spring security 权限控制

最新推荐文章于 2024-01-27 07:00:00 发布
最新推荐文章于 2024-01-27 07:00:00 发布
阅读量124 收藏
点赞数
文章标签: java python
原文链接:https://my.oschina.net/u/2263272/blog/2907089
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

spring security 的权限控制有两种方式,一种是比较当前请求url和当前用户所拥有的权限中是否包含该url;

另一种是利用@PreAuthorize("hasAuthority('XXX')")注解的方式,其中xxx可以为角色role,也可以为任意的权限标识符,是个string类型

1)注解的方式

需要在websecurityconfig文件上加上@EnableGlobalMethodSecurity(prePostEnabled = true)//开启security注解

然后在loaduserdetail方法中加上该用户所拥有的权限

最后在方法上加注解@PreAuthorize("hasAuthority('XXX')")

2)是利用Spring security拦截的方式

MyAccessDecisionManager.java文件


import org.springframework.security.access.AccessDecisionManager;
import org.springframework.security.access.AccessDeniedException;
import org.springframework.security.access.ConfigAttribute;
import org.springframework.security.access.prepost.PreAuthorize;
import org.springframework.security.authentication.InsufficientAuthenticationException;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.stereotype.Service;

import java.util.Collection;
import java.util.Iterator;

@Service
public class MyAccessDecisionManager implements AccessDecisionManager{


    //决定是否拥有权限的决策方法
    @Override
    public void decide(Authentication authentication, Object object, Collection<ConfigAttribute> configAttributes) throws AccessDeniedException, InsufficientAuthenticationException {

        if(null== configAttributes || configAttributes.size() <=0) {
            return;
        }
        ConfigAttribute c;
        String needRole;
        for(Iterator<ConfigAttribute> iter = configAttributes.iterator(); iter.hasNext(); ) {
            c = iter.next();
            needRole = c.getAttribute();
            for(GrantedAuthority ga : authentication.getAuthorities()) {//authentication 为在注释1 中循环添加到 GrantedAuthority 对象中的权限信息集合
                if(needRole.trim().equals(ga.getAuthority())) {
                    return;
                }
            }
        }
        throw new AccessDeniedException("no right");
    }

    @Override
    public boolean supports(ConfigAttribute attribute) {
        return false;
    }

    @Override
    public boolean supports(Class<?> clazz) {
        return true;
    }
}

MyFilterSecurityInterceptor.java文件


import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.access.SecurityMetadataSource;
import org.springframework.security.access.intercept.AbstractSecurityInterceptor;
import org.springframework.security.access.intercept.InterceptorStatusToken;
import org.springframework.security.web.FilterInvocation;
import org.springframework.security.web.access.intercept.FilterInvocationSecurityMetadataSource;
import org.springframework.stereotype.Service;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import java.io.IOException;

//@Service
public class MyFilterSecurityInterceptor extends AbstractSecurityInterceptor implements Filter {


    @Autowired
    private FilterInvocationSecurityMetadataSource securityMetadataSource;


    @Autowired
    public void setMyAccessDecisionManager(MyAccessDecisionManager myAccessDecisionManager) {
        super.setAccessDecisionManager(myAccessDecisionManager);
    }

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }


    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        FilterInvocation fi = new FilterInvocation(request, response, chain);
        invoke(fi);
    }

    private void invoke(FilterInvocation fi) throws IOException, ServletException {

        //fi里面有一个被拦截的url
//里面调用MyInvocationSecurityMetadataSource的getAttributes(Object object)这个方法获取fi对应的所有权限
//再调用MyAccessDecisionManager的decide方法来校验用户的权限是否足够
        InterceptorStatusToken token = super.beforeInvocation(fi);

        try {
//执行下一个拦截器
            fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
        } finally {
            super.afterInvocation(token, null);
        }
    }

    @Override
    public void destroy() {

    }

    @Override
    public Class<?> getSecureObjectClass() {
        return FilterInvocation.class;
    }

    @Override
    public SecurityMetadataSource obtainSecurityMetadataSource() {
        return this.securityMetadataSource;

