Springboot+Security(二)访问资源时鉴权

最新推荐文章于 2023-05-23 11:18:53 发布
最新推荐文章于 2023-05-23 11:18:53 发布
阅读量1.2k 收藏
点赞数
分类专栏: Springboot运用 文章标签: spring boot spring java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43606226/article/details/103613544
版权

在上一篇对用户认证授权之后,用户访问资源的时候,需要获得这个资源的权限和用户的权限,然后通过决策器来比对用户是否有权限访问该资源。一般可以在Security中配置需要的权限,然后使用默认的鉴权即可。这里是使用了自定的鉴权方法和拦截器。

1.鉴权的基本流程

访问资源的时候,即访问url时,会先通过 AbstractSecurityInterceptor 拦截器拦截请求,它会调用 FilterInvocationSecurityMetadataSource 里的方法来获取拦截的url所需要的的全部权限,如果请求的url不在权限表里,那么就会放行,否则会调用决策器 AccessDecisionManager 的决策方法 decide() 来决策用户是否拥有权限访问资源。在 AccessDecisionManager 中它会获得保存在spring的全局缓存SecurityContextHolder 中的用户信息,然后在decide() 方法中比对资源所需权限和用户权限,根据所配策略(有:一票决定,一票否定,少数服从多数等)来决定用户是否有权限访问资源。

2.实现鉴权

2.1 实现FilterInvocationSecurityMetadataSource接口

MyInvocationSecurityMetadataSourceService.java


//鉴权所需要的资源载入  1.先加载权限表中的所有权限  2.查看访问的URL是否在权限表中存在 若存在则调用MyAccessDecisionManager(决策器)
//中的 decide 方法来判断用户是否有该权限
@Service
public class MyInvocationSecurityMetadataSourceService implements
        FilterInvocationSecurityMetadataSource {
    @Autowired
    private PermissionService permissionService;

    private HashMap<String, Collection<ConfigAttribute>> map =null;

    /**
     * 加载权限表中所有权限
     */
    public void loadResourceDefine(){
        map = new HashMap<>();
        Collection<ConfigAttribute> array;
        ConfigAttribute cfg;
        List<Permission> permissions = permissionService.findall();
        for(Permission permission : permissions) {
            array = new ArrayList<>();
            cfg = new SecurityConfig(permission.getName());
            //此处只添加了用户的名字,其实还可以添加更多权限的信息,例如请求方法到ConfigAttribute的集合中去。此处添加的信息将会作为MyAccessDecisionManager类的decide的第三个参数。
            array.add(cfg);
            //用权限的getUrl() 作为map的key,用ConfigAttribute的集合作为 value,
            map.put(permission.getUrl(), array);
        }

    }

    //此方法是为了判定用户请求的url 是否在权限表中,如果在权限表中,则返回给 decide 方法,用来判定用户是否有此权限。如果不在权限表中则放行。
    @Override
    public Collection<ConfigAttribute> getAttributes(Object object) throws IllegalArgumentException {
        if(map ==null) loadResourceDefine();
        //object 中包含用户请求的request 信息
        HttpServletRequest request = ((FilterInvocation) object).getHttpRequest();
        AntPathRequestMatcher matcher;
        String resUrl;
        for(Iterator<String> iter = map.keySet().iterator(); iter.hasNext(); ) {
            resUrl = iter.next();
            matcher = new AntPathRequestMatcher(resUrl);
            if(matcher.matches(request)) {
                return map.get(resUrl);
            }
        }
        return null;

    }
    @Override
    public Collection<ConfigAttribute> getAllConfigAttributes() {
        return null;
    }
    @Override
    public boolean supports(Class<?> aClass) {
        return true;
    }
}

2.2 实现AccessDecisionManager接口

MyAccessDecisionManager.java(决策器)


