Spring Security——基于读写锁的动态权限配置FilterInvocationSecurityMetadataSource实现类

最新推荐文章于 2024-08-30 14:52:53 发布
最新推荐文章于 2024-08-30 14:52:53 发布
阅读量1.2k 收藏 3
点赞数
分类专栏: # Java 文章标签: JAVA Spring Security 读写锁 动态权限
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43272781/article/details/115116493
版权

问题描述

每次都加载资源,效率低下。

解决方案

/**
 * @author ShenTuZhiGang
 * @version 1.2.0
 * @date 2020-03-07 21:57
 */
@Slf4j
@Component
public class CustomFilterInvocationSecurityMetadataSource
        implements FilterInvocationSecurityMetadataSource {

    private final IResourceService iResourceService;

    private final IRoleService iRoleService;

    private final AntPathMatcher antPathMatcher = new AntPathMatcher();

    private final Map<RequestMatcher, Collection<ConfigAttribute>> requestMap = new HashMap<>();
    /**
     * 适用于很多线程从一个数据结构读取数据而很少的线程修改其中数据
     */
    ReentrantReadWriteLock rwl = new ReentrantReadWriteLock();
    /**
     * 该锁可以被多个读操作共用的读锁,但会排斥写操作
     */
    Lock readLock = rwl.readLock();
    /**
     * 该锁排斥所有其他的读操作和写操作
     */
    Lock writeLock = rwl.writeLock();

    public CustomFilterInvocationSecurityMetadataSource(IResourceService iResourceService,
                                                        IRoleService iRoleService) {
        this.iResourceService = iResourceService;
        this.iRoleService = iRoleService;
        this.loadResourcePermission();
    }

    /**
     * 加载权限
     */
    private void loadResourcePermission() {
        writeLock.lock(); //locks all readers and writers
        try{
            // do write data
            log.info("加载权限");
            requestMap.clear();
            List<Resource> resources = iResourceService.list();
            for (Resource resource : resources) {
                List<Role> roles = iRoleService.listRoleBySid(resource.getId());
                String[] roleArr = new String[roles.size()];
                for (int i = 0; i < roleArr.length; i++) {
                    roleArr[i] = roles.get(i).getName();
                }
                requestMap.put(new AntPathRequestMatcher(resource.getPattern()),
                        SecurityConfig.createList(roleArr));
            }
        }finally {
            writeLock.unlock();
        }
    }

    /**
     * 权限重载
     */
    public void resetResourcePermission(){
        log.info("权限重载");
        loadResourcePermission();
    }

    @Override
    public Collection<ConfigAttribute> getAttributes(Object o) throws IllegalArgumentException {
        Set<ConfigAttribute> attributes = new HashSet<>();
        readLock.lock(); //blocks writers only
        try{
            //there should be data now
            final HttpServletRequest request = ((FilterInvocation) o).getRequest();
            for (Map.Entry<RequestMatcher, Collection<ConfigAttribute>> entry : requestMap
                    .entrySet()) {
                if (entry.getKey().matches(request)) {
                    attributes.addAll(entry.getValue());
                }
            }
        }finally {
            readLock.unlock();
        }
//        final String requestUrl = ((FilterInvocation) o).getRequestUrl();
//        List<Resource> resources = iResourceService.list();
//        Set<ConfigAttribute> attributes = new HashSet<>();
//        for (Resource resource : resources) {
//            if (antPathMatcher.match(resource.getPattern(), requestUrl)) {
//                List<Role> roles = iRoleService.listRoleBySid(resource.getId());
//                if (roles.size() > 0) {
//                    String[] roleArr = new String[roles.size()];
//                    for (int i = 0; i < roleArr.length; i++) {
//                        roleArr[i] = roles.get(i).getName();
//                    }
//                    attributes.addAll(SecurityConfig.createList(roleArr));
//                }
//            }
//        }
        if (attributes.size() == 0) {
            attributes.addAll(SecurityConfig.createList("ROLE_LOGIN"));
        }
        return attributes;
    }

    @Override
    public Collection<ConfigAttribute> getAllConfigAttributes() {
        Set<ConfigAttribute> allAttributes = new HashSet<>();
        readLock.lock(); //blocks writers only
        try{
            for (Map.Entry<RequestMatcher, Collection<ConfigAttribute>> entry : requestMap
                    .entrySet()) {
                allAttributes.addAll(entry.getValue());
            }
        }finally {
            readLock.unlock();
        }
        return allAttributes;
    }

