修改spring security源码实现动态授权

最新推荐文章于 2022-12-20 20:11:04 发布
最新推荐文章于 2022-12-20 20:11:04 发布
阅读量136 收藏
点赞数
分类专栏: 技术文档 文章标签: Security Spring XML DAO 配置管理
本文介绍如何通过修改Spring Security源代码实现动态授权。具体方法包括调整FilterSecurityInterceptor类中的obtainObjectDefinitionSource方法,以从数据库读取资源和角色信息,并将其转换为Spring Security所需的格式。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

[code]spring security 安全框架都是通过xml配置文件在容器启动时把资源和角色之间的许可信息加载到内存中,可往往我们需要通过在数据库中配置资源和角色的许可管理来实现动态授权,下面介绍一些通过修改springsecurity源代码的方法来实现动态授权。



首先下载spring security的源代码找到org.springframework.security.intercept.web.FilterSecurityInterceptor类,找到obtainObjectDefinitionSource方法,我们就是要通过修改该方法实现动态授权





private static FilterInvocationDefinitionSource s = null;

private ScRoleResDAO scRoleResDAO;

private ScResourceDAO scResourceDAO;



public ObjectDefinitionSource obtainObjectDefinitionSource() {



if (s == null){

UrlMatcher urlMatcher = new AntUrlPathMatcher(true);

LinkedHashMap requestMap = new LinkedHashMap();



// ApplicationContext context = new ClassPathXmlApplicationContext(

// "spring/dataAccess.xml"

// );

// ScRoleResDAO scRoleResDAO = (ScRoleResDAO)context.getBean("ScRoleResDAO");

// ScResourceDAO scResourceDAO = (ScResourceDAO)context.getBean("ScResourceDAO");



/* 一下这段代码可以忽视,因为每个人的实现方式都不同,

* 这段代码主要是从数据库中取得资源和角色信息的,

* 大家取出来的信息格式可能多种多样,关键是要把这些信息整理成统一的格式

* 参照下面第二段标注为关键代码的部分*/

Map<ScResource, List<ScRoleRes>> map = new TreeMap<ScResource, List<ScRoleRes>>();

ScResourceExample e = new ScResourceExample();

e.setOrderByClause("ORDER_NUM");

List<ScResource> resList = scResourceDAO.selectByExample(e);



ScRoleResExample example = null;

String url = "";

List<ScRoleRes> list = null;

for (ScResource resource : resList) {

url = resource.getUrl();

example = new ScRoleResExample();

example.createCriteria().andUrlEqualTo(url);

list = scRoleResDAO.selectByExample(example);

if (list != null){

map.put(resource, list);

}

}





/**************** 以下是关键代码 *********************/



/*

* 这段代码的重点是生成 requestMap

* requestMap 的 key 的类型为 RequestKey ,需要包含资源的url

* requestMap 的 value 的类型为 ConfigAttributeDefinition ,它需要包含该资源可访问的角色列表信息

* 最后生成 DefaultFilterInvocationDefinitionSource 返回就可以了,

* 当然需要把这个结果保存在内存中,要不然画面上每次刷新都要从数据库中取得信息,资源消耗太大了

* 提供一个刷内存的方法,当数据库中的权限信息改变时要刷新内存中的旧的信息*/

Iterator iterator = map.entrySet().iterator();

ScResource key = null;

List<ScRoleRes> list1 = null;

List<ConfigAttribute> roles = null;

while (iterator.hasNext()) {

Map.Entry entry = (Map.Entry) iterator.next();

key = (ScResource)entry.getKey();

RequestKey reqKey = new RequestKey(key.getUrl());

list1 = (List<ScRoleRes>)entry.getValue();

roles = new ArrayList<ConfigAttribute>();

for (ScRoleRes res : list1) {

roles.add(new SecurityConfig(res.getRole()));

}

requestMap.put(reqKey, new ConfigAttributeDefinition(roles));

}

s = new DefaultFilterInvocationDefinitionSource(urlMatcher,requestMap);

