Spring Security实现动态权限设置(二)—— 动态权限设置

最新推荐文章于 2024-06-21 15:05:38 发布
最新推荐文章于 2024-06-21 15:05:38 发布
阅读量3.7k 收藏 25
点赞数 9
分类专栏: SpringBoot SpringSecurity 文章标签: java spring spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yccccc_c/article/details/105877793
版权

Spring Security实现动态权限设置(一)——基于数据库登录一文中已经介绍了Spring Security是如何实现基于数据库登录的,上文中提到要创建RoleUser实例,为了实现动态权限我们需要一个Menu实例,这个实例是用来查找数据库中路径与所需角色的,创建Menu实例也需要成员变量与数据库中Menu表的字段相对应,除此之外,还需要一个Role类型的List用来存储路径所需角色,显然这里MenuRole有一个一对多的关系,后面在做查询要注意这一点。
Menu实例

public class Menu {
    private int id;
    private String pattern;
    private List<Role> roles;

    public List<Role> getRoles() {
        return roles;
    }

    public void setRoles(List<Role> roles) {
        this.roles = roles;
    }

    public int getId() {
        return id;
    }

    public void setId(int id) {
        this.id = id;
    }

    public String getPattern() {
        return pattern;
    }

    public void setPattern(String pattern) {
        this.pattern = pattern;
    }
}

动态权限设置思想
动态权限设置是基于数据库验证的,所有在这个“动态”是由数据库中用户权限变更保证的,不同于将用户权限写死在代码中,这里动态权限设置的大致思想是:当用户登录后,由获取用户访问路径并对其进行解析,查看数据库中访问该路径所需要的用户角色,并对比当前用户所拥有的角色,如果相匹配则可以访问;还有一些路径,只需要用户登录即可访问,无关用户角色,则可以在解析路径时返回默认标识以表示该路径无需用户角色;

MenuService和MenuMapper
在实现基于数据库登录的基础上,除了UserService还需要一个MenuServiceMenuServic中的getAllMenus方法用来获取访问menu表中路径所需的角色,那么对应的需要MenuMapper接口和XML去操作数据库:
MenuService

@Service
public class MenuService {
    @Autowired
    MenuMapper menuMapper;
    public List<Menu> getAllMenus(){
        return menuMapper.getAllMenus();
    }
}

MenuMapper.xml

<mapper namespace="org.yc.security_dynamic.mapper.MenuMapper">
    <resultMap id="BaseMap" type="org.yc.security_dynamic.bean.Menu">
        <id property="id" column="id"/>
        <result property="pattern" column="pattern"/>
<collection property="roles" ofType="org.yc.security_dynamic.bean.Role">
            <id column="rid" property="id"/>
            <result column="rname" property="name"/>
            <result column="rnameZh" property="nameZh"/>
        </collection>
    </resultMap>
    <select id="getAllMenus" resultMap="BaseMap">
        select m.*,r.id as rid ,r.name as rname , r.nameZh as rnameZh from menu m left join menu_role mr on m.id = mr.mid left join role r  on mr.rid = r.id
    </select>
</mapper>

XML中的SELECT查询是一个三表联合查询,查询结果应当是每个路径所需角色,由于每个路径所需角色可能不止有一个(这里数据库表里是每一个路径只有一个所需角色,但实际项目可能不是这样),所以路径和角色应该是一对多的关系,那么回到Mybatis那一套,select标签中就不能写resultType,而应该是resultMap
完成MenuService之后可以在Test中做Service测试SQL查询结果是否是我们所期待的;这里提供一个简单测试:

@SpringBootTest
class SecurityDynamicApplicationTests {
    @Autowired
    MenuService menuService;
    @Test
    void contextLoads() {
        System.out.println(menuService.getAllMenus());
    }
}

返回结果如图:
在这里插入图片描述
FilterInvocationSecurityMetadataSource的实现类
针对menu表中的路径所需角色,需要在访问路径时,做路径解析,并获取路径角色。编写MyFileter类实现FilterInvocationSecurityMetadataSource接口的作用就是这个。

