java c s 权限管理_spring security 权限控制

最新推荐文章于 2024-01-27 07:00:00 发布
最新推荐文章于 2024-01-27 07:00:00 发布
阅读量237 收藏
点赞数
文章标签: java c s 权限管理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35452206/article/details/115067346
版权

spring security 的权限控制有两种方式,一种是比较当前请求url和当前用户所拥有的权限中是否包含该url;

另一种是利用@PreAuthorize("hasAuthority('XXX')")注解的方式,其中xxx可以为角色role,也可以为任意的权限标识符,是个string类型

1)注解的方式

需要在websecurityconfig文件上加上@EnableGlobalMethodSecurity(prePostEnabled = true)//开启security注解

然后在loaduserdetail方法中加上该用户所拥有的权限

最后在方法上加注解@PreAuthorize("hasAuthority('XXX')")

2)是利用Spring security拦截的方式

MyAccessDecisionManager.java文件

import org.springframework.security.access.AccessDecisionManager;

import org.springframework.security.access.AccessDeniedException;

import org.springframework.security.access.ConfigAttribute;

import org.springframework.security.access.prepost.PreAuthorize;

import org.springframework.security.authentication.InsufficientAuthenticationException;

import org.springframework.security.core.Authentication;

import org.springframework.security.core.GrantedAuthority;

import org.springframework.stereotype.Service;

import java.util.Collection;

import java.util.Iterator;

@Service

public class MyAccessDecisionManager implements AccessDecisionManager{

//决定是否拥有权限的决策方法

@Override

public void decide(Authentication authentication, Object object, Collection configAttributes) throws AccessDeniedException, InsufficientAuthenticationException {

if(null== configAttributes || configAttributes.size() <=0) {

return;

}

ConfigAttribute c;

String needRole;

for(Iterator iter = configAttributes.iterator(); iter.hasNext(); ) {

c = iter.next();

needRole = c.getAttribute();

for(GrantedAuthority ga : authentication.getAuthorities()) {//authentication 为在注释1 中循环添加到 GrantedAuthority 对象中的权限信息集合

if(needRole.trim().equals(ga.getAuthority())) {

return;

}

}

}

throw new AccessDeniedException("no right");

}

@Override

public boolean supports(ConfigAttribute attribute) {

return false;

}

@Override

public boolean supports(Class> clazz) {

return true;

}

}

MyFilterSecurityInterceptor.java文件

import org.springframework.beans.factory.annotation.Autowired;

import org.springframework.security.access.SecurityMetadataSource;

import org.springframework.security.access.intercept.AbstractSecurityInterceptor;

import org.springframework.security.access.intercept.InterceptorStatusToken;

import org.springframework.security.web.FilterInvocation;

import org.springframework.security.web.access.intercept.FilterInvocationSecurityMetadataSource;

import org.springframework.stereotype.Service;

import javax.servlet.Filter;

import javax.servlet.FilterChain;

import javax.servlet.FilterConfig;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import java.io.IOException;

//@Service

public class MyFilterSecurityInterceptor extends AbstractSecurityInterceptor implements Filter {

@Autowired

private FilterInvocationSecurityMetadataSource securityMetadataSource;

@Autowired

public void setMyAccessDecisionManager(MyAccessDecisionManager myAccessDecisionManager) {

super.setAccessDecisionManager(myAccessDecisionManager);

}

@Override

public void init(FilterConfig filterConfig) throws ServletException {

}

@Override

public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {

FilterInvocation fi = new FilterInvocation(request, response, chain);

invoke(fi);

}

private void invoke(FilterInvocation fi) throws IOException, ServletException {

//fi里面有一个被拦截的url

//里面调用MyInvocationSecurityMetadataSource的getAttributes(Object object)这个方法获取fi对应的所有权限

//再调用MyAccessDecisionManager的decide方法来校验用户的权限是否足够

InterceptorStatusToken token = super.beforeInvocation(fi);

try {

//执行下一个拦截器

fi.getChain().doFilter(fi.getRequest(), fi.getResponse());

} finally {

super.afterInvocation(token, null);

}

}

@Override

public void destroy() {

}

@Override

public Class> getSecureObjectClass() {

return FilterInvocation.class;

}

@Override

public SecurityMetadataSource obtainSecurityMetadataSource() {

return this.securityMetadataSource;