/**************** 以上是关键代码 *********************/

}

return s;

}



/**

* 提供一个刷新内存的静态方法

*/

public static void refresh() {

s = null;





修改启动加载的xml文件,如果此文件是通过命名空间配置的,需要加入



<beans:bean id="_filterSecurityInterceptor"

class="org.springframework.security.intercept.web.FilterSecurityInterceptor"

p:authenticationManager-ref="_authenticationManager"

p:accessDecisionManager-ref="accessDecisionManager">

<beans:property name="objectDefinitionSource">

<beans:value><![CDATA[

CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON

PATTERN_TYPE_APACHE_ANT

/**=ROLE_SUPERVISOR

]]></beans:value>

</beans:property>

<beans:property name="scRoleResDAO" ref="ScRoleResDAO"/>

<beans:property name="scResourceDAO" ref="ScResourceDAO"/>

</beans:bean>



其中objectDefinitionSource并没有实际意义,因为我们已经修改了源代码,如果不想注入这个,把FilterSecurityInterceptor类中的objectDefinitionSource变量去掉应该就可以了,不过没有试过

另外两个DAO是我根据我的代码注入的,大家换成自己的DAO就可以了。





可能说的不清楚,不明白的给我邮件cyoubunketu@126.com[/code]
springboot+springSecurity+jwt实现登录认证后令牌授权
09-12
在这个项目中,我们将探讨如何利用Spring Boot、Spring Security和JWT来实现登录认证后的令牌授权。 首先,让我们从Spring Boot开始。Spring Boot简化了Spring应用的初始搭建以及开发过程。通过提供默认配置,它极...
spring security动态配置url权限的2种实现方法
08-27
本文将探讨两种在Spring Security实现动态配置URL权限的方法。 ### 方法一:自定义Filter 虽然自定义Filter可以实现动态权限判断,但这并不符合Spring Security的设计原则,因为这会使你绕过框架提供的安全机制...
修改spring-security源码并编译
cxdcxd1995的博客
03-15 933
1.下载需修改版本的源码,地址:https://github.com/spring-projects/spring-security/releases. 2.解压缩后,eclipse-import-existing gradle project 等待右下角progress加载完成. 3.修改所需java文件. 4.打开gradle tasks视图,找到需打包的工程展开下拉右键选择jar选项,点击o...
Spring Security 重置密码
白石的专栏
12-20 2682
在本教程中—看看基本的我忘记了我的密码功能—以便用户可以在需要时安全地重置自己的密码。
Spring Security 认证 根据数据库自动授权
狮子座人生
12-18 220
&lt;?xml version="1.0" encoding="UTF-8"?&gt; &lt;beans:beans xmlns="http://www.springframework.org/schema/security" xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://ww
用Hibernate 实现 FilterInvocationDefinitionSource(Acegi)
melin1204的博客
06-08 242
整个工程在附件中,去掉了lib 目录,需要的jar包在jar.jpg。带有数据脚本,还有好多去完善,有空会更新 下面的代码缓存好像没有起作用。以后在调试,如果那位调试缓存起作用,请回复 [code]public class RdbmsFilterInvocationDefinitionSource extends AbstractFilterInvocationDefinitionSource...
spring security实现动态授权
02-08
Spring Security 是一个强大的安全框架,用于为...通过对源代码的适当修改,我们可以构建一个完全可配置的权限管理系统,适应不断变化的业务需求。这个过程涉及多个组件的定制,但一旦设置好,就能带来显著的便利性。
SpringBoot+SpringSecurity+Vue实现后台管理系统的开发项目源代码
07-08
在项目源代码中,`springboot-adminvue`可能包含了后端服务端代码,包括SpringBoot的配置、业务逻辑处理、数据库连接以及SpringSecurity的相关配置。而`vueadmin-vue`则可能是前端部分的代码,包含Vue.js组件、路由...
