目的是:系统内存在很多不同的用户,每个用户具有不同的资源访问权限,具体表现就是某个用户对于某个URL是无权限访问的。需要Spring Security忙我们过滤。

本文的很多命名都是参考链接博文的,最大的不同应该是本文是基于Spring boot,再次也向前人致敬!

由上一篇可知,FilterSecurityInterceptor是Spring Security进行URL权限判断的,FilterSecurityInterceptor又继承于AbstractSecurityInterceptor,由此可推测,我们可以新增一个Interceptor继承AbstractSecurityInterceptor,实现我们自己的权限校验逻辑。

查看父类及其代码逻辑,有几点必须要注意:
1、主要鉴权方法是调用父类中accessDecisionManager的decide值,所以我们需要自己实现一个accessDecisionManager
2、父类中存在抽象方法public abstract SecurityMetadataSource obtainSecurityMetadataSource();作用是获取URL及用户角色对应的关系。我们需要加入自己的实现。

以下是部分代码实现
主要拦截器JwtUrlSecurityInterceptor,需要在WebSecurityConfig(Spring Security配置)文件中注册
  1.   //这个拦截器用来实现按照用户权限,对所请求的url进行拦截
    2. 

  2.     @Bean
    3. 

  3.     public JwtUrlSecurityInterceptor jwtUrlSecurityInterceptorBean() throws Exception{
    4. 

  4.         return new JwtUrlSecurityInterceptor();
    5. 

  5.     }
    6. 

    7. 

  7. @Override
    8. 

  8.     protected void configure(HttpSecurity httpSecurity) throws Exception {
    9. 

  9. ...
    10. 

  10.         httpSecurity.addFilterBefore(jwtUrlSecurityInterceptorBean(), FilterSecurityInterceptor.class);
    11. 

  11. ...
    12. 

  12.     }
实现自定义的accessDecisionManager
  1. package org.zerhusen.security.dsuri;
    2. 

    3. 

  3. import org.springframework.security.access.AccessDecisionManager;
    4. 

  4. import org.springframework.security.access.AccessDeniedException;
    5. 

  5. import org.springframework.security.access.ConfigAttribute;
    6. 

  6. import org.springframework.security.authentication.InsufficientAuthenticationException;
    7. 

  7. import org.springframework.security.core.Authentication;
    8. 

    9. 

  9. import java.util.Collection;
    10. 

    11. 

  11. /**
    12. 

  12.  * Created by dingshuo on 2017/6/28.
    13. 

  13.  */
    14. 

  14. public class MyAccessDecisionManager implements AccessDecisionManager {
    15. 

  15.     @Override
    16. 

  16.     public void decide(Authentication authentication, Object object, Collection<ConfigAttribute> configAttributes) throws AccessDeniedException, InsufficientAuthenticationException {
    17. 

  17.         System.out.println("自定义的接口");
    18. 

  18.         throw new AccessDeniedException("no right");
    19. 

  19.     }
    20. 

    21. 

  21.     @Override
    22. 

  22.     public boolean supports(ConfigAttribute attribute) {
    23. 

  23.         return true;
    24. 

  24.     }
    25. 

    26. 

  26.     @Override
    27. 

  27.     public boolean supports(Class<?> clazz) {
    28. 

  28.         return true;
    29. 

  29.     }
    30. 

    31. 

  31. }
实现自定义的资源SecurityMetadataSource 
  1. package org.zerhusen.security.dsuri;
    2. 

    3. 

  3. import org.springframework.beans.factory.annotation.Autowired;
    4. 

  4. import org.springframework.security.access.ConfigAttribute;
    5. 

  5. import org.springframework.security.access.SecurityConfig;
    6. 

  6. import org.springframework.security.web.FilterInvocation;
    7. 

  7. import org.springframework.security.web.access.intercept.FilterInvocationSecurityMetadataSource;
    8. 

    9. 

  9. import java.util.*;
    10. 

    11. 

  11. /**
    12. 

  12.  * Created by dingshuo on 2017/6/28.
    13. 

  13.  */
    14. 

  14. public class MyInvocationSecurityMetadataSource implements FilterInvocationSecurityMetadataSource {
    15. 

  15.     private static Map<String, Collection<ConfigAttribute>> resourceMap = null;
    16. 

    17. 

  17.     @Autowired
    18. 

  18.     UrlMatcher urlMatcher;
    19. 

    20. 

    21. 

  21.     public MyInvocationSecurityMetadataSource() {
    22. 

  22. //这里可以查数据库实现
    23. 

  23. //注入dao即可
    24. 

  24.         resourceMap = new HashMap<String, Collection<ConfigAttribute>>();
    25. 

  25.         Collection<ConfigAttribute> atts = new ArrayList<ConfigAttribute>();
    26. 

  26.         ConfigAttribute ca = new SecurityConfig("ROLE_USER1");
    27. 

  27.         atts.add(ca);
    28. 

