目的是:系统内存在很多不同的用户,每个用户具有不同的资源访问权限,具体表现就是某个用户对于某个URL是无权限访问的。需要Spring Security忙我们过滤。

本文的很多命名都是参考链接博文的,最大的不同应该是本文是基于Spring boot,再次也向前人致敬!

由上一篇可知,FilterSecurityInterceptor是Spring Security进行URL权限判断的,FilterSecurityInterceptor又继承于AbstractSecurityInterceptor,由此可推测,我们可以新增一个Interceptor继承AbstractSecurityInterceptor,实现我们自己的权限校验逻辑。

查看父类及其代码逻辑,有几点必须要注意:
1、主要鉴权方法是调用父类中accessDecisionManager的decide值,所以我们需要自己实现一个accessDecisionManager
2、父类中存在抽象方法public abstract SecurityMetadataSource obtainSecurityMetadataSource();作用是获取URL及用户角色对应的关系。我们需要加入自己的实现。

以下是部分代码实现
主要拦截器JwtUrlSecurityInterceptor,需要在WebSecurityConfig(Spring Security配置)文件中注册
  1.   //这个拦截器用来实现按照用户权限,对所请求的url进行拦截
    2. 

  2.     @Bean
    3. 

  3.     public JwtUrlSecurityInterceptor jwtUrlSecurityInterceptorBean() throws Exception{
    4. 

  4.         return new JwtUrlSecurityInterceptor();
    5. 

  5.     }
    6. 

    7. 

  7. @Override
    8. 

  8.     protected void configure(HttpSecurity httpSecurity) throws Exception {
    9. 

  9. ...
    10. 

  10.         httpSecurity.addFilterBefore(jwtUrlSecurityInterceptorBean(), FilterSecurityInterceptor.class);
    11. 

  11. ...
    12. 

  12.     }
实现自定义的accessDecisionManager
  1. package org.zerhusen.security.dsuri;
    2. 

    3. 

  3. import org.springframework.security.access.AccessDecisionManager;
    4. 

  4. import org.springframework.security.access.AccessDeniedException;
    5. 

  5. import org.springframework.security.access.ConfigAttribute;
    6. 

  6. import org.springframework.security.authentication.InsufficientAuthenticationException;
    7. 

  7. import org.springframework.security.core.Authentication;
    8. 

    9. 

  9. import java.util.Collection;
    10. 

    11. 

  11. /**
    12. 

  12.  * Created by dingshuo on 2017/6/28.
    13. 

  13.  */
    14. 

  14. public class MyAccessDecisionManager implements AccessDecisionManager {
    15. 

  15.     @Override
    16. 

  16.     public void decide(Authentication authentication, Object object, Collection<ConfigAttribute> configAttributes) throws AccessDeniedException, InsufficientAuthenticationException {
    17. 

  17.         System.out.println("自定义的接口");
    18. 

  18.         throw new AccessDeniedException("no right");
    19. 

  19.     }
    20. 

    21. 

  21.     @Override
    22. 

  22.     public boolean supports(ConfigAttribute attribute) {
    23. 

  23.         return true;
    24. 

  24.     }
    25. 

    26. 

  26.     @Override
    27. 

  27.     public boolean supports(Class<?> clazz) {
    28. 

  28.         return true;
    29. 

  29.     }
    30. 

    31. 

  31. }
实现自定义的资源SecurityMetadataSource 
  1. package org.zerhusen.security.dsuri;
    2. 

    3. 

  3. import org.springframework.beans.factory.annotation.Autowired;
    4. 

  4. import org.springframework.security.access.ConfigAttribute;
    5. 

  5. import org.springframework.security.access.SecurityConfig;
    6. 

  6. import org.springframework.security.web.FilterInvocation;
    7. 

  7. import org.springframework.security.web.access.intercept.FilterInvocationSecurityMetadataSource;
    8. 

    9. 

  9. import java.util.*;
    10. 

    11. 

  11. /**
    12. 

  12.  * Created by dingshuo on 2017/6/28.
    13. 

  13.  */
    14. 

  14. public class MyInvocationSecurityMetadataSource implements FilterInvocationSecurityMetadataSource {
    15. 

  15.     private static Map<String, Collection<ConfigAttribute>> resourceMap = null;
    16. 

    17. 

  17.     @Autowired
    18. 

  18.     UrlMatcher urlMatcher;
    19. 

    20. 

    21. 

  21.     public MyInvocationSecurityMetadataSource() {
    22. 

  22. //这里可以查数据库实现
    23. 

  23. //注入dao即可
    24. 

  24.         resourceMap = new HashMap<String, Collection<ConfigAttribute>>();
    25. 

  25.         Collection<ConfigAttribute> atts = new ArrayList<ConfigAttribute>();
    26. 

  26.         ConfigAttribute ca = new SecurityConfig("ROLE_USER1");
    27. 

  27.         atts.add(ca);
    28. 

