目的是:系统内存在很多不同的用户,每个用户具有不同的资源访问权限,具体表现就是某个用户对于某个URL是无权限访问的。需要Spring Security忙我们过滤。

本文的很多命名都是参考链接博文的,最大的不同应该是本文是基于Spring boot,再次也向前人致敬!

由上一篇可知,FilterSecurityInterceptor是Spring Security进行URL权限判断的,FilterSecurityInterceptor又继承于AbstractSecurityInterceptor,由此可推测,我们可以新增一个Interceptor继承AbstractSecurityInterceptor,实现我们自己的权限校验逻辑。

查看父类及其代码逻辑,有几点必须要注意:
1、主要鉴权方法是调用父类中accessDecisionManager的decide值,所以我们需要自己实现一个accessDecisionManager
2、父类中存在抽象方法public abstract SecurityMetadataSource obtainSecurityMetadataSource();作用是获取URL及用户角色对应的关系。我们需要加入自己的实现。

以下是部分代码实现
主要拦截器JwtUrlSecurityInterceptor,需要在WebSecurityConfig(Spring Security配置)文件中注册
  1.   //这个拦截器用来实现按照用户权限,对所请求的url进行拦截
    2. 

  2.     @Bean
    3. 

  3.     public JwtUrlSecurityInterceptor jwtUrlSecurityInterceptorBean() throws Exception{
    4. 

  4.         return new JwtUrlSecurityInterceptor();
    5. 

  5.     }
    6. 

    7. 

  7. @Override
    8. 

  8.     protected void configure(HttpSecurity httpSecurity) throws Exception {
    9. 

  9. ...
    10. 

  10.         httpSecurity.addFilterBefore(jwtUrlSecurityInterceptorBean(), FilterSecurityInterceptor.class);
    11. 

  11. ...
    12. 

  12.     }
实现自定义的accessDecisionManager
  1. package org.zerhusen.security.dsuri;
    2. 

    3. 

  3. import org.springframework.security.access.AccessDecisionManager;
    4. 

  4. import org.springframework.security.access.AccessDeniedException;
    5. 

  5. import org.springframework.security.access.ConfigAttribute;
    6. 

  6. import org.springframework.security.authentication.InsufficientAuthenticationException;
    7. 

  7. import org.springframework.security.core.Authentication;
    8. 

    9. 

  9. import java.util.Collection;
    10. 

    11. 

  11. /**
    12. 

  12.  * Created by dingshuo on 2017/6/28.
    13. 

  13.  */
    14. 

  14. public class MyAccessDecisionManager implements AccessDecisionManager {
    15. 

  15.     @Override
    16. 

  16.     public void decide(Authentication authentication, Object object, Collection<ConfigAttribute> configAttributes) throws AccessDeniedException, InsufficientAuthenticationException {
    17. 

  17.         System.out.println("自定义的接口");
    18. 

  18.         throw new AccessDeniedException("no right");
    19. 

  19.     }
    20. 

    21. 

  21.     @Override
    22. 

  22.     public boolean supports(ConfigAttribute attribute) {
    23. 

  23.         return true;
    24. 

  24.     }
    25. 

    26. 

  26.     @Override
    27. 

  27.     public boolean supports(Class<?> clazz) {
    28. 

  28.         return true;
    29. 

  29.     }
    30. 

    31. 

  31. }
实现自定义的资源SecurityMetadataSource 
  1. package org.zerhusen.security.dsuri;
    2. 

    3. 

  3. import org.springframework.beans.factory.annotation.Autowired;
    4. 

  4. import org.springframework.security.access.ConfigAttribute;
    5. 

  5. import org.springframework.security.access.SecurityConfig;
    6. 

  6. import org.springframework.security.web.FilterInvocation;
    7. 

  7. import org.springframework.security.web.access.intercept.FilterInvocationSecurityMetadataSource;
    8. 

    9. 

  9. import java.util.*;
    10. 

    11. 

  11. /**
    12. 

  12.  * Created by dingshuo on 2017/6/28.
    13. 

  13.  */
    14. 

  14. public class MyInvocationSecurityMetadataSource implements FilterInvocationSecurityMetadataSource {
    15. 

  15.     private static Map<String, Collection<ConfigAttribute>> resourceMap = null;
    16. 

    17. 

  17.     @Autowired
    18. 

  18.     UrlMatcher urlMatcher;
    19. 

    20. 

    21. 

  21.     public MyInvocationSecurityMetadataSource() {
    22. 

  22. //这里可以查数据库实现
    23. 

  23. //注入dao即可
    24. 

  24.         resourceMap = new HashMap<String, Collection<ConfigAttribute>>();
    25. 

  25.         Collection<ConfigAttribute> atts = new ArrayList<ConfigAttribute>();
    26. 

  26.         ConfigAttribute ca = new SecurityConfig("ROLE_USER1");
    27. 

  27.         atts.add(ca);
    28. 

