一、访问控制方法及控制项:

上述配置中的URL后面都离不开的一个访问控制抉择:

1、全部允许                PermiAll

2、全部拒绝                DenyAll

3、允许匿名访问             Anonymous 也就是普通访问者

4、允许认证之后访问        Authenticated

5、必须完全认证?           FullAuthenticated

6、记住我                  RememberMe

二、Security权限控制对资源的访问:

之前的权限配置中我们有设置一个权限的角色属性:

package cn.zeal4j.service;

import org.springframework.beans.factory.annotation.Autowired;

import org.springframework.security.core.authority.AuthorityUtils;

import org.springframework.security.core.userdetails.User;

import org.springframework.security.core.userdetails.UserDetails;

import org.springframework.security.core.userdetails.UserDetailsService;

import org.springframework.security.core.userdetails.UsernameNotFoundException;

import org.springframework.security.crypto.password.PasswordEncoder;

import org.springframework.stereotype.Service;

/**

 * @author Administrator

 * @file IntelliJ IDEA Spring-Security-Tutorial

 * @create 2020 09 27 21:57

 */

@Service

public class UserDetailsServiceImpl implements UserDetailsService {

    @Autowired

    private PasswordEncoder passwordEncoder;

    @Override

    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

        // 1、通过提供的用户名参数访问数据库,查询记录返回过来,如果记录不存在则抛出异常

        // username = "admin";

        if (!"admin".equals(username)) throw new UsernameNotFoundException("用户名不存在");

        // 2、查询出来的凭证是被加密了的,这里是模拟查询的密码

        String encode = passwordEncoder.encode("123456");

        // 权限不可以为空,所以需要这么一个工具方法简单实现

        return new User(username, encode, AuthorityUtils.commaSeparatedStringToAuthorityList("admin,normal"));

    }

}

现在我们设置两个特定的资源页面:

页面的内容区别就是这个:

<h3>Only admin Allowed</h3>


<h3>Only vip-01 Allowed</h3>

控制器处理:

package cn.zeal4j.controller;

import org.springframework.stereotype.Controller;

import org.springframework.web.bind.annotation.RequestMapping;

/**

 * @author Administrator

 * @file Spring-Security-Tutorial

 * @create 2020 09 28 13:59

 */

@Controller

public class PermitController {

    @RequestMapping("admin.page")

    public String toAdminPage() {

        return "permit/admin";

    }

    @RequestMapping("vip-01.page")

    public String toVip01Page() {

        return "permit/vip-01";

    }

}

现在设置访问权限:

通过hasAuthority方法进行鉴权,具备资质才会允许访问

package cn.zeal4j.configuration;

import cn.zeal4j.handler.FarsAuthenticationFailureHandler;

import cn.zeal4j.handler.FarsAuthenticationSuccessHandler;

import org.springframework.context.annotation.Bean;

import org.springframework.context.annotation.Configuration;

import org.springframework.http.HttpMethod;

import org.springframework.security.config.annotation.web.builders.HttpSecurity;

import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

import org.springframework.security.crypto.password.PasswordEncoder;

/**

 * @author Administrator

 * @file IntelliJ IDEA Spring-Security-Tutorial

 * @create 2020 09 27 21:55

 */

@Configuration

public class SecurityConfiguration extends WebSecurityConfigurerAdapter {

    @Bean

    public PasswordEncoder getPasswordEncoder() {

        return new BCryptPasswordEncoder();

    }

    @Override

    protected void configure(HttpSecurity httpSecurity) throws Exception {

        httpSecurity.formLogin(). // 设置登陆行为方式为表单登陆

                // 登陆请求参数设置

                usernameParameter("username").

                passwordParameter("password").

                loginPage("/login.html"). // 设置登陆页面URL路径

                loginProcessingUrl("/login.action"). // 设置表单提交URL路径

                // successForwardUrl("/main.page"). // 设置认证成功跳转URL路径 POST请求

                successHandler(new FarsAuthenticationSuccessHandler("https://www.acfun.cn/")). // 使用自定义的重定向登陆

