Spring Security 2 中动态角色实现的讨论

最新推荐文章于 2022-07-27 17:08:25 发布
最新推荐文章于 2022-07-27 17:08:25 发布
阅读量178 收藏
点赞数
分类专栏: Java 文章标签: Security Spring Acegi 框架 XML
本文介绍如何使用SpringSecurity2实现动态权限配置。通过自定义投票机制,可以在不影响基于URL的配置基础上,加入动态权限配置。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

安全框架的主体包括两部分即验权和授权。Spring Security2可以很好的实现这两个过程。Spring Security2对其前身acegi最大的改进是提供了自定义的配置标签,通过Security的命名空间定义了http和authentication-provider等标签,这样做的好处是极大地简化了框架的配置,并很好地隐藏了框架实现的细节,在配置的表述上也更清晰,总体上提高了框架的易用性。

然而,该框架默认的权限配置方式在xml中,又因为新版本隐藏了实现细节,在动态权限的扩展上,能力变小了。在验权过程中,遇到的问题不多。但在授权时,如果是acegi,人们可以通过继承AbstractFilterInvocationDefinitionSource类实现在授权(即资源角色和用户角色的匹配)前,针对资源的角色的获取。而新版本因为用新标签进行了整合,这个过程被默认的类实现隐藏掉了,包括过滤器,资源获取和角色定义等过程都由框架来实现,于是很多人在使用Spring Security2时也想通过改动DefaultFilterInvocationDefinitionSource对资源的获取来实现数据库或文件中的动态的角色。不过这样的改动侵入性比较高,而且还保留了acegi的痕迹,也违背了开闭的原则。

其实,我们完全可以通过Spring Security2 accessManager提供的自定义投票机制来解决这个问题,这样既不影响现有的基于URL的配置,还可以加入自己的动态的权限配置。

其实现策略如下:

1 定义类DynamicRoleVoter实现AccessDecisionVoter,注入实现接口DynamicRoleProvider(用来定义获取角色的方法)的提供动态角色的类

2 在两个supports方法中返回true

3 在vote方法中,有三个参数(Authentication authentication, Object object,ConfigAttributeDefinition config) 通过第一个获取用户的权限集合,第二个可以获取到资源对象,进而通过DynamicRoleProvider获取到角色集合进行匹配。

4 在配置文件中加入DynamicRoleVoter,如下:

