说明 springboot 版本 2.0.3
源码地址:点击跳转

系列

  这篇讲解如何自定义鉴权过程,实现根据数据库查询出的 url 和 method 是否匹配当前请求的 url 和 method 来决定有没有权限。security 鉴权过程如下:

一、 重写 metadataSource 类

  1. 编写 MyGranteAuthority 类,让权限包含 url 和 method 两个部分。
public class MyGrantedAuthority implements GrantedAuthority {

    private String method;

    private String url;

    public MyGrantedAuthority(String method, String url) {

        this.method = method;

        this.url = url;

    }

    @Override

    public String getAuthority() {

        return url;

    }

    public String getMethod() {

        return method;

    }

    public String getUrl() {

        return url;

    }

    @Override

    public boolean equals(Object obj) {

        if(this==obj) return true;

        if(obj==null||getClass()!= obj.getClass()) return false;

        MyGrantedAuthority grantedAuthority = (MyGrantedAuthority)obj;

        if(this.method.equals(grantedAuthority.getMethod())&&this.url.equals(grantedAuthority.getUrl()))

            return true;

        return false;

    }

}
  1. 编写 MyConfigAttribute 类,实现 ConfigAttribute 接口,代码如下:

public class MyConfigAttribute implements ConfigAttribute {

    private HttpServletRequest httpServletRequest;

    private MyGrantedAuthority myGrantedAuthority;

    public MyConfigAttribute(HttpServletRequest httpServletRequest) {

        this.httpServletRequest = httpServletRequest;

    }

    public MyConfigAttribute(HttpServletRequest httpServletRequest, MyGrantedAuthority myGrantedAuthority) {

        this.httpServletRequest = httpServletRequest;

        this.myGrantedAuthority = myGrantedAuthority;

    }

    public HttpServletRequest getHttpServletRequest() {

        return httpServletRequest;

    }

    @Override

    public String getAttribute() {

        return myGrantedAuthority.getUrl();

    }

    public MyGrantedAuthority getMyGrantedAuthority() {

        return myGrantedAuthority;

    }

}
  1. 编写 MySecurityMetadataSource 类,获取当前 url 所需要的权限
@Component

public class MySecurityMetadataSource implements FilterInvocationSecurityMetadataSource {

    private Logger log = LoggerFactory.getLogger(this.getClass());

    @Autowired

    private JurisdictionMapper jurisdictionMapper;

    private List<Jurisdiction> jurisdictions;

    private void loadResource() {

        this.jurisdictions = jurisdictionMapper.selectAllPermission();

    }

    @Override

    public Collection<ConfigAttribute> getAttributes(Object object) throws IllegalArgumentException {

        if (jurisdictions == null) this.loadResource();

        HttpServletRequest request = ((FilterInvocation) object).getRequest();

        Set<ConfigAttribute> allConfigAttribute = new HashSet<>();

        AntPathRequestMatcher matcher;

        for (Jurisdiction jurisdiction : jurisdictions) {

            //使用AntPathRequestMatcher比较可让url支持ant风格,例如/user/*/a

            //*匹配一个或多个字符,**匹配任意字符或目录

            matcher = new AntPathRequestMatcher(jurisdiction.getUrl(), jurisdiction.getMethod());

            if (matcher.matches(request)) {

                ConfigAttribute configAttribute = new MyConfigAttribute(request,new MyGrantedAuthority(jurisdiction.getMethod(),jurisdiction.getUrl()));

                allConfigAttribute.add(configAttribute);

                //这里是获取到一个权限就返回,根据校验规则也可获取多个然后返回

                return allConfigAttribute;

            }

        }

        //未匹配到,说明无需权限验证

        return null;

    }

    @Override

    public Collection<ConfigAttribute> getAllConfigAttributes() {

        return null;

    }

    @Override

    public boolean supports(Class<?> clazz) {

        return FilterInvocation.class.isAssignableFrom(clazz);

