SpringSecurity自定义投票器

最新推荐文章于 2024-10-21 10:01:44 发布
最新推荐文章于 2024-10-21 10:01:44 发布
阅读量1.1k 收藏
点赞数 1
CC 4.0 BY-SA版权
分类专栏: Spring全家桶
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fengsheng5210/article/details/88049555
本文介绍如何在Spring Security中使用自定义投票器实现URL权限管理,包括配置文件指定自定义投票器及其实现类GlobalAccessDecisionVoter的详细代码。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

拦截URL的时候使用自定义权限判断

1:配置文件指定自定义投票器

在这里插入图片描述

在这里插入图片描述

<!-- 页面拦截规则 -->
    <http use-expressions="false" access-decision-manager-ref="accessDecisionManager">
        <!-- 下述页面拥有ROLE_USER角色 -->
        <intercept-url pattern="/index.jsp" access="ROLE_USER" />
        <intercept-url pattern="/frame/index.do" access="ROLE_USER" />
        <intercept-url pattern="/frame/loadMenu.do" access="ROLE_USER" />
        <intercept-url pattern="/system/welcome.do" access="ROLE_USER" />
        <intercept-url pattern="/**" access="URL_PERMISSION" />

        <form-login login-page="/login/login.jsp" 
                    authentication-failure-url="/login/login.jsp?error=true"
                    login-processing-url="/login.do"
                    default-target-url="/index.jsp"
                    authentication-details-source-ref="authenticationDetailsSource"
                    />
        <logout logout-url="/logout.do" logout-success-url="/login/login.jsp"/>
        <csrf disabled="true"/>
        <headers>
            <frame-options policy="SAMEORIGIN"/>
        </headers>
    </http>
    <!-- 使用自定义投票器 -->
    <beans:bean id="accessDecisionManager" class="org.springframework.security.access.vote.UnanimousBased">
        <beans:constructor-arg name="decisionVoters">
        <beans:list>  
             <beans:bean class="org.springframework.security.web.access.expression.WebExpressionVoter" />  
             <beans:bean class="common.spring.security.GlobalAccessDecisionVoter" />  
             <beans:bean class="org.springframework.security.access.vote.AuthenticatedVoter" />  
        </beans:list>
        </beans:constructor-arg>
    </beans:bean>
2:自定义投票器实现类

在这里插入图片描述

import java.util.Collection;

import org.springframework.security.access.AccessDecisionVoter;
import org.springframework.security.access.ConfigAttribute;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.web.FilterInvocation;

import cfca.org.slf4j.Logger;
import cfca.org.slf4j.LoggerFactory;

public class GlobalAccessDecisionVoter implements AccessDecisionVoter<Object> {

    private static Logger logger = LoggerFactory.getLogger(GlobalAccessDecisionVoter.class);

    @Override
    public boolean supports(ConfigAttribute attribute) {
        return true;
    }

    @Override
    public boolean supports(Class<?> clazz) {
        return true;
    }

    @Override
    public int vote(Authentication authentication, Object object, Collection<ConfigAttribute> attributes) {
        FilterInvocation fi = (FilterInvocation) object;
        String url = fi.getRequestUrl();
        logger.info("interceptor url:" + url);
        if (authentication == null) {
            return ACCESS_DENIED;
        }
        int result = ACCESS_ABSTAIN;
        Collection<? extends GrantedAuthority> authorities = extractAuthorities(authentication);
        for (ConfigAttribute attribute : attributes) {
            if (attribute.getAttribute() == null) {
                continue;
            }
            if (this.supports(attribute)) {
                result = ACCESS_DENIED;
                // Attempt to find a matching granted authority
                for (GrantedAuthority authority : authorities) {
                    if (authority instanceof GlobalGrantedAuthority) {
                        GlobalGrantedAuthority globalGrantedAuthority = (GlobalGrantedAuthority) authority;
                        GlobalPermission permission = globalGrantedAuthority.getPermission();
                        if (permission != null && url.trim().equals("/"+permission.getUrl())) {
                            return ACCESS_GRANTED;
                        }
                    } else if (attribute.getAttribute().equals(authority.getAuthority())) {
                        return ACCESS_GRANTED;
                    }
                }
            }
        }

        return result;
    }

    Collection<? extends GrantedAuthority> extractAuthorities(Authentication authentication) {
        return authentication.getAuthorities();
    }

}

说明

1:我目前登录用户都赋予了USER_ROLE角色,因此只要用户登录,具有USER_ROLE角色的URL都会请求通过。
2:其他的URL都拥有URL_PERMISSION角色,登录用户不具备此角色,因此只能判断用户的自定义权限是否可以匹配到。

