SpringSecurity自定义权限

最新推荐文章于 2025-04-08 20:11:46 发布
最新推荐文章于 2025-04-08 20:11:46 发布
阅读量561 收藏
点赞数
文章标签: spring spring boot java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_62770345/article/details/129089689
版权

SpringSecurity对权限的校验主要有注解路径校验。本文主要解释基于路径校验。

SpringSecurity对权限的校验主要通过FilterSecurityInterceptor这个过滤链实现的。

FilterSecurityInterceptor实现权限校验主要流程

FilterSecurityInterceptor源码

 FilterSecurityInterceptor主要通过doFilter()中的invoke()方法。

 在调用父类的beforeInvocation()方法。

 

Collection<ConfigAttribute> attributes = this.obtainSecurityMetadataSource().getAttributes(object);

这个过程主要是获取访问当前路径所需要的权限集合attributes ,所以我们可以定义个类,继承FilterInvocationSecurityMetadataSource接口,重写里面的getAttributes()方法,这样就可以实现根据数据库动态获取路径对应的权限信息集合。

 attemptAuthorization(object, attributes, authenticated);

这个方法调用的主要为

 this.accessDecisionManager.decide(authenticated, object, attributes);

这个方法的主要作用是对权限的判断,是否有权限。所有可以实现AccessDecisionManager接口里面的decide()方法,自定义判断该用户是否有权限。

总结:综上所述,我们可以实现FilterInvocationSecurityMetadataSource,AccessDecisionManager这两个接口,在配置到SecurityConfig的配置类型,就可以实现自定义权限。