@Component
public class MyFilter implements FilterInvocationSecurityMetadataSource {
    @Autowired
    MenuService menuService;
    //路径匹配符 直接用以匹配路径
    AntPathMatcher pathMatcher = new AntPathMatcher();
    @Override
    public Collection<ConfigAttribute> getAttributes(Object o) throws IllegalArgumentException {
        /*根据请求地址 分析请求该地址需要什么角色*/
        String url = ((FilterInvocation) o).getRequestUrl();    //获取请求地址
        List<Menu> allMenus =  menuService.getAllMenus();
        for (Menu menu:allMenus
             ) {
            if(pathMatcher.match(menu.getPattern() , url)){
                List<Role> roles = menu.getRoles();
                String[] rolesStr = new String[roles.size()];
                for(int i = 0;i<roles.size();i++){
                    rolesStr[i] = roles.get(i).getName();
                }
                return SecurityConfig.createList(rolesStr);     //返回请求地址所需的角色
            }
        }
        //请求地址没有匹配数据库中的地址则返回默认值,以作标识
        return SecurityConfig.createList("ROLE_login");
    }

    @Override
    public Collection<ConfigAttribute> getAllConfigAttributes() {
        return null;
    }

    @Override
    public boolean supports(Class<?> aClass) {
        //是否支持该方法,返回true即可
        return true;
    }
}

该Filter中的getAttributes方法获取到的是访问每条路径所需要的角色,并将其存储在类型为ConfigAttributeCollection中作为返回值;接下来就要判断当前用户角色是否与访问路径所需角色相匹配,实现AccessDecisionManager接口的MyAccessDecisionManager类就是完成这件事的。

AccessDecisionManager的实现

@Component
public class MyAccessDecisionManager implements AccessDecisionManager {
    @Override
    public void decide(Authentication authentication, Object o, Collection<ConfigAttribute> collection) throws AccessDeniedException, InsufficientAuthenticationException {
        /*
        * authentication: 当前登录用户信息
        * o:当前请求对象(FilterInvocation对象)
        *collection:FilterInvocationSecurityMetadataSource接口实现类中getAttributes方法的返回值
        * */
        for (ConfigAttribute attribute:collection
             ) {
            if("ROLE_login".equals(attribute.getAttribute())){      //路径不在数据库配置范围内,返回标志ROLE_login
                if(authentication instanceof AnonymousAuthenticationToken){ //用户未登录
                    throw new AccessDeniedException("非法请求!");
                }else{
                    return;      //用户已经登录 无需判断 方法到此结束
                }
            }
            //获取当前登录用户的角色
            Collection<? extends GrantedAuthority> authorities = authentication.getAuthorities();
            for (GrantedAuthority authority:authorities
                 ) {
                if(authority.getAuthority().equals(attribute.getAttribute())) {
                    return;      //当前登录用户具备所需的角色 则无需判断
                }
            }
        }
        throw new AccessDeniedException("非法请求!");
    }

    @Override
    public boolean supports(ConfigAttribute configAttribute) {
        return true;
    }

    @Override
    public boolean supports(Class<?> aClass) {
        return true;
    }
}

decide方法中的以前面filter中返回的类型为ConfigAttributecollection做变量的for循环会首先判断collection中的值是不是“ROLE_login”默认标识,表示该路径只要认证(登录)就可访问,如果是,那么只要判断当前用户对象authentication不是未登录状态就可以访问(放行,直接退出方法);如果collection不是ROLE_login,则会以用户角色做for循环,只要用户角色中有能匹配当前路径的角色则退出方法。如果整个for循环都做完了仍没有退出方法,表示该访问非法,抛出异常即可。注意后面两个support方法表示是否支持该方法,返回true即可。

Security的配置类
编写完两个重要类之后,如何让它们生效呢?这就需要回到Security的配置类中,做配置:

@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    UserService userService;
    @Autowired
    MyFilter myFilter;
    @Autowired
    MyAccessDecisionManager myAccessDecisionManager;
    @Bean
    PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userService);
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .withObjectPostProcessor(new ObjectPostProcessor<FilterSecurityInterceptor>() {
                    @Override
                    public <O extends FilterSecurityInterceptor> O postProcess(O o) {
                        o.setAccessDecisionManager(myAccessDecisionManager);
                        o.setSecurityMetadataSource(myFilter);
                        return o;
                    }
                })
                .and()
                .formLogin()
                .permitAll()
                .and()
                .csrf()
                .disable();
    }
}

只需在实现登录配置的基础上注入上面编写的两个类,并将这两个类配置在继承自FilterSecurityInterceptor对象中即可生效。

Controller接口
接下来就编写controller接口来测试权限访问是否成功:

