Spring Security 自定义资源访问权限过滤器Fliter ,参考FilterSecurityInteceptor

最新推荐文章于 2024-04-27 09:42:10 发布
最新推荐文章于 2024-04-27 09:42:10 发布
阅读量4.1k 收藏 2
点赞数
分类专栏: SSH


尽管spring security提供了许多filter(参考《spring security 标准Filter及其在filter chain的顺序》)处理不同事情,但在web应用的安全防护上核心filter有如下图所示四个核心的filter,而FilterSecurityInterceptor负责处理HTTP资源的安全性。整个过程需要依赖AuthenticationManager、AccessDecisionManager和 FilterInvocationSecurityMetadataSource。



AuthenticationManager:认证管理器,实现用户认证的入口
AccessDecisionManager:访问决策器,决定某个用户具有的角色,是否有足够的权限去访问某个资源
FilterInvocationSecurityMetadataSource: 资源源数据定义,即定义某一资源可以被哪些角色访问

他们的关系在spring security配置文件中的配置方式如下代码所示。 
   
   

    
    

     
     <bean id="filterSecurityInterceptor"
    
    

    
    

     
           class="org.springframework.security.web.access.intercept.FilterSecurityInterceptor">
    
    

    
    

     
       <property name="authenticationManager" ref="authenticationManager"/>
    
    

    
    

     
       <property name="accessDecisionManager" ref="accessDecisionManager"/>
    
    

    
    

     
       <property name="securityMetadataSource">
    
    

    
    

     
         <security:filter-security-metadata-source>
    
    

    
    

     
           <security:intercept-url pattern="/secure/super/**" access="ROLE_WE_DONT_HAVE"/>
    
    

    
    

     
           <security:intercept-url pattern="/secure/**" access="ROLE_SUPERVISOR,ROLE_TELLER"/>
    
    

    
    

     
         </security:filter-security-metadata-source>
    
    

    
    

     
       </property>
    
    

    
    

     
     </bean>

通过源码分析我们知道这三个类都是 FilterSecurityInterceptor的属性,而且三个都是定义的接口。当然 FilterInvocationSecurityMetadataSource之外另外两个属性在其父类AbstractSecurityInterceptor中。



上面配置方式中属性 securityMetadataSource是使用 <security:filter-security-metadata-source> Namespace特性来进行的实现,它的弊端是资源和角色的关系固化在配置文件中,而要实现在数据库中灵活配置目的,我们需要自己实现一个 FilterInvocationSecurityMetadataSource实现类。从中获取资源角色关系即可。


尽管spring security提供了许多filter(参考《spring security 标准Filter及其在filter chain的顺序》)处理不同事情,但在web应用的安全防护上核心filter有如下图所示四个核心的filter,而FilterSecurityInterceptor负责处理HTTP资源的安全性。整个过程需要依赖AuthenticationManager、AccessDecisionManager和 FilterInvocationSecurityMetadataSource。



AuthenticationManager:认证管理器,实现用户认证的入口
AccessDecisionManager:访问决策器,决定某个用户具有的角色,是否有足够的权限去访问某个资源
FilterInvocationSecurityMetadataSource: 资源源数据定义,即定义某一资源可以被哪些角色访问

他们的关系在spring security配置文件中的配置方式如下代码所示。 
    
    

     
     

      
      <bean id="filterSecurityInterceptor"
     
     

     
     

      
            class="org.springframework.security.web.access.intercept.FilterSecurityInterceptor">
     
     

     
     

      
        <property name="authenticationManager" ref="authenticationManager"/>
     
     

     
     

      
        <property name="accessDecisionManager" ref="accessDecisionManager"/>
     
     

     
     

      
        <property name="securityMetadataSource">
     
     

     
     

      
          <security:filter-security-metadata-source>
     
     

     
     

      
            <security:intercept-url pattern="/secure/super/**" access="ROLE_WE_DONT_HAVE"/>
     
     

     
     

      
            <security:intercept-url pattern="/secure/**" access="ROLE_SUPERVISOR,ROLE_TELLER"/>
     
     

     
     

      
          </security:filter-security-metadata-source>
     
     

     
     

      
        </property>
     
     

     
     

