Spring Security 控制授权

最新推荐文章于 2024-08-13 03:34:05 发布
最新推荐文章于 2024-08-13 03:34:05 发布
阅读量221 收藏
点赞数
分类专栏: Spring Security 文章标签: spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39869513/article/details/105319009
版权

Spring Security 控制授权基本原理

Spring Security 在安全认证的过程中,通过一系列的过滤器一层层对登录用户的身份进行认证。而关于权限认证的过滤器则在整个过滤器链的最后,是Spring Security整个认证过程的最后一道关卡,这个过滤器就是 FilterSecurityInterceptor
在这里插入图片描述

控制授权流程源码解析

服务请求被 FilterSecurityInterceptor拦截后,

  1. 加载SecurityConfig安全配置,比如在HttpSecurity中的配置信息,
  2. 通过SecurityContextHolder加载登录用户的个人信息。
  3. 把安全配置信息,用户个人信息,登录请求信息交给AccessDecisionManager进行处理
  4. AccessDecisionManager调用AccessDecisionVoter进行投票处理,只要一票未过,则抛出异常,认证未通过
  5. 认证通过,则进行接口调用
    在这里插入图片描述

权限表达式

Spring Security通过权限表达式进行权限配置
在这里插入图片描述

权限模块实现思路

  • AuthorizeConfigProvider:授权配置提供器,各个模块和业务系统可以通过实现此接口向系统添加授权配置。
  • AuthorizeConfigManager:授权信息管理器,用于收集系统中所有 AuthorizeConfigProvider 并加载其配置
    实现思路
    权限模块一般是基于RBAC(Role-Based Access Control )模型进行设计。每个模块可以通过实现AuthorizeConfigProvider接口自定义权限验证逻辑,最后交由 AuthorizeConfigManager实现类进行授权配置管理。每个应用通过实现权限模块和业务模块完成权限认证。
    在这里插入图片描述

实现代码

/**
 * 授权配置提供器,各个模块和业务系统可以通过实现此接口向系统添加授权配置。
 * 
 */
public interface AuthorizeConfigProvider {
	
	/**
	 * @param config
	 * @return 返回的boolean表示配置中是否有针对anyRequest的配置。在整个授权配置中,
	 * 应该有且仅有一个针对anyRequest的配置,如果所有的实现都没有针对anyRequest的配置,
	 * 系统会自动增加一个anyRequest().authenticated()的配置。如果有多个针对anyRequest
	 * 的配置,则会抛出异常。
	 */
	boolean config(ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry config);

}

/**
 * 授权信息管理器
 * 用于收集系统中所有 AuthorizeConfigProvider 并加载其配置
 *
 */
public interface AuthorizeConfigManager {
	
	/**
	 * @param config
	 */
	void config(ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry config);

}

/**
 * 核心模块的授权配置提供器,安全模块涉及的url的授权配置在这里。
 *
 */
@Component
@Order(Integer.MIN_VALUE) //设置调用顺序优先
public class ImoocAuthorizeConfigProvider implements AuthorizeConfigProvider {

	@Autowired
	private SecurityProperties securityProperties;

	@Override
	public boolean config(ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry config) {
		config.antMatchers(SecurityConstants.DEFAULT_UNAUTHENTICATION_URL,
				SecurityConstants.DEFAULT_SIGN_IN_PROCESSING_URL_MOBILE,
				SecurityConstants.DEFAULT_SIGN_IN_PROCESSING_URL_OPENID,
				SecurityConstants.DEFAULT_VALIDATE_CODE_URL_PREFIX + "/*",
				securityProperties.getBrowser().getSignInPage(), 
				securityProperties.getBrowser().getSignUpUrl(),
				securityProperties.getBrowser().getSession().getSessionInvalidUrl()).permitAll();

		if (StringUtils.isNotBlank(securityProperties.getBrowser().getSignOutUrl())) {
			config.antMatchers(securityProperties.getBrowser().getSignOutUrl()).permitAll();
		}
		return false;
	}

}

/**
 * 默认的授权配置管理器,再整个的授权中最后调用
 * 
 */
@Component
public class ImoocAuthorizeConfigManager implements AuthorizeConfigManager {

	//启动后会自动注入所有AuthorizeConfigProvider实现类的Bean
	@Autowired
	private List<AuthorizeConfigProvider> authorizeConfigProviders;

