Spring Security权限认证规则(五)

最新推荐文章于 2022-10-23 20:51:19 发布
最新推荐文章于 2022-10-23 20:51:19 发布
阅读量1.3k 收藏
点赞数
分类专栏: springsecurity

Spring Security权限认证规则

1、当服务器启动时,Spring Security会根据配置将所有的URL和其对应的权限加载到Spring Security中。

@Service
public class MyInvocationSecurityMetadataSourceService implements FilterInvocationSecurityMetadataSource {

	@Autowired
    private T_permissionMapper permissionMapper;
	private HashMap<String, Collection<ConfigAttribute>> map =null;
	/**
     * 加载权限表中所有权限
     */
    public void loadResourceDefine(){
        map = new HashMap<>();
        Collection<ConfigAttribute> array;
        ConfigAttribute cfg;
        // 从数据库中查询所有权限信息
        List<T_permission> permissions = permissionMapper.findAll();

        for(T_permission permission : permissions) {
            array = new ArrayList<>();
            cfg = new SecurityConfig(permission.getPerms());
            array.add(cfg);
            // 将查询到的url作为key,将封装了权限标志的SecurityConfig对象集合作为value
            map.put(permission.getUrl(), array);
        }

    }
  
	/**
	 * 判定用户请求的url是否在权限表中
	 */
	@Override
	public Collection<ConfigAttribute> getAttributes(Object object) throws IllegalArgumentException {
		if(map == null) loadResourceDefine();
        HttpServletRequest request = ((FilterInvocation) object).getHttpRequest();
        AntPathRequestMatcher matcher;
        String resUrl;
        
        for(Iterator<String> iter = map.keySet().iterator(); iter.hasNext(); ) {
            resUrl = iter.next();
            matcher = new AntPathRequestMatcher(resUrl);
            if(matcher.matches(request)) {
                return map.get(resUrl);
            }
        }
        
        return null;
	}
	
    @Override
	public Collection<ConfigAttribute> getAllConfigAttributes() {
		
		return null;
	}
	
	@Override
	public boolean supports(Class<?> class1) {
		
		return true;
	}

}

2、当发起一个请求时,Spring Security会判断该请求url地址是否需要进行权限验证,如果不需要,那么直接访问。

3、如果这个URL需要进行权限验证,那么Spring Security会检查当前请求来源所属用户是否登录,如果没有登录,则跳转到登录页面,进行登录操作。

4、如果登录,那么判断这个用户所拥有的权限是否包含访问这个URL所需要的权限,如果有则允许访问
如果没有则会报500错误,提示:未在SecurityContext中查找到认证对象