    }

}

二、 编写 MyAccessDecisionManager 类

  实现 AccessDecisionManager 接口以实现权限判断,直接 return 说明验证通过,如不通过需要抛出对应错误,代码如下:

@Component

public class MyAccessDecisionManager implements AccessDecisionManager{

    private Logger log = LoggerFactory.getLogger(this.getClass());

	@Override

	public void decide(Authentication authentication, Object object, Collection<ConfigAttribute> configAttributes)

			throws AccessDeniedException, InsufficientAuthenticationException {

	    //无需验证放行

	    if(configAttributes==null || configAttributes.size()==0)

	        return;

	    if(!authentication.isAuthenticated()){

	        throw new InsufficientAuthenticationException("未登录");

        }

        Collection<? extends GrantedAuthority> authorities = authentication.getAuthorities();

        for(ConfigAttribute attribute : configAttributes){

            MyConfigAttribute urlConfigAttribute = (MyConfigAttribute)attribute;

            for(GrantedAuthority authority: authorities){

                MyGrantedAuthority myGrantedAuthority = (MyGrantedAuthority)authority;

                if(urlConfigAttribute.getMyGrantedAuthority().equals(myGrantedAuthority))

                    return;

            }

        }

        throw new AccessDeniedException("无权限");

	}

	@Override

	public boolean supports(ConfigAttribute attribute) {

		return true;

	}

	@Override

	public boolean supports(Class<?> clazz) {

		return true;

	}

}

三、 编写 MyFilterSecurityInterceptor 类

  该类继承 AbstractSecurityInterceptor 类,实现 Filter 接口,代码如下:

@Component

public class MyFilterSecurityInterceptor extends AbstractSecurityInterceptor implements Filter {

    //注入上面编写的两个类

    @Autowired

    private MySecurityMetadataSource mySecurityMetadataSource;

    @Autowired

    public void setMyAccessDecisionManager(MyAccessDecisionManager myAccessDecisionManager) {

        super.setAccessDecisionManager(myAccessDecisionManager);

    }

    @Override

    public void init(FilterConfig arg0) throws ServletException {

    }

    @Override

    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {

        FilterInvocation fi = new FilterInvocation(request, response, chain);

        invoke(fi);

    }

    public void invoke(FilterInvocation fi) throws IOException, ServletException {

        //这里进行权限验证

        InterceptorStatusToken token = super.beforeInvocation(fi);

        try {

            fi.getChain().doFilter(fi.getRequest(), fi.getResponse());

        } finally {

            super.afterInvocation(token, null);

        }

    }

    @Override

    public void destroy() {

    }

    @Override

    public Class<?> getSecureObjectClass() {

        return FilterInvocation.class;

    }

    @Override

    public SecurityMetadataSource obtainSecurityMetadataSource() {

        return this.mySecurityMetadataSource;

    }

}

四、 加入到 security 的过滤器链中

.addFilterBefore(urlFilterSecurityInterceptor,FilterSecurityInterceptor.class)

完成

本篇原创发布于:https://www.tapme.top/blog/detail/2018-08-22-10-38

springboot+security整合(3)自定义鉴权的更多相关文章

  1. springboot+security整合(2)自定义校验

    说明 springboot 版本 2.0.3源码地址:点击跳转 系列 springboot+security 整合(1) springboot+security 整合(2) springboot+se ...

  2. SpringBoot整合SpringSecurityOauth2实现鉴权-动态权限

    写在前面 思考:为什么需要鉴权呢? 系统开发好上线后,API接口会暴露在互联网上会存在一定的安全风险,例如:爬虫.恶意访问等.因此,我们需要对非开放API接口进行用户鉴权,鉴权通过之后再允许调用. 准 ...

  3. springboot+security整合(1)

    说明 springboot 版本 2.0.3源码地址:点击跳转 系列 springboot+security 整合(1) springboot+security 整合(2) springboot+se ...

  4. Shiro(4)默认鉴权与自定义鉴权

    =========默认鉴权======== 过滤链中定义: <!-- 过滤链定义 --> <property name="filterChainDefinitions&qu ...

