SpringSecurity解决公共接口自定义权限验证失效问题,和源码分析

最新推荐文章于 2024-05-13 15:13:10 发布
最新推荐文章于 2024-05-13 15:13:10 发布
阅读量1.3w 收藏 3
点赞数
分类专栏: Java Spring Security 文章标签: 权限验证 Spring Security 权限失效 源码分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zimou5581/article/details/89499201
版权

背景:自定义权限认证,一部分接口必须要有相应的角色权限,一部分接口面向所有访问者,一部分接口任何人都不能访问。但是在使用 SpringSecurity的过程中发现,框架会将没有指定角色列表的URL资源直接放行,不做拦截。

用户登录认证成功后,携带Token访问URL资源,spring security 根据Token(请求头Authorization中)来分辨不同用户。

用户权限数据源是一个Map:以 URL资源为Key,以有权访问的Key的角色列表为Value。

使用时发现当一个接口有Key,但是Value为空或null时,spring security 框架自动放行,导致了权限失效问题。

解决方法有两种:

第一种方法:
默认rejectPublicInvocations为false。
对需要控制权限的URL资源添加标志,以防止roleList为空,跳过了权限验证.
公共权限设置为null,不进行权限验证

第二种方法:
配置rejectPublicInvocations为true
此后roleList为空,或者没有找到URL资源时,都为拒绝访问
需要控制权限的URL资源,即使对应角色为空,也会进行权限验证
公共权限设置为所有角色和匿名角色,不进行权限验证

package org.springframework.security.access.intercept;
/**
 * 对安全对象(访问请求+用户主体)拦截的抽象类源码
 */
public abstract class AbstractSecurityInterceptor implements InitializingBean, ApplicationEventPublisherAware, MessageSourceAware {
   

	// ... 其他方法省略
	
	protected InterceptorStatusToken beforeInvocation(Object object) {
   
		Assert.notNull(object, "Object was null");
		final boolean debug = logger.isDebugEnabled();

