目的是:系统内存在很多不同的用户,每个用户具有不同的资源访问权限,具体表现就是某个用户对于某个URL是无权限访问的。需要Spring Security忙我们过滤。

本文的很多命名都是参考链接博文的,最大的不同应该是本文是基于Spring boot,再次也向前人致敬!

由上一篇可知,FilterSecurityInterceptor是Spring Security进行URL权限判断的,FilterSecurityInterceptor又继承于AbstractSecurityInterceptor,由此可推测,我们可以新增一个Interceptor继承AbstractSecurityInterceptor,实现我们自己的权限校验逻辑。

查看父类及其代码逻辑,有几点必须要注意:
1、主要鉴权方法是调用父类中accessDecisionManager的decide值,所以我们需要自己实现一个accessDecisionManager
2、父类中存在抽象方法public abstract SecurityMetadataSource obtainSecurityMetadataSource();作用是获取URL及用户角色对应的关系。我们需要加入自己的实现。

以下是部分代码实现
主要拦截器JwtUrlSecurityInterceptor,需要在WebSecurityConfig(Spring Security配置)文件中注册
  1.   //这个拦截器用来实现按照用户权限,对所请求的url进行拦截
    2. 

  2.     @Bean
    3. 

  3.     public JwtUrlSecurityInterceptor jwtUrlSecurityInterceptorBean() throws Exception{
    4. 

  4.         return new JwtUrlSecurityInterceptor();
    5. 

  5.     }
    6. 

    7. 

  7. @Override
    8. 

  8.     protected void configure(HttpSecurity httpSecurity) throws Exception {
    9. 

  9. ...
    10. 

  10.         httpSecurity.addFilterBefore(jwtUrlSecurityInterceptorBean(), FilterSecurityInterceptor.class);
    11. 

  11. ...
    12. 

  12.     }
实现自定义的accessDecisionManager
  1. package org.zerhusen.security.dsuri;
    2. 

    3. 

  3. import org.springframework.security.access.AccessDecisionManager;
    4. 

  4. import org.springframework.security.access.AccessDeniedException;
    5. 

  5. import org.springframework.security.access.ConfigAttribute;
    6. 

  6. import org.springframework.security.authentication.InsufficientAuthenticationException;
    7. 

  7. import org.springframework.security.core.Authentication;
    8. 

    9. 

  9. import java.util.Collection;
    10. 

    11. 

  11. /**
    12. 

  12.  * Created by dingshuo on 2017/6/28.
    13. 

  13.  */
    14. 

  14. public class MyAccessDecisionManager implements AccessDecisionManager {
    15. 

  15.     @Override
    16. 

  16.     public void decide(Authentication authentication, Object object, Collection<ConfigAttribute> configAttributes) throws AccessDeniedException, InsufficientAuthenticationException {
    17. 

  17.         System.out.println("自定义的接口");
    18. 

  18.         throw new AccessDeniedException("no right");
    19. 

  19.     }
    20. 

    21. 

  21.     @Override
    22. 

  22.     public boolean supports(ConfigAttribute attribute) {
    23. 

  23.         return true;
    24. 

  24.     }
    25. 

    26. 

  26.     @Override
    27. 

  27.     public boolean supports(Class<?> clazz) {
    28. 

  28.         return true;
    29. 

  29.     }
    30. 

    31. 

  31. }
实现自定义的资源SecurityMetadataSource 
  1. package org.zerhusen.security.dsuri;
    2. 

    3. 

  3. import org.springframework.beans.factory.annotation.Autowired;
    4. 

  4. import org.springframework.security.access.ConfigAttribute;
    5. 

  5. import org.springframework.security.access.SecurityConfig;
    6. 

  6. import org.springframework.security.web.FilterInvocation;
    7. 

  7. import org.springframework.security.web.access.intercept.FilterInvocationSecurityMetadataSource;
    8. 

    9. 

  9. import java.util.*;
    10. 

    11. 

  11. /**
    12. 

  12.  * Created by dingshuo on 2017/6/28.
    13. 

  13.  */
    14. 

  14. public class MyInvocationSecurityMetadataSource implements FilterInvocationSecurityMetadataSource {
    15. 

  15.     private static Map<String, Collection<ConfigAttribute>> resourceMap = null;
    16. 

    17. 

  17.     @Autowired
    18. 

  18.     UrlMatcher urlMatcher;
    19. 

    20. 

    21. 

  21.     public MyInvocationSecurityMetadataSource() {
    22. 

  22. //这里可以查数据库实现
    23. 

  23. //注入dao即可
    24. 

  24.         resourceMap = new HashMap<String, Collection<ConfigAttribute>>();
    25. 

  25.         Collection<ConfigAttribute> atts = new ArrayList<ConfigAttribute>();
    26. 

  26.         ConfigAttribute ca = new SecurityConfig("ROLE_USER1");
    27. 

  27.         atts.add(ca);
    28. 

  28.         resourceMap.put("/index.jsp", atts);
    29. 