    }
}

MyInvocationSecurityMetadataSourceService.java文件


import com.lenovo.scct.trackingapi.model.auth.AutResource;
import com.lenovo.scct.trackingapi.repository.auth.MenuRepository;
import com.lenovo.scct.trackingapi.service.auth.MenuService;
import org.apache.commons.lang.StringUtils;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.access.ConfigAttribute;
import org.springframework.security.access.SecurityConfig;
import org.springframework.security.web.FilterInvocation;
import org.springframework.security.web.access.intercept.FilterInvocationSecurityMetadataSource;
import org.springframework.security.web.util.matcher.AntPathRequestMatcher;
import org.springframework.stereotype.Service;

import javax.servlet.http.HttpServletRequest;
import java.util.ArrayList;
import java.util.Collection;
import java.util.HashMap;
import java.util.Iterator;
import java.util.List;

@Service
public class MyInvocationSecurityMetadataSourceService implements FilterInvocationSecurityMetadataSource {

    @Autowired
    MenuRepository menuRepository;


    private HashMap<String, Collection<ConfigAttribute>> map = null;

    /**
     * 加载权限表中所有的权限
     */
    public void loadResource() {
        map = new HashMap<>();
        Collection<ConfigAttribute> array;
        ConfigAttribute configAttribute;
        List<AutResource> resourceList = menuRepository.getMenuResource("lujia3");
        for (AutResource autResource : resourceList) {
            if (StringUtils.isBlank(autResource.getResourceUrl())) {
                autResource.setResourceUrl("/authorization/**/buttons");
                autResource.setResourceName("xxx");
            }
            array = new ArrayList<>();
            configAttribute = new SecurityConfig(autResource.getResourceName());
            array.add(configAttribute);
            map.put(autResource.getResourceUrl(), array);
        }
    }


    @Override
    public Collection<ConfigAttribute> getAttributes(Object object) throws IllegalArgumentException {
        if (map == null) loadResource();
        //object 中包含用户请求的request 信息
        HttpServletRequest request = ((FilterInvocation) object).getHttpRequest();
        AntPathRequestMatcher matcher;
        String resUrl;
        for (Iterator<String> iter = map.keySet().iterator(); iter.hasNext(); ) {
            resUrl = iter.next();
            matcher = new AntPathRequestMatcher(resUrl);
            if (matcher.matches(request)) {
                return map.get(resUrl);
            }
        }
        return null;
    }

    @Override
    public Collection<ConfigAttribute> getAllConfigAttributes() {
        return null;
    }

    @Override
    public boolean supports(Class<?> clazz) {
        return true;
    }
}

 

 