    @Override
    public boolean supports(Class<?> aClass) {
        return FilterInvocation.class.isAssignableFrom(aClass);
    }
}

参考文章

Spring Boot2 总结(四) Spring Security 动态权限配置

Starzkg
关注
专栏目录
Spring Security 6.x 系列(2)—— 基于过滤器的基础原理(一)
gmHappy
10-31 2万+
`Spring Security` 的 `Servlet` 支持基于 `Servlet` 过滤器,因此首先了解过滤器的作用会很有帮助。
Spring Security 6.x 系列(4)—— 基于过滤器链的源码分析(一)
gmHappy
11-01 2万+
`Spring Security`默认的配置是由 `SecurityAutoConfiguration` 、 `UserDetailsServiceAutoConfiguration`、`SecurityFilterAutoConfiguration`这三个自动配置实现的。
自定义实现FilterInvocationSecurityMetadataSource时自动注入空指针异常
燕雷的博客
04-25 1万+
public class MyInvocationSecurityMetadataSourceService implements FilterInvocationSecurityMetadataSource { @Autowired private IResourceDao resourceDao; //&lt;资源,权限列表&gt;存储所有资源与权限 private stati...
Spring Security动态配置资源权限
最新发布
weixin_34278711的博客
08-30 778
Spring Security实现通过数据库动态配置url资源权限,需要通过配置验证过滤器来实现资源权限的加载、验证。系统启动时,到数据库加载系统资源权限列表,当有请求访问时,通过对比系统资源权限列表和用户资源权限列表(在用户登录时添加到用户信息中)来判断用户是否有该url的访问权限
FilterInvocationSecurityMetadataSource 接口
qq_60458298的博客
03-25 990
这样,当用户发起请求时,Spring Security 将从 securityMetadataSource 中获取该请求所需的访问控制元数据,并根据这些元数据进行访问控制。总结来说,FilterInvocationSecurityMetadataSource 接口用于获取指定请求所需的访问控制元数据,实现负责根据请求 URL,从数据库或其他外部数据源中获取相应的访问控制元数据,并将其放置到 Spring Security 的全局缓存中供后续使用。
FilterInvocationSecurityMetadataSource方法使用
java牛牛的博客
02-06 1万+
1.Collection getAttributes(Object object) throws IllegalArgumentException; 获取某个受保护的安全对象object的所需要的权限信息,是一组ConfigAttribute对象的集合,如果该安全对象object不被当前SecurityMetadataSource对象支持,则抛出异常IllegalArgumentException...
spring security自定义权限拦截FilterInvocationSecurityMetadataSource
热门推荐
lichuangcsdn的博客
07-08 2万+
一般情况下,我们如果需要自定义权限拦截,则需要涉及到FilterInvocationSecurityMetadataSource这个接口了。 这里有个坑爹的地方。如果用户未登录,但是已经设置了拦截白名单的URL,仍然会进入到权限验证里面来。起初,我以为不会进来,但后来跟踪源代码发现,还是会进来。只是此时的身份是一个匿名用户。其默认的实现为DefaultFilterInvocationSecuri...
关于每次请求都要执行两个,即经过重写FilterInvocationSecurityMetadataSource的getAttributes()方法
weixin_42947972的博客
02-26 861
关于每次请求都要执行两个,即经过重写FilterInvocationSecurityMetadataSource的getAttributes()方法 执行两次的方法 @Override public Collection<ConfigAttribute> getAttributes(Object object) throws IllegalArgumentException { //获取请求地址 String requestUrl = ((FilterI
Spring Security 6.x 系列(1)—— 初识Spring Security
gmHappy
10-05 2万+
`Spring Security`作为一个功能完善的安全框架,具有以下特性: - **认证(Authentication)**:解决 "你是谁" 的问题,验证系统中是否有这个“用户”(用户/设备/系统),也就是我们常说的“登录”。 - **授权(Authorization)**:权限控制/鉴别,解决的是系统中某个用户能够访问哪些资源,即“你能干什么”的问题。`Spring Security` 支持基于 `URL` 的请求授权、方法访问授权、对象访问授权。
