SpringBoot通过自己的配置文件或者从数据库spring security动态配置url权限

最新推荐文章于 2025-07-07 12:39:36 发布
最新推荐文章于 2025-07-07 12:39:36 发布
阅读量6.1k 收藏 4
点赞数 2
CC 4.0 BY-SA版权
分类专栏: springboot springSecurity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_28929589/article/details/79023012
本文介绍如何在Spring Security中自定义权限配置,包括通过MyFilterInvocationSecurityMetadataSource类动态获取URL权限配置,并利用MyAccessDecisionManager进行权限判断。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

我使用springboot的时候想做自己的配置文件的,用不了xml就重写了过滤器

首先需要了解spring security内置的各种filter:

Alias Filter Class Namespace Element or Attribute
CHANNEL_FILTERChannelProcessingFilterhttp/intercept-url@requires-channel
SECURITY_CONTEXT_FILTERSecurityContextPersistenceFilterhttp
CONCURRENT_SESSION_FILTERConcurrentSessionFiltersession-management/concurrency-control
HEADERS_FILTERHeaderWriterFilterhttp/headers
CSRF_FILTERCsrfFilterhttp/csrf
LOGOUT_FILTERLogoutFilterhttp/logout
X509_FILTERX509AuthenticationFilterhttp/x509
PRE_AUTH_FILTERAbstractPreAuthenticatedProcessingFilter SubclassesN/A
CAS_FILTERCasAuthenticationFilterN/A
FORM_LOGIN_FILTERUsernamePasswordAuthenticationFilterhttp/form-login
BASIC_AUTH_FILTERBasicAuthenticationFilterhttp/http-basic
SERVLET_API_SUPPORT_FILTERSecurityContextHolderAwareRequestFilterhttp/@servlet-api-provision
JAAS_API_SUPPORT_FILTERJaasApiIntegrationFilterhttp/@jaas-api-provision
REMEMBER_ME_FILTERRememberMeAuthenticationFilterhttp/remember-me
ANONYMOUS_FILTERAnonymousAuthenticationFilterhttp/anonymous
SESSION_MANAGEMENT_FILTERSessionManagementFiltersession-management
EXCEPTION_TRANSLATION_FILTERExceptionTranslationFilterhttp
FILTER_SECURITY_INTERCEPTORFilterSecurityInterceptorhttp
SWITCH_USER_FILTERSwitchUserFilterN/A
这里我们要操作的是FilterSecurityInterceptor这个interceptor,使用withObjectPostProcessor来设置

FilterSecurityInterceptor

这个filter有几个要素,如下:

  • SecurityMetadataSource
  • AccessDecisionManager
  • AuthenticationManager

可以根据情况自己去重新设置,这里我们重写一下SecurityMetadataSource用来动态获取url权限配置,还有AccessDecisionManager来进行权限判断



MyFilterInvocationSecurityMetadataSource这个是用来配置URL的可以从配置文件中拿也可以从数据库中取

package com.ewe.user.security;


import java.io.IOException;
import java.io.InputStream;
import java.util.ArrayList;
import java.util.Collection;
import java.util.HashMap;
import java.util.HashSet;
import java.util.List;
import java.util.Map;
import java.util.Properties;
import java.util.Set;


import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.security.access.AccessDeniedException;
import org.springframework.security.access.ConfigAttribute;
import org.springframework.security.access.SecurityConfig;
import org.springframework.security.web.FilterInvocation;
import org.springframework.util.AntPathMatcher;


import com.alibaba.fastjson.JSONObject;
import com.ewe.user.utils.FormatUtils;


public class MyFilterInvocationSecurityMetadataSource implements org.springframework.security.web.access.intercept.FilterInvocationSecurityMetadataSource {
   //配置文件的加载
private static String urlRoleMap;   
private static final Logger LOGGER = LoggerFactory.getLogger(MyUserDetails.class);
    static {   
        Properties prop = new Properties();   
        InputStream in = Object.class.getResourceAsStream("/spring-security.properties");   
        LOGGER.error("加载URL的配置文件");
        try {   
            prop.load(in);   
            urlRoleMap = prop.getProperty("urls").trim();   
            
        } catch (IOException e) {   
        LOGGER.error("spring-security.properties配置路径不存在{}",e.getMessage());
            e.printStackTrace();   
        }   
    } 
private final AntPathMatcher antPathMatcher = new AntPathMatcher();
 