                // failureForwardUrl("/error.page");  // 设置认证失败跳转URL路径 POST请求

                failureHandler(new FarsAuthenticationFailureHandler("/error.html")); // 跨域处理,不需要跳转了

        httpSecurity.authorizeRequests().

                regexMatchers(HttpMethod.POST, "正则表达式").permitAll(). // 还可以对符合正则表达式的请求方式进行要求,这个属性使用来制定请求的方式

                antMatchers("/**/*.js", "/**/*.css", "/**/images/*.*").permitAll(). // 静态资源放行

                antMatchers("/login.html").permitAll(). // 登陆页面允许任意访问

                antMatchers("/error.html").permitAll(). // 失败跳转后重定向的页面也需要被允许访问

                antMatchers("/admin.page").hasAnyAuthority("admin").

                antMatchers("/vip-01.page").hasAnyAuthority("vip-01").

                // mvcMatchers("/main.page").servletPath("/xxx").permitAll(). // mvcMatchers资源放行匹配

                // antMatchers("/xxx/main.page").permitAll(). // 或者多写MSP的前缀

                anyRequest().authenticated(); // 其他请求均需要被授权访问

        // CSRF攻击拦截关闭

        httpSecurity.csrf().disable();

    }

}

访问测试:

我们默认登录之后赋予的权限中包含admin,所以访问admin.page是没有问题的

但是如果访问vip-01.page,则会报403错误,访问被禁止了

三、角色控制:

上述的权限设置中可以同时设置角色,书写规范是:

ROLE_角色名称

例如这样:

package cn.zeal4j.service;

import org.springframework.beans.factory.annotation.Autowired;

import org.springframework.security.core.authority.AuthorityUtils;

import org.springframework.security.core.userdetails.User;

import org.springframework.security.core.userdetails.UserDetails;

import org.springframework.security.core.userdetails.UserDetailsService;

import org.springframework.security.core.userdetails.UsernameNotFoundException;

import org.springframework.security.crypto.password.PasswordEncoder;

import org.springframework.stereotype.Service;

/**

 * @author Administrator

 * @file IntelliJ IDEA Spring-Security-Tutorial

 * @create 2020 09 27 21:57

 */

@Service

public class UserDetailsServiceImpl implements UserDetailsService {

    @Autowired

    private PasswordEncoder passwordEncoder;

    @Override

    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

        // 1、通过提供的用户名参数访问数据库,查询记录返回过来,如果记录不存在则抛出异常

        // username = "admin";

        if (!"admin".equals(username)) throw new UsernameNotFoundException("用户名不存在");

        // 2、查询出来的凭证是被加密了的,这里是模拟查询的密码

        String encode = passwordEncoder.encode("123456");

        // 权限不可以为空,所以需要这么一个工具方法简单实现

        return new User(username, encode, AuthorityUtils.commaSeparatedStringToAuthorityList("admin,normal,ROLE_vip-01"));

    }

}

之前访问不了的VIP-01资源,现在权限控制规则可以这样设置:

package cn.zeal4j.configuration;

import cn.zeal4j.handler.FarsAuthenticationFailureHandler;

import cn.zeal4j.handler.FarsAuthenticationSuccessHandler;

import org.springframework.context.annotation.Bean;

import org.springframework.context.annotation.Configuration;

import org.springframework.http.HttpMethod;

import org.springframework.security.config.annotation.web.builders.HttpSecurity;

import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

import org.springframework.security.crypto.password.PasswordEncoder;

/**

 * @author Administrator

 * @file IntelliJ IDEA Spring-Security-Tutorial

 * @create 2020 09 27 21:55

 */

@Configuration

public class SecurityConfiguration extends WebSecurityConfigurerAdapter {

    @Bean

    public PasswordEncoder getPasswordEncoder() {

        return new BCryptPasswordEncoder();

    }

    @Override

    protected void configure(HttpSecurity httpSecurity) throws Exception {

        httpSecurity.formLogin(). // 设置登陆行为方式为表单登陆

                // 登陆请求参数设置

                usernameParameter("username").

                passwordParameter("password").