SpringBoot - 解决Spring Security自定义过滤器重复执行问题
CyberByte的博客
09-04 618
来配置自定义过滤器,并设置合适的执行顺序,我们可以解决Spring Security自定义过滤器重复执行的问题。需要注意的是,如果在Spring Security的配置类中已经对过滤器进行了配置,那么我们需要将自定义过滤器的配置从Spring Security的配置类中移除,以避免重复执行。这通常是因为我们在配置Spring Security的过滤器链时,将自定义过滤器配置在了多个位置上,导致它被多次执行。通过以上配置,我们可以确保自定义过滤器只会在过滤器链中的指定位置执行一次,避免了重复执行的问题。
spring security 自定义URL权限和权限校验异常
雷X峰
06-09 3069
Spring Security使用FilterSecurityInterceptor过滤器来进行URL权限校验,实际使用流程大致如下: 通过数据库动态配置url资源权限 系统启动时,通过FilterSecurityInterceptor滤器到数据库加载系统资源权限列表 用户登陆时通过自定义的UserDetailsService加载当前用户的角色列表 当有请求访问时,通过FilterSecurityInterceptor对比系统资源权限列表和用户资源权限列表(在用户登录时添加到用户信息中)来判断用户是否有该
spring Security 投票器
MerryZPZ的博客
12-17 1230
项目有这样一个需求:要求访问项目的所有路径(也可以说资源)都要有相应的权限,应该说要为每一个路径、不同的请求(get,post,put,delete等)都加上访问权限。使用security 自己的配置文件当然可以管理所有的路径,并为每一个路径都加上访问权限。但是这样做便缺乏了一定的灵活性,因为一旦想改动某个路径(资源)的权限就不得不去改动配置文件,当然服务也得跟着重启。所以便有了通过web管理界面
spring security 自定义AccessDecisionVoter类
neweastsun的专栏
06-09 8055
spring security 自定义AccessDecisionVoter类 针对spring web应用或rest api,spring security提供很多方法实现安全控制,但有时会遇到一些具体场景默认提供功能难以满足。本文我们自定义AccessDecisionVoter类展示如何抽象web应用程序的授权逻辑,并将其与应用程序的业务逻辑分离开来。 应用场景 为了演示Access...
史上最简单的Spring Security教程(十九):AccessDecisionVoter简介及自定义访问权限投票器
银河架构师的博客
08-07 4369
为了后续对AccessDecisionManager的介绍,我们先来提前对AccessDecisionVoter做个简单的了解,然后,在捎带手自定义一个AccessDecisionVoter。 AccessDecisionVoter的注释介绍如下: Indicatesaclassisresponsibleforvotingonauthorizationdecisions. Thecoordinationofvoting(iepolling{@codeA...
Spring Security入门(1-13)Spring Security的投票机制和投票器
weixin_33875564的博客
06-21 789
1、三种表决方式,默认是 一票制AffirmativeBased public interface AccessDecisionManager { /** * 通过传递的参数来决定用户是否有访问对应受保护对象的权限 * @param authentication 当前正在请求受包含对象的Authentication * @param object 受保护对象,其可...
springsecurity投票器
ice-wee的专栏
03-14 1512
原文链接:http://blog.csdn.net/jaune161/article/details/18401233 在Spring中引入了投票器(AccessDecisionVoter)的概念,有无权限访问的最终觉得权是由投票器来决定的,最常见的投票器为RoleVoter,在RoleVoter中定义了权限的前缀,先看下Spring在RoleVoter中是怎么处理授权的。 public
spring security自定义决策管理器
08-29
Spring Security 中,还引入了投票器(AccessDecisionVoter)的概念,投票器负责对用户的访问请求进行投票,来确定用户是否有权限访问某个资源。最常见的投票器为 RoleVoter,它定义了权限的前缀,例如角色前缀为...
Spring security 自定义 token 身份验证
让 Java 再次伟大!
10-21 750
既然 Spring securtiy 的核心是 Filter chains,那我们只需要定义一个符合 security 标准的 filter ,再把自己的 chain 加入到 VirtualFilterChain 里面,就可以自定义身份验证的认证逻辑了。more之前提到过,大部分身份认证相关的过滤器都继承了 AbstractAuthenticationProcessingFilter。但是这一次我们让接下来的自定义过滤器不选择继承它,而是继承 OncePerRequestFilter。
springSecurity(一):认识springSecurity的过滤器链
qq_43586337的博客
06-11 1482
springSecurity学习笔记
投票器的原理及设计思路
12-03
投票器的原理及设计思路投票器的原理及设计思路投票器的原理及设计思路投票器的原理及设计思路 绝对物有所值
CFCA工具包_服务器端(JAVA版)接口定义
01-03
CFCA工具包_服务器端(JAVA版)接口定义.doc
NoClassDefFoundError: org/slf4j/LoggerFactory解决方案
07-26
NoClassDefFoundError: org/slf4j/LoggerFactory解决方案,需要添加的三个jar包都在,slf4j-api-1.5.2,slf4j-log4j12-1.5.2,log4j-1.2.12
SpringBoot项目实战(010)Spring Security(四)Voter
IT老吴的博客
11-23 482