    @Override
    public  Collection<ConfigAttribute>  getAttributes(Object object) throws IllegalArgumentException {
        FilterInvocation fi = (FilterInvocation) object;
        StringBuffer roles = new StringBuffer("START");
        String url = fi.getRequestUrl();
//        String httpMethod = fi.getRequest().getMethod();
        JSONObject jsonObject=null;
try {
jsonObject = JSONObject.parseObject(urlRoleMap);
} catch (Exception e) {
// TODO Auto-generated catch block
e.printStackTrace();
}
    String value="";
    //遍历json
    for(String key: jsonObject.keySet()){
    if(antPathMatcher.match(key,url)){
    value=jsonObject.getString(key);
    //如果有,号的就说明是多个角色
        roles.append(","+value);
            }
    }
        if(!("START").equals(roles)){
        return SecurityConfig.createList(roles.toString());
        }else{
        LOGGER.error("没有匹配到URL");
            //没有匹配到
            // return SecurityConfig.createList("NULL");
            throw new AccessDeniedException("not allow");
        }
        
//        return null;
    }


    @Override
    public Collection<ConfigAttribute> getAllConfigAttributes() {
        return null;
    }


    @Override
    public boolean supports(Class<?> clazz) {
        return FilterInvocation.class.isAssignableFrom(clazz);
    }
}


以下是我的配置文件的信息spring-security.properties,已json对象键值对存储 url和role,不能转换成map,map不能有重复的key值的
所以我修改了参考链接的一些数据格式
我参考的是:https://segmentfault.com/a/1190000010672041
#url and roles
urls={\
  "/users/login":"NONE",\
  "/users/register":"NONE",\
  "/users/logout**":"ADMIN,CEO,MANAGER,ASSISTANT,EMPLOYEE",\
  "/users":"ADMIN,CEO,MANAGER,ASSISTANT,EMPLOYEE",\
   "/users/*":"ADMIN,CEO,MANAGER,ASSISTANT,EMPLOYEE",\
  "/users/*/password/":"ADMIN,CEO,MANAGER,ASSISTANT,EMPLOYEE",\
  "/users/*/freeze":"ADMIN,CEO,MANAGER,ASSISTANT,EMPLOYEE",\
  "/users/*/activate":"ADMIN,CEO,MANAGER,ASSISTANT,EMPLOYEE",\
  "/users/info**":"ADMIN,CEO,MANAGER,ASSISTANT,EMPLOYEE",\
  \
  "/roles*":"ADMIN,CEO,MANAGER,ASSISTANT",\
  "/roles/*":"ADMIN,CEO,MANAGER,ASSISTANT",\
  "/roles/*/add-user":"ADMIN,CEO,MANAGER,ASSISTANT",\
  "/roles/*/remove-user":"ADMIN,CEO,MANAGER,ASSISTANT",\
  \
  "/employees":"ADMIN,CEO,MANAGER,ASSISTANT",\
  "/employees/batch":"ADMIN,CEO,MANAGER,ASSISTANT",\
  "/employees/*":"ADMIN,CEO,MANAGER,ASSISTANT",\
  "/employees*":"ADMIN,CEO,MANAGER,ASSISTANT",\
  "/employees/expired-tips*":"ADMIN,CEO,MANAGER,ASSISTANT",\
  \
  "/passports*":"ADMIN,CEO,MANAGER,ASSISTANT",\
  "/passports/*":"ADMIN,CEO,MANAGER,ASSISTANT",\
  \
  "/payment":"ADMIN,CEO,MANAGER,ASSISTANT",\
  "/payment/*":"ADMIN,CEO,MANAGER,ASSISTANT",\
  \
  "/salary":"ADMIN,CEO,MANAGER,ASSISTANT",\
  "/salary*":"ADMIN,CEO,MANAGER,ASSISTANT",\
  "/salary/*":"ADMIN,CEO,MANAGER,ASSISTANT",\
  \
  "/jobs":"ADMIN,CEO,MANAGER,ASSISTANT",\
  "/jobs/**":"ADMIN,CEO,MANAGER,ASSISTANT",\
  \
  "/files":"ADMIN,CEO,MANAGER,ASSISTANT",\
  "/files/batch":"ADMIN,CEO,MANAGER,ASSISTANT",\
  \
  "/dictionary/*":"ADMIN,CEO,MANAGER,ASSISTANT",\
  "/dictionary**":"ADMIN,CEO,MANAGER,ASSISTANT"\
  }

MyAccessDecisionManager用来验证url的


这里遍历判断该url所需的角色看用户是否具备,有具备则返回,都不具备则抛出AccessDeniedException异常

package com.ewe.user.security;


import java.util.Collection;
import java.util.Iterator;


import org.springframework.security.access.AccessDeniedException;
import org.springframework.security.access.ConfigAttribute;
import org.springframework.security.authentication.InsufficientAuthenticationException;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.util.CollectionUtils;


public class MyAccessDecisionManager implements org.springframework.security.access.AccessDecisionManager {


