目的是:系统内存在很多不同的用户,每个用户具有不同的资源访问权限,具体表现就是某个用户对于某个URL是无权限访问的。需要Spring Security忙我们过滤。

本文的很多命名都是参考链接博文的,最大的不同应该是本文是基于Spring boot,再次也向前人致敬!

由上一篇可知,FilterSecurityInterceptor是Spring Security进行URL权限判断的,FilterSecurityInterceptor又继承于AbstractSecurityInterceptor,由此可推测,我们可以新增一个Interceptor继承AbstractSecurityInterceptor,实现我们自己的权限校验逻辑。

查看父类及其代码逻辑,有几点必须要注意:
1、主要鉴权方法是调用父类中accessDecisionManager的decide值,所以我们需要自己实现一个accessDecisionManager
2、父类中存在抽象方法public abstract SecurityMetadataSource obtainSecurityMetadataSource();作用是获取URL及用户角色对应的关系。我们需要加入自己的实现。

以下是部分代码实现
主要拦截器JwtUrlSecurityInterceptor,需要在WebSecurityConfig(Spring Security配置)文件中注册
  1.   //这个拦截器用来实现按照用户权限,对所请求的url进行拦截
    2. 

  2.     @Bean
    3. 

  3.     public JwtUrlSecurityInterceptor jwtUrlSecurityInterceptorBean() throws Exception{
    4. 

  4.         return new JwtUrlSecurityInterceptor();
    5. 

  5.     }
    6. 

    7. 

  7. @Override
    8. 

  8.     protected void configure(HttpSecurity httpSecurity) throws Exception {
    9. 

  9. ...
    10. 

  10.         httpSecurity.addFilterBefore(jwtUrlSecurityInterceptorBean(), FilterSecurityInterceptor.class);
    11. 

  11. ...
    12. 

  12.     }
实现自定义的accessDecisionManager
  1. package org.zerhusen.security.dsuri;
    2. 

    3. 

  3. import org.springframework.security.access.AccessDecisionManager;
    4. 

  4. import org.springframework.security.access.AccessDeniedException;
    5. 

  5. import org.springframework.security.access.ConfigAttribute;
    6. 

  6. import org.springframework.security.authentication.InsufficientAuthenticationException;
    7. 

  7. import org.springframework.security.core.Authentication;
    8. 

    9. 

  9. import java.util.Collection;
    10. 

    11. 

  11. /**
    12. 

  12.  * Created by dingshuo on 2017/6/28.
    13. 

  13.  */
    14. 

  14. public class MyAccessDecisionManager implements AccessDecisionManager {
    15. 

  15.     @Override
    16. 

  16.     public void decide(Authentication authentication, Object object, Collection<ConfigAttribute> configAttributes) throws AccessDeniedException, InsufficientAuthenticationException {
    17. 

  17.         System.out.println("自定义的接口");
    18. 

  18.         throw new AccessDeniedException("no right");
    19. 

  19.     }
    20. 

    21. 

  21.     @Override
    22. 

  22.     public boolean supports(ConfigAttribute attribute) {
    23. 

  23.         return true;
    24. 

  24.     }
    25. 

    26. 

  26.     @Override
    27. 

  27.     public boolean supports(Class<?> clazz) {
    28. 

  28.         return true;
    29. 

  29.     }
    30. 

    31. 

  31. }
实现自定义的资源SecurityMetadataSource 
  1. package org.zerhusen.security.dsuri;
    2. 

    3. 

  3. import org.springframework.beans.factory.annotation.Autowired;
    4. 

  4. import org.springframework.security.access.ConfigAttribute;
    5. 

  5. import org.springframework.security.access.SecurityConfig;
    6. 

  6. import org.springframework.security.web.FilterInvocation;
    7. 

  7. import org.springframework.security.web.access.intercept.FilterInvocationSecurityMetadataSource;
    8. 

    9. 

  9. import java.util.*;
    10. 

    11. 

  11. /**
    12. 

  12.  * Created by dingshuo on 2017/6/28.
    13. 

  13.  */
    14. 

  14. public class MyInvocationSecurityMetadataSource implements FilterInvocationSecurityMetadataSource {
    15. 

  15.     private static Map<String, Collection<ConfigAttribute>> resourceMap = null;
    16. 

    17. 

  17.     @Autowired
    18. 

  18.     UrlMatcher urlMatcher;
    19. 

    20. 

    21. 

  21.     public MyInvocationSecurityMetadataSource() {
    22. 

  22. //这里可以查数据库实现
    23. 

  23. //注入dao即可
    24. 

  24.         resourceMap = new HashMap<String, Collection<ConfigAttribute>>();
    25. 