      
      </bean>

通过源码分析我们知道这三个类都是 FilterSecurityInterceptor的属性,而且三个都是定义的接口。当然 FilterInvocationSecurityMetadataSource之外另外两个属性在其父类AbstractSecurityInterceptor中。



上面配置方式中属性 securityMetadataSource是使用 <security:filter-security-metadata-source> Namespace特性来进行的实现,它的弊端是资源和角色的关系固化在配置文件中,而要实现在数据库中灵活配置目的,我们需要自己实现一个 FilterInvocationSecurityMetadataSource实现类。从中获取资源角色关系即可。

尽管spring security提供了许多filter(参考《spring security 标准Filter及其在filter chain的顺序》)处理不同事情,但在web应用的安全防护上核心filter有如下图所示四个核心的filter,而FilterSecurityInterceptor负责处理HTTP资源的安全性。整个过程需要依赖AuthenticationManager、AccessDecisionManager和 FilterInvocationSecurityMetadataSource。



AuthenticationManager:认证管理器,实现用户认证的入口
AccessDecisionManager:访问决策器,决定某个用户具有的角色,是否有足够的权限去访问某个资源
FilterInvocationSecurityMetadataSource: 资源源数据定义,即定义某一资源可以被哪些角色访问

他们的关系在spring security配置文件中的配置方式如下代码所示。 
    
    

     
     

      
      <bean id="filterSecurityInterceptor"
     
     

     
     

      
            class="org.springframework.security.web.access.intercept.FilterSecurityInterceptor">
     
     

     
     

      
        <property name="authenticationManager" ref="authenticationManager"/>
     
     

     
     

      
        <property name="accessDecisionManager" ref="accessDecisionManager"/>
     
     

     
     

      
        <property name="securityMetadataSource">
     
     

     
     

      
          <security:filter-security-metadata-source>
     
     

     
     

      
            <security:intercept-url pattern="/secure/super/**" access="ROLE_WE_DONT_HAVE"/>
     
     

     
     

      
            <security:intercept-url pattern="/secure/**" access="ROLE_SUPERVISOR,ROLE_TELLER"/>
     
     

     
     

      
          </security:filter-security-metadata-source>
     
     

     
     

      
        </property>
     
     

     
     

      
      </bean>

通过源码分析我们知道这三个类都是 FilterSecurityInterceptor的属性,而且三个都是定义的接口。当然 FilterInvocationSecurityMetadataSource之外另外两个属性在其父类AbstractSecurityInterceptor中。



上面配置方式中属性 securityMetadataSource是使用 <security:filter-security-metadata-source> Namespace特性来进行的实现,它的弊端是资源和角色的关系固化在配置文件中,而要实现在数据库中灵活配置目的,我们需要自己实现一个 FilterInvocationSecurityMetadataSource实现类。从中获取资源角色关系即可。


尽管spring security提供了许多filter(参考《spring security 标准Filter及其在filter chain的顺序》)处理不同事情,但在web应用的安全防护上核心filter有如下图所示四个核心的filter,而FilterSecurityInterceptor负责处理HTTP资源的安全性。整个过程需要依赖AuthenticationManager、AccessDecisionManager和 FilterInvocationSecurityMetadataSource。



AuthenticationManager:认证管理器,实现用户认证的入口
AccessDecisionManager:访问决策器,决定某个用户具有的角色,是否有足够的权限去访问某个资源
FilterInvocationSecurityMetadataSource: 资源源数据定义,即定义某一资源可以被哪些角色访问

他们的关系在spring security配置文件中的配置方式如下代码所示。 
     
     

      
      

       
       <bean id="filterSecurityInterceptor"
      
      

      
      

       
             class="org.springframework.security.web.access.intercept.FilterSecurityInterceptor">
      
      

      
      

       
         <property name="authenticationManager" ref="authenticationManager"/>
      
      

      
      

       
         <property name="accessDecisionManager" ref="accessDecisionManager"/>
      
      

      
      

       
         <property name="securityMetadataSource">
      
      

      
      

       
           <security:filter-security-metadata-source>
      
      

      
      

       
             <security:intercept-url pattern="/secure/super/**" access="ROLE_WE_DONT_HAVE"/>
      
      

      
      

