访问权限冲突定义_自定义AccessDecisionVoter以实现必须全部拥有请求所需权限才可访问的权限需求...

最新推荐文章于 2022-05-01 08:41:02 发布
最新推荐文章于 2022-05-01 08:41:02 发布
阅读量93 收藏
点赞数
文章标签: 访问权限冲突定义

558ef5a3271dce66d23b8dda76bbbcb6.png

前面我们说了 AccessDecisionVoter 的一些基本用法,以及常用的一些 AccessDecisionVoter 实现,当然,也试着自定义了一个 AccessDecisionVoter

细心的同学可能有所发现,这个自定义的 AccessDecisionVoter 不寻常。为什么呢?因为它内部的授权决策逻辑刚好就是必须拥有当前请求所需的全部权限才会授权成功。同时,这也是这次我们要着重说的内容。

@Override
public int vote(Authentication authentication, Object object, Collection<ConfigAttribute> attributes) {
    if (authentication == null) {
        return ACCESS_DENIED;
    }

    int result = ACCESS_ABSTAIN;
    Collection<? extends GrantedAuthority> authorities = extractAuthorities(authentication);

    for (ConfigAttribute attribute : attributes) {
        if (this.supports(attribute)) {
            result = ACCESS_DENIED;

            // Attempt to find all matching granted authority
            for (GrantedAuthority authority : authorities) {
                if (attribute.getAttribute().equals(authority.getAuthority())) {
                    result = ACCESS_GRANTED;
                    break;
                }
            }

            if (result == ACCESS_DENIED) {
                return ACCESS_DENIED;
            }
        }
    }

    return result;
}

从代码逻辑中不难判断,只要所需权限,任意一个不再用户授权范围内,即会授权失败。既然如此,那么我们就尝试一下吧。

首先,定义一个新的角色 User_2

INSERT INTO SYS_ROLE(`ID`, `NAME`, `CODE`) VALUES ('617fe676082c40e0a06b9a9646cfb1e7', '普通用户', 'User_2');

然后,将 User_2 角色与 个人中心功能(/user/index)关联起来,即分配个人中心资源权限给 User_2 角色。

INSERT INTO SYS_ROLE_FUNC(`ID`, `ROLE_ID`, `FUNC_ID`) VALUES ('83f1e68a08ac4e1b9b5cd45628f64235', '617fe676082c40e0a06b9a9646cfb1e7', '8fc7c56295e542aaa436c4dbf0048578');

如此一来,个人中心就需要用户同时拥有 UserUser_2 权限才可以访问。

最后,修改一下 Spring Security 的配置,将自定义的 AccessDecisionVoter 配置到 AccessDecisionManager 中。

private AccessDecisionManager accessDecisionManager() {
    List<AccessDecisionVoter<? extends Object>> voters = new ArrayList<>();
    voters.add(new AllMatchRoleVoter());

    return new AffirmativeBased(voters);
}

准备工作就绪,我们启动系统,访问个人中心。登录后,果然跳转到了无权限页面。

0a6069a36d9128aee448023c895cbd78.png

初步验证成功,我们此时再分配 User_2 角色给 zhangsan 用户。

INSERT INTO SYS_USER_ROLE(`ID`, `USER_ID`, `ROLE_ID`) VALUES ('a27108d05c5843bf92eed3ae47ef4220', '2031a4adc78942d59188cea7927e6304', '617fe676082c40e0a06b9a9646cfb1e7');

不用重启系统,我们先访问一下首页(/index)。然后,点击右上角 退出登录 按钮,先退出系统,再登录一次,然后再访问个人中心页面。此时,已经可以正常访问了。

8c469b25865f67b94312b5d8e0f84beb.png

注意,为何我们需要先访问一下首页(/index),然后退出登录,再重新登录一次呢(当然,也可以直接访问退出登录页面 /logout,如果你配置的是这个路径的话)?其实,只要你细心,便不难发现个中缘由。

用户的权限正是在系统登录时,由配置的 UserDetailsService 获取,中途只要不退出系统,便不会再次主动去获取。因此,需要我们退出系统,重新登录一次,才能获取最新分配的权限。当然,重启系统肯定也可以,不过没有必要。

其它详细源码,请参考文末源码链接,可自行下载后阅读。

源码

github

liuminglei/SpringSecurityLearning

gitee

luas/SpringSecurityLearning

我是银河架构师,十年饮冰,难凉热血,愿历尽千帆,归来仍是少年!