Spring Security 鉴权 Spring Security中,系统进行认证以后,获得了当前的Authorities,紧接着,Spring Security会进行鉴权,判断他是否有权限。 这个判断主要通过投票管理器+投票器实现。 投票器实现某一个条件的权限判断,投票管理器设置策略,对多个投票器的判断结果进行综合。 整个认证鉴权的代码流程图,如下: websecurity 首先,我们修改一下WebSecurityConfig: package com.it_laowu.springbootstudy
spring security3.x学习(8)_web的投票器和spEL配置
雷哥AI工程化
09-18 1578
上次我们说到了"访问决策投票管理"这个概念,那如何使用呢? 看一下如下代码:                           这里使用了一个unanimousBased这样的一个"访问决策投票管理",配置了相关的投票器(roleVoter/authenticatedVoter) 那好。我们仔细关注一下角色投票器(RoleVoter
SpringSecurity 投票器
抛弃幻想,准备斗争
04-25 1817
访问控制 在现在的一些软件设计操作上,考虑安全性以及操作性的平衡点,所以一般在本地服务器上(你现在使的电脑就是你发布的服务器), 本地服务器可以不受用户登录的限制。 在springSecurity之中提供有一个投票器的概念,投票器有以下几种: 支持:如果在本地,就不受限制 反对:不是在本地,就反对 弃权:一切照旧 范例:实现投票器 packag...
SLF4j使用。
孤芳不自赏
04-19 932
如何在系统中使用SLF4j 以后开发的时候,日志记录方法的调用,不应该来直接调用日志的实现类,而是调用日志抽象层里面的方法;给系统里面导入slf4j的jar和logback的实现jar。 import org.slf4j.Logger; import org.slf4j.LoggerFactory; public class HelloWorld { public static voi...
Spring Security教程(8)---- 自定义决策管理器及修改权限前缀
热门推荐
jaune162的专栏,最新动态请关注:https://jaune162.blog
01-17 2万+
首先介绍下Spring的决策管理器,其接口为AccessDecisionManager,抽象类为AbstractAccessDecisionManager。而我们要自定义决策管理器的话一般是继承抽象类而不去直接实现接口。 在Spring中引入了投票器(AccessDecisionVoter)的概念,有无权限访问的最终觉得权是由投票器来决定的,最常见的投票器为RoleVoter,在RoleVote
SLF4J: The requested version 1.5.6 by your slf4j binding is not compatible with [1.6, 1.7]
楼兰剑客
02-28 1万+
&lt;!-- https://mvnrepository.com/artifact/org.slf4j/slf4j-api --&gt; &lt;dependency&gt; &lt;groupId&gt;org.slf4j&lt;/groupId&gt; &lt;artifactId&gt;slf4j-api&lt;/artifactId&gt; &lt;version&gt;1.7.2
springsecurity自定义权限校验
最新发布
04-24
<think>好的,用户想了解如何在Spring Security中实现自定义权限校验。我之前回答过类似的问题,需要参考提供的引用内容。先看看引用里的信息。 引用1提到OAuth2AuthorizationService的配置方式,有通过注册Bean和使用配置类的方法。不过这可能和权限校验关系不大,可能更多是授权服务器的配置。引用2中的MySecurityService类展示了如何通过自定义的权限服务来检查用户权限,这里用到了Authentication对象和GrantedAuthority。引用3详细说明了自定义FilterSecurityInterceptor需要配置accessDecisionManager、fisMetadataSource等组件,并提到了decide方法的作用。 用户的问题是关于自定义权限校验的,所以需要结合这些引用中的信息。可能需要以下步骤: 1. 实现自定义的权限校验逻辑,比如使用@PreAuthorize注解结合自定义的权限检查方法,如引用2中的hasPermission方法。这样可以在方法级别进行权限控制。 2. 配置自定义的安全拦截器,如引用3提到的myFilterSecurityInterceptor,需要创建并配置accessDecisionManager和securityMetadataSource。这里可能需要自定义投票器或者决策管理器,以决定是否允许访问资源。 3. 可能需要扩展GrantedAuthority,自定义权限的表示方式,比如使用特定的字符串或对象。 需要注意,用户可能需要具体的代码示例和配置步骤。需要分步骤讲解,包括如何创建自定义权限校验服务、如何集成到Spring Security的配置中,以及如何在实际应用中使用这些自定义权限。 另外,要确保回答结构清晰,步骤明确,并包含代码示例,比如自定义的AccessDecisionVoter或者使用SpEL表达式进行权限校验。还要考虑是否需要覆盖默认的权限配置,或者与现有的权限管理结合使用。 可能需要提到两种主要方式:一种是使用表达式注解(如@PreAuthorize),另一种是自定义投票器和决策管理器。这样用户可以根据需求选择合适的方法。同时,需要参考引用中的代码示例,例如如何从Authentication中获取权限,如何实现权限判断逻辑。 最后,生成相关问题,帮助用户深入理解,比如如何动态管理权限,如何处理复杂的权限逻辑等。</think>在Spring Security中实现自定义权限校验可通过以下三种方式实现,以下步骤结合动态权限管理和安全拦截器配置进行说明: ### 一、基于表达式的方法级权限控制 1. 创建权限校验服务类,继承`SecurityExpressionRoot`并实现自定义逻辑: ```java @Component("myAuth") public class CustomAuthService { public boolean checkProjectAccess(Long projectId) { // 从数据库/缓存获取权限数据 return projectService.hasAccess(SecurityUtils.getCurrentUser(), projectId); } } ``` 2. 