}

}

MyInvocationSecurityMetadataSourceService.java文件

import com.lenovo.scct.trackingapi.model.auth.AutResource;

import com.lenovo.scct.trackingapi.repository.auth.MenuRepository;

import com.lenovo.scct.trackingapi.service.auth.MenuService;

import org.apache.commons.lang.StringUtils;

import org.springframework.beans.factory.annotation.Autowired;

import org.springframework.security.access.ConfigAttribute;

import org.springframework.security.access.SecurityConfig;

import org.springframework.security.web.FilterInvocation;

import org.springframework.security.web.access.intercept.FilterInvocationSecurityMetadataSource;

import org.springframework.security.web.util.matcher.AntPathRequestMatcher;

import org.springframework.stereotype.Service;

import javax.servlet.http.HttpServletRequest;

import java.util.ArrayList;

import java.util.Collection;

import java.util.HashMap;

import java.util.Iterator;

import java.util.List;

@Service

public class MyInvocationSecurityMetadataSourceService implements FilterInvocationSecurityMetadataSource {

@Autowired

MenuRepository menuRepository;

private HashMap> map = null;

/**

* 加载权限表中所有的权限

*/

public void loadResource() {

map = new HashMap<>();

Collection array;

ConfigAttribute configAttribute;

List resourceList = menuRepository.getMenuResource("lujia3");

for (AutResource autResource : resourceList) {

if (StringUtils.isBlank(autResource.getResourceUrl())) {

autResource.setResourceUrl("/authorization/**/buttons");

autResource.setResourceName("xxx");

}

array = new ArrayList<>();

configAttribute = new SecurityConfig(autResource.getResourceName());

array.add(configAttribute);

map.put(autResource.getResourceUrl(), array);

}

}

@Override

public Collection getAttributes(Object object) throws IllegalArgumentException {

if (map == null) loadResource();

//object 中包含用户请求的request 信息

HttpServletRequest request = ((FilterInvocation) object).getHttpRequest();

AntPathRequestMatcher matcher;

String resUrl;

for (Iterator iter = map.keySet().iterator(); iter.hasNext(); ) {

resUrl = iter.next();

matcher = new AntPathRequestMatcher(resUrl);

if (matcher.matches(request)) {

return map.get(resUrl);

}

}

return null;

}

@Override

public Collection getAllConfigAttributes() {

return null;

}

@Override

public boolean supports(Class> clazz) {

return true;