转载于:https://my.oschina.net/u/2263272/blog/2907089

weixin_34391854
关注
spring security权限控制
10-15
在本文中,我们将深入探讨Spring Security如何实现权限控制,并通过一个名为"springsecuritydemo4"的示例项目来理解其核心概念。 首先,Spring Security权限控制主要涉及以下几个关键组件: 1. **认证...
SpringSecurity权限认证框架(一)
qq_54421200的博客
01-12 1212
SpringSecurity的使用,自定义校验成功和失败类,通过自定义校验规则,让SpringSecurity变得更加灵活
Spring Security-动态权限控制(2)
射手座的程序媛的专栏
01-18 744
spring security 动态权限控制
Spring Security 权限控制
程序员小明1024
12-23 382
@charset "UTF-8"; .markdown-body { line-height: 1.75; font-weight: 400; font-size: 15px; overflow-x: hidden; color: rgba(43, 43, 43, 1); font-family: -apple-system, system-ui, BlinkMacSystemFont, Hel...
SpringBoot高级篇】SpringSecurity授权 (四)
输入技术、输出想法
07-27 741
SpringSecurity授权 (四)授权方式准备数据web授权entitymapper修改UserServiceImpl类controller修改安全配置类WebSecurityConfig测试张三登录李四登录方法授权启用Secured注解的支持启用prePost注解的支持 授权方式 授权的方式包括 web授权和方法授权,web授权是通过url拦截进行授权,方法授权是通过 方法拦截进行授权。他们都会调用accessDecisionManager进行授权决策,若为web授权则拦截器为FilterSecur
post的 csrf 跨栈请求伪造的解决办法
咸鱼!!!
05-31 932
post的跨栈请求伪造的解决办法 方法一:HTML的form表单中增加 {% csrf_token %} 第二种:在项目的setting.py文件中注释中间键 第三种:增加一个装饰器在view的代码中 步骤: 1.导包 2.写入 ...
SpringSecurity权限控制实现原理解析
08-24
SpringSecurity 权限控制实现原理解析 SpringSecurity 权限控制实现原理是指在应用程序中对用户的操作权限进行控制和限制,以确保应用程序的安全性和可靠性。权限控制是指在应用程序中对用户的操作权限进行控制和...
SpringSecurity权限控制
02-28
基于springMVC+mybatis+mysql实现。基于SpringSecurity权限控制的简单工程DEMO。maven构建.
java中自定义Spring Security权限控制管理示例(实战篇)
08-31
通过以上步骤,我们就完成了Java中自定义Spring Security权限控制管理的实战示例,实现了对URL和HTTP方法的细粒度控制,满足了RESTful API的需求。这不仅提高了系统的安全性,也使得权限管理更加灵活和可扩展。
其它权限校验方法
Leon_Jinhai_Sun的博客
06-08 946
权限
Spring Security学习笔记
小松鼠的博客
08-08 1192
Spring Security是基于Spring的一套权限框架,它有两大重要核心功能:用户认证和用户授权。用户认证指的是某个用户能否访问该系统,用户认证一般要求用户提供用户名和密码,系统通过校验用户名和密码来完成认证过程。用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户所具有的权限是不同的。比如对一个文件来说,有的用户只能进行读取,而有的用户可以进行修改。一般在系统中,不同的用户会分配不同的角色,不同的角色也对应不同的权限。...
controller层_使用Spring Security做方法层的权限拦截
weixin_39541212的博客
11-26 1619
Spring Security中可以通过Authentication(认证)和Authorization(授权)的功能,识别用户身份并完成用户授权。通常的做法是在用户访问某些资源时,通过拦截器方法确认用户身份,如果当前用户身份不明(未登录或者是匿名用户)且被访问资源是非公开资源时,系统会强制跳转至登录页面,在用户登录完成后再跳转回原地址,继续访问资源。这些拦截功能基本都是使用Filter...
详细分析SpringSecurity中的@PreAuthorize注解
最新发布
码农研究僧的博客
01-27 1万+
Java中,`@PreAuthorize` 是Spring Security框架中的一个注解,用于在方法调用之前对用户的权限进行验证。 允许在方法级别定义访问控制规则,确保只有满足指定条件的用户才能调用该方法 这个注解通常与Spring的AOP(面向切面编程)结合使用,推荐阅读: Spring框架从入门到学精(全) java框架 零基础从入门到精通的学习路线 附开源项目面经等(超全)
Spring Security 4 使用@PreAuthorize,@PostAuthorize, @Secured, EL实现方法安全(带源码)
热门推荐
明明如月的技术博客
05-06 5万+
【相关已翻译的本系列其他文章,点击分类里面的spring security 4】 上一篇:Spring Security 4 整合Hibernate 实现持久化登录验证(带源码) 原文地址:http://websystique.com/spring-security/spring-security-4-method-security-using-preauthorize-postaut
Springboot +spring security,方法权限注解
weixin_40991408的博客
05-27 2455
Springboot +spring security,方法权限注解
java c s 权限管理_spring security 权限控制
weixin_35452206的博客
03-06 250
spring security权限控制有两种方式,一种是比较当前请求url和当前用户所拥有的权限中是否包含该url;另一种是利用@PreAuthorize("hasAuthority('XXX')")注解的方式,其中xxx可以为角色role,也可以为任意的权限标识符,是个string类型1)注解的方式需要在websecurityconfig文件上加上@EnableGlobalMethodSec...
Spring Security基本使用
weixin_56697114的博客
08-02 774
1、环境搭建 <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-web</artifactId> <version>5.0.5.RELEASE</version> </dependency> <dependency> <groupId>org.
史上最简单的Spring Security教程(二十一):AccessDecisionManager简介及自定义访问决策管理器
银河架构师的博客
08-10 1万+
AccessDecisionManager顾名思义,访问决策管理器。 Makesafinalaccesscontrol(authorization)decision 做出最终的访问控制(授权)决定。 而常用的AccessDecisionManager有三个,分别介绍一下其权限决策逻辑。 AffirmativeBased Spring Security框架默认的AccessDecisionManager。 /** * Simple concrete ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值