@RestController
public class HelloController {
    @GetMapping("/hello")
    public String hello(){
        return "hello security!";
    }
    @GetMapping("/admin/hello")
    public String admin(){
        return "hello admin!";
    }
    @GetMapping("/db/hello")
    public String db(){
        return "hello db!";
    }
    @GetMapping("/user/hello")
    public String user(){
        return "hello user!";
    }
}

总结
动态权限设置,关键在于“动态”,而这个动态的实现靠的是修改数据库,那么我们要如何在Spring Security中实现动态获取数据库数据并进行判断就成了实现“动态”的关键所在。

没bug就没烦恼
关注
  • 9
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
使用AccessDecisionManager实现HttpSecurity的自定义动态路由鉴权
CodeCattle的博客
05-06 1086
1. 使用AccessDecisionManager实现HttpSecurity的自定义动态路由鉴的主要思路是利用投票机制进行鉴权。即通过自定义实现的AnonymousAccessVoter来鉴权投票,从Redis中读取到的路由权限表配置,进行逻辑判断请求是否符合配置权限要求,从而投出相对应的投票,如果请求是开放的接口,且不符合权限要求直接抛出AccessDeniedException异常即可,若符合权限要求则投已认证票,如果请求不是开放的接口,则投出弃权票
springboot springsecurity动态权限控制
09-18
springboot springsecurity动态权限控制,实现数据库动态管理菜单权限
SSM和SpringBoot整合SpringSecurity完成方法级权限控制(非常详细)
最新发布
weixin_43977307的博客
06-21 732
权限管理,一般指根据系统设置的安全规则或者安全策略,用户可以访问而且只能访问自己被授权的资源。权限管理几乎出现在任何系统里面,前提是需要有用户和密码认证的系统。完成权限管理需要三个对象:是 采用AOP思想,基于 过滤器实现的安全框架。它提供了完善的和功能。是一款非常优秀的权限管理框架。 核心文件配置 - mvc 资源启用 核心文件配置 - 认证和资源拦截 配置 SpringSecurity 过滤器 默认首页 运行项目首页查看 查看 默认提供的登录界面,获取对应的默认数据: , , …在
玩转SpringCloud Security OAuth2资源授权动态权限扩展
Java知音
11-18 677
点击关注公众号,实用技术文章及时了解来源:blog.csdn.net/new_com/article/details/104731154在Spring Cloud Security 中,认...
SpringSecurity+OAuth2.0权限认证第四天-实现动态配置角色实现权限控制
tianlong1569的专栏
09-04 1549
第一步:创建一个新的SpringCloud项目;项目的pom.xml文件配置如下 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https
springsecurity权限控制_Spring Security 实战干货:动态权限控制(下)实现
weixin_39702649的博客
11-26 341
1. 前言Spring Security 实战干货:内置 Filter 全解析 中提到的第 32 个 Filter 不知道你是否有印象。它决定了访问特定路径应该具备的权限,访问的用户的角色,权限是什么?访问的路径需要什么样的角色和权限? 它就是 FilterSecurityInterceptor ,正是我们需要的那个轮子。2.FilterSecurityInterceptor过滤器排行榜第 32 ...
spring security动态配置权限
qq_36022463的博客
03-02 812
一个资源需要什么权限才能访问,资源 和 权限的表,,动态配置资源,权限涉及到的类:: 是一个决策器,决定此次访问是否被允许: 是一个投票器,会检查用户是否具备应有的角色,进而投出,赞成,反对,或者弃权票AccessDecisionManager会挨个遍历 AccessDecisionVoter ,进而决定是否允许用户访问,关系类似于AuthenticationProvider 和 ProviderManager 的关系。
基于springboot+springSecurity+jwt实现的基于token的权限管理的一个demo,适合新手
02-24
本示例项目——"基于springboot+springSecurity+jwt实现的基于token的权限管理的一个demo",旨在为新手提供一个易于理解的学习平台,来掌握如何在Spring Boot应用中实现用户认证与授权。下面将详细介绍这个项目所...
Spring_Security权限管理_学习笔记
08-01