10、SpringSecurity自定义认证配置
weixin_44478828的博客
01-27 1116
经过上一小结配置,我们发现用户认证通过后,资源是都可被访问的。如果我们想为不同的用户指定不同的访问资源,该如何实现呢?接下来,我们通过配置为不同用户访问授权。@Bean@Override@Overridehttp.formLogin()//开启默认form表单登录方式.and().logout()//登出用默认的路径登出 /logout.permitAll()//允许所有的用户访问登录或者登出的路径.and()
Spring Security 6使用自定义数据库存储用户权限
weixin_52019286的博客
01-24 491
1] 自定义实体@Entity@Getter@Setter@ToString@Id@Override@Override[2] 自定义repository[3] 自定义CustomerUserDetailsSpring Security 使用UserDetailsService实例来存取用户信息,因此,这里我们实现了这个接口,从自定义的customers表中提取信息,创建UserDetails对象。
SpringSecurity自定义用户权限信息的存取
04-16
SpringSecurity自定义用户权限信息的存取,SpringSecurity教程,用户权限信息存取
SpringSecurity自定义授权
qq_58137891的博客
05-10 448
1.在LoginUser类中新增一个List属性一个List属性,包含着权限信息2.重写getAuthorities()方法(因为权限信息需要从该方法中取得),将List封装到List中对应getAuthorities方法的返回值。3.对List属性取消JSON序列化,否则反序列化会出错。
spring-security 权限控制教程
最新发布
weixin_65403042的博客
04-08 1226
springSecurity 中指定登陆和失败的页面;这里需要注意一点, 重写后,必须有自己的controller 来进行接受第一次的login 请求;否则会报重定向异常(和security 内部的跳转逻辑有关);但是如果不进行重写, 其内部会有自己的控制器来进行拦截。这里的路径要和下面配置的config的 访问和允许资源一致// 对应 templates/login.html (如果使用模板引擎)// 如果使用静态页面,则不需要此方法// 对应 templates/main.html。
Spring Secutity 自定义权限配置
weixin_34290096的博客
07-18 539
Srping Security网上也有很多例子,但基本都是所资源直接配置在XML文件里,限制太大,不够灵活。我们需要的是可以在后台修改资源访问权限,实时生效,才能符合现在大多数系统的需求。 需要引入的依赖 <!-- Spring security --> <dependency> &...
springsecurity自定义角色权限授权
明平姚的博客
02-16 1295
springsecurity自定义角色权限授权
SpringSecurity - 简单前后端分离 - 自定义授权篇
铠の魂博客
10-08 2867
隔了那么久,终于来补坑了,(/▽\)。 我们接着介绍自定义授权是如何做的。环境准备和前面一样,接着认证篇,继续完成我们的授权处理。
spring security自定义权限
05-22
自定义权限Spring Security 中的一项重要功能,允许开发者根据业务需求对权限进行自定义,具体的实现方式如下: 1. 自定义访问控制表达式:Spring Security 提供了许多内置的访问控制表达式,如 hasRole()、has...
java自定义Spring Security权限控制管理示例(实战篇)
08-31
在本文中,我们将深入探讨如何在Java项目中自定义Spring Security的权限控制管理。这通常涉及到对URL和HTTP方法的细粒度控制,允许某些角色仅访问特定的资源或执行特定的操作。 首先,我们需要了解项目的背景。假设...
spring security 自定义动态权限
09-10
1. 自定义权限存储策略:首先需要定义一个存储权限规则的数据模型,该模型可能包含URL路径、权限标识、角色和操作等字段。然后,需要实现一个权限存储策略接口,用于与数据库进行交互,包括权限规则的新增、删除、...
关于SpringSecurity自定义方法权限
c_z_z的博客
07-01 601
关于SpringSecurity自定义方法权限
玩转SpringBoot安全管理:SpringSecurity自定义用户授权管理
Xmumu_的博客
08-17 946
玩转SpringSecurity安全管理第三期:自定义用户授权管理
Spring Security 自定义授权服务器实践
分享技术干货和灵感、推荐新书和好玩的项目、分享Java面试题
08-18 4931
在之前我们已经对接过了GitHub、Gitee客户端,使用OAuth2 Client能够快速便捷的集成第三方登录,集成第三方登录一方面降低了企业的获客成本,同时为用户提供更为便捷的登录体验。但是随着企业的发展壮大,越来越有必要搭建自己的OAuth2服务器。OAuth2不仅包括前面的OAuth客户端,还包括了授权服务器,在这里我们要通过最小化配置搭建自己的授权服务器。授权服务器主要提供OAuth Client注册、用户认证、token分发、token验证、token刷新等功能。......
SpringSecurity(三)自定义权限管理
weixin_44046865的博客
04-04 663
SpringSecurity自定义权限管理SpringSecurity环境pom.xmlSpringSecurity自定义权限管理自带的权限管理自定义权限管理 SpringSecurity环境 pom.xml pom.xml依赖 <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId>
SpringSecurity自定义权限校验(三)
臆想的一只猫
04-15 1398
INSERT INTO `tb_resource` VALUES (5, '登录权限', 'all:login'); INSERT INTO `tb_resource` VALUES (6, '登出权限', 'all:logout'); INSERT INTO `tb_resource` VALUES (7, '错误逻辑显示权限', 'all:error'); INSERT INTO `tb_resource` VALUES (8, '入口页面显示权限', 'all:toMain'); INSERT IN.
SpringSecurity如何自定义权限认证
weixin_35756892的博客
02-13 230
Spring Security 是一个强大的 Java 安全框架,它可以帮助您在应用程序中保护用户数据和资源。 要自定义 Spring Security 的权限认证,您需要做以下几步: 创建自定义用户服务类。这个类需要实现 Spring Security 提供的 UserDetailsService 接口,并覆盖其中的 loadUserByUsername() 方法。在这个方法中,您可以从数据库...
Spring Security自定义授权管理
年少不知曲中意,再听已是曲终人
01-01 996