  28.         resourceMap.put("/index.jsp", atts);
    29. 

  29.         Collection<ConfigAttribute> attsno =new ArrayList<ConfigAttribute>();
    30. 

  30.         ConfigAttribute cano = new SecurityConfig("ROLE_NO");
    31. 

  31.         attsno.add(cano);
    32. 

  32.         resourceMap.put("/other.jsp", attsno);
    33. 

  33.     }
    34. 

    35. 

  35.     @Override
    36. 

  36.     public Collection<ConfigAttribute> getAttributes(Object object) throws IllegalArgumentException {
    37. 

  37.         String url = ((FilterInvocation)object).getRequestUrl();
    38. 

  38.         Iterator<String> ite = resourceMap.keySet().iterator();
    39. 

  39.         while (ite.hasNext()) {
    40. 

  40.             String resURL = ite.next();
    41. 

  41.             if (url.equals("/protected")) {
    42. 

  42.                 return resourceMap.get(resURL);
    43. 

  43.             }
    44. 

  44.         }
    45. 

  45.         return null;
    46. 

  46.     }
    47. 

    48. 

  48.     @Override
    49. 

  49.     public Collection<ConfigAttribute> getAllConfigAttributes() {
    50. 

  50.         return null;
    51. 

  51.     }
    52. 

    53. 

  53.     @Override
    54. 

  54.     public boolean supports(Class<?> clazz) {
    55. 

  55.         return true;
    56. 

  56.     }
    57. 

  57. }
实现JwtUrlSecurityInterceptor
  1. package org.zerhusen.security.dsuri;
    2. 

    3. 

  3. import org.springframework.beans.factory.annotation.Autowired;
    4. 

  4. import org.springframework.context.annotation.Bean;
    5. 

  5. import org.springframework.security.access.AccessDecisionManager;
    6. 

  6. import org.springframework.security.access.SecurityMetadataSource;
    7. 

  7. import org.springframework.security.access.intercept.AbstractSecurityInterceptor;
    8. 

  8. import org.springframework.security.access.intercept.InterceptorStatusToken;
    9. 

  9. import org.springframework.security.authentication.AuthenticationManager;
    10. 

  10. import org.springframework.security.web.FilterInvocation;
    11. 

    12. 

  12. import javax.servlet.*;
    13. 

  13. import java.io.IOException;
    14. 

    15. 

  15. /**
    16. 

  16.  * Created by dingshuo on 2017/6/28.
    17. 

  17.  */
    18. 

  18. public class JwtUrlSecurityInterceptor extends AbstractSecurityInterceptor implements
    19. 

  19.         Filter {
    20. 

    21. 

  21.     @Autowired
    22. 

  22.     public void  setMyAccessDecisionManager(){
    23. 

  23.         super.setAccessDecisionManager(myAccessDecisionManagerBean());
    24. 

  24.     }
    25. 

    26. 

    27. 

  27.     @Bean
    28. 

  28.     public MyAccessDecisionManager myAccessDecisionManagerBean(){
    29. 

  29.         return new MyAccessDecisionManager();
    30. 

  30.     }
    31. 

    32. 

  32.     @Bean
    33. 

  33.     public MyInvocationSecurityMetadataSource myInvocationSecurityMetadataSourceBean(){
    34. 

  34.         return new MyInvocationSecurityMetadataSource();
    35. 

  35.     }
    36. 

    37. 

    38. 

  38.     @Override
    39. 

  39.     public void init(FilterConfig filterConfig) throws ServletException {
    40. 

    41. 

  41.     }
    42. 

    43. 

  43.     @Override
    44. 

  44.     public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
    45. 

  45.         FilterInvocation fi = new FilterInvocation(request, response, chain);
    46. 

  46.         invoke(fi);
    47. 

  47.     }
    48. 

    49. 

  49.     @Override
    50. 

  50.     public void destroy() {
    51. 

    52. 

  52.     }
    53. 

    54. 

  54.     @Override
    55. 

  55.     public Class<?> getSecureObjectClass() {
    56. 

  56.         return FilterInvocation.class;
    57. 

  57.     }
    58. 

    59. 

  59.     @Override
    60. 

  60.     public SecurityMetadataSource obtainSecurityMetadataSource() {
    61. 

  61.         return this.myInvocationSecurityMetadataSourceBean();
    62. 

  62.     }
    63. 

    64. 

  64.     public void invoke(FilterInvocation fi) throws IOException, ServletException {
    65. 

  65.         InterceptorStatusToken token = super.beforeInvocation(fi);
    66. 

  66.         try {
    67. 

  67.             fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
    68. 

  68.         }finally {
    69. 

  69.             super.afterInvocation(token, null);
    70. 

  70.         }
    71. 

  71.     }
    72. 

    73. 

    74. 

