spring boot security(二)权限验证

最新推荐文章于 2024-04-17 11:33:08 发布
最新推荐文章于 2024-04-17 11:33:08 发布
阅读量404 收藏
点赞数
分类专栏: SpringBoot/Cloud
原文链接:https://editor.csdn.net/md?articleId=104631873
版权
一、搭建一个验证服务

Spring Boot Security 详解

1.几个重要接口实现

User类实现了UserDetails 接口,该接口是实现Spring Security 认证信息的核心接口。其中 getUsername方法为 UserDetails 接口 的方法,这个方法返回 username,也可以是其他的用户信息,例如手机号、邮箱等。getAuthorities() 方法返回的是该用户设置的权限信息,在本实例中,从数据库取出用户的所有角色信息,权限信息也可以是用户的其他信息,不一定是角色信息。另外需要读取密码,最后几个方法一般情况下都返回 true,也可以根据自己的需求进行业务判断。

Role 类实现了 GrantedAuthority 接口,并重写 getAuthority() 方法。权限点可以为任何字符串,不一定非要用角色名。

所有的Authentication实现类都保存了一个GrantedAuthority列表,其表示用户所具有的权限。GrantedAuthority是通过AuthenticationManager设置到Authentication对象中的,然后AccessDecisionManager将从Authentication中获取用户所具有的GrantedAuthority来鉴定用户是否具有访问对应资源的权限。

Service 层需要实现UserDetailsService 接口,该接口是根据用户名获取该用户的所有信息, 包括用户信息和权限点
查询user信息时,需要调用user.setAuthorities( roles )设置角色权限信息,与AccessDecisionManager接口中实现的decide方法做对应实现权限验证。

2.配置权限验证
2.1 FilterInvocationSecurityMetadataSource 用来存储请求和权限的对应关系

FilterInvocationSecurityMetadataSource接口有3个方法:

  • boolean supports(Class<?> clazz):指示该类是否能够为指定的方法调用或Web请求提供ConfigAttributes。
  • Collection getAllConfigAttributes():Spring容器启动时自动调用, 一般把所有请求与权限的对应关系也要在这个方法里初始化, 保存在一个属性变量里。
  • Collection getAttributes(Object object):当接收到一个http请求时, filterSecurityInterceptor会调用的方法. 参数object是一个包含url信息的HttpServletRequest实例. 这个方法要返回请求该url所需要的所有权限集合。
2.2 AccessDecisionManager

AccessDecisionManager是由AbstractSecurityInterceptor调用的,它负责鉴定用户是否有访问对应资源(方法或URL)的权限。

2.3 AbstractSecurityInterceptor

每种受支持的安全对象类型(方法调用或Web请求)都有自己的拦截器类,它是AbstractSecurityInterceptor的子类,AbstractSecurityInterceptor 是一个实现了对受保护对象的访问进行拦截的抽象类

AbstractSecurityInterceptor的机制可以分为几个步骤:

  • 查找与当前请求关联的“配置属性(简单的理解就是权限)”
  • 将 安全对象(方法调用或Web请求)、当前身份验证、配置属性 提交给决策器(AccessDecisionManager)
  • (可选)更改调用所根据的身份验证
  • 允许继续进行安全对象调用(假设授予了访问权)
  • 在调用返回之后,如果配置了AfterInvocationManager。如果调用引发异常,则不会调用AfterInvocationManager。

AbstractSecurityInterceptor中的方法说明:

  • beforeInvocation()方法实现了对访问受保护对象的权限校验,内部用到了AccessDecisionManager和AuthenticationManager;
  • finallyInvocation()方法用于实现受保护对象请求完毕后的一些清理工作,主要是如果在beforeInvocation()中改变了SecurityContext,则在finallyInvocation()中需要将其恢复为原来的SecurityContext,该方法的调用应当包含在子类请求受保护资源时的finally语句块中。
  • afterInvocation()方法实现了对返回结果的处理,在注入了AfterInvocationManager的情况下默认会调用其decide()方法。
2.4 SecurityConfig