  28.         resourceMap.put("/index.jsp", atts);
    29. 

  29.         Collection<ConfigAttribute> attsno =new ArrayList<ConfigAttribute>();
    30. 

  30.         ConfigAttribute cano = new SecurityConfig("ROLE_NO");
    31. 

  31.         attsno.add(cano);
    32. 

  32.         resourceMap.put("/other.jsp", attsno);
    33. 

  33.     }
    34. 

    35. 

  35.     @Override
    36. 

  36.     public Collection<ConfigAttribute> getAttributes(Object object) throws IllegalArgumentException {
    37. 

  37.         String url = ((FilterInvocation)object).getRequestUrl();
    38. 

  38.         Iterator<String> ite = resourceMap.keySet().iterator();
    39. 

  39.         while (ite.hasNext()) {
    40. 

  40.             String resURL = ite.next();
    41. 

  41.             if (url.equals("/protected")) {
    42. 

  42.                 return resourceMap.get(resURL);
    43. 

  43.             }
    44. 

  44.         }
    45. 

  45.         return null;
    46. 

  46.     }
    47. 

    48. 

  48.     @Override
    49. 

  49.     public Collection<ConfigAttribute> getAllConfigAttributes() {
    50. 

  50.         return null;
    51. 

  51.     }
    52. 

    53. 

  53.     @Override
    54. 

  54.     public boolean supports(Class<?> clazz) {
    55. 

  55.         return true;
    56. 

  56.     }
    57. 

  57. }
实现JwtUrlSecurityInterceptor
  1. package org.zerhusen.security.dsuri;
    2. 

    3. 

  3. import org.springframework.beans.factory.annotation.Autowired;
    4. 

  4. import org.springframework.context.annotation.Bean;
    5. 

  5. import org.springframework.security.access.AccessDecisionManager;
    6. 

  6. import org.springframework.security.access.SecurityMetadataSource;
    7. 

  7. import org.springframework.security.access.intercept.AbstractSecurityInterceptor;
    8. 

  8. import org.springframework.security.access.intercept.InterceptorStatusToken;
    9. 

  9. import org.springframework.security.authentication.AuthenticationManager;
    10. 

  10. import org.springframework.security.web.FilterInvocation;
    11. 

    12. 

  12. import javax.servlet.*;
    13. 

  13. import java.io.IOException;
    14. 

    15. 

  15. /**
    16. 

  16.  * Created by dingshuo on 2017/6/28.
    17. 

  17.  */
    18. 

  18. public class JwtUrlSecurityInterceptor extends AbstractSecurityInterceptor implements
    19. 

  19.         Filter {
    20. 

    21. 

  21.     @Autowired
    22. 

  22.     public void  setMyAccessDecisionManager(){
    23. 

  23.         super.setAccessDecisionManager(myAccessDecisionManagerBean());
    24. 

  24.     }
    25. 

    26. 

    27. 

  27.     @Bean
    28. 

  28.     public MyAccessDecisionManager myAccessDecisionManagerBean(){
    29. 

  29.         return new MyAccessDecisionManager();
    30. 

  30.     }
    31. 

    32. 

  32.     @Bean
    33. 

  33.     public MyInvocationSecurityMetadataSource myInvocationSecurityMetadataSourceBean(){
    34. 

  34.         return new MyInvocationSecurityMetadataSource();
    35. 

  35.     }
    36. 

    37. 

    38. 

  38.     @Override
    39. 

  39.     public void init(FilterConfig filterConfig) throws ServletException {
    40. 

    41. 

  41.     }
    42. 

    43. 

  43.     @Override
    44. 

  44.     public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
    45. 

  45.         FilterInvocation fi = new FilterInvocation(request, response, chain);
    46. 

  46.         invoke(fi);
    47. 

  47.     }
    48. 

    49. 

  49.     @Override
    50. 

  50.     public void destroy() {
    51. 

    52. 

  52.     }
    53. 

    54. 

  54.     @Override
    55. 

  55.     public Class<?> getSecureObjectClass() {
    56. 

  56.         return FilterInvocation.class;
    57. 

  57.     }
    58. 

    59. 

  59.     @Override
    60. 

  60.     public SecurityMetadataSource obtainSecurityMetadataSource() {
    61. 

  61.         return this.myInvocationSecurityMetadataSourceBean();
    62. 

  62.     }
    63. 

    64. 

  64.     public void invoke(FilterInvocation fi) throws IOException, ServletException {
    65. 

  65.         InterceptorStatusToken token = super.beforeInvocation(fi);
    66. 

  66.         try {
    67. 

  67.             fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
    68. 

  68.         }finally {
    69. 

  69.             super.afterInvocation(token, null);
    70. 

  70.         }
    71. 

  71.     }
    72. 

    73. 

    74. 