<beans:bean id="accessDecisionManager" class="org.springframework.security.vote.AffirmativeBased">
<beans:property name="decisionVoters">
<beans:list>
<beans:bean class="org.springframework.security.vote.RoleVoter" />
<beans:bean class="org.springframework.security.vote.AuthenticatedVoter" />
<beans:bean class="DynamicRoleVoter">
    <beans:property name="dynamicRoleProvider">
        <beans:ref local="dynamicRoleProvider"/>
</beans:property>
</beans:bean>
</beans:list>
</beans:property>
</beans:bean>
<beans:bean id=” dynamicRoleProvider” class=”…”>
    ……
</beans:bean>
使用 Spring Security 实现角色和权限管理
FireFox1997
07-04 1401
Spring Security 提供了一套强大且灵活的机制来实现角色和权限的管理。本文将详细介绍如何使用 Spring Security 实现角色和权限管理,从基本概念到具体实现步骤,并提供示例代码来帮助你理解和应用这些概念。Spring Security 提供了强大的功能来处理复杂的权限控制需求,包括角色、权限的定义和分配,以及在应用程序中的细粒度访问控制。配置 Spring Security 以使用自定义的用户详细信息服务,并定义角色和权限。通常,权限是更细粒度的控制,而角色是权限的组合。
spring security动态更新用户的权限
huan的学习记录
02-22 9963
在程序的执行过程中,有时有这么一种需求,需要动态的更新某些角色的权限或某些人对应的权限,当前在线的用户拥有这个角色或拥有这个权限时,在不退出系统的情况下,需要动态的改变的他所拥有的权限。 需求:张三 登录了系统拥有 ROLE_ADMIN,和ROLE_USER 的权限,但是ROLE_ADMIN的权限太强了,不应该给张三,后台管理人员应该可以取消张三的ROLE_ADMIN的权限,那么在张三...
spring security实现动态授权
02-08
通过修改spring security源代码实现动态权限管理。用户信息、角色信息和资源信息保存在数据库中,可动态配置权限,不用重新启动服务。改完即时生效,付例子
spring security 动态权限管理
weixin_43566648的博客
12-02 506
写在前面 前一篇博客:最简实例:springboot+springsecurity+JPA+mysql实现登陆限制,这一个示例里,用户的用户名、密码以及角色表配置在数据库里。但是角色访问的路径在程序里写死了,如下: .antMatchers("/favicon.ico","/css/**","/common/**","/js/**","/images/**","/login","/userLogi...
spring security技术分享
我想做一个艺术家
02-23 1114
Spring Security可以帮助我们更加快捷的完成认证和授权。很多时候,一个系统的安全性完全取决于系统开发人员的安全意识。例如,在我们从未听过SQL注入的时候,如何意识到要对SQL注入做防护?关于Web系统安全的攻击方式非常多,诸如:XSS、CSRF等,未来还会暴露出更多的攻击方式,我们只有在充分的了解其攻击原理后,才能提出完善而有效策略。在笔者看来,学习Spring Security并非局限于降低java应用的安全开发成本,通过Spring Security了解常见的安全攻击手段以及对应的防护手段也
SpringSecurity - 用户动态授权 及 动态角色权限
小毕超博客
01-09 1万+
一、SpringSecurity 动态授权 上篇文章我们介绍了SpringSecurity动态认证,上篇文章就说了SpringSecurity 的两大主要功能就是认证和授权,既然认证以及学习了,那本篇文章一起学习了SpringSecurity动态授权。 上篇文章地址:https://blog.youkuaiyun.com/qq_43692950/article/details/122393435 二、SpringSecurity 授权 我们接着上篇文章的项目继续修改,上篇文章中有说到我们WebSecurity
springBoot+springSecurity 数据库动态管理用户、角色、权限(二)
热门推荐
哎幽的成长
01-20 15万+
序: 本文使用springboot+mybatis+SpringSecurity 实现数据库动态的管理用户、角色、权限管理本文细分角色和权限,并将用户、角色、权限和资源均采用数据库存储,并且自定义滤器,代替原有的FilterSecurityInterceptor过滤器, 并分别实现AccessDecisionManager、InvocationSecurityMetadataSource
《【Spring Security系列】基于Spring Security实现权限动态分配之用户-角色分配》文章中的表结构资源
最新发布
12-27
Spring Security框架中,权限动态分配是实现安全控制的关键部分。这一系列文章聚焦于如何利用Spring Security构建一个灵活且可扩展的权限管理系统,特别是在用户与角色动态分配方面。在这个过程中,数据库表的...
Spring Security+OAuth2 精讲,打造企业级认证与授权
10-12
学习这门课程,开发者将不仅理解Spring Security和OAuth2的基本原理,还能掌握如何在实际项目中灵活运用,从而提高企业级应用的安全性和可靠性。对于任何希望提升安全技能的Java开发者来说,这是一份不可多得的学习...
Spring Security实现多次登录失败后账户锁定功能
08-25
实现多次登录失败账户锁定的功能,我们需要先回顾一下基础知识:Spring Security 不需要我们自己实现登录验证逻辑,而是将用户、角色、权限信息以实现 UserDetails 和 UserDetailsService 接口的方式告知 Spring ...
SpringSecurity素材.rar
03-02
SpringBoot Web开发中,SpringSecurity扮演着核心角色,负责处理身份验证、授权以及访问控制等方面的安全需求。狂神(秦疆)的教程以SpringBoot为基础,深入讲解了如何集成和使用SpringSecurity来构建安全的Web...
Spring Boot2 + Spring Security5 动态用户角色资源的权限管理(6)
Ceruleano的博客
08-15 4895
前言 上篇文章介绍了Spring Boot Security基于Redis的Spring Session管理 本篇文章,可以说比较核心、实用的功能,动态用户角色资源管理(RBAC),可能篇幅会比较长,废话不多说,马上进入正题 系统权限设计 相信每个正规的系统,都会对系统安全和访问权限有严格的控制。简单的一句话总结,就是对的人访问对的资源, 这里可能会比较抽象,小编给大家举几个需求例子就懂了 ...
spring security动态配置url权限认证
shuangyueliao的专栏
02-27 6309
本文转载自---------------------------------------- https://www.jianshu.com/p/0a06496e75ea 本文介绍的spring security动态配置url权限认证基于的是spring-boot-2.0.0、spring-security 5.X来编写的。 笔者浏览完spring security官方文档之后,发现并没有详细...
Spring Security实现动态权限管理
AHAU10的专栏
07-08 9195
我所理解的动态权限就是RBAC(Role-Based Access Control)。 就是可以自定义角色,配置角色可以访问哪些URL。然后给不同的角色设置不同的角色。为什么用Spring Security?听说Spring Security是基于Shiro的。Shiro没用过。之所以用Spring Security是因为它安全。废话!是因为可以帮你防御csrf等攻击。其实现在的Chrome浏览器
springBoot+springSecurity 数据库动态管理用户、角色、权限
weixin_34220179的博客
06-23 2071
  使用spring Security3的四种方法概述 那么在Spring Security3的使用中,有4种方法: 一种是全部利用配置文件,将用户、权限、资源(url)硬编码在xml文件中,已经实现过,并经过验证; 二种是用户和权限用数据库存储,而资源(url)和权限的对应采用硬编码配置,目前这种方式已经实现,并经过验证。 三种是细分角色和权限,并将用户、角色、权限和资源均采用数据库...
Spring Security 动态角色资源连接数据库
weixin_45189306的博客
03-19 548
一、实现FilterInvocationSecurityMetadataSource 读资源对应的权限,先进行一下筛选 //元数据,根据请求的资源到资源表去找合适的角色 @Service public class WgcSecurityMetadataSource implements FilterInvocationSecurityMetadataSource { @Autowi...
security + oauth2 @PreAuthorize 动态配置接口角色权限
chenfubiao0315的博客
03-22 2038
使用@PreAuthorize(“hasRole(‘ROLE_ADMIN’)”)配置接口角色权限时,角色是写死的,无法根据我资源授权动态配置,通过参考https://blog.youkuaiyun.com/m0_37541228/article/details/115370515?utm_medium=distribute.pc_aggpage_search_result.none-task-blog-2aggregatepagefirst_rank_ecpm_v1~rank_v31_ecpm-1-115370515.
Spring Security 动态权限控制踩坑
爱摸鱼的阿恒
07-27 1558
Spring Security 动态权限控制遇到的坑。
SpringBoot项目整合Swagger2Spring Security实现权限验证
在本节中,我们将会讨论如何在Spring Boot项目中整合Swagger2Spring Security,以实现基于角色的权限验证。首先,我们对Spring Boot、Swagger2Spring Security进行基础概念的介绍,然后逐步展开如何将它们整合到...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值