  28.         resourceMap.put("/index.jsp", atts);
    29. 

  29.         Collection<ConfigAttribute> attsno =new ArrayList<ConfigAttribute>();
    30. 

  30.         ConfigAttribute cano = new SecurityConfig("ROLE_NO");
    31. 

  31.         attsno.add(cano);
    32. 

  32.         resourceMap.put("/other.jsp", attsno);
    33. 

  33.     }
    34. 

    35. 

  35.     @Override
    36. 

  36.     public Collection<ConfigAttribute> getAttributes(Object object) throws IllegalArgumentException {
    37. 

  37.         String url = ((FilterInvocation)object).getRequestUrl();
    38. 

  38.         Iterator<String> ite = resourceMap.keySet().iterator();
    39. 

  39.         while (ite.hasNext()) {
    40. 

  40.             String resURL = ite.next();
    41. 

  41.             if (url.equals("/protected")) {
    42. 

  42.                 return resourceMap.get(resURL);
    43. 

  43.             }
    44. 

  44.         }
    45. 

  45.         return null;
    46. 

  46.     }
    47. 

    48. 

  48.     @Override
    49. 

  49.     public Collection<ConfigAttribute> getAllConfigAttributes() {
    50. 

  50.         return null;
    51. 

  51.     }
    52. 

    53. 

  53.     @Override
    54. 

  54.     public boolean supports(Class<?> clazz) {
    55. 

  55.         return true;
    56. 

  56.     }
    57. 

  57. }
实现JwtUrlSecurityInterceptor
  1. package org.zerhusen.security.dsuri;
    2. 

    3. 

  3. import org.springframework.beans.factory.annotation.Autowired;
    4. 

  4. import org.springframework.context.annotation.Bean;
    5. 

  5. import org.springframework.security.access.AccessDecisionManager;
    6. 

  6. import org.springframework.security.access.SecurityMetadataSource;
    7. 

  7. import org.springframework.security.access.intercept.AbstractSecurityInterceptor;
    8. 

  8. import org.springframework.security.access.intercept.InterceptorStatusToken;
    9. 

  9. import org.springframework.security.authentication.AuthenticationManager;
    10. 

  10. import org.springframework.security.web.FilterInvocation;
    11. 

    12. 

  12. import javax.servlet.*;
    13. 

  13. import java.io.IOException;
    14. 

    15. 

  15. /**
    16. 

  16.  * Created by dingshuo on 2017/6/28.
    17. 

  17.  */
    18. 

  18. public class JwtUrlSecurityInterceptor extends AbstractSecurityInterceptor implements
    19. 

  19.         Filter {
    20. 

    21. 

  21.     @Autowired
    22. 

  22.     public void  setMyAccessDecisionManager(){
    23. 

  23.         super.setAccessDecisionManager(myAccessDecisionManagerBean());
    24. 

  24.     }
    25. 

    26. 

    27. 

  27.     @Bean
    28. 

  28.     public MyAccessDecisionManager myAccessDecisionManagerBean(){
    29. 

  29.         return new MyAccessDecisionManager();
    30. 

  30.     }
    31. 

    32. 

  32.     @Bean
    33. 

  33.     public MyInvocationSecurityMetadataSource myInvocationSecurityMetadataSourceBean(){
    34. 

  34.         return new MyInvocationSecurityMetadataSource();
    35. 

  35.     }
    36. 

    37. 

    38. 

  38.     @Override
    39. 

  39.     public void init(FilterConfig filterConfig) throws ServletException {
    40. 

    41. 

  41.     }
    42. 

    43. 

  43.     @Override
    44. 

  44.     public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
    45. 

  45.         FilterInvocation fi = new FilterInvocation(request, response, chain);
    46. 

  46.         invoke(fi);
    47. 

  47.     }
    48. 

    49. 

  49.     @Override
    50. 

  50.     public void destroy() {
    51. 

    52. 

  52.     }
    53. 

    54. 

  54.     @Override
    55. 

  55.     public Class<?> getSecureObjectClass() {
    56. 

  56.         return FilterInvocation.class;
    57. 

  57.     }
    58. 

    59. 

  59.     @Override
    60. 

  60.     public SecurityMetadataSource obtainSecurityMetadataSource() {
    61. 

  61.         return this.myInvocationSecurityMetadataSourceBean();
    62. 

  62.     }
    63. 

    64. 

  64.     public void invoke(FilterInvocation fi) throws IOException, ServletException {
    65. 

  65.         InterceptorStatusToken token = super.beforeInvocation(fi);
    66. 

  66.         try {
    67. 

  67.             fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
    68. 

  68.         }finally {
    69. 

  69.             super.afterInvocation(token, null);
    70. 

  70.         }
    71. 