如果文章对您有帮助,请举起您的小手,轻轻【三连】,这将是笔者持续创作的动力源泉。当然,如果文章有错误,或者您有任何的意见或建议,请留言。感谢您的阅读!

文章不定时更新,可微信搜索「银河架构师」,精彩内容,先睹为快!
weixin_39516956
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
史上最简单的Spring Security教程(二十):自定义AccessDecisionVoter实现必须全部拥有请求所需权限才可访问需求
银河架构师的博客
08-07 1425
​前面我们说了AccessDecisionVoter的一些基本用法,以及常用的一些AccessDecisionVoter实现,当然,也试着自定义了一个AccessDecisionVoter。 细心的同学可能有所发现,这个自定义AccessDecisionVoter不寻常。为什么呢?因为它内部的授权决策逻辑刚好就是必须拥有当前请求所需的全部权限才会授权成功。同时,这也是这次我们要着重说的内容。 public int vote(Authentication authenticatio...
spring security 自定义AccessDecisionVoter
neweastsun的专栏
06-09 7900
spring security 自定义AccessDecisionVoter类 针对spring web应用或rest api,spring security提供很多方法实现安全控制,但有时会遇到一些具体场景默认提供功能难以满足。本文我们自定义AccessDecisionVoter类展示如何抽象web应用程序的授权逻辑,并将其与应用程序的业务逻辑分离开来。 应用场景 为了演示Access...
Spring Security-授权(AccessDecisionManagerAccessDecisionVoter
kaikai8552的专栏
03-07 1万+
 AccessDecisionManager完成授权的功能。观察AccessDecisionManager接口的授权方法void decide(Authentication authentication, Object object, ConfigAttributeDefinition config)        throws AccessDeniedException, Insufficien
史上最简单的Spring Security教程(十九):AccessDecisionVoter简介及自定义访问权限投票
银河架构师的博客
08-07 4151
为了后续对AccessDecisionManager的介绍,我们先来提前对AccessDecisionVoter做个简单的了解,然后,在捎带手自定义一个AccessDecisionVoterAccessDecisionVoter的注释介绍如下: Indicatesaclassisresponsibleforvotingonauthorizationdecisions. Thecoordinationofvoting(iepolling{@codeA...
Spring Security教程 Vol 8. AccessDecisionVoter组件介绍
weixin_34413802的博客
04-20 613
第八期 AccessDecisionVoter组件介绍 这一期主要我们将介绍访问控制三剑客负责对授权规则做角色的组件——AccessDecisionVoter接口。以及对Spring Security默认提供的几个基础AccessDecisionVoter实现类做一个详细的说明,最后我们将会客制化一个基于时间的AccessDecisionVoter实现用于实战说明。 AccessDecisio...
动态自定义权限设置.rar
04-06
通过以上知识点的学习和实践,开发者可以构建出一个既安全又灵活的动态自定义权限设置系统,以满足各种应用场景的需求。对于压缩包中的易语言源码,可以通过阅读和分析代码,深入理解动态权限设置的具体实现方式和...
springboot通过自定义注解完成简单的权限认证.zip
10-11
通过本案例实现了通过自定义注解的拦截的方法可以设置访问权限;通过拦截获取指定方法上的自定义的注解,然后判断当前的接口需不要权限校验;然后通过对应的访问去处理;demo里面的代码简单;文档齐全,初学者秒懂.本文...
acl.zip_ACL_权限控制
最新发布
09-21
在IT行业中,访问控制列表(Access Control List,简称ACL)是一种常见的权限管理机制,用于定义哪些用户或系统实体可以访问特定资源。在这个“acl.zip_ACL_权限控制”的压缩包中,我们有四个PHP文件:p2.php、acl_1...
Spring Boot 通过AOP和自定义注解实现权限控制的方法
08-25
Spring Boot 通过 AOP 和自定义注解实现权限控制的方法 在本文中,我们将探讨如何使用 Spring Boot 通过 Aspect-Oriented Programming(AOP)和自定义注解来实现权限控制。权限控制是任何应用程序的重要组件,它...
javaweb实现访问权限控制示例
07-31
在Java Web开发中,访问权限控制是至关重要的一个环节,它确保了只有具有相应权限的用户才能访问特定的资源或执行特定的操作。本示例主要通过Filter技术来实现这一功能,这是一种常见且实用的方法。 首先,我们需要...