}

}

淡庸
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
controller层_使用Spring Security做方法层的权限拦截
weixin_39541212的博客
11-26 1565
Spring Security中可以通过Authentication(认证)和Authorization(授权)的功能,识别用户身份并完成用户授权。通常的做法是在用户访问某些资源时,通过拦截器方法确认用户身份,如果当前用户身份不明(未登录或者是匿名用户)且被访问资源是非公开资源时,系统会强制跳转至登录页面,在用户登录完成后再跳转回原地址,继续访问资源。这些拦截功能基本都是使用Filter...
java中自定义Spring Security权限控制管理示例(实战篇)
08-31
本篇文章主要介绍了java中自定义Spring Security权限控制管理示例(实战篇) ,具有一定的参考价值,感兴趣的小伙伴们可以参考一下。
Springboot +spring security,方法权限注解
weixin_40991408的博客
05-27 2033
Springboot +spring security,方法权限注解
详细分析SpringSecurity中的@PreAuthorize注解
码农研究僧的博客
01-27 2443
Java中,`@PreAuthorize` 是Spring Security框架中的一个注解,用于在方法调用之前对用户的权限进行验证。 允许在方法级别定义访问控制规则,确保只有满足指定条件的用户才能调用该方法 这个注解通常与Spring的AOP(面向切面编程)结合使用,推荐阅读: Spring框架从入门到学精(全) java框架 零基础从入门到精通的学习路线 附开源项目面经等(超全)
Spring Security 4 使用@PreAuthorize,@PostAuthorize, @Secured, EL实现方法安全
哎幽的成长
02-19 1万+
本文探讨Spring Security 4 基于@PreAuthorize, @PostAuthorize, @Secured和 Spring EL表达式的方法级的安全。想要开启Spring方法级安全,你需要在已经添加了@Configuration注解的类上再添加@EnableGlobalMethodSecurity注解:package com.websystique.springsecurity.
Spring Security 4 使用@PreAuthorize,@PostAuthorize, @Secured, EL实现方法安全(带源码)
热门推荐
明明如月的技术博客
05-06 5万+
【相关已翻译的本系列其他文章,点击分类里面的spring security 4】 上一篇:Spring Security 4 整合Hibernate 实现持久化登录验证(带源码) 原文地址:http://websystique.com/spring-security/spring-security-4-method-security-using-preauthorize-postaut
基于Spring Security的细粒度权限管理系统设计源码
最新发布
03-28
这是一个基于Spring Security框架的细粒度权限管理系统,使用Java语言开发,同时包含JavaScript、CSS、HTML等多种编程语言。该项目共包含2447个文件,其中主要文件类型包括JavaScript、PNG图片、CSS、HTML、JAR包、...
java学习之SpringSecurity配置了登录链接无权限
06-16
我们在使用SpringSecurity作为后台权限框架的时候,框架给我们提供了配置登录请求的接口,供我们配置登录链接,当我们配置了登录链接地址后,前端访问登陆请求的时候显示无权限。 异常分析 由于SpringSecurity的...
基于springboot+springSecurity+jwt实现的基于token的权限管理
02-24
这是一个使用了springboot+springSecurity+jwt实现的基于token的权限管理的一个demo
Spring Security 参考手册_Spring Security中文版.pdf
10-12
一个能够为基于Spring的企业应用系统提供声明式的安全訪问控制解决方式的安全框架(简单说是对访问权限进行控制嘛),应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。用户认证指...
Spring Security基本使用
weixin_56697114的博客
08-02 607
1、环境搭建 <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-web</artifactId> <version>5.0.5.RELEASE</version> </dependency> <dependency> <groupId>org.
Spring security 实现前后端分离登录拦截器及用户权限控制
zzq的博客
11-22 1万+
目录 前言 一、准备工作 1.1、设计数据库(我的工程目录中的sql文件夹下有sql文件直接导入即可) 二、代码实现 2.1、数据操作 2.2、自定义登录逻辑 2.2.1、创建自定义UserDetailsService 2.2.2、自定义的密码加密类 2.3、自定义登录验证结果、登出结果、无权访问处理器 2.3.1、自定义登录成功处理器 2.3.2、自定义登录失败处理器 2...
securityjava springboot项目中使用springSecurity安全框架
m0_66998390的博客
08-23 1916
java springboot项目中使用springSecurity安全框架
SpringBoot中的Security简单入门实现
jingjiaohuan的博客
11-01 1541
以上是10月31日对29日的Security学习进行日常总结。
Spring Security 表单配置(三)
青春逝如流水
01-16 906
Spring Security 表单配置,简单配置授权,自定义授权以及注解授权
2021-12-10SpringSecurity安全框架(一)基于内存中的用户信息,基于JDBC用户认证
weixin_48400115的博客
12-10 763
基于内存中的用户信息: 继承类,重写方法,来实现自定义认证信息 @Configuration //相当于配置类,返回值是Java对象,对象放到spring容器之中 @EnableWebSecurity//表示启用安全框架功能 java.lang.IllegalArgumentException: There is no PasswordEncoder mapped for the id "null" 5版本要求必须加密! 基于角色的Role的身份认证,同一个用户可以有不同的角色。同时可以开启对
Spring Security用户认证和权限控制(默认实现)
jingke_1524的博客
09-25 1340
1 背景 实际应用系统中,为了安全起见,一般都必备用户认证(登录)和权限控制的功能,以识别用户是否合法,以及根据权限控制用户是否能够执行某项操作。 Spring Security是一个安全相关的框架,能够与Spring项目无缝整合,本文主要是介绍Spring Security默认的用户认证和权限控制的使用方法和原理,但不涉及到自定义实现。 Spring Security用户认证和权限控制(自定义实现)这篇文章专门讲解用户认证和权限控制相关的自定义实现。 2 实战示例 2.1 创建工程 创建一个
SpringSecurity实现动态菜单访问权限管理
qq_63815371的博客
03-09 3903
目录 1. 首先实现用户实体 1.1.重点讲解 2. 自定义UserDetailsService 2.1 重点讲解 3.自定义 FilterInvocationSecurityMetadataSource 3.1重点讲解 4.自定义 AccessDecisionManager 4.1 重点讲解 5.配置WebSecurityConfigurerAdapter 5.1.重点讲解 6.效果展示
java权限管理springsecurity
09-13
Java权限管理通常使用Spring Security框架来实现。Spring Security是一个基于Spring框架的安全性解决方案,提供了一套全面的安全性功能,包括身份验证、授权、会话管理等。 在Spring Security中,权限管理主要涉及...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值