  29.         Collection<ConfigAttribute> attsno =new ArrayList<ConfigAttribute>();
    30. 

  30.         ConfigAttribute cano = new SecurityConfig("ROLE_NO");
    31. 

  31.         attsno.add(cano);
    32. 

  32.         resourceMap.put("/other.jsp", attsno);
    33. 

  33.     }
    34. 

    35. 

  35.     @Override
    36. 

  36.     public Collection<ConfigAttribute> getAttributes(Object object) throws IllegalArgumentException {
    37. 

  37.         String url = ((FilterInvocation)object).getRequestUrl();
    38. 

  38.         Iterator<String> ite = resourceMap.keySet().iterator();
    39. 

  39.         while (ite.hasNext()) {
    40. 

  40.             String resURL = ite.next();
    41. 

  41.             if (url.equals("/protected")) {
    42. 

  42.                 return resourceMap.get(resURL);
    43. 

  43.             }
    44. 

  44.         }
    45. 

  45.         return null;
    46. 

  46.     }
    47. 

    48. 

  48.     @Override
    49. 

  49.     public Collection<ConfigAttribute> getAllConfigAttributes() {
    50. 

  50.         return null;
    51. 

  51.     }
    52. 

    53. 

  53.     @Override
    54. 

  54.     public boolean supports(Class<?> clazz) {
    55. 

  55.         return true;
    56. 

  56.     }
    57. 

  57. }
实现JwtUrlSecurityInterceptor
  1. package org.zerhusen.security.dsuri;
    2. 

    3. 

  3. import org.springframework.beans.factory.annotation.Autowired;
    4. 

  4. import org.springframework.context.annotation.Bean;
    5. 

  5. import org.springframework.security.access.AccessDecisionManager;
    6. 

  6. import org.springframework.security.access.SecurityMetadataSource;
    7. 

  7. import org.springframework.security.access.intercept.AbstractSecurityInterceptor;
    8. 

  8. import org.springframework.security.access.intercept.InterceptorStatusToken;
    9. 

  9. import org.springframework.security.authentication.AuthenticationManager;
    10. 

  10. import org.springframework.security.web.FilterInvocation;
    11. 

    12. 

  12. import javax.servlet.*;
    13. 

  13. import java.io.IOException;
    14. 

    15. 

  15. /**
    16. 

  16.  * Created by dingshuo on 2017/6/28.
    17. 

  17.  */
    18. 

  18. public class JwtUrlSecurityInterceptor extends AbstractSecurityInterceptor implements
    19. 

  19.         Filter {
    20. 

    21. 

  21.     @Autowired
    22. 

  22.     public void  setMyAccessDecisionManager(){
    23. 

  23.         super.setAccessDecisionManager(myAccessDecisionManagerBean());
    24. 

  24.     }
    25. 

    26. 

    27. 

  27.     @Bean
    28. 

  28.     public MyAccessDecisionManager myAccessDecisionManagerBean(){
    29. 

  29.         return new MyAccessDecisionManager();
    30. 

  30.     }
    31. 

    32. 

  32.     @Bean
    33. 

  33.     public MyInvocationSecurityMetadataSource myInvocationSecurityMetadataSourceBean(){
    34. 

  34.         return new MyInvocationSecurityMetadataSource();
    35. 

  35.     }
    36. 

    37. 

    38. 

  38.     @Override
    39. 

  39.     public void init(FilterConfig filterConfig) throws ServletException {
    40. 

    41. 

  41.     }
    42. 

    43. 

  43.     @Override
    44. 

  44.     public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
    45. 

  45.         FilterInvocation fi = new FilterInvocation(request, response, chain);
    46. 

  46.         invoke(fi);
    47. 

  47.     }
    48. 

    49. 

  49.     @Override
    50. 

  50.     public void destroy() {
    51. 

    52. 

  52.     }
    53. 

    54. 

  54.     @Override
    55. 

  55.     public Class<?> getSecureObjectClass() {
    56. 

  56.         return FilterInvocation.class;
    57. 

  57.     }
    58. 

    59. 

  59.     @Override
    60. 

  60.     public SecurityMetadataSource obtainSecurityMetadataSource() {
    61. 

  61.         return this.myInvocationSecurityMetadataSourceBean();
    62. 

  62.     }
    63. 

    64. 

  64.     public void invoke(FilterInvocation fi) throws IOException, ServletException {
    65. 

  65.         InterceptorStatusToken token = super.beforeInvocation(fi);
    66. 

  66.         try {
    67. 

  67.             fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
    68. 

  68.         }finally {
    69. 

  69.             super.afterInvocation(token, null);
    70. 

  70.         }
    71. 

  71.     }
    72. 

    73. 

    74. 

  74. }
如上是简单的URL权限控制

Spring Security-利用URL地址进行权限控制的更多相关文章

  1. spring boot系列--spring security (基于数据库)登录和权限控制

    先说一下AuthConfig.java Spring Security的主要配置文件之一 AuthConfig 1 @Configuration 2 @EnableWebSecurity 3 publ ...

  2. Spring Security实现统一登录与权限控制

    1  项目介绍 最开始是一个单体应用,所有功能模块都写在一个项目里,后来觉得项目越来越大,于是决定把一些功能拆分出去,形成一个一个独立的微服务,于是就有个问题了,登录.退出.权限控制这些东西怎么办呢? ...