基于Spring Security的JWT实现登录认证及多账号登录互斥设计源码
最新发布
10-09
通过该项目源码的学习,可以更好地理解如何将JWT作为安全令牌与Spring Security集成,以及如何通过编程手段解决常见的认证与授权问题。 源码包含多个文件,其中Java源文件构成了系统的核心,涉及了用户认证、权限...
spring security自定义权限拦截FilterInvocationSecurityMetadataSource
lichuangcsdn的博客
07-08 2万+
一般情况下,我们如果需要自定义权限拦截,则需要涉及到FilterInvocationSecurityMetadataSource这个接口了。 这里有个坑爹的地方。如果用户未登录,但是已经设置了拦截白名单的URL,仍然会进入到权限验证里面来。起初,我以为不会进来,但后来跟踪源代码发现,还是会进来。只是此时的身份是一个匿名用户。其默认的实现为DefaultFilterInvocationSecuri...
关于Acegi配置文件中filterChainProxy的属性filterInvocationDefinitionSource的解析问题
Michael的专栏
03-11 3129
今天研究acegi时遇到一个问题,filterChainProxy类中的filterInvocationDefinitionSource是FilterInvocationDefinitionSource类型,而在配置文件中传入了一个String类型的值。其间怎么转化,没弄明白,源码中也没有找到。但是在网上搜到这样一个帖子,原理解释的很明白。原帖地址:http://www.javaeye.com/t
修改Spring Security默认解密方式(使用AES加密替换)
lxl的博客
02-24 6526
AES工具类 package com.house.common.utils; import com.house.common.exception.UtilException; import org.slf4j.Logger; import org.slf4j.LoggerFactory; import org.springframework.beans.factory.annotation.Value; import org.springframework.security.crypto.password
Spring Security学习总结2_2
ChocooM
12-15 137
说了这么些,那我们到底应该如何来实现这个ObjectDefinitionSource接口呢? 首先还是说说Acegi Seucrity 1.x 版本,org.acegisecurity.intercept.web 和org.acegisecurity.intercept.method 包下AbstractFilterInvocationDefinitionSource 和AbstractMeth...
Spring Security修改默认表单登录(详细带图教程)
Pinyk的博客
02-22 6121
我们知道,在SpringBoot项目引入SpringSecurity依赖之后,security在你获取任何接口之前自动会帮你加载一个默认的登录页面,如下图: 但是往往一般情况下我们会选择自己定义登录页面。首先,我们需要新建一个config的包用来存放配置,然后新建一个SecurityConfig类,使其继承WebSecurityConfigurerAdapter,如下图所示: 然后我们需要给S...
Spring SecuritySpringEL表达式
wptalenter的博客
03-25 636
Spring Security允许我们在定义URL访问或方法访问所应有的权限时使用Spring EL表达式,在定义所需的访问权限时如果对应的表达式返回结果为true则表示拥有对应的权限,反之则无。Spring Security可用表达式对象的基类是SecurityExpressionRoot,其为我们提供了如下在使用Spring EL表达式对URL或方法进行权限控制时通用的内置表达式。 表...
Spring Security框架_02_修改登录页面
wyb_Night的博客
05-13 1529
基于Spring Security框架入门_01创建的项目进行:创建登录页面(login.html)和登录失败页面(login_error.html),添加favicon.ico 到根目录(网站图标)login.html&lt;!DOCTYPE html&gt; &lt;html&gt; &lt;head&gt; &lt;meta charset="UTF-8"&gt; &lt;title&gt;...
spring security四种实现方式
热门推荐
不学习就淘汰
09-18 12万+
spring security实现方式大致可以分为这几种: 1.配置文件实现,只需要在配置文件中指定拦截的url所需要权限、配置userDetailsService指定用户名、密码、对应权限,就可以实现。 2.实现UserDetailsService,loadUserByUsername(String userName)方法,根据userName来实现自己的业务逻辑返回User...
基于Spring Security实现权限的动态配置与管理
本文将针对如何通过修改Spring Security源代码来实现动态授权进行详细探讨。 ### 标题知识点详细说明: #### 1. 动态权限管理的概念 在传统的权限管理模型中,权限的修改往往需要程序的重新部署或者是服务的重启。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值