                loginPage("/login.html"). // 设置登陆页面URL路径

                loginProcessingUrl("/login.action"). // 设置表单提交URL路径

                // successForwardUrl("/main.page"). // 设置认证成功跳转URL路径 POST请求

                successHandler(new FarsAuthenticationSuccessHandler("https://www.acfun.cn/")). // 使用自定义的重定向登陆

                // failureForwardUrl("/error.page");  // 设置认证失败跳转URL路径 POST请求

                failureHandler(new FarsAuthenticationFailureHandler("/error.html")); // 跨域处理,不需要跳转了

        httpSecurity.authorizeRequests().

                regexMatchers(HttpMethod.POST, "正则表达式").permitAll(). // 还可以对符合正则表达式的请求方式进行要求,这个属性使用来制定请求的方式

                antMatchers("/**/*.js", "/**/*.css", "/**/images/*.*").permitAll(). // 静态资源放行

                antMatchers("/login.html").permitAll(). // 登陆页面允许任意访问

                antMatchers("/error.html").permitAll(). // 失败跳转后重定向的页面也需要被允许访问

                antMatchers("/admin.page").hasAnyAuthority("admin").

                /*antMatchers("/vip-01.page").hasAnyAuthority("vip-01").*/

                antMatchers("/vip-01.page").hasRole("vip-01").

                // mvcMatchers("/main.page").servletPath("/xxx").permitAll(). // mvcMatchers资源放行匹配

                // antMatchers("/xxx/main.page").permitAll(). // 或者多写MSP的前缀

                anyRequest().authenticated(); // 其他请求均需要被授权访问

        // CSRF攻击拦截关闭

        httpSecurity.csrf().disable();

    }

}

重启项目运行:

现在VIP-01资源可以被正常的访问了:

案例演示只是使用了单一的角色和权限处理,但实际开发的环境下面更为复杂,Security对此也提供好了 多权限 + 多角色的API

四、IP地址判断:

在之前的JavaWeb的学习中,我们可以通过请求的HttpServletRequest对象中,获取发送的请求的客户端IP地址

注意在本机上的一些访问问题:

以不同的IP地址形式访问,服务端接受到的IP地址也是不一样的

1、第一种

http://localhost:8080/

打印结果 0:0:0:0:0:0:0:1

2、第二种

http://127.0.0.1:8080/

打印结果 127.0.0.1

3、第三种

http://192.168.43.180:8080/

打印结果 192.168.43.180

这里新建一个资源,仅限于第三种IP地址符合的控制

<h3>Only 192.168.43.180 IP-Host Allowed</h3>

然后配置控制器和权限:

@RequestMapping("ip.page")

public String toIpPage() {

    return "permit/ip";

}

看看非远程IP地址是否有效

antMatchers("/ip.page").hasIpAddress("192.168.43.180").

可以看到,使用Localhost是不被允许访问的

同样的127.0.0.1地址也不允许

只有最后的远程IP地址才能被允许访问:

五、自定义403处理方案

除了这样的403响应,前后端分离的处理是发送响应状态信息完成的,所以Security允许我们自己设置一个禁止访问的结果的处理

package cn.zeal4j.handler;

import org.springframework.security.access.AccessDeniedException;

import org.springframework.security.web.access.AccessDeniedHandler;

import javax.servlet.ServletException;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import java.io.IOException;

import java.io.PrintWriter;

/**

 * @author Administrator

 * @file Spring-Security-Tutorial

 * @create 2020 09 28 14:37

 */
@Component

public class CustomAccessDeniedHandler implements AccessDeniedHandler {

    @Override

    public void handle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AccessDeniedException e) throws IOException, ServletException {

        httpServletResponse.setStatus(HttpServletResponse.SC_FORBIDDEN);

        httpServletResponse.setHeader("Content-Type", "application/json;charset=utf-8");

        PrintWriter printWriter = httpServletResponse.getWriter();

        // json数据 : { "status" : "error" , "message" : "权限不足,访问被禁止!!!" }

        printWriter.print("{ \"status\" : \"error\" , \"message\" : \"权限不足,访问被禁止!!!\" }");

        printWriter.flush();

        printWriter.close();