Spring SecurityJava企业级应用中广泛使用的权限管理框架,它为应用程序提供了强大的访问控制和安全功能。在本学习笔记中,我们将深入探讨Spring Security的核心概念和配置,以及如何设计数据库表来支持权限管理。...
springboot项目——基于springSecurity实现的前后端分离的企业级人事管理系统
10-03
SpringSecurity作为Spring生态系统中的安全组件,为开发者提供了强大的权限管理和认证功能。本文将深入探讨如何在SpringBoot项目中集成SpringSecurity,构建一个前后端分离的企业级人事管理系统。 首先,...
spring security 2.0 的简单配置使用(补)——用aop控制method级权限
03-01
在本文中,我们将深入探讨如何在Spring Security 2.0版本中配置并使用AOP(面向切面编程)来实现方法级别的权限控制。首先,我们需要理解Spring Security的基础概念。 1. **Spring Security基本架构** Spring ...
Spring Security 资料合集
01-24
这三份资料——"实战Spring Security 3.x.pdf"、"Spring Security 3.pdf" 和 "Spring Security使用手册.pdf" 将深入探讨这些概念,并提供实践指导,帮助读者掌握如何在实际项目中应用Spring Security。通过学习这些...
Spring security OAuth2.0认证授权学习第四天(SpringBoot集成)
彼岸舞的博客
05-10 103
基础的授权其实只有两行代码就不单独写一个篇章了; 这两行就是上一章demo的权限判断; 集成SpringBoot SpringBoot介绍 这个篇章主要是讲SpringSecurity的,SpringBoot不做主要讲解 创建SpringBoot项目 在这里说一下,我的所有项目创建和代码的书写都是使用的IDEA,eclipse我用的不是很明白; 点击File -> new Proje...
利用spring security实现动态权限控制
weixin_43213137的博客
02-26 1276
前言:利用security实现权限控制 一,准备数据库MySql 1,创建五张表,user表、role表、uer_role表、menu表、menu_role表 user表:用来存放用户信息,字段id、name、username、password、enabled等 说明:必要的字段username和password,这两个字段表示登陆时需要验证的内容。 在登陆页面输入的用户名和密码即为这两个字段,n...
spring-secrity动态(数据库)对用户 权限限定以及鉴权
qq_38348645的博客
06-22 441
spring-secrity动态(数据库)对用户 权限限定以及鉴权里写自定义目录标题1、利用spring-security 进行静态权限登录1 创建项目2、导包3、编写简单的测试静态文件4、介绍一下文件的作用总结以及对源码分析:2、spring-security动态(数据库)对用户权限以及鉴权 1、利用spring-security 进行静态权限登录 1 创建项目 2、导包 <dependencyManagement> <dependencies>
Spring Security实现动态权限管理
AHAU10的专栏
07-08 7697
我所理解的动态权限就是RBAC(Role-Based Access Control)。 就是可以自定义角色,配置角色可以访问哪些URL。然后给不同的角色设置不同的角色。为什么用Spring Security?听说Spring Security是基于Shiro的。Shiro没用过。之所以用Spring Security是因为它安全。废话!是因为可以帮你防御csrf等攻击。其实现在的Chrome浏览器
Spring Security实现动态配置权限
qq_60458298的博客
03-25 941
需要注意的是,如果我们需要根据数据库或其他外部数据源动态配置权限,可以在 MyVoter 中进行相关的查询操作,以动态获取资源的 ConfigAttribute,然后再进行决策。在上面的代码中,我们通过实现 vote() 方法,根据当前用户的 Authentication 对象和资源的 ConfigAttribute 对象,决策当前用户是否有权限访问该资源。
一文教你搞定权限管理,结合Spring Security实现接口的动态权限控制!
m0_50180963的博客
08-18 1181
数据库设计 权限管理相关表已经重新设计,将原来的权限拆分成了菜单和资源,菜单管理用于控制前端菜单的显示和隐藏,资源管理用来控制后端接口的访问权限。 数据库表结构 其中ums_admin、ums_role、ums_admin_role_relation为原来的表,其他均为新增表。 数据库表介绍 接下来我们将对每张表的用途做个详细介绍。 ums_admin 后台用户表,定义了后台用户的一些基本信息。 create table ums_admin ( id .
SpringSecurity框架原理浅谈之AccessDecisionManager
黄先生的博客
02-14 1509
授权流程 Spring Security可以通过 http.authorizeRequests() 对web请求进行授权保护。 Spring Security使用标准Filter建立了对web请求的拦截,最终实现对资源的授权访问。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值