社区网站7.2 权限控制

最新推荐文章于 2021-10-24 21:50:24 发布
最新推荐文章于 2021-10-24 21:50:24 发布
阅读量243 收藏
点赞数
分类专栏: 社区网站
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaoshuzi666/article/details/108036792
版权

  登录检查
之前采用拦截器实现了登录检查,这是简单的权限管理方案,现在将其废弃。
  授权配置
对当前系统内包含的所有请求,分配访问权限(普通用户、版主、管理员)。
  认证方案
绕过Seccurity认证流程,采用系统原来的认证方案。
  CSRF配置
防止CSRF攻击的基本原理,以及表单、AJAX相关的配置。
  导入spring-boot-starter-security包到pom.xml。把WebMvcConfig类里LoginRequiredIntercepter相关配置注释掉。
  在CommunituConstant接口类里添加

/**
     * 系统用户ID
     */
    int SYSTEM_USER_ID = 1;

    /**
     * 权限:普通用户
     */
    String AUTHORITY_USER = "user";

    /**
     * 权限:管理员
     */
    String AUTHORITY_ADMIN = "admin";

    /**
     * 权限:版主
     */
    String AUTHORITY_MODERATOR = "moderator";

  新建SecurityConfig类,

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter implements CommunityConstant {

    @Override
    public void configure(WebSecurity web) throws Exception {
//        super.configure(web);
        web.ignoring().antMatchers("/resources/**");
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
//        super.configure(http);
        //授权
        //看看哪些controller需要做权限控制
        http.authorizeRequests()
                .antMatchers(
                       "/user/setting",
                       "/user/upload",
                       "/discuss/add",
                       "/comment/add/**",
                        "/letter/**",
                        "/notice/**",
                        "/like",
                        "/follow",
                        "/unfollow"
                )
                .hasAnyAuthority(
                        AUTHORITY_USER,
                        AUTHORITY_ADMIN,
                        AUTHORITY_MODERATOR
                )
                .antMatchers(
                     "/discuss/top",
                        "/discuss/wonderful"
                )
                .hasAnyAuthority(
                        AUTHORITY_MODERATOR
                )  //版主才有置顶、加精的权限(与上面那个antMatchers关联)
                .antMatchers(
                        "/discuss/delete",
                        "/data/**",
                        "/actuator/**"
                )
                .hasAnyAuthority(
                        AUTHORITY_ADMIN
                )
                .anyRequest().permitAll()
                .and().csrf().disable();

        //权限不够怎么处理
        http.exceptionHandling()
                .authenticationEntryPoint(new AuthenticationEntryPoint() {
                    // 没有登录
                    @Override
                    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException, ServletException {
                        String xRequestedWith = request.getHeader("x-requested-with");   ////获取请求头的这个字段,来判断是否异步请求
                        if("XMLHttpRequest".equals(xRequestedWith)){  //异步请求
                            response.setContentType("application/plain;charset=utf-8");  //设置字符集使其可以接收中文
                            PrintWriter writer = response.getWriter();
                            writer.write(CommunityUtil.getJSONString(403,"你还没有登录哦!"));
                        }else{
                            response.sendRedirect(request.getContextPath()+"/login");  //非异步请求,直接返回html页面
                        }
                    }
                })
                .accessDeniedHandler(new AccessDeniedHandler() {
                    // 权限不足
                    @Override
                    public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) throws IOException, ServletException {
                        String xRequestedWith = request.getHeader("x-requested-with");
                        if("XMLHttpRequest".equals(xRequestedWith)){  //异步请求
                            response.setContentType("application/plain;charset=utf-8");  //设置字符集使其可以接收中文
                            PrintWriter writer = response.getWriter();
                            writer.write(CommunityUtil.getJSONString(403,"你没有访问此功能的权限!"));
                        }else{
                            response.sendRedirect(request.getContextPath()+"/denied");  //非异步请求,直接返回html页面
                        }
                    }
                });
        //Security底层默认会拦截/logout,进行退出处理
        //覆盖它默认达到逻辑,才能执行我们自己的退出代码
        http.logout().logoutUrl("/securitylogout");
    }
}

