Spring Security 动态url权限控制

最新推荐文章于 2023-02-16 08:54:55 发布
最新推荐文章于 2023-02-16 08:54:55 发布
阅读量1.5k 收藏 10
点赞数 1
文章标签: spring java mybatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44809110/article/details/128028417
版权

基础准备:

1.一些基础依赖,lombok,security

2.基础的controller,mapper,pojo,service建好

 3.先实现自定义用户登录

UserServiceImpl.java
 
SecurityConfig.java

4.完成基础自定义用户登录之后,开始给用户设置权限了。

        4.1 User.java要实现UserDetails,并重写里面的方法

                

        4.2 UserServiceImpl.java这里进行一些修改

                

 

运行一下程序,打印一下登录用户拥有什么角色,效果:

 

5.接下来是进行过滤器的编写了。

@Component
public class MyFilterInvocationSecurityMetadataSource implements FilterInvocationSecurityMetadataSource {
    //用来路径匹配的一个工具类
    AntPathMatcher pathMatcher = new AntPathMatcher();

    @Autowired
    MenuService menuService;

    //主要业务在这里写
    @Override
    public Collection<ConfigAttribute> getAttributes(Object o) throws IllegalArgumentException {
        //获取当前的请求路径
        String requestUrl = ((FilterInvocation) o).getRequestUrl();
        System.out.println("我请求的url是>>>"+requestUrl);

        //查询所有的菜单
        List<Menu> menus = menuService.getAllMenus();

        System.out.println(menus);

        //遍历菜单
        for (Menu menu : menus) {
            //与请求地址进行匹配
            if (pathMatcher.match(menu.getPattern(),requestUrl)){
                //此处为地址匹配上的业务
                //1.从查询到的菜单集合中,拿到对应的角色
                List<Role> roles = menu.getRoles();
                //2.把结果return出去
                String[] roleArr = new String[roles.size()];
                for (int i = 0; i < roleArr.length; i++) {
                    roleArr[i] = roles.get(i).getName();
                    System.out.println(roleArr);
                }
                return SecurityConfig.createList(roleArr);
            }
        }
        //这是地址匹配不上的,那么就给一个ROLE_login作为标识符
        return SecurityConfig.createList("ROLE_login");

    }

    @Override
    public Collection<ConfigAttribute> getAllConfigAttributes() {
        return null;
    }

    @Override
    public boolean supports(Class<?> clazz) {
        return false;
    }
}

再看看控制台,看看对应的角色是不是也设置上去了

以上完成了根据url分析出该url需要的角色

下一步就是判断当前登录用户有没有对应的角色

@Component
//该类是根据过滤器执行完返回的configAttributes,判断是否登录成功
public class MyAccessDecisionManager implements AccessDecisionManager {
    /**
     *
     * @param authentication 当前登录的用户
     * @param object
     * @param configAttributes 过滤器返回的值
     * @throws AccessDeniedException
     * @throws InsufficientAuthenticationException
     */
    @Override
    public void decide(Authentication authentication, Object object, Collection<ConfigAttribute> configAttributes) throws AccessDeniedException, InsufficientAuthenticationException {
        //1.过滤器返回的值,根据“ROLE_XXX“,判断是不是与请求地址匹配
        //匹配不上就给用户加上”ROLE_login“
        for (ConfigAttribute attribute : configAttributes) {
            //如果是ROLE_login,说明没有匹配上地址
            if ("ROLE_login".equals(attribute.getAttribute())){
                if (authentication instanceof AnonymousAuthenticationToken){
                    //没有登录
                    throw new AccessDeniedException("请登录");
                }
                else {
                    //登录了
                    return;
                }
            }

            //地址匹配上
            //1.当前用户拥有的角色
            Collection<? extends GrantedAuthority> authorities = authentication.getAuthorities();
            for (GrantedAuthority authority : authorities) {
                //如果当前用户拥有的角色 跟 请求地址所需要的角色匹配上的话
                if (authority.getAuthority().equals(attribute.getAttribute())){

                    System.out.println("我具备的角色>>>"+authority.getAuthority()+" 和 所需要的角色"+attribute.getAttribute()+" 匹配上咯");
                    return;
                }
            }

            //以上两个情况都没有,抛出一个异常
            throw new AccessDeniedException("非法请求");


        }


    }

    @Override
    public boolean supports(ConfigAttribute attribute) {
        return false;
    }

    @Override
    public boolean supports(Class<?> clazz) {
        return false;
    }
}

以上两个类都要交给Spring管理,然后在SecurityConfig中注入

 

测试结果:

在地址栏输入”localhost:9009/admin/hello

首先是要你登录

但是在此之前,MyFilterInvocationSecurityMetadataSource.java会发生作用,根据我们输入的url判断出该url需要哪些角色,我在控制栏中打印了一下:

说明 /admin/hello 这个url是需要角色为admin的用户才能访问

此时MyFilterInvocationSecurityMetadataSource.java这个类的返回值就是url所需的角色

下一步,用户登录成功后,同时会查询该用户拥有哪些角色

我登录的是root用户,拥有dba和admin的角色

 到此,该用户是可以访问localhost:9009/admin/hello这个地址的

 

