接口访问权限默认为_SpringSecurity 动态权限

最新推荐文章于 2024-08-13 03:34:05 发布
最新推荐文章于 2024-08-13 03:34:05 发布
阅读量384 收藏
点赞数
文章标签: 接口访问权限默认为
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39860201/article/details/111359258
版权

SpringSecurity 动态权限

Spring security默认是在代码里约定好权限,真实的业务场景通常需要可以支持动态配置角色访问权限,即在运行时去配置url对应的访问角色。

最简单的方法就是自定义一个Filter去完成权限判断,但这脱离了spring security框架,如何基于spring security优雅的实现呢?其实只要仔细看看 FilterSecurityInterceptor源码就知道从哪里找切入点了

要想实现动态权限 需要以下3步

  1. 实现FilterInvocationSecurityMetadataSource 获取请求Url需要的角色列表

  2. 自定义投票器 实现 AccessDecisionVoter 或者 直接重写 AccessDecisionManager 不使用SpringSecurity提供的默认访问策略逻辑

  3. 定义处理 访问无权限的handler 实现 AccessDeniedHandler 在这里可以返回给前端 对应的信息

1.FilterSecurityInterceptor

该过滤器实现了主要的鉴权逻辑,最核心的代码如下

    Collection attributes = this.obtainSecurityMetadataSource()
                .getAttributes(object);
        if (attributes == null || attributes.isEmpty()) {
            if (rejectPublicInvocations) {
                throw new IllegalArgumentException(
                        "Secure object invocation "
                                + object
                                + " was denied as public invocations are not allowed via this interceptor. "
                                + "This indicates a configuration error because the "
                                + "rejectPublicInvocations property is set to 'true'");
            }
            if (debug) {
                logger.debug("Public object - authentication not attempted");
            }
            publishEvent(new PublicInvocationEvent(object));
            return null; // no further work post-invocation
        }
        if (debug) {
            logger.debug("Secure object: " + object + "; Attributes: " + attributes);
        }
        if (SecurityContextHolder.getContext().getAuthentication() == null) {
            credentialsNotFound(messages.getMessage(
                    "AbstractSecurityInterceptor.authenticationNotFound",
                    "An Authentication object was not found in the SecurityContext"),
                    object, attributes);
        }
        Authentication authenticated = authenticateIfRequired();
        // Attempt authorization
        try {
            this.accessDecisionManager.decide(authenticated, object, attributes);
        }
        catch (AccessDeniedException accessDeniedException) {
            publishEvent(new AuthorizationFailureEvent(object, attributes, authenticated,
                    accessDeniedException));
            throw accessDeniedException;
        }

抽取重要的2部分

1.1 获取请求的Url的所需要的 角色Collection
    Collection attributes = this.obtainSecurityMetadataSource()
                .getAttributes(object);
public SecurityMetadataSource obtainSecurityMetadataSource() {
        return this.securityMetadataSource;
    }
private FilterInvocationSecurityMetadataSource securityMetadataSource;
1.2 使用访问决策管理器 去 鉴权
    this.accessDecisionManager.decide(authenticated, object, attributes);

那么我们就从上面两部分进行切入

2.自定义实现 FilterInvocationSecurityMetadataSource接口

FilterInvocationSecurityMetadataSource 提供一个 getAttributes方法 用来获取请求的URL对应需要的角色 下面的代码中,我模拟从数据库取出 路径对应的角色urlRoleMap

可以通过 FilterInvocation获取到 请求的url 动态从数据库中获取 改url需要的角色列表,然后放入Collection,而它是 SecurityConfig

@Slf4j
@Component
public class RoleSecurityMetadataSource implements FilterInvocationSecurityMetadataSource {


    private final AntPathMatcher antPathMatcher = new AntPathMatcher();


    @Override
    public Collection getAttributes(Object object) throws IllegalArgumentException {
        //根据 请求获取 需要的权限
        FilterInvocation filterInvocation = (FilterInvocation) object;
        String url = filterInvocation.getRequestUrl();
                log.info("【请求 url : {}】", url);
        Map> urlRoleMap = new HashMap();
        urlRoleMap.put("/menu/**", Arrays.asList("admin","editor1"));
        urlRoleMap.put("/user/listByCondition**", Arrays.asList("admin1","editor1"));
        for (Map.Entry> entry : urlRoleMap.entrySet()) {
            if (antPathMatcher.match(entry.getKey(), url)) {
                String[] array = entry.getValue().toArray(new String[0]);
                return SecurityConfig.createList(array);
            }
        }
        return null;
    }
    @Override
    public Collection getAllConfigAttributes() {
        return null;
    }
    @Override
    public boolean supports(Class> clazz) {
        return true;
    }
}