		if (!getSecureObjectClass().isAssignableFrom(object.getClass())) {
最低0.47元/天 解锁文章
持盾的紫眸
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security学习笔记
TSCCG的博客
11-28 1757
1.权限控制 1.1认证和授权概念 以此项目为例:https://gitee.com/fan-shuaiqiang/heath 该项目的功能有:检查项管理、检查组管理、套餐管理、预约管理等。 我们来思考以下两个问题问题1:在生产环境下,如果我们不登录后台系统可以操作这些功能吗? 答案当然是不能的,我们不能让任何人都能操作我们的系统,要进行相关操作必须先登录到系统上。 问题2:是不是所有用户,只要登录成功就可以操作所有的功能呢? 答案当然也是不能,不同的用户可能有不同的权限,这就需要对不同用户进
redis 登录_实战开发,使用 Spring Session 完成网站登录改造
weixin_39589644的博客
11-26 191
上次小黑在文章中介绍了四种分布式一致性 Session 的实现方式,在这四种中最常用的就是后端集中存储方案,这样即使 web 应用重启或者扩容,Session 都没有丢失的风险。今天我们就使用这种方式对 Session 存储方式进行改造,将其统一存储到 Redis 中。实现方案我们先来想一下,如果我们不依靠任何框架,自己如何实现后端 Session 集中存储。这里我们假设我们的网站除了某些页面,比...
用户登录认证和权限授权(SpringSecurity、JWT、session)
最新发布
qq_51076441的博客
05-13 2808
登录认证和权限授权是所有项目中必不可少的功能,本篇文章首先将通过最简单的方式(Session和JWT)实现登录认证和权限授权,然后再整合Springsecurity框架实现。
Security + Layui实现一套权限管理后台模板
java面试笔试
01-08 816
Java面试笔试面经、Java技术每天学习一点公众号Java面试关注我不迷路作者:huanzi-qch来源:https://www.cnblogs.com/huanzi-qch/p/11...
Spring Security学习(一)认证与授权
德玛西亚
03-07 1546
Spring Security Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。简单来说springsecurity主要对用户进行认证以及授权。认证是指验证用户是否为当前系统中的用户, 授权是指验证用户是否有权限执行某个操作。故此本文着重从认证以及授权两个方向对springsecurity进行分析。 核心组件 Security...
SpringBoot 2.1.1 + SpringSecurity+jwt 去掉Token验证
程序人生
09-24 6151
SpringBoot 2.1.1+ SpringSecurity+jwt 实现无Token验证 记录一下使用springSecurity实现jwt的授权,并对去掉鉴权认证 工程创建流程 SecurityConfig AuthenticationEntryPointImpl 和 JwtAuthenticationEntryPoint JwtAuthenticationTokenFilter 配置 Security信息 启动类的信息 环境 springBoot 2.1.1 s.
Oauth2登录后访问接口权限校验多出 authority=字符串校验失败( 已解决
orange_bug的博客
11-30 1576
一、发生的问题 oauth登录模块登录成功后,带着token去访问带权限接口,发生 Spring Security: 不允许访问 的问题 查看权限断点发现是携带的权限被多加了一段字符串 前提: 自定义实现UserDetailsService 加载用户信息和权限 到UserDetails对象 package com.lxy.blog.config; import com.lxy.blog.service.api.UserFeignClient; import domain.SecurityU
spring security权限校验
weixin_43851855的博客
09-26 2740
构成 Spring Security 进行认证的流程,Security 快速入门
解析SpringSecurity自定义登录验证成功与失败的结果处理问题
08-25
Spring Security 自定义登录验证结果处理 Spring Security 是一个功能强大且灵活的安全框架,它提供了许多自定义的功能,以满足不同的应用场景需求。在本文中,我们将主要介绍如何在 Spring Security自定义登录...
java中自定义Spring Security权限控制管理示例(实战篇)
08-31
在本文中,我们将深入探讨如何在Java项目中自定义Spring Security权限控制管理。这通常涉及到对URL和HTTP方法的细粒度控制,允许某些角色仅访问特定的资源或执行特定的操作。 首先,我们需要了解项目的背景。假设...
Spring Security验证流程剖析及自定义验证方法
08-27
下面我们将深入探讨Spring Security验证流程以及如何自定义验证方法。 首先,Spring Security验证流程主要包括以下几个步骤: 1. 用户尝试登录,输入用户名和密码。 2. Spring Security将这些信息封装成一个...
springsecurity角色和权限
12-13
springsecurity角色和权限
SpringBoot+SpringSecurity整合(实现了登录认证和权限验证)完整案例,基于IDEA项目
02-16
SpringBoot+SpringSecurity整合示例代码,实现了从数据库中获取信息进行登录认证和权限认证。 本项目为idea工程,请用idea2019导入(老版应该也可以)。 本项目用户信息所需sql文件,在工程的resources文件夹下,...
基于Spring Security的细粒度权限管理系统设计源码
03-28
这是一个基于Spring Security框架的细粒度权限管理系统,使用Java语言开发,同时包含JavaScript、CSS、HTML等多种编程语言。该项目共包含2447个文件,其中主要文件类型包括JavaScript、PNG图片、CSS、HTML、JAR包、...
SpringSecurity权限校验详解说明(附完整代码)
qq_51076413的博客
02-19 3661
SpringSecurity安全检验、SpringSecurity权限认证、SpringSecurity权限校验SpringSecurity自定义校验SpringSecurity自定义校验规则、SpringSecurity异常处理器
Spring Security6自定义放行不生效踩坑笔记@EnableWebSecurity
sosozha的博客
02-01 2841
spring6体验
如何利用自定义注解放行springsecurity项目的接口
weixin_45089791的博客
07-19 2263
如何利用自定义注解放行springsecurity 在实际项目中使用到了springsecurity作为安全框架,我们会遇到需要放行一些接口,使其能匿名访问的业务需求。但是每当需要当需要放行时,都需要在security的配置类中进行修改,感觉非常的不优雅。 例如这样: 所以想通过自定义一个注解,来进行接口匿名访问。在实现需求前,我们先了解一下security的两种方行思路。 第一种就是在 configure(WebSecurity web) 方法中配置放行,像下面这样: @Override pub
spring security验证流程
qiuqiuit的专栏
02-13 497
工作需要,又弄起了权限的管理。虽然很早以前都了解过基于容器的权限实现方式,但是一直都觉得那东西太简陋了。后来使用liferay时发现它的权限系统的确做得很优秀,感觉这也可能是它做得最出色的地方吧。但是当时只停留在怎么使用及一些与其衔接的关系之上,并没有对其底层进行了解,新到现在的公司后,发现这一课还是得补上。但是令人惊讶的是,目前可用的选择并不多,甚至很少,最有名的当属spring securit...
16、Spring MVC 之 Web Security
carl.zhao的专栏
11-05 1513
Spring Security是一个单独的项目,它可以无缝的和Spring MVC集成。Spring Security提供会特性保护web应用来自恶意的攻击。
Spring Security权限开发实战与自定义教程
本文档是一份详尽的Spring Security权限管理开发手册,旨在帮助开发者深入了解和实践Spring Security在实际项目中的应用。作者基于自身开发的OA系统经验,精心总结了从基础篇到保护Web篇的各个关键知识点。 **序言*...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值