  在UserService里,添加

public Collection<? extends GrantedAuthority> getAuthorities(int userId){
        User user = this.findUserById(userId);

        List<GrantedAuthority> list = new ArrayList<>();
        list.add(new GrantedAuthority() {  //这里权限只有一种,所以list只add一次
            @Override
            public String getAuthority() {
                switch (user.getType()){
                    case 1:
                        return AUTHORITY_ADMIN;
                    case 2:
                        return AUTHORITY_MODERATOR;
                    default:
                        return AUTHORITY_USER;
                }
            }
        });
        return list;
    }

  在LoginTicketInterceptor类preHandle方法里hostHolder.setUser(user);之后添加

//构建用户认证的结果,并存入SecurityContext,以便于Security进行授权,
                Authentication authentication = new UsernamePasswordAuthenticationToken(
                        user,user.getPassword(),userService.getAuthorities(user.getId()));
                SecurityContextHolder.setContext(new SecurityContextImpl(authentication));

afterCompletion方法里hostHolder.clear();之后添加

        SecurityContextHolder.clearContext();

  在LoginController类logout方法里userService.logout(ticket);之后提添加

SecurityContextHolder.clearContext();

  关于CSRF攻击,spring security是用token来解决的。
CSRF攻击
  异步的时候没有表单,没法处理,那就要自己另外处理。
  例如发帖时,在index.html里头部添加

<meta name="_csrf" th:content="_csrf.token">
<meta name="_csrf_header" th:content="${_csrf.headerName}">

异步请求传数据不是通过请求体,是通过请求消息头,如上设置之后spring security会生成csrf的key和value。在index.js里添加

// 发送AJAX请求之前,将CSRF令牌设置达到请求的消息头中(其他很多页面需要挨个处理)
    var token = ${"meta[name='_csrf]"}.attr("content");
    var header = ${"meta[name='_csrf_header]"}.attr("content");
    $(document).ajaxSend(function(e,xhr,options){
        xhr.setRequestHeader(header,token);
    });