 用角色为user的用户登录,看看访问能不能访问admin/hello

coder_how
关注
  • 1
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
【系统权限管理】SpringSecurity实现动态权限菜单控制
2401_84048542的博客
04-18 500
现在正是金三银四的春招高潮,前阵子小编一直在搭建自己的网站,并整理了全套的**【一线互联网大厂Java核心面试题库+解析】:包括Java基础、异常、集合、并发编程、JVM、Spring全家桶、MyBatis、Redis、数据库、中间件MQ、Dubbo、Linux、Tomcat、ZooKeeper、Netty等等**《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!/getAuthority()返回用户对应的菜单权限
SpringBoot整合SpringSecurity权限控制动态拦截url+单点登录)
最新发布
jiaoqi6132的博客
04-04 2339
Slf4j@Component@Resource@Override//获取身份验证详细信息//用于校验mac地址白名单(这里只是打个比方,登录验证中增加的额外字段)//表单输入的用户名//表单输入的密码//校验用户名密码if (!matches) {!");@Override@Component@Resource@Override//任意登录用户名!");//从数据库获取密码//用户拥有的角色// }
Spring Security实现动态路由权限控制
SampsonKong的博客
02-13 1438
Spring Security实现动态路由权限控制
权限控制策略
m0_58466443的博客
02-17 479
50-52
Spring Security 实现 antMatchers 配置路径的动态获取
MrLee的博客
12-26 2321
2,实现 SecurityConfigAttributeLoader (这里也可以从数据库获取)
Spring Security如何使用URL地址进行权限控制
08-25
Spring Security如何使用URL地址进行权限控制 Spring Security是一个功能强大且广泛应用的Java安全框架,它提供了许多功能,包括身份验证、授权、加密等。其中,权限控制Spring Security的一个重要组件,它允许...
springboot springsecurity动态权限控制
09-18
在这个“springboot springsecurity动态权限控制”的主题中,我们将深入探讨如何在Spring Boot项目中集成Spring Security,实现动态权限控制,让菜单权限的管理更加灵活和高效。 首先,我们需要理解Spring Security...
spring security动态配置url权限的2种实现方法
08-27
对于使用spring security来说,存在一种需求,就是动态配置url权限,即在运行时去配置url对应的访问角色。下面这篇文章主要给大家介绍了关于spring security动态配置url权限的2种实现方法,需要的朋友可以参考下
Spring security用户URL权限FilterSecurityInterceptor使用解析
08-25
主要介绍了Spring security用户URL权限FilterSecurityInterceptor使用解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
spring security3动态权限
06-15
struts2 + spring3 + hibernate3 + spring security3 + mysql + tomcat sys_users;sys_roles;sys_authorities;sys_resources;sys_users_roles;sys_roles_authorities;sys_authorities_resources; PS:此项目运行不起来的,请参考代码,呵呵!
Spring security实现登陆和权限角色控制
09-09
在这个场景中,我们将探讨如何使用Spring Security来实现登录和权限角色控制。首先,确保你正在使用的Spring版本为4.3.2.RELEASE,而Spring Security版本是4.1.2.RELEASE。在开始之前,你需要对Spring MVC、SPeL...
SpringSecurity整合springBoot、redis token动态url权限校验
mofsfely2的博客
02-18 3460
背景 简单先说一下需求吧,这样也好让看的人知道到底适不适合自己。 1、实现自定义的登录认证。 2、登录成功,生成token并将token 交由redis管理。 3、登录后对用户访问的接口进行接口级别权限认证。 springSecurity提供的注解权限校验适合的场景是系统中仅有固定的几个角色,且角色的凭证不可修改(如果修改需要改动代码)。 @PreAuthorize("hasAuthority('ROLE_TELLER')") public Account post(Account account, do
Spring Security 实现动态权限菜单方案
明平姚的博客
02-16 612
Spring Security 实现动态权限菜单方案
springSecurity自定义处理器基本配置
lc257的博客
11-19 387
springSecurity自定义处理器基本配置
Spring Security如何实现动态Url权限配置
weixin_41641941的博客
10-08 1046
参考文章:https://segmentfault.com/a/1190000010672041 因为Spring Security默认都是在程序的配置类或者配置文件写死哪些资源受哪些角色(权限控制,要想随时更改就很麻烦,所以着手把它修改为从数据库中动态读取 一、构建表 数据库我构建了role和url两张表,分别储存角色信息和保护资源分配信息 @Entity public class Role ...
Spring Security通过URL模式匹配的声明式权限控制
热门推荐
luenxin的博客
12-03 1万+
Spring Security的声明式安全授权有两种方式,一种是以url模式匹配的方式,另一种是方法上使用注解声明权限,这里重点说第一种。 一、创建一个类继承WebSecurityConfigurerAdapter,并使用注解@EnableWebSecurity标注。这个类我之前写到过很多次,是配置CAS客户端和Spring Security的核心类。同时也是启动注解声明权限的入口。 @Ena

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值