    @Override
    public void decide(Authentication authentication, Object object,
                       Collection<ConfigAttribute> configAttributes)
            throws AccessDeniedException, InsufficientAuthenticationException {
        //这段代码其实不需要,因为spring-security-core-4.1.4.RELEASE-sources.jar!/org/springframework/security/access/intercept/AbstractSecurityInterceptor.java第215行判断提前返回了,不会进入decide方法
        if (CollectionUtils.isEmpty(configAttributes)) {
            throw new AccessDeniedException("not allow");
        }
        Iterator<ConfigAttribute> ite = configAttributes.iterator();
        while (ite.hasNext()) {
            ConfigAttribute ca = ite.next();
            String needRole = ((org.springframework.security.access.SecurityConfig) ca).getAttribute();
            String[] roles =needRole.split(",");
            for (GrantedAuthority ga : authentication.getAuthorities()) {


            for(String role1:roles){
                //登陆注册的通过
                if(("NONE").equals(role1)){
                        //匹配到有对应角色,则允许通过
                        return;
                    }
            if(ga.getAuthority().equals(role1)){
                        //匹配到有对应角色,则允许通过
                        return;
                    }
            }
            }
        }
        //该url有配置权限,但是当然登录用户没有匹配到对应权限,则禁止访问
        throw new AccessDeniedException("not allow");
    }
    @Override
    public boolean supports(ConfigAttribute attribute) {
        return true;
    }


    @Override
    public boolean supports(Class<?> clazz) {
        return true;
    }
}


最后装配我们的规则过滤器

@EnableWebSecurity

@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http
                .authorizeRequests()
                .anyRequest().authenticated()
                .withObjectPostProcessor(new ObjectPostProcessor<FilterSecurityInterceptor>() {
                    public <O extends FilterSecurityInterceptor> O postProcess(
                            O fsi) {
                        fsi.setSecurityMetadataSource(mySecurityMetadataSource());
                        fsi.setAccessDecisionManager(myAccessDecisionManager());
                        return fsi;
                    }
                });
    }

    @Bean
    public FilterInvocationSecurityMetadataSource mySecurityMetadataSource() {
        MyFilterInvocationSecurityMetadataSource securityMetadataSource = new MyFilterInvocationSecurityMetadataSource();
        return securityMetadataSource;
    }