  74. }
如上是简单的URL权限控制

Spring Security-利用URL地址进行权限控制的更多相关文章

  1. spring boot系列--spring security (基于数据库)登录和权限控制

    先说一下AuthConfig.java Spring Security的主要配置文件之一 AuthConfig 1 @Configuration 2 @EnableWebSecurity 3 publ ...

  2. Spring Security实现统一登录与权限控制

    1  项目介绍 最开始是一个单体应用,所有功能模块都写在一个项目里,后来觉得项目越来越大,于是决定把一些功能拆分出去,形成一个一个独立的微服务,于是就有个问题了,登录.退出.权限控制这些东西怎么办呢? ...

  3. Spring Boot+Spring Security+JWT 实现 RESTful Api 权限控制

    摘要:用spring-boot开发RESTful API非常的方便,在生产环境中,对发布的API增加授权保护是非常必要的.现在我们来看如何利用JWT技术为API增加授权保护,保证只有获得授权的用户才能 ...

  4. Spring Security 动态url权限控制(三)

    一.前言 本篇文章将讲述Spring Security 动态分配url权限,未登录权限控制,登录过后根据登录用户角色授予访问url权限 基本环境 spring-boot 2.1.8 mybatis-p ...

  5. Spring Security实现基于RBAC的权限表达式动态访问控制

    昨天有个粉丝加了我,问我如何实现类似shiro的资源权限表达式的访问控制.我以前有一个小框架用的就是shiro,权限控制就用了资源权限表达式,所以这个东西对我不陌生,但是在Spring Securit ...

  6. spring boot系列03--spring security (基于数据库)登录和权限控制(下)

    (接上篇) 后台 先说一下AuthConfig.java Spring Security的主要配置文件之一 AuthConfig 1 @Configuration 2 @EnableWebSecuri ...

  7. Spring security用户URL权限之FilterSecurityInterceptor

    总: 用户通过浏览器发送URL地址,由FilterSecurityInterceptor判断是否具有相应的访问权限. 对于用户请求的方法权限,例如注解@PreAuthorize("hasRo ...

  8. Spring Security 基于URL的权限判断

    1.  FilterSecurityInterceptor 源码阅读 org.springframework.security.web.access.intercept.FilterSecurityI ...

  9. 基于Spring Security 的JSaaS应用的权限管理

    1. 概述 权限管理,一般指根据系统设置的安全规则或者安全策略,用户可以访问而且只能访问自己被授权的资源.资源包括访问的页面,访问的数据等,这在传统的应用系统中比较常见.本文介绍的则是基于Saas系统 ...

随机推荐

  1. Java.控制层.响应工具类.

    Java.控制层.响应工具类. package cn.com.spdbccc.cds.index.web.base; public class ApiResponse { private int co ...

  2. 2018-8-15-WPF-插拔触摸设备触摸失效

    title author date CreateTime categories WPF 插拔触摸设备触摸失效 lindexi 2018-08-15 08:12:47 +0800 2018-08-09 ...

  3. Leetcode836.Rectangle Overlap矩阵重叠

    矩形以列表 [x1, y1, x2, y2] 的形式表示,其中 (x1, y1) 为左下角的坐标,(x2, y2) 是右上角的坐标. 如果相交的面积为正,则称两矩形重叠.需要明确的是,只在角或边接触的 ...

  4. 怎么使用mysqlreplicate快速搭建MySQL主从呢?

    用其中的mysqlreplicate工具来快速搭建MySQL主从环境. HE1:192.168.1.248 slave HE3:192.168.1.250 master 实战 Part1:安装mysq ...

  5. 粉丝裂变活动bug

    1 二维码ios无法扫描 也不知道是现在二维码长按识别的机制改了还是咋样,之前如果二维码ios 太小或者位置不对无法识别就加个透明的二维码,一般是妥妥的,但是这次就是不行,排除fixed,变形等等 解 ...

  6. shell脚本练习题(更新中...)

    练习题(这里贴的是自己写的代码, 网上给的题目代码我会附加在最下面) 1. 编写shell脚本,计算1-100的和: #!/bin/bash #caculate the to `; do sum=$[ ...

  7. 【JZOJ4876】【NOIP2016提高A组集训第10场11.8】基因突变

    题目描述 邪恶的707刚刚从白垩纪穿越回来,心中产生了一个念头:我要统治人类! 但是统治人类是很庞大且复杂的一个工程,707尝试了洗脑,催眠,以及武装镇压都没能成功地统治人类,于是她决定从科学上对人类 ...

  8. GitHub Top 100 Objective-C 项目简介

    主要对当前 GitHub 排名前 100 的项目做一个简单的简介, 方便初学者快速了解到当前 Objective-C 在 GitHub 的情况. 若有任何疑问可通过微博@李锦发联系我 GitHub 地 ...

  9. python 函数定义与调用时,不定长参数的传入

  10. 学习Vue.js

    Vue.js官网 Vue.js官方教程 Vue.js教程 哔哩哔哩Vue.js教程 Vue.js百度百科