@Service
public class MyAccessDecisionManager implements AccessDecisionManager {
    // decide 方法是判定是否拥有权限的决策方法,
    //authentication 是用户信息中权限的集合.
    //object 包含客户端发起的请求的requset信息,可转换为 HttpServletRequest request = ((FilterInvocation) object).getHttpRequest();
    //configAttributes 为MyInvocationSecurityMetadataSource的getAttributes(Object object)这个方法返回的结果,此方法是为了判定用户请求的url 是否在权限表中,如果在权限表中,则返回给 decide 方法,用来判定用户是否有此权限。如果不在权限表中则放行。
    //configAttributes资源所需要的权限
    @Override
    public void decide(Authentication authentication, Object o, Collection<ConfigAttribute> configAttributes) throws AccessDeniedException, InsufficientAuthenticationException {
        if(null== configAttributes || configAttributes.size() <=0) {
            return;
        }
        ConfigAttribute c;
        String needRole;
        for(Iterator<ConfigAttribute> iter = configAttributes.iterator(); iter.hasNext(); ) {
            c = iter.next();
            needRole = c.getAttribute();
            for(GrantedAuthority ga : authentication.getAuthorities()) {
                if(needRole.trim().equals(ga.getAuthority())) {
                    return;
                }
            }
        }
        throw new AccessDeniedException("no right");
    }
    @Override
    public boolean supports(ConfigAttribute configAttribute) {
        return true;
    }

    @Override
    public boolean supports(Class<?> aClass) {
        return true;
    }
}

2.3 继承 AbstractSecurityInterceptor 并且实现Filter接口

MyFilterSecurityInterceptor.java(自定义拦截器)


@Service
public class MyFilterSecurityInterceptor extends AbstractSecurityInterceptor implements Filter {

    @Autowired
    private FilterInvocationSecurityMetadataSource securityMetadataSource;

    @Autowired
    public void setMyAccessDecisionManager(MyAccessDecisionManager myAccessDecisionManager) {
        super.setAccessDecisionManager(myAccessDecisionManager);
    }

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        FilterInvocation fi = new FilterInvocation(servletRequest, servletResponse, filterChain);
        invoke(fi);
    }
    public void invoke(FilterInvocation fi) throws IOException, ServletException {
    //fi里面有一个被拦截的url
    //里面调用MyInvocationSecurityMetadataSource的getAttributes(Object object)这个方法获取fi对应的所有权限,如果权限表中有权限,调用MyAccessDecisionManager的decide方法来校验用户的权限是否足够,如果没有就放行,表示可以访问。
        InterceptorStatusToken token = super.beforeInvocation(fi);
        try {
            //执行下一个拦截器
            fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
        } finally {
            super.afterInvocation(token, null);
        }
    }
    @Override
    public void destroy() {

    }

    @Override
    public Class<?> getSecureObjectClass() {
        return FilterInvocation.class;
    }

    @Override
    public SecurityMetadataSource obtainSecurityMetadataSource() {
        return this.securityMetadataSource;
    }
}

3.Security资源配置

SecurityConfig.java(配置类)


@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    private AuthenticationProvider provider;  //注入我们自己的AuthenticationProvider
    @Autowired
    private MyAuthenticationSuccessHandler myAuthenticationSuccessHandler;
    @Autowired
    private MyAuthenticationFailHander myAuthenticationFailHander;
    @Autowired
    private MyFilterSecurityInterceptor myFilterSecurityInterceptor;

        @Override
    protected void configure(HttpSecurity http) throws Exception {
            http.
                    authorizeRequests()
                    .anyRequest().authenticated()	
                    .and()
                    .formLogin()
                    .and()
                    .csrf().disable()
                    .formLogin().loginPage("/login").permitAll()
                    .loginProcessingUrl("/form")
                    .successHandler(myAuthenticationSuccessHandler)
                    .failureHandler(myAuthenticationFailHander);
           http.addFilterBefore(myFilterSecurityInterceptor, FilterSecurityInterceptor.class);

        }

    //配置我们自定义的验证授权  让 spring security使用我们自定义的验证器 而不是默认的验证器  也就是MyAuthenticationProvider
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        // TODO Auto-generated method stub
        //注册一个自定义的 AuthenticationProvider
        auth.authenticationProvider(provider);
    }

