Spring-Security 2 中从数据库中读取权限的实现方式

最新推荐文章于 2022-07-30 23:14:50 发布
最新推荐文章于 2022-07-30 23:14:50 发布
阅读量352 收藏
点赞数
分类专栏: java 文章标签: Security Spring Bean Access JSP

security的配置片段:

<http auto-config="true" lowercase-comparisons="false" access-decision-manager-ref="accessDecisionManager">
  <intercept-url pattern="/images/*" filters="none"/>
  <intercept-url pattern="/styles/*" filters="none"/>
  <intercept-url pattern="/scripts/*" filters="none"/>
  <intercept-url pattern="/**/*.action*" access="ROLE_NORMAL"/>
  <form-login login-page="/login.jsp" authentication-failure-url="/login.jsp?error=true" login-processing-url="/j_security_check"/>
  <remember-me user-service-ref="userDao" key="e37f4b31-0c45-11dd-bd0b-0800200c9a66"/>
</http>
 
<beans:bean id="accessDecisionManager"  class="org.springframework.security.vote.AffirmativeBased">
  <beans:property name="decisionVoters">
    <beans:list>
      <beans:bean class="com.wiflish.framework.util.authority.DatabaseRoleVoter"> <!--自定义的从数据库中去权限验证权限的投票器 -->
      <beans:property name="dynamicAuthorityManager" ref="dynamicAuthorityManager"/>
      </beans:bean>
      <beans:bean class="org.springframework.security.vote.AuthenticatedVoter"/>
    </beans:list>
  </beans:property>
</beans:bean>

<beans:bean id="dynamicAuthorityManager" class="com.wiflish.framework.service.authority.impl.DefaultDynamicAuthorityManagerImpl">
	<beans:property name="authorityDao" ref="authorityDao"/> <!-- authorityDao为从数据库中读取权限的dao-->
</beans:bean>
 

类com.wiflish.framework.util.authority.DatabaseRoleVoter实现org.springframework.security.AccessDecisionManager接口。

 

具体的验证逻辑:通过url查找该url在数据库中已配置的权限(即角色),再与已认证的authentication对象的已授权权限进行比较。就能得到该权限是否已授权。伪代码:

// 登陆的用户无权限,即未分配角色.
GrantedAuthority[] authorities = authentication.getAuthorities();
if (authorities == null || authorities.length == 0) {
    return ACCESS_DENIED;
}

String url = ((FilterInvocation) object).getRequestUrl();
if (log.isDebugEnabled()) {
    log.debug("当前访问的资源地址为:  " + url);
}

// 检查资源是否是受保护的资源.
boolean isProtected = manager.check(url);
// 不受保护。
if (!isProtected) {
    return ACCESS_GRANTED;
}

String[] grantedRoles = manager.getAuthority(url);

// 该资源未经授权。
if (CommonUtil.isEmpty(grantedRoles)) {
    return ACCESS_DENIED;
}

int result = ACCESS_DENIED;

// 检查资源是否已授权.
for (GrantedAuthority auth : authorities) {
    for (String roleName : grantedRoles) {
        if (roleName.equals(auth.getAuthority())) {
            result = ACCESS_GRANTED;
            break;
        }
    }
}

return result;
 

 

 