5、如果没有权限,则会提示信息403

Jayden人生
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity基本认证规范
z318913的博客
03-26 570
SpringSecurity自定义规范自定义资源认证规则自定义登录页面1.引入引擎模板依赖2.自定义登录页面3.在templates中定义登录页面4.配置Spring Security配置类 自定义资源认证规则 /index 公共资源 /hello 受保护资源 在项目中添加如下配置就可以实现对资源权限规则设定: @Configuration public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Overr
Spring Security 权限验证规则
iteye_19426的博客
02-16 248
URL——验证资源表中是否存在当前URL所对应的资源,可以是指定的某一特定URL,也可以是/role/*等通配的URL校验。 找到该资源后,进入到权限验证环节,如果当前登录用户包含在权限列表以内,则通过校验,否则403 没有找到该资源,则该URL请求不在过滤范围以内,通过校验 角色对应权限和模块。 权限对应资源,资源存放URL信息,用于每一次的URL请求校验 模块对应菜单与菜单按...
spring security AntPathMatcher通配符
jonathan_joestar的博客
08-08 567
不过注册应该不需要后面的参数。这是我前端写错了,不过加个通配符之后 万一前端传了path参数 至少能走进后端逻辑。“/account/register” 这个没有通配符,需要 “/account/register?因为 register 后面带着一个key,所以要 匹配符号。...
SpringSecurity权限控制
拒绝熬夜啊的博客
11-30 1048
文章目录SpringSecurity权限控制1 数据准备2 创建 POJO、Mapper、Service3 自定义PermissionEvaluator SpringSecurity权限控制 1 数据准备 创建 sys_permission 表并插入数据 CREATE TABLE `sys_permission` ( `id` int(11) NOT NULL AUTO_INCREMENT, `url` varchar(255) DEFAULT NULL, `role_id` int(1
Spring Security 中的权限注解很神奇吗?
yangjnsjbad的博客
05-26 161
最近有个小伙伴在微信群里问 Spring Security 权限注解的问题: 很多时候事情就是这么巧,松哥最近在做的 tienchin 也是基于注解来处理权限问题的,所以既然大家有这个问题,咱们就一块来聊聊这个话题。 当然一些基础的知识我就不讲了,对于 Spring Security 基本用法尚不熟悉的小伙伴,可在公众号后台回复 ss,有原创的系列教程。 1. 具体用法 先来看看 Spring Security 权限注解的具体用法,如下: @PreAuthorize("@ss.hasPerm
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
在压缩包文件`spring_gateway_security_webflux`中,可能包含了示例代码或配置文件,用于演示如何在Spring Cloud Gateway中集成Spring Security,实现统一登录认证鉴权。这些资源可以帮助开发者更快地理解和实践上述...
springboot+ spring security实现登录认证
05-04
一旦用户成功登录,Security会根据授权规则判断用户是否有权限访问请求的资源。 整合SpringBoot和Spring Security,我们首先需要在`pom.xml`中引入相关依赖: ```xml <groupId>org.springframework.boot ...
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
以下是实现Spring Boot + Spring Security + JWT登录和权限认证的主要步骤: 1. **项目初始化**:创建一个新的Spring Boot项目,添加`spring-boot-starter-web`、`spring-boot-starter-security`、`spring-security...
Spring security实现登陆和权限角色控制
09-09
Spring Security 是一个强大的安全框架,主要用于Java应用的安全管理,包括认证和授权。在这个场景中,我们将探讨如何使用Spring Security来实现登录和权限角色控制。首先,确保你正在使用的Spring版本为4.3.2....
spring security权限控制
10-15
在本文中,我们将深入探讨Spring Security如何实现权限控制,并通过一个名为"springsecuritydemo4"的示例项目来理解其核心概念。 首先,Spring Security权限控制主要涉及以下几个关键组件: 1. **认证...
spring security解决用户权限的方案
11-12
使用spring security解决用户权限的方案
13.Spring security权限管理
热门推荐
EdSheeran的博客
04-14 1万+
文章目录*权限管理**13.1什么是权限管理**13.2Spring security权限管理策略**13.3核心概念**13.3.1角色与权限**13.3.2角色继承**13.3.3两种处理器**13.3.4前置处理器**投票器**决策器**13.3.5后置处理器**13.3.6权限元数据**`ConfigAttribute`**`SecurityMetadataSource`**13.3.7权限表达式**`SecurityExpressionRoot`**`WebSecurityExpressionRo
SpringSecurity:授权
weixin_51992178的博客
10-23 1245
用户登录后会根据用户的身份进行角色划分,比如登录图书馆系统,一般就有管理员和普通学生等不同角色。用户的一个操作实际上就是在访问我们提供的`接口`(编写的对应访问路径的 Servlet),比如登陆,就需要调用`/login`接口,退出登陆就要调用/`logout`接口,因此,决定用户能否使用某个功能,只需要决定用户是否能够访问对应的 Servlet。
spring security中遇到的问题
qq_43644023的博客
10-04 6214
1.An Authentication object was not found in the Security Context 在security上下文中没有找到一个认证对象,我这边的问题在于controller中方法添加了认证注解,但是配置类中 源自于一片我为了解决拦截静态文件的博客,上面说这个忽视目录会以classpath中的static文件夹,实际上这样写有着很大问题,这边会让所有的文件不拦截,虽然你的http认证添加了拦截,但是web这个会影响到效果,所以一边允许所有文件不拦截,一边control
SpringSecuritySecurityContext和Authentication对象
★【World Of Moshow 郑锴】★
07-17 5128
下面开始讨论几个 Spring Security 里面的核心对象。 org.springframework.security.core.context.SecurityContext接口表示的是当前应用的安全上下文。通过此接口可以获取和设置当前的认证对象。 org.springframework.security.core.Authentication接口用来表示此认证对象。通过认证对象的方法可...
spring security权限校验
weixin_43851855的博客
09-26 2729
构成 Spring Security 进行认证的流程,Security 快速入门
spring security (三) 数据库认证,获取用户权限和url地址
mylove10086
05-14 1万+
通过一和二已经完成了用户的认证和授权,但是用户权限和url都是写在配置类SecurityConfig.java中的。这次我们把这些内容到放在数据库中,在系统启动时从数据库中获取。配置自定义的用户服务    spring security大体上是由一堆Filter(所以才能在spring mvc前拦截请求)实现的,Filter有几个,登出Filter(LogoutFilter),用户名密码验证Fil...
Spring Security源码分析十Spring Security 页面权限控制
weixin_34250709的博客
03-06 253
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了...
Spring Security--角色权限判断
我和井盖都笑了博客
04-05 3659
    角色权限判断       除了之前讲解的内置权限控制。Spring Security 中还支持很多其 他权限控制。这些方法一般都用于用户已经被认证后,判断用户是否 具有特定的要求。     1 hasAuthority(String)  &n...
spring security权限认证
最新发布
05-09
Spring Security中,权限认证可以通过以下步骤实现: 1. 配置Spring Security,包括创建安全配置类和定义安全规则; 2. 实现UserDetailsService接口,重写loadUserByUsername方法,从数据库或其他数据源中获取...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值