    @Bean
   public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
}

4.测试

权限表:
在这里插入图片描述
访问localhost:8080 自动跳转到登录页面
在这里插入图片描述
登录普通用户访问 localhost:8080/admin 资源 因为资源需要ROLE_ADMIN权限所以报错403
在这里插入图片描述
而 localhost:8080 页面只需要ROLE_USER 权限 所以能够访问在这里插入图片描述
再登录ADMIN 用户 访问 localhost:8080/admin 访问成功
在这里插入图片描述

any3321
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springBoot+security+oauth2 资源和认证分离的密码模式
08-09
springBoot+security+oauth2 资源和认证分离的密码模式
访问控制与鉴权设计
weixin_34279061的博客
10-31 135
一.访问控制为了保证用户不会通过系统发起过多访问导致影响正常用户的体验,每一个API接口都有一定的访问频率限制。访问频率主要基于用户来源IP和操作者用户名进行限制。当前的频率限制参数为:1000次/5分钟/接口/用户名(appkey) .调用参数 三.签名sign原理调用API需要对请求参数进行签名验证,服务器也会对该请求参数进行验证是否合法的。方法如下:(1)根据参数名称(除签名和图片)...
Spring Boot】# 使用AOP实现接口鉴权访问、白名单限制、记录接口访问日志、限制接口请求次数
LRcoding
11-19 3347
使用AOP实现接口鉴权访问、白名单限制、记录接口访问日志、限制接口请求次数
基于springboot实现的文件下载上传.rar
05-12
基于springboot实现的文件下载上传.rar
基于Springboot集成security、oauth2实现认证鉴权资源管理源码
04-22
基于Springboot集成security、oauth2实现认证鉴权资源管理源码,具体相关博文我发表在https://www.cnblogs.com/xiaofengxzzf/p/10733955.html
SpringBoot+SpringSecurity+WebSocket
04-11
在"SpringBoot+SpringSecurity"的组合SpringSecurity负责处理用户身份验证和权限管理,确保只有经过授权的用户才能访问特定的资源和服务。这在WebSocket应用尤为重要,因为WebSocket连接一旦建立,就可能长期...
springboot + jwt + websocket + 拦截
09-02
6. **权限控制**:通过Interceptor,我们可以检查JWT权限信息,控制用户对WebSocket端点的访问权限,实现细粒度的访问控制。 这样的架构可以提供一个高效、安全的实交互系统,适用于需要实数据同步和认证...
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
04-22
在构建分布式系统,安全是至关重要的组成部分。本教程将探讨如何使用Spring Boot结合Spring Security、OAuth2和JWT(JSON Web Token)来搭建一个认证服务器、API网关以及微服务之间的权限认证和授权机制。 首先,...
SpringBoot集成SpringSecurity和JWT做登陆鉴权的实现
08-19
在本文,我们将深入探讨如何使用SpringBootSpringSecurity及JWT(JSON Web Token)结合,以实现登录鉴权功能。SpringBoot因其简化配置和与其他框架的无缝集成,成为了开发小型应用的理想选择。前后端分离的架构...
基于Springboot集成security、oauth2实现认证鉴权资源管理.zip
最新发布
04-08
【标题】"基于Springboot集成security、oauth2实现认证鉴权资源管理"是一个综合性的IT项目,旨在演示如何在Spring Boot应用整合Spring Security和OAuth2,以提供安全的认证与授权服务。Spring SecuritySpring...
SpringBoot 使用 Sa-Token 完成注解鉴权功能
shengzhang_的博客
05-15 1531
注解鉴权 —— 优雅的将鉴权与业务代码分离。本篇我们将介绍在 Sa-Token 如何通过注解完成权限校验。Sa-Token 是一个轻量级 java 权限认证框架,主要解决登录认证、权限认证、单点登录、OAuth2、微服务网关鉴权 等一系列权限相关问题。
spring security自定义权限配置
hellodake的博客
10-09 2616
最近在项目遇到了关于spring security的问题,所以学习一下。 需要引入依赖: <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-web...