  25.         Collection<ConfigAttribute> atts = new ArrayList<ConfigAttribute>();
    26. 

  26.         ConfigAttribute ca = new SecurityConfig("ROLE_USER1");
    27. 

  27.         atts.add(ca);
    28. 

  28.         resourceMap.put("/index.jsp", atts);
    29. 

  29.         Collection<ConfigAttribute> attsno =new ArrayList<ConfigAttribute>();
    30. 

  30.         ConfigAttribute cano = new SecurityConfig("ROLE_NO");
    31. 

  31.         attsno.add(cano);
    32. 

  32.         resourceMap.put("/other.jsp", attsno);
    33. 

  33.     }
    34. 

    35. 

  35.     @Override
    36. 

  36.     public Collection<ConfigAttribute> getAttributes(Object object) throws IllegalArgumentException {
    37. 

  37.         String url = ((FilterInvocation)object).getRequestUrl();
    38. 

  38.         Iterator<String> ite = resourceMap.keySet().iterator();
    39. 

  39.         while (ite.hasNext()) {
    40. 

  40.             String resURL = ite.next();
    41. 

  41.             if (url.equals("/protected")) {
    42. 

  42.                 return resourceMap.get(resURL);
    43. 

  43.             }
    44. 

  44.         }
    45. 

  45.         return null;
    46. 

  46.     }
    47. 

    48. 

  48.     @Override
    49. 

  49.     public Collection<ConfigAttribute> getAllConfigAttributes() {
    50. 

  50.         return null;
    51. 

  51.     }
    52. 

    53. 

  53.     @Override
    54. 

  54.     public boolean supports(Class<?> clazz) {
    55. 

  55.         return true;
    56. 

  56.     }
    57. 

  57. }
实现JwtUrlSecurityInterceptor
  1. package org.zerhusen.security.dsuri;
    2. 

    3. 

  3. import org.springframework.beans.factory.annotation.Autowired;
    4. 

  4. import org.springframework.context.annotation.Bean;
    5. 

  5. import org.springframework.security.access.AccessDecisionManager;
    6. 

  6. import org.springframework.security.access.SecurityMetadataSource;
    7. 

  7. import org.springframework.security.access.intercept.AbstractSecurityInterceptor;
    8. 

  8. import org.springframework.security.access.intercept.InterceptorStatusToken;
    9. 

  9. import org.springframework.security.authentication.AuthenticationManager;
    10. 

  10. import org.springframework.security.web.FilterInvocation;
    11. 

    12. 

  12. import javax.servlet.*;
    13. 

  13. import java.io.IOException;
    14. 

    15. 

  15. /**
    16. 

  16.  * Created by dingshuo on 2017/6/28.
    17. 

  17.  */
    18. 

  18. public class JwtUrlSecurityInterceptor extends AbstractSecurityInterceptor implements
    19. 

  19.         Filter {
    20. 

    21. 

  21.     @Autowired
    22. 

  22.     public void  setMyAccessDecisionManager(){
    23. 

  23.         super.setAccessDecisionManager(myAccessDecisionManagerBean());
    24. 

  24.     }
    25. 

    26. 

    27. 

  27.     @Bean
    28. 

  28.     public MyAccessDecisionManager myAccessDecisionManagerBean(){
    29. 

  29.         return new MyAccessDecisionManager();
    30. 

  30.     }
    31. 

    32. 

  32.     @Bean
    33. 

  33.     public MyInvocationSecurityMetadataSource myInvocationSecurityMetadataSourceBean(){
    34. 

  34.         return new MyInvocationSecurityMetadataSource();
    35. 

  35.     }
    36. 

    37. 

    38. 

  38.     @Override
    39. 

  39.     public void init(FilterConfig filterConfig) throws ServletException {
    40. 

    41. 

  41.     }
    42. 

    43. 

  43.     @Override
    44. 

  44.     public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
    45. 

  45.         FilterInvocation fi = new FilterInvocation(request, response, chain);
    46. 

  46.         invoke(fi);
    47. 

  47.     }
    48. 

    49. 

  49.     @Override
    50. 

  50.     public void destroy() {
    51. 

    52. 

  52.     }
    53. 

    54. 

  54.     @Override
    55. 

  55.     public Class<?> getSecureObjectClass() {
    56. 

  56.         return FilterInvocation.class;
    57. 

  57.     }
    58. 

    59. 

  59.     @Override
    60. 

  60.     public SecurityMetadataSource obtainSecurityMetadataSource() {
    61. 

  61.         return this.myInvocationSecurityMetadataSourceBean();
    62. 

  62.     }
    63. 

    64. 

  64.     public void invoke(FilterInvocation fi) throws IOException, ServletException {
    65. 

  65.         InterceptorStatusToken token = super.beforeInvocation(fi);
    66. 

  66.         try {
    67. 