最后需要把该 自定义的元数据获取类 配置到SpringSecurity 中 通过 withObjectPostProcessor

  .withObjectPostProcessor(new ObjectPostProcessor() {
                    @Override
                    public  O postProcess(
                            O fsi) {
                        fsi.setSecurityMetadataSource(roleSecurityMetadataSource);
                        return fsi;
                    }
                })

3.提供自定义的 投票器Voter

默认 SpringSecurity 提供了3中访问决策 逻辑

AffirmativeBased – 任何一个AccessDecisionVoter返回同意则允许访问 ConsensusBased – 同意投票多于拒绝投票(忽略弃权回答)则允许访问 UnanimousBased – 每个投票者选择弃权或同意则允许访问

我也可以选择 自定义实现AccessDecisionManager ,但是SpringSecurity提供的已经足够用了

f655a8d7fd6bd4ea7345ebcf64fccfba.png

所以我们选择 第一种,也是SpringSecurity 默认使用的 AffirmativeBased

3.1 使用 AffirmativeBased 作为 决策访问策略

主要就是遍历实现了AccessDecisionVoter 接口的 投票器,让投票器决定返回结果 支持3种返回结果

int ACCESS_GRANTED = 1;
int ACCESS_ABSTAIN = 0;
int ACCESS_DENIED = -1;
    public void decide(Authentication authentication, Object object,
            Collection configAttributes) throws AccessDeniedException {
        int deny = 0;
        for (AccessDecisionVoter voter : getDecisionVoters()) {
            int result = voter.vote(authentication, object, configAttributes);
            if (logger.isDebugEnabled()) {
                logger.debug("Voter: " + voter + ", returned: " + result);
            }
            switch (result) {
            case AccessDecisionVoter.ACCESS_GRANTED:
                return;
            case AccessDecisionVoter.ACCESS_DENIED:
                deny++;
                break;
            default:
                break;
            }
        }
        if (deny > 0) {
            throw new AccessDeniedException(messages.getMessage(
                    "AbstractAccessDecisionManager.accessDenied", "Access is denied"));
        }
        // To get this far, every AccessDecisionVoter abstained
        checkAllowIfAllAbstainDecisions();
    }
3.2 自定义 投票器 实现AccessDecisionVoter

其中入参 authentication 表示当前的认证用户信息, Object object 是指FilterInvocation Collectionattributes 是指 FilterInvocationSecurityMetadataSource返回的当前Url请求需要的角色集合

/**
 * 自定义的 投票器
 *
 * @author johnny
 * @create 2020-07-19 上午12:41
 **/
public class RoleBasedVoter implements AccessDecisionVoter {
    @Override
    public boolean supports(ConfigAttribute attribute) {
        return true;
    }
    @Override
    public boolean supports(Class> clazz) {
        return true;
    }
    @Override
    public int vote(Authentication authentication, Object object, Collection attributes) {
        if (authentication == null) {
            return ACCESS_DENIED;
        }
        Collection extends GrantedAuthority> authorities = authentication.getAuthorities();
        for (ConfigAttribute attribute : attributes) {
            if (attribute.getAttribute() == null) {
                continue;
            }
            //默认的SpringSecurity的投票器,比如RoleVoter 的 support方法会去判断角色是否 包含ROLE_前缀
            //我们这里不做这种限制
            if (this.supports(attribute)) {
                for (GrantedAuthority authority : authorities) {
                    if(attribute.getAttribute().equals(authority.getAuthority())){
                        return ACCESS_GRANTED;
                    }
                }
            }
        }
        return ACCESS_DENIED;
    }
}