本篇博客基于https://www.cnblogs.com/my-program-life/p/12076474.html 一、自定义用户访问控制 1、在SecurityConfig类中重写configure(HttpSecurity http)方法 @Override protected void configure(HttpSecurity http) throw...
Spring Security自定义资源权限规则
Leon_Jinhai_Sun的博客
05-04 716
/index 公共资源 /hello .... 受保护资源 权限管理 在项目中添加如下配置就可以实现对资源权限规则设定: @Configuration public class WebSecurityConfigurer extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.a..
springsecurity自定义权限
03-20
### 如何在 Spring Security 中实现自定义权限 #### 背景介绍 Spring Security 提供了一种灵活的方式来管理应用程序的安全性,其中包括基于角色的访问控制 (RBAC)[^1]。为了满足更复杂的业务需求,开发者可以通过扩展 `AuthorizationManager` 或者重写默认的行为来实现自定义权限逻辑。 以下是一个完整的解决方案,展示如何通过 Spring Security 的 Bean 配置支持以及延迟认证查找机制[^2] 来实现自定义授权功能。 --- #### 步骤一:创建自定义权限映射 首先,在服务器启动时初始化 URL 到权限的映射关系。这种映射通常存储在一个 Map 结构中,其中 key 是请求路径,value 是所需的权限列表[^3]。 ```java @Configuration public class CustomPermissionConfig { @Bean public Map<String, List<String>> permissionMap() { Map<String, List<String>> map = new HashMap<>(); map.put("/admin/**", Arrays.asList("ROLE_ADMIN")); map.put("/user/**", Arrays.asList("ROLE_USER")); map.put("/finance/**", Arrays.asList("ROLE_FINANCE")); return map; } } ``` 上述代码片段展示了如何将不同的资源路径与其所需的角色关联起来。 --- #### 步骤二:实现自定义 AuthorizationManager 接下来,需要编写一个实现了 `AuthorizationManager<RequestAuthorizationContext>` 接口的类,用于评估用户的权限是否匹配当前请求的需求。 ```java @Component public class CustomAuthorizationManager implements AuthorizationManager<RequestAuthorizationContext> { private final Map<String, List<String>> permissionMap; public CustomAuthorizationManager(Map<String, List<String>> permissionMap) { this.permissionMap = permissionMap; } @Override public Mono<AuthorizationDecision> check(Mono<Authentication> authentication, RequestAuthorizationContext context) { String requestedUrl = context.getRequest().getPath().toString(); // 查找对应 URL 所需的权限 List<String> requiredAuthorities = findRequiredAuthorities(requestedUrl); return authentication.map(auth -> { Collection<? extends GrantedAuthority> authorities = auth.getAuthorities(); boolean hasPermission = requiredAuthorities.stream() .anyMatch(authority -> authorities.contains(new SimpleGrantedAuthority(authority))); return new AuthorizationDecision(hasPermission); }).defaultIfEmpty(new AuthorizationDecision(false)); } private List<String> findRequiredAuthorities(String url) { return permissionMap.entrySet().stream() .filter(entry -> Pattern.matches(entry.getKey(), url)) .findFirst() .map(Map.Entry::getValue) .orElse(Collections.emptyList()); } } ``` 这段代码的核心在于解析传入的 HTTP 请求并验证其是否有足够的权限执行操作。 --- #### 步骤三:集成到 Spring Security 配置 最后一步是将自定义的 `CustomAuthorizationManager` 整合到全局安全配置中。 ```java @EnableWebFluxSecurity public class SecurityConfiguration { @Autowired private CustomAuthorizationManager customAuthorizationManager; @Bean public SecurityWebFilterChain springSecurityFilterChain(ServerHttpSecurity http) { return http.authorizeExchange(exchanges -> exchanges.anyExchange().access(customAuthorizationManager)) .csrf(csrf -> csrf.disable()) .build(); } } ``` 在此处,我们禁用了 CSRF 保护以便简化示例,并为所有的端点指定了我们的自定义授权器。 --- #### 总结 以上过程描述了一个典型的自定义权限控制系统的设计与实现方式。它利用了 Spring Security 提供的强大框架特性,同时保持了高度可维护性和灵活性。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

隔山看水

你的鼓励与打赏是我创作的最大动

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值