  67.             fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
    68. 

  68.         }finally {
    69. 

  69.             super.afterInvocation(token, null);
    70. 

  70.         }
    71. 

  71.     }
    72. 

    73. 

    74. 

  74. }
如上是简单的URL权限控制

Spring Security-利用URL地址进行权限控制的更多相关文章

  1. spring boot系列--spring security (基于数据库)登录和权限控制

    先说一下AuthConfig.java Spring Security的主要配置文件之一 AuthConfig 1 @Configuration 2 @EnableWebSecurity 3 publ ...

  2. Spring Security实现统一登录与权限控制

    1  项目介绍 最开始是一个单体应用,所有功能模块都写在一个项目里,后来觉得项目越来越大,于是决定把一些功能拆分出去,形成一个一个独立的微服务,于是就有个问题了,登录.退出.权限控制这些东西怎么办呢? ...

  3. Spring Boot+Spring Security+JWT 实现 RESTful Api 权限控制

    摘要:用spring-boot开发RESTful API非常的方便,在生产环境中,对发布的API增加授权保护是非常必要的.现在我们来看如何利用JWT技术为API增加授权保护,保证只有获得授权的用户才能 ...

  4. Spring Security 动态url权限控制(三)

    一.前言 本篇文章将讲述Spring Security 动态分配url权限,未登录权限控制,登录过后根据登录用户角色授予访问url权限 基本环境 spring-boot 2.1.8 mybatis-p ...

  5. Spring Security实现基于RBAC的权限表达式动态访问控制

    昨天有个粉丝加了我,问我如何实现类似shiro的资源权限表达式的访问控制.我以前有一个小框架用的就是shiro,权限控制就用了资源权限表达式,所以这个东西对我不陌生,但是在Spring Securit ...

  6. spring boot系列03--spring security (基于数据库)登录和权限控制(下)

    (接上篇) 后台 先说一下AuthConfig.java Spring Security的主要配置文件之一 AuthConfig 1 @Configuration 2 @EnableWebSecuri ...

  7. Spring security用户URL权限之FilterSecurityInterceptor

    总: 用户通过浏览器发送URL地址,由FilterSecurityInterceptor判断是否具有相应的访问权限. 对于用户请求的方法权限,例如注解@PreAuthorize("hasRo ...

  8. Spring Security 基于URL的权限判断

    1.  FilterSecurityInterceptor 源码阅读 org.springframework.security.web.access.intercept.FilterSecurityI ...

  9. 基于Spring Security 的JSaaS应用的权限管理

    1. 概述 权限管理,一般指根据系统设置的安全规则或者安全策略,用户可以访问而且只能访问自己被授权的资源.资源包括访问的页面,访问的数据等,这在传统的应用系统中比较常见.本文介绍的则是基于Saas系统 ...

随机推荐

  1. 使用split_size优化的ODPS SQL的场景

    使用split_size优化的ODPS SQL的场景 首先有两个大背景需要说明如下:说明1:split_size,设定一个map的最大数据输入量,单位M,默认256M.用户可以通过控制这个变量,从而达 ...

  2. LDAP Authentication Handler

    Including the Handler In the pom.xml file for your CAS Maven2 WAR Overlay, add the following depende ...

  3. 足迹地图 搜索jvectormap

    https://blog.wangjunfeng.com/foot_print/

  4. SPSS能做Cochran-Armitage趋势检验吗

    SPSS能做Cochran-Armitage趋势检验吗 Cochran-Armitage (CA) 趋势检验是一种用于分析1个二分类变量和1个有序分类变量关联性的统计方法,由Cochran和Armti ...

  5. js中小知识点

    JavaScript 中 typeof 和 instanceof 常用来判断一个变量是否为空,或者是什么类型的.但它们之间还是有区别的: typeof typeof 是一个一元运算,放在一个运算数之前 ...

  6. Oracle安装 卸载 和常见问题

    Oracle的安装   全局数据库名:orcl  口令:orcl 或者以第三方工具SQLplus为例 系统用户:sys 和 system  练习账户:scott (密码:tiger) 登录账户为:sy ...

  7. iOS:学习runtime的理解和心得

    http://www.cocoachina.com/ios/20150901/13173.html 作者:兴宇是谁 授权本站转载. Runtime是想要做好iOS开发,或者说是真正的深刻的掌握OC这门 ...

  8. python 函数的语法规则

  9. 巨蟒python全栈开发-第11阶段 ansible_project5

    今日大纲 1.命令展示前端页面实现(下面有个断点) 2.命令下发后端展示

  10. mybatis分页插件pageHelper简单实用

    工作的框架spring springmvc mybatis3 首先使用分页插件必须先引入maven依赖,在pom.xml中添加如下 <!-- 分页助手 --> <dependency ...