在Security配置中启用方法级注解: ```java @Configuration @EnableGlobalMethodSecurity(prePostEnabled = true) public class MethodSecurityConfig extends GlobalMethodSecurityConfiguration { @Override protected MethodSecurityExpressionHandler createExpressionHandler() { DefaultMethodSecurityExpressionHandler handler = new DefaultMethodSecurityExpressionHandler(); handler.setPermissionEvaluator(new CustomPermissionEvaluator()); return handler; } } ``` 3. 在Controller层使用校验: ```java @PreAuthorize("@myAuth.checkProjectAccess(#projectId)") @GetMapping("/projects/{projectId}") public Project getProject(@PathVariable Long projectId) { //... } ``` ### 二、自定义投票器实现 1. 实现`AccessDecisionVoter`接口: ```java public class CustomVoter implements AccessDecisionVoter<FilterInvocation> { @Override public boolean supports(ConfigAttribute attribute) { return attribute.getAttribute().startsWith("CUSTOM_"); } @Override public int vote(Authentication auth, FilterInvocation fi, Collection<ConfigAttribute> attributes) { String requestURI = fi.getRequest().getRequestURI(); return checkAccess(auth, requestURI) ? ACCESS_GRANTED : ACCESS_DENIED; } } ``` 2. 配置决策管理器: ```java @Bean public AccessDecisionManager accessDecisionManager() { List<AccessDecisionVoter<?>> voters = new ArrayList<>(); voters.add(new WebExpressionVoter()); voters.add(new CustomVoter()); return new UnanimousBased(voters); } ``` ### 三、动态元数据源配置 1. 实现`FilterInvocationSecurityMetadataSource`: ```java public class DynamicMetadataSource implements FilterInvocationSecurityMetadataSource { @Override public Collection<ConfigAttribute> getAttributes(Object object) { FilterInvocation fi = (FilterInvocation) object; String url = fi.getRequestUrl(); // 从数据库动态加载权限配置 return loadAttributesFromDB(url); } } ``` 2. 配置安全拦截器: ```java @Bean public FilterSecurityInterceptor customFilter() throws Exception { FilterSecurityInterceptor interceptor = new FilterSecurityInterceptor(); interceptor.setAccessDecisionManager(accessDecisionManager()); interceptor.setSecurityMetadataSource(metadataSource()); interceptor.setAuthenticationManager(authenticationManager); return interceptor; } ``` ### 四、权限上下文集成 在JWT认证场景中,可在`JwtAuthenticationFilter`解析时注入权限: ```java public class JwtFilter extends OncePerRequestFilter { @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) { String token = extractToken(request); Claims claims = parseToken(token); List<GrantedAuthority> authorities = convertClaimsToAuthorities(claims); Authentication auth = new JwtAuthenticationToken(claims.getSubject(), authorities); SecurityContextHolder.getContext().setAuthentication(auth); } } ``` ### 性能优化建议 1. 权限缓存:使用`@Cacheable`注解缓存权限数据 ```java @Cacheable(value = "userPermissions", key = "#userId") public Set<String> getUserPermissions(Long userId) { // 数据库查询 } ``` 2. 批量查询:在`loadAttributesFromDB`方法中使用IN语句批量获取URL权限配置
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值