       
             <security:intercept-url pattern="/secure/**" access="ROLE_SUPERVISOR,ROLE_TELLER"/>
      
      

      
      

       
           </security:filter-security-metadata-source>
      
      

      
      

       
         </property>
      
      

      
      

       
       </bean>

通过源码分析我们知道这三个类都是 FilterSecurityInterceptor的属性,而且三个都是定义的接口。当然 FilterInvocationSecurityMetadataSource之外另外两个属性在其父类AbstractSecurityInterceptor中。



上面配置方式中属性 securityMetadataSource是使用 <security:filter-security-metadata-source> Namespace特性来进行的实现,它的弊端是资源和角色的关系固化在配置文件中,而要实现在数据库中灵活配置目的,我们需要自己实现一个 FilterInvocationSecurityMetadataSource实现类。从中获取资源角色关系即可。

小灰灰1234
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring security用户URL权限FilterSecurityInterceptor使用解析
08-25
主要介绍了Spring security用户URL权限FilterSecurityInterceptor使用解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考
spring security自定权限截器
Sdramsfagfqeg的博客
03-18 283
spring security自定权限截器,友好权限拦截 废话不多说,先上效果图 测试用户只有VIP1权限 url输入需要vip2权限的视图/app/system/monitor/log 请求被拦截 解决方案 第一步、自定义权限拦截处理器 AccessDeniedFilter.java @Component("accessDeniedFilter") public class AccessDe...
Spring Security介绍(三)过滤器(2)自定义
最新发布
w_t_y_y的博客
04-27 743
Component@Slf4j@Overridelog.info("进入UrlFilter");@Component@Slf4j@Overridelog.info("进入UrlFilter-one");修改自定义的UrlFilter,修改为继承OncePerRequestFilter@Component@Slf4j@Overridelog.info("进入UrlFilter");
史上最简单的Spring Security教程(十五):资源权限动态控制(FilterSecurityInterceptor
银河架构师的博客
07-27 3541
在前面的讲解中,我们分别对动态用户、动态权限的实现做了相关介绍。可能大家在看的过程中,会发现一个问题:目前都是通过注解控制权限的,并且角色是事先定义好的,且需要数据库、Java程序保持一致。 这是非常不友好的,不能自由的定义角色及其所能控制的资源。角色比较少且固定的业务场景还好,如OA,只有管理员和普通用户两种角色。但是遇到大型业务系统,角色细且繁多,需要自定义,且需要频繁变更其所拥有的资源,那么,目前的形式就显得非常笨拙。 接下来,就如何进行资源权限动态控制进行讲解,要实现的目标为:Java程序...
spring security 3 -- 自定义过滤链
qq:489366879
11-08 300
先来配置下web.xml,HttpSessionEventPublisher是使用session管理时需要用到的 &lt;!-- spring security --&gt; &lt;filter&gt; &lt;filter-name&gt;securityFilterChainProxy&lt;/filter-name&gt; &lt;filter-class&gt; ...
自定义filterinterceptor
圆师傅的博客
12-04 478
filterinterceptor的区别以及简单实用
SpringSecurity学习之自定义过滤器的实现代码
08-26
描述:"主要介绍了SpringSecurity学习之自定义过滤器的实现代码,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧" 该描述告诉我们,本文...
spring security 4 小例子带自定义过滤器
03-20
Spring Security 4中,我们可以通过自定义过滤器来扩展其功能,以满足特定的安全需求。在这个小例子中,我们将探讨如何创建并集成自定义过滤器,以及它在Spring Security中的工作原理。 首先,我们需要理解Spring...
全面解析Spring Security 过滤器链的机制和特性
08-18
Spring Security 中,过滤器链的机制可以分为两个部分:客户端(APP 和后台管理客户端)向应用程序发送请求,然后应用根据请求的 URI 的路径来确定该请求的过滤器链(Filter)以及最终的具体 Servlet 控制器...
Spring security 自定义密码加密方式的使用范例。
09-15