参考下https://segmentfault.com/a/1190000010672041感谢这位楼主,

SpringBoot开发——SpringBoot3整合SpringSecurity6实现基于数据库的用户认证
bjzhang75的博客
05-12 1216
SpringBoot开发——SpringBoot3整合SpringSecurity6实现基于数据库的用户认证
SpringBoot-Security基于数据库的认证
azto的博客
04-13 615
SpringBoot-Security基于数据库的认证1 . 添加所需要的依赖2 . 修改pom.xml3 . 创建对应表的bean4 . 创建service,mapper,controller5 . SecurityConfig的配置6 . 测试结果7 . 分角色进入 1 . 添加所需要的依赖 2 . 修改pom.xml <?xml version="1.0" encoding="UTF...
springboot2.0--结合spring security5.0进行权限控制,从数据库中取权限信息及增加验证码
fycghy0803的专栏
06-01 1万+
1.在pom.xml中增加spring security jar的引用:     &lt;!--引入spring security--&gt; &lt;dependency&gt; &lt;groupId&gt;org.springframework.boot&lt;/groupId&gt; &lt;artifactId&gt;spring-boot-starter-security&...
SpringBoot系列—配置文件
最新发布
sniper_fandc的博客
07-07 1035
滑动拼图的验证码则是把整个图片的长视为[0,1],选取一个值作为拼图块的中心(比如0.5),拖动拼图块则是判断用户拖拽的当前拼图块的中心的值是否位于选择的值的位置。在com.oopsguy.kaptcha.KaptchaProperties的源码中可以发现,作者实现了自动配置,让我们只用在配置文件中写验证码的配置,无需在自己写验证码生成的代码,即可自动生成验证码(底层还是基于Servlet,使用HttpServletRequest req来进行session的存储)。如果key有多级,就用.分隔。
Spring Boot 之 Spring Security基于数据库的认证
探索er的博客
05-08 1659
Spring Security基于数据库的认证
SpringBoot集成Security(三) ----使用数据库
weixin_39893621的博客
05-13 307
SpringBoot集成Security(三) ----使用数据库 之前介绍了一些简单的配置而且实现了基于内存的登陆方式。实际生产中用户信息都会存在数据库当中,本篇将介绍如何结合数据库实现用户登陆。 为了方便,我使用了H2内嵌式数据库配置数据源 首先在配置文件中配好数据源 实现UserDetailsService接口 通过实现UserDetailsService接口实现登陆逻辑,复写loadUserByUsername方法。 @Service @Slf4j public class MyUserDeta
使用SpringBoot进行数据库安全与权限控制策略
AI天才研究院
01-25 1117
1.背景介绍 数据库安全与权限控制策略是现代应用程序开发中的一个重要方面。在本文中,我们将探讨如何使用Spring Boot进行数据库安全与权限控制策略的实现。 1. 背景介绍 随着互联网的发展,数据库安全和权限控制变得越来越重要。数据库安全涉及到保护数据的完整性、可用性和机密性。权限控制则涉及到确保用户只能访问他们拥有权限的数据。 Spring Boot是一个用于构建新型Spring应用...
springboot springsecurity动态权限控制
09-18
在这个“springboot springsecurity动态权限控制”的主题中,我们将深入探讨如何在Spring Boot项目中集成Spring Security,实现动态权限控制,让菜单权限的管理更加灵活和高效。 首先,我们需要理解Spring Security...
SpringBoot集成Spring Security实现权限控制【完整源码+数据库
02-16
4. **安全性配置Security Configuration)**:在Spring Boot中,我们可以使用`@EnableWebSecurity`注解开启Spring Security,并通过配置类自定义安全行为。配置类可以定义哪些URL需要保护,哪些角色有权访问,以及...
SpringBoot集成Spring Security实现角色继承【完整源码+数据库
02-16
使用IntelliJ IDEA,我们可以轻松地创建和管理Spring Boot项目,包括导入依赖、配置文件、运行数据库脚本以及调试代码。 6. **SQL脚本**: 提供的`sql`文件应包含创建上述数据库表的语句,以及初始化用户和角色的...
SpringBoot + SpringSecurity + JPA 实现用户角色权限登录认证
09-10
6. **security-jpa**:此文件名可能是某个模块或者配置文件,可能包含了与SpringSecurity和JPA整合的具体实现,比如用户Repository、安全配置类等。在项目中,它可能负责定义如何使用JPA来操作用户角色和权限数据,...
spring-boot-security-添加数据库-注册用户添加权限.zip
08-03
spring-boot-security-添加数据库-注册用户添加权限 spring-boot-security-添加数据库-注册用户添加权限 spring-boot-security-添加数据库-注册用户添加权限 spring-boot2.0
springBoot+security+mybatis 实现用户权限数据库动态管理
05-03
NULL 博文链接:https://veiking.iteye.com/blog/2429172
Springboot整合SpringSecurity实现数据库认证
Tian208的博客
06-02 443
1.导入依赖 2. 创建数据库表 3.配置实体类 4.继承UserDetailsService 5.实现UserDetailsService 6.创建页面及controller映射
springboot中请求路径配置配置文件
qq_46416934的博客
04-26 1734
原先一直使用springboot,请求路径直接写在@RequestMapping、@GetMapping等注解中,最近,有个比较有趣的发现,原来请求的url其实也可以写在项目的配置文件application.properties或者application.yml,下面记录一下,分享一下。 在配置文件中设置请求路径,我使用yml格式配置文件application.yml my: demo: path: /my/demo/path/hello 然后,创建一个controller的demo,UrlT
如何在 Spring Boot 中配置数据库
2403_87236754的博客
12-03 3160
Spring Boot 中配置数据库是一个相对简单的过程,通常涉及到以下几个步骤:添加数据库驱动依赖、配置数据源属性、以及可选的配置 JPA(如果使用)。下面是小编给大家编写的一个详细的指南,以MySQL 数据库为例。
springboot整合springsecurity,从数据库中认证
m0_63251896的博客
03-18 984
springboot整合springsecurity,从数据库中认证 目录 第一步:引入依赖 第二步:创建user表 第三步:创建一个用户实体类(User)和一个用于访问用户数据的Repository接口 第四步:创建一个实现UserDetailsService接口的自定义用户详情服务类,用于从数据库中加载用户信息。 第五步:创建一个配置类来配置Spring Security。 第六步:创建一个简单的控制器类用于测试 第七步:编写一个简单的数据库初始化器类用于初始化用户信息 运行项目测试查看
Spring-Boot快速集成Sqlite数据库(动态创建,动态切换)
热门推荐
qq_42271561的博客
11-21 1万+
Spring-Boot快速集成Sqlite数据库(动态创建,动态切换) 首先分析集成sqlite,然后需要完成的需求 动态创建sqlite数据 动态连接sqlite数据库 操作sqlite数据库 相比较传统的数据,使用mybaits集成,需要变更是数据库驱动driver,这个需要引入sqlite的依赖 <dependencies> <!--mybaits--> <dependency> <groupId>org.mybatis.sp
SpringBoot Security | 二、实现数据库用户信息
ker的博客
09-09 317
目录 一、实现数据库模块 二、测试 一、实现数据库模块 在上一章节基础上改造 使用mysql,添加pom依赖 <dependency> <groupId>org.mybatis.spring.boot</groupId> <artifactId>mybatis-spr...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值