转载于:https://www.jianshu.com/p/6b8fb59b614b

项目简介

基于Spring Cloud 的项目,Spring Cloud是在Spring Boot上搭建的所以按照Spring Boot的方式来写

Spring Security 配置

继承 WebSecurityConfigurerAdapter ,重写configure(HttpSecurity http)配置相关权限以及重写拦截器

     http.authorizeRequests()

        .antMatchers("/auth/**").permitAll()

        .anyRequest().authenticated().and()

        //证书 认证 自动登陆

        .addFilterBefore(authTokenFilter, UsernamePasswordAuthenticationFilter.class)

        //登陆以及权限控制Filter

        ......

    ;

自定义UsernamePasswordAuthenticationFilter

自定义 UsernamePasswordAuthenticationFilter 实现自动登陆
创建Authentication 模拟登陆

Authentication authentication = new UsernamePasswordAuthenticationToken(auth, token);

SecurityContextHolder.getContext().setAuthentication(authentication);;

自定义FilterSecurityInterceptor

Spring Security 是通过这个过滤器来实现 Http资源安全过滤的。

获取资源权限

FilterSecurityInterceptor继承自 AbstractSecurityInterceptor ,源码中的其中beforeInvocation方法的一段代码是:

Collection<ConfigAttribute> attributes = this.obtainSecurityMetadataSource()

                .getAttributes(object);
这个方法是来获取资源权限 ,可以重写SecurityMetadataSource obtainSecurityMetadataSource(){}方法来实现,传入一个FilterInvocation对象,返回一个Collection<ConfigAttribute>对象。
这个对象中可以获取到request, response等内置对象,可以通过一下代码来匹配
RequestMatcher requestMatcher = new AntPathRequestMatcher("/manager/**");

if(requestMatcher.matches(request)){

    return RESOURCE

}

ConfigAttribute 可以通过new SecurityConfig((String)input) 来创建

编写认证提供者

重写 AuthenticationManager 实现,用户登陆可以放这里面

Authentication authenticate(Authentication authentication)

            throws AuthenticationException;

用来生成Authentication, 原始的够用的话直接注入设置就好。

用户是否有获取资源权限

AbstructSecurityIntercepter 中的一下方法来判断用户权限是否可以拥有该资源

this.accessDecisionManager.decide(authenticated, object, attributes);

为了达到自定义控制的目的,我们需要实现AccessDecisionManager接口,来重写这个方法,如果判断不通过 decide方法可以抛出AccessDeniedException,来阻止用户访问

/**

 * 判断用户是否有访问资源权限

 * @param authentication    用户Auth

 * @param object FilterInvocation对象

 * @param configAttributes  资源所需权限

 * @throws AccessDeniedException  无权限Exception

 * @throws InsufficientAuthenticationException

 */

public void decide(Authentication authentication, Object object,

                       Collection<ConfigAttribute> configAttributes)

            throws AccessDeniedException, InsufficientAuthenticationException {

                if(access){

                    //允许通过

                    return;

                }

                //不允许角色访问

                throw new AccessDeniedException("NO ALLOW");

            }

JAVA 源码片

WebSecurityConfig

@Configuration

public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired

    private AuthTokenFilter authTokenFilter;

    @Autowired

    private ApiPermissionSecurityFilter securityFilter;

    protected void configure(HttpSecurity http) throws Exception {

        http.authorizeRequests()

            .antMatchers("/auth/**").permitAll()

            .anyRequest().authenticated().and()

            //证书 认证 自动登陆

            .addFilterBefore(authTokenFilter, UsernamePasswordAuthenticationFilter.class)

            //登陆以及权限控制Filter

            .addFilterBefore(securityFilter, FilterSecurityInterceptor.class)

            .csrf().disable()

            //基于Token 不需要Session

            .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)

        ;

    }

}

AuthTokenFilter (自定义UsernamePasswordAuthenticationFilter)

@Component

public class AuthTokenFilter extends OncePerRequestFilter {

    @Override

        protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {

            String auth = request.getHeader("Authorization");

            //用户登陆,暂不设置权限

            Token token = new Token(auth, null);

