap = this.findResources();

        for (Map.Entry<String, String> entry : resourceMap.entrySet()) {
            String key = entry.getKey();
            editor.setAsText(entry.getValue());
            requestMap.put(new AntPathRequestMatcher(key),
                (Collection<ConfigAttribute>) editor.getValue());
        }

        return requestMap;
    }

    public void setResourceQuery(String resourceQuery) {
        this.resourceQuery = resourceQuery;
    }

    private class Resource {
        private String url;
        private String role;

        public Resource(String url, String role) {
            this.url = url;
            this.role = role;
        }

        public String getUrl() {
            return url;
        }

        public String getRole() {
            return role;
        }
    }

    private class ResourceMapping extends MappingSqlQuery {
        protected ResourceMapping(DataSource dataSource,
            String resourceQuery) {
            super(dataSource, resourceQuery);
            compile();
        }

        protected Object mapRow(ResultSet rs, int rownum)
            throws SQLException {
            String url = rs.getString(1);
            String role = rs.getString(2);
            Resource resource = new Resource(url, role);

            return resource;
        }
    }
}


转载于:https://my.oschina.net/qiaojj/blog/476044

weixin_33943836
关注
Spring Boot+Spring Security:标签sec:authorize的使用 - 第18篇
悟纤学院
03-13 2万+
需求缘起 在访问/index页面,user用户不应该能够看到admin page的链接,针对这个问题可以通过sec:authorize标签进行控制。 一、标签sec:authorize的使用 1.1 引入依赖 在pom.xml文件中添加依赖: <dependency> <groupId>org.th...
html页面security标签使用,Spring Security入门篇——标签sec:authorize的使用
weixin_35799294的博客
06-08 1422
Security框架可以精确控制页面的一个按钮、链接,它在页面上权限的控制实际上是通过它提供的标签来做到的Security共有三类标签authorize authentication accesscontrollist ,第三个标签不在这里研究前提:项目需要引用spring-security-taglibs-3.05,jstl1.2的jar包,页面加入:本文配置一、authorize对应的...
springSecurity 中为什么 sec:authorize-url 不起作用
beixianchen的专栏
11-17 3178
最近又看起了 springSecurity ,想起了之前遇到的一个关于页面标签的诡异问题sec:authorize="hasRole('ADMIN')" 可以正确判断,从而正确控制相应的内容显示不显示,但是到了用 sec:authorize-url="/test" 的时候,就不受控制了。对应的链接无论当前用户有没有权限,相应的内容都会显示在页面上。经过了某度上你抄我我抄你,千篇一律的错误答案之后...
url拼接遇到的无效问题
weixin_42335992的博客
05-08 1543
url链接出现 %EF%BB%BF 在一次爬虫代码编辑的过程中遇到‘url链接出现 %EF%BB%BF’的问题问题十分隐蔽,找了好久才定位到问题。 背景 在这次实验中,我采用了txt文本来记录我后面需要爬取的连接中的关键词,然后在爬取过程中,使用base_url与关键词的拼接来获取最终的url。 之前在获取百度百科的数据时,这种方式完全没有问题,但是在获取互动百科的数据时,出现404,无法找到所...
SpringSecurity过滤指定url【.antMatchers(***).permitAll()】失效问题
最新发布
qq_31674229的博客
06-13 3650
SpringSecurity过滤指定url【.antMatchers(***).permitAll()】失效问题
Spring Security --- authorizeRequests配置
汤键的博客
04-13 2974
Spring Security --- authorizeRequests配置
Security详解
myli92的博客
05-12 1111
1.HttpSecurity常用方法 方法 说明 openidLogin() 用于基于 OpenId 的验证 headers() 将安全标头添加到响应 cors() 配置跨域资源共享( CORS ) sessionManagement() 允许配置会话管理 portMapper() 允许配置一个PortMapper(HttpSecurity#(getSharedObject(class))),其他提供SecurityConfigurer的对象使用 P