	/* (non-Javadoc)
	 * @see com.imooc.security.core.authorize.AuthorizeConfigManager#config(org.springframework.security.config.annotation.web.configurers.ExpressionUrlAuthorizationConfigurer.ExpressionInterceptUrlRegistry)
	 */
	@Override
 	public void config(ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry config) {
		boolean existAnyRequestConfig = false;
		String existAnyRequestConfigName = null;
		
		for (AuthorizeConfigProvider authorizeConfigProvider : authorizeConfigProviders) {
			boolean currentIsAnyRequestConfig = authorizeConfigProvider.config(config);
			if (existAnyRequestConfig && currentIsAnyRequestConfig) {
				throw new RuntimeException("重复的anyRequest配置:" + existAnyRequestConfigName + ","
						+ authorizeConfigProvider.getClass().getSimpleName());
			} else if (currentIsAnyRequestConfig) {
				existAnyRequestConfig = true;
				existAnyRequestConfigName = authorizeConfigProvider.getClass().getSimpleName();
			}
		}
		if(!existAnyRequestConfig){
			config.anyRequest().authenticated();
		}
	}

}

/**
 * 权限模块授权配置
 */
@Component
@Order(Integer.MAX_VALUE) //控制anyRequest()要放在最后
public class RbacAuthorizeConfigProvider implements AuthorizeConfigProvider {

	/* (non-Javadoc)
	 * @see com.imooc.security.core.authorize.AuthorizeConfigProvider#config(org.springframework.security.config.annotation.web.configurers.ExpressionUrlAuthorizationConfigurer.ExpressionInterceptUrlRegistry)
	 */
	@Override
	public boolean config(ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry config) {
		config
			.antMatchers(HttpMethod.GET, "/fonts/**").permitAll()
			.antMatchers(HttpMethod.GET, 
					"/**/*.html",
					"/admin/me",
					"/resource").authenticated()
			.anyRequest()
				.access("@rbacService.hasPermission(request, authentication)");//具体的鉴权逻辑
		return true;
	}

}

/**
 * 具体的鉴权逻辑
 */
@Component("rbacService")
public class RbacServiceImpl implements RbacService {

	private AntPathMatcher antPathMatcher = new AntPathMatcher();

	@Override
	public boolean hasPermission(HttpServletRequest request, Authentication authentication) {
		Object principal = authentication.getPrincipal();

		boolean hasPermission = false;

		if (principal instanceof Admin) {
			//如果用户名是admin,就永远返回true
			if (StringUtils.equals(((Admin) principal).getUsername(), "admin")) {
				hasPermission = true;
			} else {
				// 读取用户所拥有权限的所有URL
				Set<String> urls = ((Admin) principal).getUrls();
				for (String url : urls) {
					if (antPathMatcher.match(url, request.getRequestURI())) {
						hasPermission = true;
						break;
					}
				}
			}
		}