4.SpringSecurity 配置装载

本配置是在 前后端分离情况下 包含登录、退出、以及无Session状态 和 自定义 JwtTokenFilter ,动态权限等等


    @Autowired
    private FilterInvocationSecurityMetadataSource roleSecurityMetadataSource;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.cors().and().csrf().disable()
                .formLogin()
                .loginPage("/auth/login")
                .successHandler(loginSuccessHandler)
                .failureHandler(loginFailHandler)
                .and()
                .logout()
                .logoutUrl("/user/logout")
                .clearAuthentication(true)
                .logoutSuccessHandler(logOutSuccessHandler)
                .and()
                .authorizeRequests()
                .anyRequest().authenticated()
                       //1.放入修改后的accessDecisionManager
                .accessDecisionManager(customizeAccessDecisionManager())
                       //2.扩展 FilterSecurityInterceptor,放入自定义的FilterInvocationSecurityMetadataSource
                .withObjectPostProcessor(new ObjectPostProcessor() {
                    @Override
                    public  O postProcess(
                            O fsi) {
                        fsi.setSecurityMetadataSource(roleSecurityMetadataSource);
                        return fsi;
                    }
                })
                .and()
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                .and()
                .exceptionHandling().authenticationEntryPoint(customizeAuthenticationEntryPoint)
                .accessDeniedHandler(accessDeniedHandler);
        http.addFilterAfter(jwtTokenFilter, UsernamePasswordAuthenticationFilter.class);
    }
      //使用自定义角色器,放入 AccessDecisionManager的一个实现 AffirmativeBased 中
    private AccessDecisionManager customizeAccessDecisionManager() {
        List> decisionVoterList
                = Arrays.asList(
                new RoleBasedVoter()
        );
        return new AffirmativeBased(decisionVoterList);
    }

5.总结

本篇主要讲解 SpringSecurity中如何动态权限校验,粒度为请求级别校验,主要过滤器为 FilterSecurityInterceptor 去进行权限校验

涉及到 FilterInvocationSecurityMetadataSource 获取Url对应的角色信息 , AccessDecisionManager 真正进行访问决策的 以及 AccessDecisionVoter 进行投票的投票器 等 找准切入点 即可很轻松实现。