    }

}

然后在配置类中设置,403访问禁止的异常抛出:

package cn.zeal4j.configuration;

import cn.zeal4j.handler.CustomAccessDeniedHandler;

import cn.zeal4j.handler.FarsAuthenticationFailureHandler;

import cn.zeal4j.handler.FarsAuthenticationSuccessHandler;

import org.springframework.beans.factory.annotation.Autowired;

import org.springframework.context.annotation.Bean;

import org.springframework.context.annotation.Configuration;

import org.springframework.http.HttpMethod;

import org.springframework.security.config.annotation.web.builders.HttpSecurity;

import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

import org.springframework.security.crypto.password.PasswordEncoder;

import org.springframework.security.web.access.AccessDeniedHandler;

/**

 * @author Administrator

 * @file IntelliJ IDEA Spring-Security-Tutorial

 * @create 2020 09 27 21:55

 */

@Configuration

public class SecurityConfiguration extends WebSecurityConfigurerAdapter {

    @Autowired

    private AccessDeniedHandler accessDeniedHandler;

    @Bean

    public PasswordEncoder getPasswordEncoder() {

        return new BCryptPasswordEncoder();

    }

    @Override

    protected void configure(HttpSecurity httpSecurity) throws Exception {

        httpSecurity.formLogin(). // 设置登陆行为方式为表单登陆

                // 登陆请求参数设置

                usernameParameter("username").

                passwordParameter("password").

                loginPage("/login.html"). // 设置登陆页面URL路径

                loginProcessingUrl("/login.action"). // 设置表单提交URL路径

                // successForwardUrl("/main.page"). // 设置认证成功跳转URL路径 POST请求

                successHandler(new FarsAuthenticationSuccessHandler("https://www.acfun.cn/")). // 使用自定义的重定向登陆

                // failureForwardUrl("/error.page");  // 设置认证失败跳转URL路径 POST请求

                failureHandler(new FarsAuthenticationFailureHandler("/error.html")); // 跨域处理,不需要跳转了

        httpSecurity.authorizeRequests().

                regexMatchers(HttpMethod.POST, "正则表达式").permitAll(). // 还可以对符合正则表达式的请求方式进行要求,这个属性使用来制定请求的方式

                antMatchers("/**/*.js", "/**/*.css", "/**/images/*.*").permitAll(). // 静态资源放行

                antMatchers("/login.html").permitAll(). // 登陆页面允许任意访问

                antMatchers("/error.html").permitAll(). // 失败跳转后重定向的页面也需要被允许访问

                antMatchers("/admin.page").hasAnyAuthority("admin").

                /*antMatchers("/vip-01.page").hasAnyAuthority("vip-01").*/

                antMatchers("/vip-01.page").hasRole("vip-01").

                antMatchers("/ip.page").hasIpAddress("192.168.43.180").

                // mvcMatchers("/main.page").servletPath("/xxx").permitAll(). // mvcMatchers资源放行匹配

                // antMatchers("/xxx/main.page").permitAll(). // 或者多写MSP的前缀

                anyRequest().authenticated(); // 其他请求均需要被授权访问

        // CSRF攻击拦截关闭

        httpSecurity.csrf().disable();

        httpSecurity.exceptionHandling().accessDeniedHandler(accessDeniedHandler);

    }

}

403访问测试:

【Spring-Security】Re05 权限控制及403处理的更多相关文章

  1. request.getRemoteUser() Spring Security做权限控制后

    一. request.getRemoteUser();//获取当前缓存的用户,比如Spring Security做权限控制后就会将用户登录名缓存到这里 request.getRemoteAddr(); ...

  2. 在Spring Boot中使用Spring Security实现权限控制

    丢代码地址 https://gitee.com/a247292980/spring-security 再丢pom.xml <properties> <project.build.so ...

  3. spring boot+freemarker+spring security标签权限判断

    spring boot+freemarker+spring security标签权限判断 SpringBoot+SpringSecurity+Freemarker项目中在页面上使用security标签 ...

  4. Spring Boot中使用 Spring Security 构建权限系统

    Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架.它提供了一组可以在Spring应用上下文中配置的Bean,为应用系统提供声明式的安全 ...