access权限设置
05-23
关于权限设置
访问权限冲突定义_Spring Security 自定义AccessDecisionManager实现简单的访问决策
weixin_39687786的博客
12-01 152
在前面讲过的资源权限动态控制业务场景中,我们使用了 Spring Security 框架默认的 AccessDecisionManager,即AffirmativeBased。能实现访问决策即为任一 AccessDecisionVoter 授予权限,即代表授予访问权限。但是我们只添加了一个 AccessDecisionVoter ,即 RoleVoter。既然如此,我们就可以简化一下这些逻辑,直...
Spring Security 详解与实操第二节 授权和基础案例
fegus的博客
05-01 880
访问授权:如何对请求的安全访问过程进行有效配置? 通过前面几讲的介绍,相信你已经对 Spring Security 中的认证流程有了更全面的了解。认证是实现授权的前提和基础,通常我们在执行授权操作时需要明确目标用户,只有明确目标用户才能明确它所具备的角色和权限,用户、角色和权限也是 Spring Security 中所采用的授权模型,今天我就和你一起探讨授权模型的实现过程以及在日常开发过程中的应用方式。 Spring Security 中的权限和角色 实现访问授权的基本手段是使用配置方法,我们已经在“用户认
Spring Security介绍
li123128的博客
11-03 2万+
文章主要分三部分 1、Spring Security的架构及核心组件:(1)认证;(2)权限拦截;(3)数据库管理;(4)权限缓存;(5)自定义决策; 2、环境搭建与使用,使用当前热门的Spring Boot来搭建环境,结合项目中实际的例子来做几个Case; 3、Spring Security的优缺点总结,结合第二部分中几个Case的实现来总结Spring Security的优点和缺点。 1、Spring Security介绍 ​ 整体介绍,Spring Security为基于J2EE开发的企业应用软件
Spring Security教程(8)---- 自定义决策管理及修改权限前缀
热门推荐
jaune162的专栏,最新动态请关注:https://jaune162.blog
01-17 2万+
首先介绍下Spring的决策管理,其接口为AccessDecisionManager,抽象类为AbstractAccessDecisionManager。而我们要自定义决策管理的话一般是继承抽象类而不去直接实现接口。 在Spring中引入了投票AccessDecisionVoter)的概念,有无权限访问的最终觉得权是由投票来决定的,最常见的投票为RoleVoter,在RoleVote
Spring Security : AccessDecisionVoter 实现类清单
Details Inside Spring
06-12 1031
名称 支持Secure Object类型 支持ConfigAttribute类型 WebExpressionVoter FilterInvocation WebExpressionConfigAttribute Jsr250Voter MethodInvocation Jsr250SecurityConfig PreInvocationAuthorizationAdvice...
【Spring实战】----Security4.1.3鉴权之美--基于投票AccessDecisionManager实现及源码分析
honghailiang的专栏
12-29 9212
一、背景知识 Spring实战篇系列----Security4.1.3认证过程源码分析 和Spring实战篇系列----Security4.1.3实现根据请求跳转不同登录页以及登录后根据权限跳转到不同页配置 中均有提到,每一次请求都会走Security Filter,鉴权的过滤为FilterSecurityInterceptor,其中会判断是否要对请求进行鉴权,以及需要鉴权的会基于投票的A
史上最简单的Spring Security教程(二十一):AccessDecisionManager简介及自定义访问决策管理
银河架构师的博客
08-10 1万+
AccessDecisionManager顾名思义,访问决策管理。 Makesafinalaccesscontrol(authorization)decision 做出最终的访问控制(授权)决定。 而常用的AccessDecisionManager有三个,分别介绍一下其权限决策逻辑。 AffirmativeBased Spring Security框架默认的AccessDecisionManager。 /** * Simple concrete ...
深入解析AndroidManifest.xml:组件与权限控制
9. <uses-permission>:请求所需的系统权限。 10. <permission>:定义自定义权限。 11. <permission-tree>:定义权限树,用于组织一组相关的权限。 12. <permission-group>:将权限分组,便于用户理解和管理。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值