  但是这样设置的话,每个异步请求都要作相应处理,太麻烦了,因此注释掉csrf相关处理。

xiaoshuzi666
关注
专栏目录
Zookeeper的ACL权限控制
AI天才研究院
06-30 414
作者:禅与计算机程序设计艺术 1. 背景介绍 1.1 问题的由来 随着云计算和分布式系统的普及,Zookeeper成为了许多大规模应用程序的关键组件之一。它被广泛用于协调大量客户端和服务端节点之间的一致性和数据共享。然而,面对庞大的用户群和复杂的访问需求时,如何有效地管理资源访问权限成为了一
快速学习-RocketMQ权限控制
逍遥云恋
09-18 1501
权限控制 1.权限控制特性介绍 权限控制(ACL)主要为RocketMQ提供Topic资源级别的用户访问控制。用户在使用RocketMQ权限控制时,可以在Client客户端通过 RPCHook注入AccessKey和SecretKey签名;同时,将对应的权限控制属性(包括Topic访问权限、IP白名单和AccessKey和SecretKey签名等)设置在distribution/conf/plain_acl.yml的配置文件中。Broker端对AccessKey所拥有的权限进行校验,校验不过,抛出异常;
社区平台系统设计——1.1 用户子系统(权限系统)
taitanzhinv的博客
09-08 3460
社区平台系统设计——1.1 用户子系统(权限系统) &amp;amp;amp;nbsp;&amp;amp;amp;nbsp;&amp;amp;amp;nbsp;&amp;amp;amp;nbsp;&amp;amp;amp;nbsp; 权限系统可以说是每个业务系统都用的到的,社区平台也不例外,由于考虑社区平台的灵活性,故现在考虑设计一个较为灵活通用的权限系统。 &amp;amp;amp;nbsp;&amp;amp;amp;nbsp;&amp;
XMLHttpRequest,深入理解异步请求、TCP的三次握手与四次挥手
yiyueqinghui的博客
07-18 3201
最简单的http请求 let xhr = new XMLHttpRequest(); xhr.open('GET', '/url', true); xhr.send(); 稍微完整的http请求 let xhr = new XMLHttpRequest(); // 请求成功回调函数 xhr.onload = e => { console.log('request success')...
异步请求机制介绍
镜悬xhs
02-05 830
本篇文章将介绍HTTP异步请求机制。 1 引言 Spring MVC has an extensive integration with Servlet 3.0 asynchronous request processing.DeferredResult and Callable return values in controller methods and provide basic support for a single asynchronous return value. 上面这段描述来自
服务器设置网站权限,服务器网站权限设置
weixin_39612228的博客
08-11 865
服务器网站权限设置 内容精选换一换OBS提供同时支持允许白名单访问和阻止黑名单访问的配置,防止盗链。已经配置了静态网站托管。或您可以直接在左侧导航栏单击“访问权限控制>防盗链”,进入“防盗链”界面。Referer规则如下:白名单Referer/黑名单Referer输入的字节数不能超过1024个字符。Referer格式:Referer可以设置多个,多个Referer换行隔开当您以云模式或独享模...
RocketMQ的 ACL权限控制
张俊杰 的博客
10-24 4616
ACL权限控制概念 权限控制(ACL)作用就是指定Topic由哪些用户可以访问,在生产应用中很重要,ACL可以控制我认为正常的用户可以访问我这个指定的topic,其它用户就访问不了,这个功能就是鉴权功能. 另外需要了解的是 其实这种acl用的很少,因为大多数情况下都是运维去控制,而不是Java程序员在代码里面去控制 作为码农了解就行了 开始操作 首先服务端需要配置鉴权的规则,然后客户端需要加上鉴权的信息,分这样的两个步骤 服务端配置鉴权规则 broker.properties添加下面的配置: # 开启鉴权.
java高效的权限_快速部署和使用支持权限控制特性的RocketMQ集群
weixin_36437537的博客
02-28 186
权限控制1.权限控制特性介绍权限控制(ACL)主要为RocketMQ提供Topic资源级别的用户访问控制。用户在使用RocketMQ权限控制时,可以在Client客户端通过 RPCHook注入AccessKey和SecretKey签名;同时,将对应的权限控制属性(包括Topic访问权限、IP白名单和AccessKey和SecretKey签名等)设置在distribution/conf/plain_...
Apache Rocketmq 权限控制(七)
朱晓龙的博客
01-10 3313
权限控制 1.权限控制特性介绍 权限控制(ACL)主要为RocketMQ提供Topic资源级别的用户访问控制。用户在使用RocketMQ权限控制时,可以在Client客户端通过 RPCHook注入AccessKey和SecretKey签名;同时,将对应的权限控制属性(包括Topic访问权限、IP白名单和AccessKey和SecretKey签名等)设置在distribution/conf/pla...