  • @EnableWebSecurity注解以及WebSecurityConfigurerAdapter一起配合提供基于web的security。自定义类 继承了WebSecurityConfigurerAdapter来重写了一些方法来指定一些特定的Web安全设置。

  • 当配置EnableGlobalMethodSecurity(prePostEnabled = true)时,Spring Security会启用方法权限控制。

  • @PreAuthorize(“hasRole(‘ADMIN’)”)方法权限控制。@PreAuthorize使用Spring Expression Language来描述方法权限。本例子为当用户有ADMIN权限时,才能访问。

3.核心组件介绍-内置流程-过滤器

参考地址:https://blog.csdn.net/qq_36095679/article/details/92625701
认证架构(流程)
架构概述
过滤器机制

最爱白嫖 O(∩_∩)O
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Boot Security 2.5.8 实现账号、手机号、邮件登录,记住密码等功能
11-13
Spring Boot Security 2.5.8 是一个强大的框架,用于为Spring Boot应用程序提供安全控制,包括身份验证和授权。在2.5.8版本中,它增强了灵活性和易用性,使得开发者能够轻松地实现复杂的安全需求。在这个项目中,...
SpringSecurity】五、UserDetails接口和UserDetailsService接口(原理、流程)
llg___的博客
08-23 2853
接下来自己定义一个用户类SecurityUser类,也去实现UserDetails接口,重写UserDetails接口方法时,直接写死一个用户信息,一会儿new这个自定义的SecurityUser类,也就和上面的User.builder一个意思。重写loadUserByUsernam方法,并当用户名等于自定义的SecurityUser对象中的用户名时,返回SecurityUser对象。查看User类的源码,其实现了UserDetails接口,因此上面才可以直接创建User对象。重启服务,登录下,一切正常。
Spring SecurityuserDetailsService用户认证以及授权
horinjsor的博客
06-01 2453
Spring安全框架
SpringBoot:切面AOP实现权限校验:实例演示与注解全解
最新发布
weixin_42179304的博客
04-17 1032
包名:表示需要拦截的包名,后面的两个句点表示当前包和当前包的所有子包,在本例中指 com.mutest.controller包、子包下所有类的方法。用户请求的 url 为:http://localhost:8080/aop/name,ip地址为:0:0:0:0:0:0:0:1。):这个星号表示方法名,* 表示所有的方法,后面括弧里面表示方法的参数,两个句点表示任何参数。注解相对应,指定的方法在切面切入目标方法之后执行,也可以做一些完成某方法之后的 Log 处理。的值必须要和参数保持一致,否则会检测不到。
Spring Security:授权GrantedAuthority介绍
kaven
01-06 6950
在之前的博客中,已经介绍了Spring Security的用户UserDetails、用户服务UserDetailsService和密码编码器PasswordEncoder,它们都是用于验证用户的身份,而GrantedAuthority则表示用户验证通过后被授予的权限(可能授予多种权限),本篇博客介绍GrantedAuthority接口及其实现类。 Spring Security:用户UserDetails源码与Debug分析 Spring Security:用户服务UserDetailsService
Spring Security-GrantedAuthority已授予的权限权限检查
西京刀客
09-18 1614
Spring Security 【详解】GrantedAuthority(已授予的权限) 参考URL: https://www.cnblogs.com/longfurcat/p/9417422.html GrantedAuthority接口 我们知道UserDeitails接口里面有一个getAuthorities()方法。这个方法将返回此用户的所拥有的权限。这个集合将用于用户的访问控制,也就是Authorization。 所谓权限,就是一个字符串。一般不会重复。 所谓权限检查,就是查看用户权限列表中是否
Spring Security(15)——权限鉴定结构
dotedy的博客
10-16 2606
Spring Security角色继承AffirmativeBasedVoter权限鉴定 权限鉴定结构 目录 1.1      权限 1.2      调用前的处理 1.2.1     AccessDecisionManager 1.2.2     基于投票的AccessDecisionManager实现 1.3      调用后的处理 1.4      角色的继承
spring boot jpa security
05-08
Spring Boot JPA与Security是两个在Java开发领域中极为重要的技术框架,它们分别专注于数据访问和应用程序的安全管理。本文将深入探讨这两个框架的核心概念、如何整合使用以及在实际项目中的应用。 Spring Boot是由...