  74. }
如上是简单的URL权限控制

Spring Security-利用URL地址进行权限控制的更多相关文章

  1. spring boot系列--spring security (基于数据库)登录和权限控制

    先说一下AuthConfig.java Spring Security的主要配置文件之一 AuthConfig 1 @Configuration 2 @EnableWebSecurity 3 publ ...

  2. Spring Security实现统一登录与权限控制

    1  项目介绍 最开始是一个单体应用,所有功能模块都写在一个项目里,后来觉得项目越来越大,于是决定把一些功能拆分出去,形成一个一个独立的微服务,于是就有个问题了,登录.退出.权限控制这些东西怎么办呢? ...

  3. Spring Boot+Spring Security+JWT 实现 RESTful Api 权限控制

    摘要:用spring-boot开发RESTful API非常的方便,在生产环境中,对发布的API增加授权保护是非常必要的.现在我们来看如何利用JWT技术为API增加授权保护,保证只有获得授权的用户才能 ...

  4. Spring Security 动态url权限控制(三)

    一.前言 本篇文章将讲述Spring Security 动态分配url权限,未登录权限控制,登录过后根据登录用户角色授予访问url权限 基本环境 spring-boot 2.1.8 mybatis-p ...

  5. Spring Security实现基于RBAC的权限表达式动态访问控制

    昨天有个粉丝加了我,问我如何实现类似shiro的资源权限表达式的访问控制.我以前有一个小框架用的就是shiro,权限控制就用了资源权限表达式,所以这个东西对我不陌生,但是在Spring Securit ...

  6. spring boot系列03--spring security (基于数据库)登录和权限控制(下)

    (接上篇) 后台 先说一下AuthConfig.java Spring Security的主要配置文件之一 AuthConfig 1 @Configuration 2 @EnableWebSecuri ...

  7. Spring security用户URL权限之FilterSecurityInterceptor

    总: 用户通过浏览器发送URL地址,由FilterSecurityInterceptor判断是否具有相应的访问权限. 对于用户请求的方法权限,例如注解@PreAuthorize("hasRo ...

  8. Spring Security 基于URL的权限判断

    1.  FilterSecurityInterceptor 源码阅读 org.springframework.security.web.access.intercept.FilterSecurityI ...

  9. 基于Spring Security 的JSaaS应用的权限管理

    1. 概述 权限管理,一般指根据系统设置的安全规则或者安全策略,用户可以访问而且只能访问自己被授权的资源.资源包括访问的页面,访问的数据等,这在传统的应用系统中比较常见.本文介绍的则是基于Saas系统 ...

随机推荐

  1. vue渲染学生信息

    渲染学生信息 <!DOCTYPE html> <html lang="en"> <head> <meta charset="UT ...

  2. systemd管理nginx

    首先安装nginx,此处不做赘述. 保存以下内容到/lib/systemd/system/nginx.service文件. [Unit] Description=The NGINX HTTP and ...

  3. tomcat 端口占用问题解决

    在dos下,输入  netstat   -ano|findstr  8080 //说明:查看占用8080端口的进程 显示占用端口的进程 taskkill  /pid  6856  /f //说明,运行 ...

  4. ChaosBlade 发布对 C++ 应用混沌实验的支持

    前言 为满足 C++ 应用系统故障演练,阿里妈妈安全生产团队开源了 C++ 混沌实验执行器,填补了 C++ 应用混沌工程实验的空白,其遵循<混沌实验模型>,可通过 ChaosBlade 工 ...

  5. LintCode 斐波纳契数列

    查找斐波纳契数列中第 N 个数. 所谓的斐波纳契数列是指: 前2个数是 0 和 1 . 第 i 个数是第 i-1 个数和第i-2 个数的和. 斐波纳契数列的前10个数字是: 0, 1, 1, 2, 3 ...

  6. 大数据技术之HA 高可用

    HDFS HA高可用 1.1 HA概述 1)所谓HA(High Available),即高可用(7*24小时不中断服务). 2)实现高可用最关键的策略是消除单点故障.HA严格来说应该分成各个组件的HA ...

  7. C​#​字​符​串​与​ ​b​y​t​e​数​据​的​互​相​转​换

    string和byte[]的转换 (C#) string类型转成byte[]: byte[] byteArray = System.Text.Encoding.Default.GetBytes ( s ...

  8. oracle-600错误

    event='10841 trace name context forever' 可以屏蔽这个ORA-00600错误. SQL> show parameter event NAME TYPE V ...

  9. 使用virtualenv使得Python2和Python3并存

    1:下载python3源码并安装 wget https://www.python.org/ftp/python/3.6.4/Python-3.6.4.tgz .tgz cd Python-.tgz . ...

  10. 设置onselectstart在ie浏览器下对于input及textarea标签页会生效

    设置onselectstart在ie浏览器下对于input及textarea标签页会生效, 可以使用js来控制对于某种标签不生效,代码如下: document.onselectstart = disa ...