wiflish_xie
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring security使用数据库获取资源、角色和权限保护web应用
指尖思维
10-31 7836
在《使用数据库定义资源、角色和权限已经定义了该示例的实体关系,本文对其进行实现。web应用有三种资源。 /main/common.action:具有common角色的用户就可以访问 /main/admin.action: 具有admin角色的用户就可以访问 /main/share.action: 具有common和admin角色的用户可以访问,但两角色用户看到的内容
Spring Security(17)——基于方法的权限控制
Elim的博客
06-14 1万+
本文主要介绍Spring Security进行方法级别的权限控制的几种手段。包括使用intercept-methods、使用Pointcut、使用JSR-250注解、使用Spring自身定义的@Secured注解、使用支持表达式的注解等,以及在进行方法级别的权限控制时会使用到的一些Advice。
spring security 读取数据库权限信息
03-17
项目自身的权限信息结合spring security 框架的实现。 本DEMO只包括从数据库读取登录认证信息,认证通过后 从数据库读取授权信息来控制用户的访问.权限元素包括 用户,角色,菜单以及这三者的关系。 本DEMO使用了spring security, hibernate jpa 以及struts.
Spring Security 安全实例-数据库简单应用(用户从数据库获取)
03-24
Spring Security 安全实例-数据库简单应用(用户从数据库获取) 把简单的Spring Security实例的配置文件的用户信息放到数据库,从数据库调用用户信息的实现实例
SpringBoot使用Spring Security实现权限控制
波板糖的博客
05-06 1237
Spring Security 基本介绍 这里就不对Spring Security进行过多的介绍了,具体的可以参考官方文档 我就只说下SpringSecurity核心功能: 认证(你是谁) 授权(你能干什么) 攻击防护(防止伪造身份) 基本环境搭建 这里我们以SpringBoot作为项目的基本框架,我这里使用的是maven的方式来进行的包管理,所以这里先给出集成Spring Securi...
Spring-Security (学习记录三)--读取数据库的用户和角色
weixin_30820151的博客
08-29 142
目录 1.先将hibernate的环境整合进来 2.创建一个数据库security,执行security.sql 3.修改spring-security.xml,采用数据库方式读取用户跟角色 4.uml图说明其的关系 用数据库的用户跟角色替换spring-se...
Spring Security学习与探究系列(二):从数据库加载用户以及用户权限验证
蓝天白云梦的csdn博客
04-21 644
前言 在上一篇文章,笔者介绍了Spring Security的简单使用,但同时也遗留了一些问题。在本篇文章,笔者将进一步探究Spring Security的使用方法,主要聚焦于以下两个问题:从数据库加载账户数据和为账户定义不同的权限。我们知道,一个常见的网站除了身份验证之外,还应该有权限验证,因为不同身份可以访问的资源应该是不一样的。比如博客系统,普通用户可以正常管理自己发布的文章,而管理员则可以对所有普通用户的文章进行管理。 ...
spring-boot集成spring-security的oauth2实现github登录网站的示例
08-28
Spring Boot 集成 Spring Security 的 OAuth2 实现 GitHub 登录网站的示例 本篇文章主要介绍了 Spring Boot 集成 Spring Security 的 OAuth2 实现 GitHub 登录网站的示例,非常具有实用价值,需要的朋友可以参考下...
spring-security-oauth2.rar
09-04
本篇将深入探讨Spring Security OAuth2如何实现基于密码模式的用户登录以及如何使用数据库和Redis进行Token的存储与管理。 首先,OAuth2是一种授权协议,它允许第三方应用在用户授权的情况下访问受保护的资源。...
Spring cloud Oauth2的密码模式数据库方式实现登录授权验证
12-09
Spring Cloud OAuth2是一种基于OAuth2协议的授权框架,它为微服务架构提供了安全的认证和授权服务。在“Spring Cloud ...这种实现方式提高了系统的安全性,使得微服务架构的各个服务能安全地共享和保护用户资源。
spring-security-mongodb:Spring Security MongoDB扩展
05-17
在结合MongoDB时,Spring Security MongoDB 扩展提供了一种整合Spring Security与NoSQL数据库MongoDB的方式,使得用户管理、权限控制等安全功能能够顺利地应用于使用MongoDB存储数据的应用程序。 首先,让我们深入...
Spring Security实战--(二)数据库实现
Double____C的博客
03-11 421
一、数据库实现 Spring Security提供了默认数据库模板和自定义数据库两种方式 二、默认数据库 2.1 不同权限controller建立 建立下相关controller,为不同权限做准备 代码如下,注释已经解释清楚了,就不多说了 @RestController @RequestMapping("admin/api") public class AdminController { ...
Springsecurity数据库动态加载登陆、授权、资源鉴权规则(重要)
方木的博客
02-17 2047
五、加载动态数据进行登录与授权(重要) 实际的业务系统,用户与权限的对应关系通常是存放在RBAC权限模型的数据库的 RBAC的权限模型可以从用户获取为用户分配的一个或多个角色,从用户的角色又可以获取该角色的多种权限。通过关联查询可以获取某个用户的角色信息和权限信息。 如果我们不希望用户、角色、权限信息写死在配置里面。我们应该实现UserDetails与UserDetailsService接...
Spring security数据库查询权限验证
LGF的专栏
04-12 784
1. 定义相关表 -- 用户表, username and password 为验证条件 create table users( username varchar(50) not null primary key, password varchar(50) not null, enabled int not null ); -- 权限验证表 create ...
13、使用Spring Security进行权限控制
nice___amusin的博客
07-30 3057
2、配置Security,主要是对授权的配置,(认证使用的是原来的认证方案,没有对登录认证进行相关配置);普通的拦截器,通过实现HandlerInterceptor接口实现拦截器,通过实现WebMvcConfigurer接口实现一个配置类,在配置类注入拦截器,最后再通过@Configuration注解注入配置。2、LoginTicket拦截器在请求一开始就会判断凭证,可以在此时对用户进行认证,并构建用户认证的结果,存入SecurityContext,以便于Security进行授权。3、异步请求时的处理。.
SpringSecurity ,oAuth2.0 从入门到源码精通 之 (三)spring security数据库读取用户信息
llk15884975173的博客
11-05 1657
经过前面两篇文章的学习 spring security 简单入门 和 自定义登录界面、登录验证、登录成功处理、登录失败处理 的学习,我相信大家一定对 Spring Security 有了很很深刻的认识,但是也肯定不满足于前面的基于内存的方式存储用户信息。所以,本篇文章,我们就专门来讨论一下从数据库获取用户并进行用户的身份验证如何实现。 本文主要介绍如何让 Spring Security 与我们的数据库的用户产生联系,对于用户的权限部分,我只采用很简单的方式,将权限直接放在用户表。在后面的文章,我将详
spring security (三) 数据库认证,获取用户权限和url地址
热门推荐
mylove10086
05-14 1万+
通过一和二已经完成了用户的认证和授权,但是用户权限和url都是写在配置类SecurityConfig.java的。这次我们把这些内容到放在数据库,在系统启动时从数据库获取。配置自定义的用户服务    spring security大体上是由一堆Filter(所以才能在spring mvc前拦截请求)实现的,Filter有几个,登出Filter(LogoutFilter),用户名密码验证Fil...
springboot集成spring security初探2--从数据库读取用户权限
iamletian
11-10 1242
上一篇文章只是实现了 UserDetailService 接口,简单new 了一个 User,并没有连接数据库来验证用户信息和权限。本篇将详细介绍连接数据库之后的认证操作。
springboot整合spring security 实现用户登录注册与鉴权全记录,权限数据库查询
最新发布
03-30
接下来,创建UserDetailService实现类,用于从数据库读取用户信息。代码如下: ``` @Service public class UserDetailsServiceImpl implements UserDetailsService { @Autowired private UserDao userDao; @...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值