  5. Spring Cloud注册中心Eureka设置访问权限并自定义鉴权页面

    原文:https://blog.csdn.net/a823007573/article/details/88971496 使用Spring Security实现鉴权 1. 导入Spring Secur ...

  6. 使用SpringSecurity Oauth2.0实现自定义鉴权中心

    Oauth2.0是什么不在赘述,本文主要介绍如何使用SpringSecurity Oauth2.0实现自定义的用户校验 1.鉴权中心服务 首先,列举一下我们需要用到的依赖,本文采用的是数据库保存用户信 ...

  7. 「快学springboot」集成Spring Security实现鉴权功能

    Spring Security介绍 Spring Security是Spring全家桶中的处理身份和权限问题的一员.Spring Security可以根据使用者的需要定制相关的角色身份和身份所具有的权 ...

  8. Spring Security 接口认证鉴权入门实践指南

    目录 前言 SpringBoot 示例 SpringBoot pom.xml SpringBoot application.yml SpringBoot IndexController SpringB ...

  9. springboot oauth 鉴权之——授权码authorization_code鉴权

    近期一直在研究鉴权方面的各种案例,这几天有空,写一波总结及经验. 第一步:什么是 OAuth鉴权 OAuth2是工业标准的授权协议.OAuth2取代了在2006创建的原始OAuthTM协议所做的工作. ...

随机推荐

  1. Win10电脑桌面壁纸自动变成黑色无法更换怎么解决

    很多用户在升级到win10之后,发现在使用过程中经常会碰到一些问题,就是电脑桌面壁纸总是会自动变成黑色,而且无法设置桌面背景壁纸,这是怎么回事呢,出现这样的问题可能是因为系统不是正版,或者是电脑设置不 ...

  2. 第06组 Beta冲刺(3/5)

    队名:拾光组 组长博客链接 作业博客链接 团队项目情况 燃尽图(组内共享) 组长:宋奕 过去两天完成了哪些任务 继续维护后端代码 学习深入python 研究匿名拨打电话问题.套牌多结果处理问题 Git ...

  3. semi-join子查询优化 -- Duplicate Weedout策略

    duplicate weedout是执行semi-join子查询的一种策略. 将semi-join作为一个常规的inner join.然后使用一个临时表,将重复的记录排除. 假设,你有一个查询,你在寻 ...

  4. 解决Electron安装包下载慢的问题

    问题描述 在运行官网示例的过程中,一个安装包(electron-v5.0.8-darwin-x64.zip)下载特别慢,基本下载不下来.更改npm的安装源到taobao的镜像,也没有效果. 解决方案 ...

  5. MSYS2 编译环境配置

    博客转载自:https://medium.com/@fzubair/carnd-term2-gcc-setup-on-windows-287e1fd36845 2018/6/2 — mingw32/c ...

  6. Spring cloud微服务安全实战-8-1课程总结

    总结 首先讲了api的安全.安全常见的风险.安全措施.然后我们把简单的api演化成一个这种微服务的架构. 首先讲了在网关上可以做哪些安全的措施.然后讲了如何搭建一个安全中心,也就是认证服务器,包括一些 ...

  7. oracle 应用程序调用存储函数

    package com.founder.ec.common.lucene; import java.sql.CallableStatement; import java.sql.Connection; ...

  8. python:当文件中出现特定字符串时执行robot用例

    #coding:utf-8 import os import datetime import time def execute_rpt_db_full_effe_cainiao_city(): fla ...

  9. Office Online Server2016搭建与部署(在线编辑)

    至少需要两台服务器,一台域控制器,一台部署Office Online Server https://docs.microsoft.com/zh-cn/officeonlineserver/office ...

  10. python使用consul进行服务注册和发现

    阅读目录 一.安装启动consul 二.python服务注册 三.golang服务注册 四.通过API的方式获取信息 回到顶部 一.安装启动consul 1.通过docker快速安装 #获取docke ...