spring boot +spring security+thymeleaf实现权限
08-25
在本文中,我们将深入探讨如何使用Spring BootSpring Security和Thymeleaf这三个强大的Java技术栈组件来实现一个全面的权限管理系统,同时涵盖Remember-Me功能。Spring Boot简化了Spring应用的开发,Spring ...
springboot整合springsecurity、jwt权限验证
08-10
该资源包整合基于springboot整合springsecurity结合jwt做权限验证、配置完善,可以直接作为项目的基础框架集成使用使用mybatis作为持久层框架,基础框架搭建完成,只需要写业务代码集合,便于快捷开发。
Spring Boot 结合 Security 实现用户登录和权限控制
04-02
在本文中,我们将深入探讨如何使用Spring BootSpring Security整合,以实现在Web应用程序中的用户登录功能以及基于角色的权限控制。Spring Boot以其简洁的配置和开箱即用的特性,使得开发人员能够快速构建应用,而...
【详解】Spring SecurityGrantedAuthority(已授予的权限
热门推荐
蔡小波的博客
06-10 1万+
转自:https://www.cnblogs.com/longfurcat/p/9417422.html 感谢大佬 前言   这篇是很久之前学习Spring Security整理的博客,发现浏览量都1000多了,一个赞都没有,那说明写得确实不怎么样,哈哈。应该很多初学者对这个接口存在疑问,特别是如果学习这个框架之前还了解过Shiro,可能会因为这两个框架角色、权限的表示方式,产生困惑。现在重新整理一下。 GrantedAuthority接口 我们知道UserDeitails接口里面有一...
Spring Security--基于表达式的访问控制 access的使用
我和井盖都笑了博客
04-05 5088
文章目录    基于表达式的访问控制      1 access()方法使用      1.1 以 hasRole 和 permitAll 举例       2 使用自定义方法&n...
Springboot整合Security实现登录权限验证
java_zhaoyu的博客
10-12 9375
绪:              通过这个查,参照别人的demo实现了security权限认证,可能有些地方写的不对,供参考!希望对你有帮助 本文参照 https://www.cnblogs.com/ealenxie/p/9293768.html 一.配置     1.pom配置 &lt;?xml version="1.0" encoding="UTF-8"?&gt; &lt;proje...
SpringSecurity学习笔记之 入门 八 (Access表达式权限控制&注解权限控制)
m0_49194578的博客
08-10 964
uri通过传参导入请求数据以及权限信息,导出数据进行逻辑判断
spirng框架之spring security使用access()方法实现RBAC权限模型(另包涵简单动态菜单实现)
u011529483的博客
03-27 1490
spirng框架之spring security使用access()方法实现RBAC权限模型(另包涵简单动态菜单实现)
Spring security 中 access 所有类型以及security 配置文件中的写法和文件头学习总结
weixin_44131922的博客
04-15 1238
以下均处于非spring Boot项目中的配置 文件头 spring-security.xml 中文件最外层的命名 <?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/schema/beans" xmlns:security="http://www.springframework.org/schema/security" xmlns:xsi="h
SpringSecurity系列——其他的权限控制,基于access表达式的权限控制day6-2(源于官网5.7.2版本)
qq_51553982的博客
07-27 426
当然我们也可以自定义access表达式来完成自定义的权限控制}}
【解决】分析SpringSecurity访问请求权限不足AccessDeniedException问题
sunao1106的博客
08-13 6136
> 该方法中首先调用了`this.obtainSecurityMetadataSource().getAttributes(object)`方法,通过当前请求路径获取到**访问该请求所需要的权限**(object是上一步调用传过来的参数,封装了我们请求路径的一些信息)。.........
写一段Spring Boot 集成 Security权限验证的代码
03-29
以下是一个示例Spring Boot应用程序中集成Spring Security权限验证的代码。 1.添加依赖 在pom.xml文件中添加以下依赖: ``` <groupId>org.springframework.boot <artifactId>spring-boot-starter-security ``...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值