            Authentication authentication = new UsernamePasswordAuthenticationToken(auth, token);

            SecurityContextHolder.getContext().setAuthentication(authentication);

            filterChain.doFilter(request, response);

        }

}

ApiPermissionSecurityFilter

@Component

public class ApiPermissionSecurityFilter extends AbstractSecurityInterceptor implements Filter {

    @Autowired

    private ApiInvocationSecurityMetadataSourceService apiInvocationSecurityMetadataSourceService;

    @Autowired

    private ApiAccessDecisionManager apiAccessDecisionManager;

    @Autowired

    private AuthenticationManager authenticationManager;

    @PostConstruct

    public void init(){

        super.setAuthenticationManager(authenticationManager);

        super.setAccessDecisionManager(apiAccessDecisionManager);

    }

    public void doFilter( ServletRequest request, ServletResponse response, FilterChain chain)

            throws IOException, ServletException{

        FilterInvocation fi = new FilterInvocation( request, response, chain );

        invoke(fi);

    }

    public Class<? extends Object> getSecureObjectClass(){

        return FilterInvocation.class;

    }

    public void invoke( FilterInvocation fi ) throws IOException, ServletException{

        InterceptorStatusToken  token = super.beforeInvocation(fi);

        try{

            fi.getChain().doFilter(fi.getRequest(), fi.getResponse());

        }finally{

            super.afterInvocation(token, null);

        }

    }

    @Override

    public SecurityMetadataSource obtainSecurityMetadataSource(){

        return this.apiInvocationSecurityMetadataSourceService;

    }

    public void destroy(){

    }

    public void init( FilterConfig filterconfig ) throws ServletException{

    }

}

ApiInvocationSecurityMetadataSourceService

/**

 * 资源-权限控制对象

 * Created by liang on 2017/3/17.

 */

@Component

public class ApiInvocationSecurityMetadataSourceService implements

        FilterInvocationSecurityMetadataSource {

    //缓存 英文名-权限

    private static LoadingCache<String, Collection<ConfigAttribute>> permitMap = null;

    //缓存 英文名-ODCINFO信息对象

    private static LoadingCache<String, OdcInfo> odcInfoMap = null;

    @PostConstruct

    private void init() {

        //资源启动时初始化 资源和角色权限

        //缓存 英文名-权限 初始化

        //缓存 英文名-ODCINFO

    }

    @Override

    public Collection<ConfigAttribute> getAttributes(Object object) throws IllegalArgumentException {

        FilterInvocation filterInvocation = (FilterInvocation) object;

        //TODO 干你想干事情,下面是获取路径所具有的资源

        return permitMap.get(getHttpRequest().getRequestURI());

    }

    @Override

    public Collection<ConfigAttribute> getAllConfigAttributes() {

        return new ArrayList<ConfigAttribute>();

    }

    @Override

    public boolean supports(Class<?> aClass) {

        //很重要,不然不起作用

        return true;

    }

}

ApiAccessDecisionManager

@Component

public class ApiAccessDecisionManager implements AccessDecisionManager {

    /**

     * 判断用户是否有访问资源权限

     * @param authentication    用户Auth

     * @param object FilterInvocation对象

     * @param configAttributes  资源所需权限

     * @throws AccessDeniedException  无权限Exception

     */

    public void decide(Authentication authentication, Object object,

               Collection<ConfigAttribute> configAttributes)

               throws AccessDeniedException {

        if(access){

            //允许通过

            return;

        }

        //不允许角色访问

        throw new AccessDeniedException("NO ALLOW");

    }

    public boolean supports( ConfigAttribute attribute ){

            return true;

    }

    public boolean supports(Class<?> clazz){

        return true;

    }

}

作者:libertinus
链接:https://www.jianshu.com/p/6b8fb59b614b
来源:简书
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

Spring Security 自定义 登陆 权限验证的更多相关文章

  1. (二)spring Security 自定义登录页面与校验用户

    文章目录 配置 security 配置下 MVC 自定义登录页面 自定义一个登陆成功欢迎页面 效果图 小结: 使用 Spring Boot 的快速创建项目功能,勾选上本篇博客需要的功能:web,sec ...