  71.     }
    72. 

    73. 

    74. 

  74. }
如上是简单的URL权限控制

Spring Security-利用URL地址进行权限控制的更多相关文章

  1. spring boot系列--spring security (基于数据库)登录和权限控制

    先说一下AuthConfig.java Spring Security的主要配置文件之一 AuthConfig 1 @Configuration 2 @EnableWebSecurity 3 publ ...

  2. Spring Security实现统一登录与权限控制

    1  项目介绍 最开始是一个单体应用,所有功能模块都写在一个项目里,后来觉得项目越来越大,于是决定把一些功能拆分出去,形成一个一个独立的微服务,于是就有个问题了,登录.退出.权限控制这些东西怎么办呢? ...

  3. Spring Boot+Spring Security+JWT 实现 RESTful Api 权限控制

    摘要:用spring-boot开发RESTful API非常的方便,在生产环境中,对发布的API增加授权保护是非常必要的.现在我们来看如何利用JWT技术为API增加授权保护,保证只有获得授权的用户才能 ...

  4. Spring Security 动态url权限控制(三)

    一.前言 本篇文章将讲述Spring Security 动态分配url权限,未登录权限控制,登录过后根据登录用户角色授予访问url权限 基本环境 spring-boot 2.1.8 mybatis-p ...

  5. Spring Security实现基于RBAC的权限表达式动态访问控制

    昨天有个粉丝加了我,问我如何实现类似shiro的资源权限表达式的访问控制.我以前有一个小框架用的就是shiro,权限控制就用了资源权限表达式,所以这个东西对我不陌生,但是在Spring Securit ...

  6. spring boot系列03--spring security (基于数据库)登录和权限控制(下)

    (接上篇) 后台 先说一下AuthConfig.java Spring Security的主要配置文件之一 AuthConfig 1 @Configuration 2 @EnableWebSecuri ...

  7. Spring security用户URL权限之FilterSecurityInterceptor

    总: 用户通过浏览器发送URL地址,由FilterSecurityInterceptor判断是否具有相应的访问权限. 对于用户请求的方法权限,例如注解@PreAuthorize("hasRo ...

  8. Spring Security 基于URL的权限判断

    1.  FilterSecurityInterceptor 源码阅读 org.springframework.security.web.access.intercept.FilterSecurityI ...

  9. 基于Spring Security 的JSaaS应用的权限管理

    1. 概述 权限管理,一般指根据系统设置的安全规则或者安全策略,用户可以访问而且只能访问自己被授权的资源.资源包括访问的页面,访问的数据等,这在传统的应用系统中比较常见.本文介绍的则是基于Saas系统 ...

随机推荐

  1. django1.11启动错误

    错误信息: 复制代码 Unhandled exception in thread started by <function check_errors..wrapper at 0x10f03b8c ...

  2. 如何把VS Code的Language Server Protocol整合到Eclipse中来

    Eclipse官方已经在着手做这件事情了,在Oxygen中,Eclipse提供了LSP4E扩展点(language server protocal for eclipse)来支持language se ...

  3. 世界名校网络课程大盘点,美国大学CS专业十三大研究方向,世界50所知名大学提供开放课程

    世界名校网络课程大盘点   加州大学伯克利分校http://webcast.berkeley.edu/ 加州大学伯克利分校与斯坦福大学. 麻省理工学院等一同被誉为美国工程科技界的学术 领袖,其常年位居 ...

  4. SPARK Day04

    广播变量和累加器 广播变量 广播变量理解图 广播变量使用 val conf = new SparkConf() conf.setMaster("local").setAppName ...

  5. swift 风骚的Guard语法

    http://blog.csdn.net/pjk1129/article/details/48627153#0-qzone-1-64255-d020d2d2a4e8d1a374a433f596ad14 ...

  6. 《DL/T 1476-2015 电力安全工器具预防性试验规程》中的样品名称及试验项目

  7. swap function & copy-and-swap idiom

    在C++中,众所周知在一个资源管理类(例如含有指向堆内存的指针)中需要重新定义拷贝构造函数.赋值运算符以及析构函数(Big Three),在新标准下还可能需要定义移动构造函数和移动赋值运算符(Big ...

  8. poj 2184 Cow Exhibition(01背包)

    Cow Exhibition Time Limit: 1000MS   Memory Limit: 65536K Total Submissions: 10882   Accepted: 4309 D ...

  9. vue页面内监听路由变化

    beforeRouteEnter (to, from, next) { // 在渲染该组件的对应路由被 confirm 前调用 // 不!能!获取组件实例 `this` // 因为当钩子执行前,组件实 ...

  10. DENSE_RANK(),允许并列名次、名次不间断,如122344456

    将score按ID分组排名:dense_rank() over(partition by id order by score desc) 将score不分组排名:dense_rank() over(o ...