1. **Filter Security Chain**:这是Spring Security的核心,一系列过滤器负责拦截请求,执行安全相关的操作。 2. **Authentication Manager**:负责处理用户的认证请求,包括验证用户名和密码。 3. **...
浅谈Spring Security 对于静态资源的拦截与放行
08-25
在这种情况下,可以考虑使用其他方式,如过滤器Filter)或者自定义的访问决策管理器(AccessDecisionManager),来实现更细粒度的控制。 总之,Spring Security为我们的应用提供了强大的安全保障,但在处理静态...
springsecurity2 自定义filter实现
03-16
NULL 博文链接:https://jiawu.iteye.com/blog/400351
史上最简单的Spring Security教程(十八):FilterSecurityInterceptor实现每个请求只处理一次
银河架构师的博客
08-05 2069
在前面的资源权限动态控制中,我们说了如何通过自定义 FilterSecurityInterceptor 来实现资源权限的动态控制。不知道大家发现没有,在 FilterSecurityInterceptor 实例的定义过程中,我们设置了其 observeOncePerRequest 属性为 false。 这是出于什么目的呢?其实,很简单。比如用户发起某个访问请求,首先经过默认的 FilterSecurityInterceptor,经过权限检查,需要身份认证权限,此时已经登录,权限认证通过;再交给自定义...
自定义过滤器Filter与拦截器Interceptor
zjraswc的博客
03-08 296
** springmvc中有两种很普遍的AOP实现 ** 过滤器Filter)和拦截器(Interceptor过滤器与拦截器的区别: 1 拦截器(interceptor)只对action请求起作用,而过滤器filter)则可以对几乎所有的请求起作用 2 过滤器是在请求进入容器(Tomcat)之后,但是请求进入Servlet之前。请求结束返回时也是,是在Servlet处理完之后,返回给前端之...
spring security——学习笔记(day06)-实现授权认证-FilterSecurityInterceptorSecurityMetadataSource、AccessDecisionM
键上艺术家
01-11 4508
复制 demo02 ,拷贝一个 demo03,IDEA复制项目可以看 day04 。 6.1 授权认证 之前学了身份认证,就是认证当前登录的用户是否是存在并真实的,身份认证成功后就可以访问认证后的接口(资源)了,但即便是已认证的用户也有能访问不能访问的接口(资源),那么就需要通过授权认证来判断。 今天学习授权认证,也就是认证当前登录用户都有哪些权限,并确定当前用户的权限是否能访问当前请求的接口。 之前在spring security——学习笔记(day03)-UserDetailsSe...
Spring Security 入门(1-6-2)Spring Security - 内置的filter顺序、自定义filter、http元素和对应的filterChain...
weixin_34393428的博客
06-16 247
Spring Security 的底层是通过一系列的 Filter 来管理的,每个 Filter 都有其自身的功能,而且各个 Filter 在功能上还有关联关系,所以它们的顺序也是非常重要的。 1、Spring Security的内置Filter 执行顺序 Spring Security 已经定义了一些 Filter,不管实际应用中你用到了哪些,它们应当保持如下顺序。 ChannelProces...
springSecurity3自定义安全过滤器位置及注意事项
cja_java的博客
04-14 583
当auto-config="true"时,springSecurity自动创建过滤器链, 1.自定义过滤器位置需要在已有过滤器之前或之后,否则会报错; 2.由于FilterSecurityInterceptor安全observeOncePerRequest(每个请求一次)默认为true.默认情况下FilterSecurityInterceptor只会执行一个,所以如果既要执行默认安全过滤器又要...
[13] FilterSecurityInterceptor
热门推荐
既无风雨也无晴
03-19 2万+
FilterSecurityInterceptor 简介 Spring Security对于权限的控制有2种方式,1.通过ExpressionInterceptUrlRegistry进行配置,2.通过注解和切面的方式。FilterSecurityInterceptor是针对于第一种方式权限配置的控制机制,在项目或服务启动时,Spring Security会把ExpressionIntercept...
Spring Security AuthorizationFilter代替FilterSecurityInterceptor重大变更逻辑
tof
02-09 991
spring security AuthorizationFilter FilterSecurityInterceptor
spring security 6 自定义权限过滤器
11-11
Spring Security 6中自定义权限过滤器的步骤如下: 1.创建一个类并实现`org.springframework.web.filter.OncePerRequestFilter`接口。 2.覆盖`doFilterInternal`方法,该方法接收`HttpServletRequest`和`...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值