  2. 登陆模块,这个是很重要的模块,有shiro和spring security专门的权限认证框架

    登陆模块,这个是很重要的模块,有shiro和spring security专门的权限认证框架

  3. Struts2 自定义拦截器实例—登陆权限验证

    实现一个登陆权限验证的功能 message.jsp: <body> message:${message } </body> login.jsp: <% request.g ...

  4. Spring Security 自定义登录认证(二)

    一.前言 本篇文章将讲述Spring Security自定义登录认证校验用户名.密码,自定义密码加密方式,以及在前后端分离的情况下认证失败或成功处理返回json格式数据 温馨小提示:Spring Se ...

  5. Spring Security 动态url权限控制(三)

    一.前言 本篇文章将讲述Spring Security 动态分配url权限,未登录权限控制,登录过后根据登录用户角色授予访问url权限 基本环境 spring-boot 2.1.8 mybatis-p ...

  6. spring security自定义指南

    序 本文主要研究一下几种自定义spring security的方式 主要方式 自定义UserDetailsService 自定义passwordEncoder 自定义filter 自定义Authent ...

  7. Spring Security实现RBAC权限管理

    Spring Security实现RBAC权限管理 一.简介 在企业应用中,认证和授权是非常重要的一部分内容,业界最出名的两个框架就是大名鼎鼎的 Shiro和Spring Security.由于Spr ...

  8. 解决Spring Security自定义filter重复执行问题

    今天做项目的时候,发现每次拦截器日志都会打两遍,很纳闷,怀疑是Filter被执行了两遍.结果debug之后发现还真是!记录一下这个神奇的BUG! 问题描述 项目中使用的是Spring-security ...

  9. Spring Security 自定义登录页面

    SpringMVC + Spring Security,自定义登录页面登录验证 学习参考:http://www.mkyong.com/spring-security/spring-security-f ...

随机推荐

  1. HttpServletResponse对象(转)

    Web服务器收到客户端的http请求,会针对每一次请求,分别创建一个用于代表请求的request对象.和代表响应的response对象.request和response对象即然代表请求和响应,那我们要 ...

  2. Linux系列(17)之系统服务

    我们知道,在我们登陆Linux后,系统就为我们提供了很多服务,比如例行工作调度服务crond.打印服务.邮件服务等.那么这些服务是如何被启动的呢? 这个问题先放一下,接下来我们先了解一下Linux的启 ...

  3. css走马灯,一步一停(专家介绍类型)

    <div class="CON--cen-pd3 clear aniview slow" data-av-animation="fadeIn"> & ...

  4. python学习-9 pycharm的安装

    1.python 开发IDE :  pycharm.eclipse等等 安装: 百度搜索pycharm 就可以了,去官网下载专业版.(百度有各种破解方法)                    #不要 ...

  5. 爬虫-selenium 模块-02

    目录 selenium 模块 chromedriver 浏览器驱动下载与存放 PhantomJS 无界面浏览器 标签元素查找方法 xpath 格式用法 获取标签属性 等待元素被加载 元素交互操作 点击 ...

  6. 并不对劲的CSP-S2019

    day1 对题的第一印象: t1:颇有"小凯的疑惑"之风(赛后发现确实如此,因为最好写的正解也可以直接输出) t2:log方会被卡吧?好像倍增一个log?(赛后发现有很好写的线性做 ...

  7. vue学习【一、开发环境搭建】

    一.安装node.js https://nodejs.org/en/ 建议安装LTS版本 安装完毕之后cmd命令查看node版本,如果不识别,记住设置环境变量 显示上面信息则安装成功 二.设置node ...

  8. python 识别图像主题并切割

    两种办法,一种是用百度的API,效果还可以,不过好像每天有50次的调用的限制 from aip import AipImageClassify import cv2 """ ...

  9. Javascript中的事件二

    <!------------------示例代码一---------------------><!DOCTYPE html PUBLIC "-//W3C//DTD XHTM ...

  10. 日志(logging)与正则(re)模块

    logging模块 #日志:日常的流水 =>日志文件,将程序运行过程中的状态或数据进行记录,一般都是记录到日志文件中 #1.logging模块一共分为五个打印级别 debug.info.warn ...