[论坛社区]凌云论坛LyBBS v7.2 Build 20071015 stable_lybbs7.zip
04-04
学生可以通过分析源码了解如何使用JSP和Servlet来实现用户认证、权限控制、数据存储和检索等功能。同时,论坛系统通常会涉及数据库设计,因此也是学习SQL和数据库管理的好机会。例如,用户表、帖子表、板块表等可能...
PHP7.2手册-中文版
12-19
- 加强了安全性,引入了新的安全特性,如对某些敏感操作增加了更严格的权限控制。 ### 兼容性和稳定性 - 在保持与之前版本向后兼容的同时,PHP 7.2还增强了自身的稳定性,修复了大量的已知问题,提高了整体的可靠...
禅道开源版(ZenTaoPMS.18.3.php7.2-7.4.zip)
最新发布
04-16
4. **文档管理**:软件开发过程中的各种文档都可以在禅道中存储和分享,支持版本控制权限管理,确保文档的安全性和一致性。 5. **测试管理**:内置的测试用例管理模块支持创建、执行和维护测试用例。测试结果可以...
社区网站项目3.3 帖子详情
xiaoshuzi666的博客
06-29 1674
  DiscussPostMapper   DiscussPostService   DiscussPostController   index.html 在帖子标题上增加详情页面的链接   discuss-detailed.html 处理静态资源的访问路径 复用index.html的header区域 显示标题、作者、发布时间、帖子正文等内容   在dao包的DiscussPostMapper接口类里,添加 DiscussPost selectDiscussPostById(int id);   在res
社区网站项目2.1发送邮件
xiaoshuzi666的博客
06-13 1440
   登录邮箱,在设置中找到SMTP服务,把它开启。    去mvn库搜索spring mail,找到Spring Boot Mail Starter,把相应配置复制到pom.xml。    在application.properties配置 #MailProperties # 邮件服务器的域名 spring.mail.host=smtp.163.com # 邮件服务器的端口 spring.mail.port=465 spring.mail.username= spring.mail.password= s
社区网站7.7 热帖排行
xiaoshuzi666的博客
08-19 647
  Hacker News Score = (P-1)/(T+2)^G   StackOverflow (log(Qviews)4) + ((QanswersQscore)/5) + sum(Ascores) … (QageInHours+1) - ((AageInHours-Qupdated)/2))^1.5   Nowcoder log(精华分+评论数 ×10 + 点赞数× 2 + 收藏数× 2) + (发布时间-牛客纪元)   在RedisKeyUtil类里,添加 //帖子分数 public
社区网站项目3.2 发布帖子
xiaoshuzi666的博客
06-27 506
  AJAX: (1)Asynchronous JavaScript and XML (2)异步的JavaScript与XML,不是一门新技术,只是一个新的术语 (3)使用AJAX,网页能够将增量更新呈现在页面上,而不需要刷新整个页面 (4)虽然X代表XML,但目前JSON的使用比XML更加普遍 (5)https://developer.mozilla.org/zh-CN/docs/Web/Guide/AJAX   示例: 使用jQuery发送AJAX请求。   实践: 采用AJAX请求,实现发布帖子的功能
社区网站项目3.1 过滤敏感词
xiaoshuzi666的博客
06-27 403
  前缀树: (1)名称:Trie、字典树、查找树 (2)特点:查找效率高,消耗内存大 (3)应用:字符串检索、词频统计、字符串排序等   敏感词过滤器: (1)定义前缀树 (2)根据敏感词,初始化前缀树 (3)编写过滤敏感词的方法   在resources下新建一个存放敏感词的文件sensitive-words.txt 赌博 嫖娼 吸毒 开票   在util包下新建一个SensitiveFilter类,加上@Component注解,并加上构造方法后初始化注解@PostConstruct来加载敏感词文件s
社区网站项目7.3置顶、加精、删除
xiaoshuzi666的博客
08-17 354
  功能实现 (1)点击置顶,修改帖子的类型。 (2)点击“加精”、“删除”,修改帖子的状态。   权限管理 (1)版主可以执行“置顶”、“加精”操作 (2)管理员可以执行“删除”操作。   按钮显示 (1)版主可以看到“置顶”、“加精”按钮。 (2)管理员可以看到“删除”按钮。   在github中搜索thymeleaf-extras-springsecurity。在mvn库里搜thymeleaf springsecurity5,粘贴到pom.xml。   在DiscussPostMapper接口类里,添
Discuz7.2数据库结构详解:用户权限与活动管理
“discuz7.2数据库结构表完整版.doc”包含... 7.2如何有效地管理和存储社区中的用户行为、权限控制以及活动管理等关键信息。通过这些数据,系统可以确保用户能按照设定的规则进行交互,同时方便管理员进行管理和监控。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值