  3. Spring Boot+Spring Security+JWT 实现 RESTful Api 权限控制

    摘要:用spring-boot开发RESTful API非常的方便,在生产环境中,对发布的API增加授权保护是非常必要的.现在我们来看如何利用JWT技术为API增加授权保护,保证只有获得授权的用户才能 ...

  4. Spring Security 动态url权限控制(三)

    一.前言 本篇文章将讲述Spring Security 动态分配url权限,未登录权限控制,登录过后根据登录用户角色授予访问url权限 基本环境 spring-boot 2.1.8 mybatis-p ...

  5. Spring Security实现基于RBAC的权限表达式动态访问控制

    昨天有个粉丝加了我,问我如何实现类似shiro的资源权限表达式的访问控制.我以前有一个小框架用的就是shiro,权限控制就用了资源权限表达式,所以这个东西对我不陌生,但是在Spring Securit ...

  6. spring boot系列03--spring security (基于数据库)登录和权限控制(下)

    (接上篇) 后台 先说一下AuthConfig.java Spring Security的主要配置文件之一 AuthConfig 1 @Configuration 2 @EnableWebSecuri ...

  7. Spring security用户URL权限之FilterSecurityInterceptor

    总: 用户通过浏览器发送URL地址,由FilterSecurityInterceptor判断是否具有相应的访问权限. 对于用户请求的方法权限,例如注解@PreAuthorize("hasRo ...

  8. Spring Security 基于URL的权限判断

    1.  FilterSecurityInterceptor 源码阅读 org.springframework.security.web.access.intercept.FilterSecurityI ...

  9. 基于Spring Security 的JSaaS应用的权限管理

    1. 概述 权限管理,一般指根据系统设置的安全规则或者安全策略,用户可以访问而且只能访问自己被授权的资源.资源包括访问的页面,访问的数据等,这在传统的应用系统中比较常见.本文介绍的则是基于Saas系统 ...

随机推荐

  1. 一次web请求发生的神奇故事

    网络时代来临的时候,一个食指的点击就能解决很多问题! 那么当你的食指点击的时候,都发生了哪些神奇的事情呢?下面从几个角度为你做一个指引 1. 网络角度:一次网络请求是如何实现的 2. 浏览器角度:He ...

  2. Python高级核心技术97讲 系列教程

    Python高级核心技术97讲 系列教程 整个课程都看完了,这个课程的分享可以往下看,下面有链接,之前做java开发也做了一些年头,也分享下自己看这个视频的感受,单论单个知识点课程本身没问题,大家看的 ...

  3. 洛谷P1063 能量项链 [2006NOIP提高组]

    P1063 能量项链 题目描述 在Mars星球上,每个Mars人都随身佩带着一串能量项链.在项链上有N颗能量珠.能量珠是一颗有头标记与尾标 记的珠子,这些标记对应着某个正整数.并且,对于相邻的两颗珠子 ...

  4. Leetcode762.Prime Number of Set Bits in Binary Representation二进制表示中质数个计算置位

    给定两个整数 L 和 R ,找到闭区间 [L, R] 范围内,计算置位位数为质数的整数个数. (注意,计算置位代表二进制表示中1的个数.例如 21 的二进制表示 10101 有 3 个计算置位.还有, ...

  5. C++11中的并发

    在 C++98 的时代,C++标准并没有包含多线程的支持,人们只能直接调用操作系统提供的 SDK API 来编写多线程程序,不同的操作系统提供的 SDK API 以及线程控制能力不尽相同.到了 C++ ...

  6. Linux的登录和退出

    Linux是一个多用户的操作系统,用户要使用该系统,首先必须登录系统,使用完系统后,必须退出系统. 本章主要讨论登录和退出系统的方法: 用户登录系统时,为了使系统能够识别自己,必须输入用户名和密码,经 ...

  7. 【JZOJ4786】【NOIP2016提高A组模拟9.17】小a的强迫症

    题目描述 输入 输出 样例输入 3 2 2 1 样例输出 3 数据范围 样例解释 解法 先假定每种颜色的珠子取一个按顺序排列. 设这n个珠子就是每一种颜色的珠子的最后一个. 考虑逐个把珠子放入. 对于 ...

  8. node项目搭建

    一:安装 1.简单安装法 下载.msi [编译好的nodejs]  ->  点击安装 [系统会自动配置系统变量]   2.复杂安装法(不推荐) 由于nodejs的源码由C++和js组成 同时需要 ...

  9. 模拟登录新浪微博(Python) - 转

    Update: 如果只是写个小爬虫,访问需要登录的页面,采用填入cookie 的方法吧,简单粗暴有效,详细见:http://www.douban.com/note/264976536/模拟登陆有时需要 ...

  10. java中URLEncode和URLDecode

    URLEncode和URLDecode用于完成普通字符串和 application/x-www-from-urlencoded MIME字符串之间的相互转化 如果传递的字符串中包含非西欧字符的字符串, ...