Spring-Security权限管理功能
weixin_50947287的博客
05-12 1234
壹.Spring-Security权限管理功能 一.简介 1.有些网页必须登录之后才能访问 ​ 即使都是登录用户,它们也有可能有身份的区别,不同身份有不同功能 2.只有学生才能访问发布问题的页面, ​ 只有老师才能访问回答问题的页面 3.Spring-Security也方便我们来管理这些问题 .访问用户信息 下面我们就使用Spring-Security权限管理功能访问用户信息 1.开启权限管理功能 1.SecurityConfig这类编写代码 //@Configuration表示当前类是配置类,可能向S
SpringSecurity配置了登录链接无权限
ybb_ymm的专栏
01-17 1133
我们在使用SpringSecurity作为后台权限框架的候,框架给我们提供了配置登录请求的接口,供我们配置登录链接,当我们配置了登录链接地址后,前端访问登陆请求的候显示无权限
SpringSecurity整合springBoot、redis token动态url权限校验
mofsfely2的博客
02-18 3476
背景 简单先说一下需求吧,这样也好让看的人知道到底适不适合自己。 1、实现自定义的登录认证。 2、登录成功,生成token并将token 交由redis管理。 3、登录后对用户访问接口进行接口级别权限认证。 springSecurity提供的注解权限校验适合的场景是系统仅有固定的几个角色,且角色的凭证不可修改(如果修改需要改动代码)。 @PreAuthorize("hasAuthority('ROLE_TELLER')") public Account post(Account account, do
常见的鉴权方式简述
tangsiqi130的博客
05-23 5589
简述常见的鉴权方式
SpringBoot之静态资源访问与管理
weixin_50216991的博客
05-05 2010
主要讲解SpringBoot的静态资源管理。
SpringBoot接口去掉鉴权,直接调用
qq_34377273的博客
10-11 2267
在启动项注解增加即可: org.springframework.boot.autoconfigure.security.servlet.SecurityAutoConfiguration.class /** * 启动程序 * * @author soundai */ @EnableApolloConfig @SpringBootApplication(exclude = {DataSourceAutoConfiguration.class, org.springframewo.
4种常见的鉴权方式及说明
fanfangyu的博客
07-27 3680
鉴权(authentication)是指验证用户是否拥有访问系统的权利。传统的鉴权是通过密码来验证的。这种方式的前提是,每个获得密码的用户都已经被授权。在建立用户,就为此用户分配一个密码,用户的密码可以由管理员指定,也可以由用户自行申请。这种方式的弱点十分明显一旦密码被偷或用户遗失密码,情况就会十分麻烦,需要管理员对用户密码进行重新修改,而修改密码之前还要人工验证用户的合法身份。为了克服这种鉴权方式的缺点,需要一个更加可靠的鉴权方式。目前的主流鉴权方式是利用认证授权来验证数字签名的正确与否。...
Springboot整合SpringSecurity实现登录认证和鉴权
04-28
好的,Spring Boot整合Spring Security实现登录认证和鉴权可以分为以下几个步骤: 1. 添加Spring Security依赖:在pom.xml文件添加Spring Security依赖。 2. 配置Spring Security:创建一个配置类,继承WebSecurityConfigurerAdapter,重写configure(HttpSecurity http)和configure(AuthenticationManagerBuilder auth)方法,配置登录认证和鉴权的相关信息。 3. 创建登录页面:在templates目录下创建login.html页面,用于用户登录。 4. 创建登录处理接口:创建一个controller接口,用于处理用户登录请求。 5. 创建用户实体类和用户服务类:创建一个用户实体类,用于存储用户信息;创建一个用户服务类,用于查询用户信息。 6. 配置密码加密:在用户服务类,使用BCryptPasswordEncoder对密码进行加密。 7. 测试登录认证和鉴权功能:启动应用程序,访问login.html页面,输入正确的用户名和密码,验证登录认证功能;访问受保护的资源,验证鉴权功能。 以上就是Spring Boot整合Spring Security实现登录认证和鉴权的基本步骤。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值