		return hasPermission;
	}

}
呈大侠
关注
专栏目录
Spring Security 控制授权的方法
08-27
Spring Security 控制授权的方法 Spring Security 控制授权的方法是指在 Spring Security 框架中对访问控制的实现方法,该方法通过使用授权表达式来控制访问权限。下面将详细介绍 Spring Security 控制授权的方法。...
Spring Boot整合Security系列步骤及问题排查(十五)—— 静态授权管理
成长笔记
04-03 558
角色授权管理可通过框架配置: // 1.可以指定请求方法、路径匹配、所需角色 .antMatchers(HttpMethod.POST,"/user/*").hasRole("ADMIN") // 如果配置hasRole,对应userDetailService授权时入参为"ROLE_ADMIN",因为在验证时框架会拼接"ROLE_"前缀,完成匹配 // 2.多个权限判断联合使用时可用权限表达式,如...
Gateway+Security+JWT统一鉴权
qq_44791510的博客
11-14 571
之前做的客户信息管理系统太简陋了,就先写了一个交差(小公司的好处:想怎么写就怎么写),现在有时间了也看了一些分布式的教学视频,就想着用spring cloud重构一遍,完善下,也能看看是不是把cloud了解了。
springsecurity的学习(四):实现授权
最新发布
weixin_45037073的博客
08-13 994
springsecurity授权,自定义授权失败的处理,跨域的处理和自定义权限校验方法的介绍
Spring Security OAuth2笔记系列】- Security控制授权- 基于数据库Rbac数据模型控制权限
代码有毒的博客
08-31 4096
基于数据库Rbac数据模型控制权限 前面都是讲的怎么在权限规则基本不变的情况下,怎么写代码控制权限; 这一节要实现内管系统的场景; 这些所有的信息都必须存在数据库中。因为变动频繁,员工离职、部门调动,新增权限等; 通用RBAC数据模型 Role-Based-Access Control 通常由三直系表,两张关系表 对于资源表:存储数据的表现是 某一个url的别名是菜单或则按钮...
三、Spring Security认证和授权-授权流程及源码解析
STIll_ly的博客
10-05 1724
上期我们学习了基于UsernamePasswordAuthenticationFilter的表单认证,接下来我们将对Spring Security授权相关知识点进行介绍并进行源码级解析。认证和授权是两个密不可分的好基友,只认证不授权,系统将不知道用户有哪些权限,能进行哪些操作。就像是一个公司只设置了门卫,只要是本公司职员就能进入(认证过程),但是没有明确的规章制度和上下级关系,进入公司以后具体有哪些权利和义务没人知道(授权),将导致公司陷入混乱无法运转。 一、授权表达式 Spring Security允许我
【转载】spring-security-oauth2 (二十七) Spring Security 权限表达式
yxbmail_2010的博客
12-23 465
权限表达式 通过源码分析可知,最终的配置都会转成ExpressionUrlAuthorizationConfigurer.AuthorizedUrl并进行投票决定。 常见表达式如下: 如何写联合表达式呢?就是既满足A条件,也满足B条件 .antMatchers("xx").access("hasRole(...
Spring security认证授权
11-30
Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架,用于Java应用程序。它提供了全面的安全解决方案,包括用户认证、权限授权、会话管理、CSRF防护以及基于HTTP的访问控制。在这个例子中,我们将...
spring security 认证授权实现
10-14
总的来说,这个项目提供了一个现成的Spring Security认证授权框架,结合了JWT、Redis集群和MyBatis-Plus技术,使得开发者能够快速构建安全的、有权限控制的Web应用,同时省去了复杂的配置和实现步骤。然而,对于...
springboot springsecurity动态权限控制
09-18
在这个“springboot springsecurity动态权限控制”的主题中,我们将深入探讨如何在Spring Boot项目中集成Spring Security,实现动态权限控制,让菜单权限的管理更加灵活和高效。 首先,我们需要理解Spring Security...
SpringSecurity权限控制实现原理解析
08-24
SpringSecurity 权限控制实现原理解析 ...SpringSecurity 权限控制实现原理是通过使用注解和配置文件来实现的,包括身份验证、授权、访问控制等。通过使用 SpringSecurity,可以确保应用程序的安全性和可靠性。
[原创]SpringSecurity控制授权(鉴权)功能介绍
weixin_30701575的博客
05-04 641
1.spring security 过滤器链 ​ spring security中的除了用户登录校验相关的过滤器,最后还包含了鉴权功能的过滤器,还有匿名资源访问的过滤器链,相关的图解如下: 2.控制授权的相关类 ​ 这里是整个spring security的过滤器链中的授权流程中控制权限的类的相关图示: ​ 这里主要是从AccessDecisionVoter的投票者(译称)把信息传递给投票管理...
SpringSecurity授权
Littewood的博客
07-24 3438
SpringSecurity授权介绍
Spring security授权
ChatYU的博客
12-23 3110
基于角色的授权:以用户所属角色为基础进行授权,如管理员、普通用户等,通过为用户分配角色来控制其对资源的访问权限。基于资源的授权:以资源为基础进行授权,如 URL、方法等,通过定义资源所需的权限,来控制对该资源的访问权限。Spring Security 提供了多种实现授权的机制,最常用的是使用基于注解的方式,建立起访问资源和权限之间的映射关系。其中最常用的两个注解是@Secured和。@Secured注解是更早的注解,基于角色的授权比较适用,基于SpEL。
SpringSecurity授权
weixin_51992178的博客
10-23 1309
用户登录后会根据用户的身份进行角色划分,比如登录图书馆系统,一般就有管理员和普通学生等不同角色。用户的一个操作实际上就是在访问我们提供的`接口`(编写的对应访问路径的 Servlet),比如登陆,就需要调用`/login`接口,退出登陆就要调用/`logout`接口,因此,决定用户能否使用某个功能,只需要决定用户是否能够访问对应的 Servlet。
SpringSecurity授权
小钟不想敲代码
05-28 5596
SpringSecurity授权
认证授权-SpringSecurity
木子Teng的博客
01-11 1554
如何实现授权?业界通常基于 RBAC 模型(Role-Based Access Control -> 基于角色的访问控制)实现授权。RBAC 认为授权实际就是who,what,how三者之间的关系(3W),即 who 对 what 进行 how 的操作。Spring Security 是为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架(包含: 认证 , 授权两个方面)。
Spring Security怎么给你授权
bangiao的博客
02-03 357
对了最后再强调一遍, 角色继承和动态权限有冲突, 如果我们的权限 角色 用户 都从数据库读取的话, 那么角色继承将会失效, 这点需要注意, 都能从数据库中修改了, 何必还搞什么角色继承紧接着就是 授权的方式, 一个是 基于过滤器, 另一个是基于 AOP 实现, 说白了, 一个是 URL 粗颗粒度, 另一个是方法, 细颗粒度。
SpringSecurity学习(七)授权
Huathy的博客
03-15 2154
SpringSecurity:认证与授权,基于URL的权限管理、基于方法的权限管理。权限表达式、授权原理分析。授权实战——权限模型
Spring Security实现Oauth2授权详解
在设置Spring Security Oauth2时,我们需要添加相应的Maven依赖,如`spring-boot-starter-web`用于Web支持,`jackson-datatype-joda`用于JSON序列化,以及`thymeleaf-extras-springsecurity4`为Thymeleaf模板引擎...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值