  5. 单点登录系统使用Spring Security的权限功能

    背景 在配置中心增加权限功能 目前配置中心已经包含了单点登录功能,可以通过统一页面进行登录,登录完会将用户写入用户表 RBAC的用户.角色.权限表CRUD.授权等都已经完成 希望不用用户再次登录,就可 ...

  6. 使用Spring Security实现权限管理

    使用Spring Security实现权限管理 1.技术目标 了解并创建Security框架所需数据表 为项目添加Spring Security框架 掌握Security框架配置 应用Security ...

  7. Spring Boot整合实战Spring Security JWT权限鉴权系统

    目前流行的前后端分离让Java程序员可以更加专注的做好后台业务逻辑的功能实现,提供如返回Json格式的数据接口就可以.像以前做项目的安全认证基于 session 的登录拦截,属于后端全栈式的开发的模式 ...

  8. SpringBoot + Security实现权限控制

    网上找了好几个,因为各种原因不太行,下面这个亲测可行 参考:https://blog.csdn.net/u012702547/article/details/54319508 基于SpringBoot ...

  9. springBoot整合spring security实现权限管理(单体应用版)--筑基初期

    写在前面 在前面的学习当中,我们对spring security有了一个小小的认识,接下来我们整合目前的主流框架springBoot,实现权限的管理. 在这之前,假定你已经了解了基于资源的权限管理模型 ...

  10. Spring Boot 集成 Spring Security 实现权限认证模块

    作者:王帅@CodeSheep   写在前面 关于 Spring Security Web系统的认证和权限模块也算是一个系统的基础设施了,几乎任何的互联网服务都会涉及到这方面的要求.在Java EE领 ...

随机推荐

  1. undefined和null js数据类型转换自动转换布尔类型

    基本数据类型之undefined和null undefined是表示未找到,是变量没有正确赋值数据时,生成的数据类型 var int : console.log(int)//undefined nul ...

  2. react祖先与子孙多层传值

    先做数据源store.js文件 // 状态 store 统一数据源 import React, { createContext } from 'react' // Provider 发布消息 // C ...

  3. 使用 openssl 从cer公钥证书中导出公钥pem

    使用 openssl 从cer公钥证书中导出公钥pem ---------- "der 公钥证书"转 "base64 公钥证书"openssl x509 -in ...

  4. perfers-color-scheme 使用简单介绍

    perfers-color-scheme 简介 prefers-color-scheme 媒体查询属性用于检测用户操作系统是否使用深色模式. 属性值 dark 表示用户操作系统使用深色模式 light ...

  5. 判断URL是否编码,编码后的sign对签名和验签都有影响,导致验签不通过

    判断URL是否编码,编码后的sign对签名和验签都有影响,导致验签不通过如果含有 + %符号无法判断, 否则判断不准或报错 Exception in thread "main" j ...

  6. gradle dependencies 查找jar导入OR解决jar冲突

    在gradle项目中,使用gradle dependencies先查询jar包的导入关系.然后找到导入的jar加入到项目中来.解决jar冲突等问题. 类似格式如下: annotationProcess ...

  7. recastnavigation.Sample_TempObstacles代码注解 - rcBuildHeightfieldLayers

    烘培代码在 rcBuildHeightfieldLayers 本质上是为每个tile生成高度上的不同layer 算法的关键是三层循环: for z 轴循环 for x 轴循环 for 高度span 循 ...

  8. Linux命令行配置RIAD5

    环境准备: 系统: redhat6.9 硬盘:300G*3 SAS MegaCli是一款管理维护硬件RAID软件,可以用来查看raid信息等 1. 安装MegaCli rpm -ivh Lib_Uti ...

  9. 开源日志组件Sejil--附带日志管理界面

    1.开源日志组件源码:  https://github.com/alaatm/Sejil 2.下载下来发现里面对于不同的.net core 版本的配置提供了对应的示例 .Net Core 3.1 Pr ...

  10. uniapp+thinkphp5实现微信支付(JSAPI支付)

    前言 统一支付是JSAPI/NATIVE/APP各种支付场景下生成支付订单,返回预支付订单号的接口,目前微信支付所有场景均使用这一接口.下面介绍的是其中JSAPI的支付实现流程与uniapp唤起微信支 ...