Spring Security 6.x 系列(8)—— SecurityConfigurer 配置器及其分支实现源码分析(一)
gmHappy
12-01 1万+
`SecurityConfigurer` 的所有实现都是用来配置构造器的。也就是说,泛型中 O 和 B 的关系是,B 用来构造 O。而配置器的作用是配置这个构造器的,从而影响最终构造的结果。
Spring Security 6.x 系列(10)—— SecurityConfigurer 配置器及其分支实现源码分析(二)
gmHappy
12-08 1万+
`SecurityConfigurerAdapter`它是`SecurityConfigurer`的基,它允许子实现它们感兴趣的方法。它还提供了使用 `SecurityConfigurer`以及完成后获取正在配置的`SecurityBuilder`(构造器)的访问权限的机制。 `SecurityConfigurerAdapter` 的实现主要有三大: - `UserDetailsAwareConfigurer` - `AbstractHttpConfigurer`
spring-security下的权限设置
lixing123123的博客
07-03 188
工具 idea 2018.2 moven 3.6 mysql 5.5 JDK1.8 tomcat 8.0 基于spring-security框架下实现 一、导入jar包 导入spring-security的版本和依赖 版本 <spring.security.version>5.0.1.RELEASE</spring.security.version>...
Spring Security怎么给方法配置权限的?
bangiao的博客
06-06 1504
目前在Spring Boot中基于方法的权限管理主要是通过注解来实现,我们需要通过:开启Spring Security提供的四个权限注解,以及@PreFilter,这四个注解支持权限表达式,功能比较丰富。:开启Spring Security提供的@Secured注解,该注解不支持权限表达式。:开启JSR-250提供的注解,主要包括@DenyAll@PermitAll以及三个注解,这些注解也不支持权限表达式。:在目标方法执行之后进行权限校验。:在目标方法执行之后对方法的返回结果进行过滤。
spring security 3.0配制
ystar9的博客
08-12 518
前言     南朝《述异记》中记载,晋王质上山砍柴,见二童子下棋,未看完,斧柄已烂,下山回村,闻同代人都去世了,自已还未变老。    因此发出“山中方一日,世上几千年” 的慨叹。原文寥寥几笔,读来却发人深省。     另有宋朝周敦颐在《暮春即事》中也有诗云:双双瓦雀行书案,点点杨花入砚池。闲坐小窗读周易,不知春去几多时。     上述古文或古诗中对于时间的论述最符合我现在的感受。已经整整十五...
springsecurity权限控制_Spring Security 实战干货:动态权限控制(下)实现
weixin_39702649的博客
11-26 361
1. 前言Spring Security 实战干货:内置 Filter 全解析 中提到的第 32 个 Filter 不知道你是否有印象。它决定了访问特定路径应该具备的权限,访问的用户的角色,权限是什么?访问的路径需要什么样的角色和权限? 它就是 FilterSecurityInterceptor ,正是我们需要的那个轮子。2.FilterSecurityInterceptor过滤器排行榜第 32 ...
Spring Security 3 基于角色访问控制过程详解
深蓝传说
12-02 1万+
访问控制: 由于我们配置了访问控制(授权)的默认拦截器org.springframework.security.web.access.intercept.FilterSecurityInterceptor。其主要业务方法是InterceptorStatusToken beforeInvocation(Object object) 该方法会将URL传给SecurityMetadata
SpringBoot 动态权限校验,优雅的实现方案
Java笔记虾
01-03 294
戳上方蓝字“Java笔记虾”关注我1背景简单先说一下需求吧,这样也好让看的人知道到底适不适合自己。实现自定义的登录认证。登录成功,生成token并将token 交由redis管理。登录后对用户访问的接口进行接口级别权限认证。springSecurity提供的注解权限校验适合的场景是系统中仅有固定的几个角色,且角色的凭证不可修改(如果修改需要改动代码)。@PreAuthorize("hasAutho...
Spring security(五)-完美权限管理系统(授权过程分析)
FengZhihao的博客
02-02 812
权限管理相关概念   权限管理是一个几乎所有后台系统的都会涉及的一个重要组成部分,主要目的是对整个后台管理系统进行权限的控制。常见的基于角色的访问控制,其授权模型为“用户-角色-权限”,简明的说,一个用户拥有多个角色,一个角色拥有多个权限。其中, 用户: 不用多讲,大家也知道了; 角色: 一个集合的概念,角色管理是确定角色具备哪些权限的一个过程 ; 权限: 1).页面权限,控制你可以看到哪个页...
Spring Boot 之 Spring Security高级配置(权限和资源的关系)
探索er的博客
05-11 1101
Spring Security高级配置(权限和资源的关系)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Starzkg

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值