weixin_39860201
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringSecurity管理接口权限
dengdaijc的专栏
12-12 1619
SpringBoot集成SpringSecurity管理接口权限,配置访问接口必须拥有对应权限才行,否则拒绝访问
Java中接口默认访问权限为包内可见
weixin_42559495的博客
05-06 2074
实在看不下去了,百度和csdn上一群人在误导别人,别人问他接口默认访问权限他就说是public,不信你可以百度一下,基本上都是错误答案。 接口中的变量和方法默认修饰符另说,但接口本身的默认访问权限和其他类并无区别,都是只能被包内其他类访问,并不是那些人所说的public。 只有在接口前写上public 接口才能被任意包的类使用 ...
接口和抽象类对比、默认访问权限
热爱我的热爱
07-09 1043
默认访问权限接口 JDK 1.8前,接口中的方法必须是public JDK 1.8,接口中的方法可以是public的,也可以是default JDK 1.9,接口中的方法可以是private 抽象类 JDK 1.8前,抽象类的方法默认访问权限为protected JDK 1.8,抽象类的方法默认访问权限变为default ...
Spring security 整合JWT 接口权限控制
欢迎阅读程序猿小张的博客~
08-06 764
Spring security 整合 JWT 接口权限控制
springboot整合springsecurity实现接口权限控制
weixin_42600788的博客
04-27 3279
关于springsecurity安全框架学习
application-sexurity.zip_java security_spring security
09-24
Spring SecuritySpring框架的一个模块,它为Java应用程序提供了一套强大的安全解决方案。它主要负责处理用户身份验证、权限控制和会话管理。Spring Security的核心概念包括过滤器链、安全上下文以及访问决策管理器...
Spring security实现登陆和权限角色控制
09-09
这通常涉及到`httpSecurity`方法,你可以定义哪些URL路径需要被保护,以及哪些角色访问权限。例如: ```java @Override protected void configure(HttpSecurity http) throws Exception { ...
Spring Security 动态权限实现方案
JavaShark的博客
06-24 3345
最近在做 TienChin 项目,用的是 RuoYi-Vue 脚手架,在这个脚手架中,访问某个接口需要什么权限,这个是在代码中硬编码的,具体怎么实现的,松哥下篇文章来和大家分析,有的小伙伴可能希望能让这个东西像 vhr 一样,可以在数据库中动态配置,因此这篇文章和小伙伴们简单介绍下 Spring Security 中的动态权限方案,以便于小伙伴们更好的理解 TienChin 项目中的权限方案。通过代码来配置 URL 拦截规则和请求 URL 所需要的权限,这样就比较死板,如果想要调整访问某一个 URL 所需要
SpringBoot_SpringSecurity:前后端分离登陆拦截设计
05-01
SpringBoot以其简化Spring应用的初始搭建以及开发过程而受到广大开发者喜爱,而SpringSecurity则是一个强大的安全框架,为Web应用程序提供了全面的安全服务。在这个"SpringBoot_SpringSecurity:前后端分离登陆拦截...
SpringBoot_SpringSecurity-源码.rar
10-10
SpringSecurity的认证流程由`UserDetailsService`接口负责,你需要实现这个接口并提供获取用户信息的方法。这个信息通常包括用户名、密码以及角色等,这些信息会被用来验证用户的登录请求。SpringSecurity支持多种...
SpringBoot+SpringSecurity整合(实现了登录认证和权限验证)完整案例,基于IDEA项目
02-16
SpringBoot+SpringSecurity整合示例代码,实现了从数据库中获取信息进行登录认证和权限认证。 本项目为idea工程,请用idea2019导入(老版应该也可以)。 本项目用户信息所需sql文件,在工程的resources文件夹下,请自行导入mysql中。 运行SpringBootMainClass启动后,请在地址栏访问http://ip:port,在页面中登录,成功后会跳转至下一个页面,此时需要后退到刚才的页面,点击各个超链接来试验用户的授权情况。未登录时点击任何链接都会跳回首页。 一共提供了4个用户: 1.admin:可以访问所有请求 2.user1:只能访问user1Call请求 3.user2:只能访问user2Call请求 4.user3:只能访问user3Call请求 具体代码配置逻辑和说明,详见代码的注释
spring security简单的权限访问控制
花&败
07-18 418
1、在pom.xml文件中引入数据库的依赖 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http:/
Spring Security实现接口基于路径的动态权限控制
荔枝当大佬的博客
10-24 1754
在荔枝之前的一篇博客中,已经对Spring Security的鉴证授权的相关知识进行了梳理,弄清楚了为什么使用JWT以及用户登录后台执行的相关的鉴证授权的逻辑。在下面的文章中荔枝主要是补充梳理一下在真实的项目中如何使用Spring Security来实现接口动态权限控制的功能。
SpringSecurity: 授权和修改User配置角色权限,修改loadUserByUsername方法,修改SpringSecurity配置类,控制Controller层接口权限,异常处理
qq_73126462的博客
01-22 1729
以用户所属角色为基础进行授权,如管理员、普通用户等,通过为用户分配角色来控制其对资源的访问权限。:以资源为基础进行授权,如 URL、方法等,通过定义资源所需的权限,来控制对该资源的访问权限Spring Security 提供了多种实现授权的机制,最常用的是使用基于注解的方式,建立起访问资源和权限之间的映射关系。其中最常用的两个注解是@Secured和。@Secured注解是更早的注解,基于角色的授权比较适用,基于SpEL表达式的方式,可灵活定义所需的权限,通常用于基于资源的授权。
Spring Security系列教程23--Spring Security的四种权限控制方式
一一哥
10-26 1727
前言 在前面的章节中,一一哥 已经给大家介绍了Spring Security的很多功能,在这些众多功能中,我们知道其核心功能其实就是 认证+授权。在前面我们分别基于内存模型、基于默认的数据库模型、基于自定义数据库模型实现了认证和授权功能,但是不管哪种方式,我们对某个接口的拦截限制,都是通过编写一个SecurityConfig配置类,在该类的configure(HttpSecurity http)方法中,通过http.authorizeRequests().antMatchers("/admin/**").
springsecurity的学习(四):实现授权
最新发布
weixin_45037073的博客
08-13 952
springsecurity的授权,自定义授权失败的处理,跨域的处理和自定义权限校验方法的介绍
Spring Security怎么给方法配置权限的?
bangiao的博客
06-06 1469
目前在Spring Boot中基于方法的权限管理主要是通过注解来实现,我们需要通过:开启Spring Security提供的四个权限注解,以及@PreFilter,这四个注解支持权限表达式,功能比较丰富。:开启Spring Security提供的@Secured注解,该注解不支持权限表达式。:开启JSR-250提供的注解,主要包括@DenyAll@PermitAll以及三个注解,这些注解也不支持权限表达式。:在目标方法执行之后进行权限校验。:在目标方法执行之后对方法的返回结果进行过滤。
【第1期】SpringSecurity基于角色权限的细粒度接口权限控制
朱晓龙的博客
12-13 1240
从零到一开发上线前后端资源平台,技术栈:Springboot+SpringSecurity+RSA+JWT+Redis+VUE
SpringSecurity——基于SpringSpringMVC和MyBatis自定义SpringSecurity权限认证规则
weixin_30537391的博客
12-20 207
本文在SpringMVC和MyBatis项目框架的基础上整合Spring Security作为权限管理。并且完全实现一套自定义的权限管理规则。 1.权限管理 在本例中所使用的权限管理的思路如下图所示,在系统中存在着许多帐号,同时存在着许多资源,在一个Web系统中一个典型的资源就是访问页面的URL,控制了这个就能够直接控制用户的访问权。 由于资源非常多,直接针对资源与用户进行设置关系会比...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值