sec:authorize=“isAuthenticated()“关于导入Spring Security和thymeleaf整合包后sec标签无法显示问题
rmangsj的博客
11-19 531
首先命名空间问题 xmlns:th="http://www.thymeleaf.org" xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity4" //或者是xmlns:sec="http://www.w3.org/1999/xhtml" 一定要记得看清楚sec和th。 第二个问题可能是导入依赖的版本号没有相互对应 <dependency> <groupId>o
关于因为springboot版本问题导致无法使用sec:authorize标签
m0_37938768的博客
11-25 675
在关于SpringSecurity的学习中关于 <div sec:authorize="isAuthenticated()"> <h2><span sec:authentication="name"></span>,您好,您的角色有 <span sec:authentication="principal.authorit...
springboot整合spring security,表单提交403拒绝访问和sec:authorize="isAuthenticated()"失效问题
Mr_Simple_V的博客
12-01 2407
最近在学习springboot整合spring security遇到一些问题: 1.有一个新增用户的页面,是使用的form表单进行的post提交。但是总是会报403错误: 好多小伙伴不陌生吧,对于这个页面,我们都知道403就是权限不足,但是我是有给权限的。 .antMatchers("/users/**").hasRole("ADMIN") 登录的用户就是ADMIN权限,但是访问就会报错,就很纳...
Spring Security6自定义放行不生效踩坑笔记@EnableWebSecurity
sosozha的博客
02-01 2943
spring6体验
SpringSecurity自定义Filter的ignoring()失效问题源码分析
大张
07-22 2172
忽略SpringBoot启动流程中服务器是如何将Spring的Filter加载进来和过滤的流程。下图简要概括了Secutiry的Filter和SpringFilter的Bean的关系源码太多,流程太复杂繁琐,过了一些主要的代码和主干。遇到了问题发现没有人在源码上分析原因,花了一天时间简要的概括了一下。httpshttpshttpshttpshttpshttpshttpshttpshttpshttps。.............................................
01_SpringSecurity学习之配置HttpSecurity
ShiJunzhiCome的博客
08-06 8797
Spring Security 学习之配置 HttpSecurity
Spring security 配置的AccessDeniedHandler无效,抛出AccessDeniedException 不允许访问
热门推荐
单筱风的博客
12-17 2万+
1.Spring Security 中的异常处理 我们在 Spring Security 实战干货系列文章中的 自定义配置类入口 WebSecurityConfigurerAdapter 一文中提到 HttpSecurity 提供的 exceptionHandling() 方法用来提供异常处理。该方法构造出 ExceptionHandlingConfigurer 异常处理配置类。该配置类提供了两个实用接口: AuthenticationEntryPoint 该类用来统一处理 AuthenticationEx
Spring Security详解(二)认证之核心配置详解
Jagger的博客
06-22 1万+
文章目录2.核心配置详解2.1 测试用例2.2 @EnableWebSecurityWebSecurityConfigurationSpringWebMvcImportSelectorEnableGlobalAuthentication2.3 @EnableGlobalMethodSecurityGlobalMethodSecuritySelectorGlobalMethodSecurityConfiguration2.4 SecurityBuilderWebSecurityHttpSecurityAu
spring security3教程系列--页面权限标签问题
shadowsick的专栏
04-30 1万+
本文章摘编、转载需要注明来源 http://blog.csdn.net/shadowsick/article/details/8868863 当我们自定义了spring security3 的过滤链的时候发现页面权限控制标签<sec:authorize之类的已经不能起效了,这是因为我们缺少一个必须的实例 所以找了下源码看到需要一个DefaultWebInvocationPrivileg
sec:authorize-url标签不生效问题
日月忽其不淹兮,春与秋其代序 认知即成长
07-20 2221
问题描述:         我这里的项目使用spring cloud+thymeleaf+spring security,使用的thymeleaf和spring security整合的标签,网上的解决方法很多,很简单 sec:authorize="hasRole('ROLE_ADMIN')" 标签可以生效,但是我想控制button的显示与隐藏, sec:authorize-url 无效,下
spring security3教程系列--自定义过滤链
shadowsick的专栏
02-08 1万+
本文章摘编、转载需要注明来源 http://write.blog.csdn.net/postedit/8576449 spring security3 网上的教程很多,但基本都是大同小异,大部分都是用标签配置,所以找了点时间看了下源码,我用的spring security3.1版本,使用bean声明的方式配置过滤链,看本文章需要读者对spring security3 有一定程度的了解
sec:authorize不起作用
06-03
1. 配置问题:请确保您已经正确配置了Spring Security,并且在配置文件中启用了sec:authorize标签。 2. 角色错误:请确保您的用户角色与您在sec:authorize中设置的角色匹配。如果不匹配,标签将不会生效。 3. CSRF...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值