2. 程式人生 > >Spring Security 4 (03)—— 資源資訊

Spring Security 4 (03)—— 資源資訊

阿新 發佈:2019-01-03

序言

這一篇主要是講資源的載入和認證

1.記憶體載入

 <security:http auto-config="false" use-expressions="false" > 
       <security:intercept-url pattern="/system/**" access="ROLE_ADMIN" />
       <security:intercept-url pattern="/financeReport/**" access="ROLE_USER,ROLE_ADMIN" />    
       <security:intercept-url
 
 pattern="/**" access="ROLE_ADMIN" />       
  </security:http>
  • auto-config=”true” : 自動生成登入頁面
  • use-expressions=”true” : 表示access中支援hasRole這樣的函式

2.資料庫載入

在我們的實際專案中記憶體載入的方式肯定是不行的,我們使用者資訊都是存在資料庫中的。
這時我們就要配置自定義的資源載入方式。

<security:http auto-config="false" use-expressions="false"
 
>
    <!-- 替換  許可權驗證 過濾器 -->
    <security:custom-filter ref="sysSecurityInterceptor" before="FILTER_SECURITY_INTERCEPTOR"/>  
</security:http>

 <!-- 自定義認證管理,資源,許可權 -->
<bean id="sysSecurityInterceptor" class="org.springframework.security.web.access.intercept.FilterSecurityInterceptor"
 
>
    <property name="authenticationManager" ref="sysAuthenticationManager" />
    <property name="accessDecisionManager" ref="sysAccessDecisionManager" />
    <property name="securityMetadataSource" ref="sysSecurityMetadataSource" />
</bean>
  • authenticationManager 就是我上一章配置的認證管理器。
  • accessDecisionManager 這個是我們自定義的資源認證管理器
  • securityMetadataSource 這個是我們自定義的資源載入器

2.1 securityMetadataSource

要實現自定的資源載入只需要實現FilterInvocationSecurityMetadataSource介面的getAttributes()方法。
例:

/**
 * 路徑-角色 載入
 * @author Admin
 *
 */
@Service
public class SysSecurityMetadataSource implements FilterInvocationSecurityMetadataSource{

    private SysSecurityService sysSecurityServiceImp;

    @Autowired
    public SysSecurityMetadataSource(SysSecurityService sysSecurityServiceImp){
        this.sysSecurityServiceImp =sysSecurityServiceImp;
    }   

    /**
     * 根據資源URL獲取角色
     */
    @Override
    public Collection<ConfigAttribute> getAttributes(Object object) throws IllegalArgumentException {

        FilterInvocation  request = (FilterInvocation) object ; 
        //資源路徑
        String url=request.getRequest().getServletPath();
        //載入資源資訊
        SysResources resource = sysSecurityServiceImp.findRolesByResourceURL(url);      
        Collection<ConfigAttribute> roles =new ArrayList<ConfigAttribute>();

        if(resource == null){   //路徑 沒加許可權 
            roles.add(new SecurityConfig(SecurityFinal.ROLE_LOGIN));
        }else if (resource.getAuthorities().size() ==0){ //路徑  無角色許可權
            roles.add(new SecurityConfig(SecurityFinal.ROLE_NO_RIGHT));
        }else{
            for (String role : resource.getAuthorities()) {
                roles.add(new SecurityConfig(SecurityFinal.ROLE_+role));
            }
        }       
        return  roles;      
    }

    @Override
    public Collection<ConfigAttribute> getAllConfigAttributes() {
        return null;
    }

    @Override
    public boolean supports(Class<?> clazz) {
        return true;
    }   
}

在這個地方我加了一個特殊的處理,當根據url查到null 時說明此路徑不在資源表中,此時將預設加入一個ROLE_LOGIN角色,(使用者登入後也有一個預設的ROLE_LOGIN角色,詳情請看上一章)。當根據url查到資訊,但是角色集合大小為0時說明此路徑在資源表中,只是沒有角色擁有次路徑,這時就加入一個ROLE_NO_RIGHT角色。

2.2 accessDecisionManager

要實現自定義的許可權認證只需要實現AccessDecisionManager介面的decide()
例:

/**
 *  訪問決策 管理器 (自定義)
 * @author admin
 *
 */
@Service
public class SysAccessDecisionManager implements AccessDecisionManager{

    /**
     * 角色判斷
     * authentication -- 角色的資訊
     * object --路徑
     * configAttributes -- 路徑需要的許可權
     */
    @Override
    public void decide(Authentication authentication, Object object, Collection<ConfigAttribute> configAttributes)
            throws AccessDeniedException, InsufficientAuthenticationException {

        if (configAttributes == null) {
            return;
        }       
        Iterator<ConfigAttribute> iterator = configAttributes.iterator();
        while (iterator.hasNext()) {
            ConfigAttribute configAttribute = iterator.next();
            String needPermission = configAttribute.getAttribute();
            for (GrantedAuthority ga : authentication.getAuthorities()) {
                if (needPermission.equals(ga.getAuthority())) { //路徑需要的許可權和角色擁有的許可權比較
                    return;
                }
            }
        }
        // 沒有許可權讓我們去捕捉
        throw new AccessDeniedException("您當前沒有許可權!");        
    }

    @Override
    public boolean supports(ConfigAttribute attribute) {
        // TODO Auto-generated method stub
        return true;
    }

    @Override
    public boolean supports(Class<?> clazz) {
        // TODO Auto-generated method stub
        return true;
    }
}

3. 總結

以上就是資源的載入和認證

相關推薦

Spring Security 4 03—— 資源資訊

序言 這一篇主要是講資源的載入和認證 1.記憶體載入 <security:http auto-config="false" use-expressions="false" &g

Spring Security教程10---- 自定義登入成功後的處理程式及修改預設驗證地址

分享一下我老師大神的人工智慧教程!零基礎,通俗易懂!http://blog.csdn.net/jiangjunshow 也歡迎大家轉載本篇文章。分享知識,造福人民,實現我們中華民族偉大復興!        

Java for Web學習筆記一四一Spring security準備2授權

訪問的範圍和許可權屬於授權。 Principals和Identities 就Java而言,很方便利用java.security.Principal。Principal至少會包含已被認證的使用者identity,例如使用者名稱,還可能有其他資訊。此外還可以保護使用者的授權資

Spring Security教程14---- Logout和SessionManager

Logout的配置很簡單,只需要在http中加入下面的配置就可以了 <sec:logout invalidate-session="true" logout-url="/logout" logout-success-url="/login.jsp" />in

Spring Security教程2----SpringSecurity簡單測試

前面講到了SpringSecurity的簡單配置,今天做一個簡單的測試,先看配置檔案 <?xmlversion="1.0"encoding="UTF-8"?> <beansxmlns="http://www.springframework.org

Re:從零開始的Spring Security Oauth2

上一篇文章中我們介紹了獲取token的流程,這一篇重點分析一下,攜帶token訪問受限資源時,內部的工作流程。 還記得我們在第一節中就介紹過了OAuth2的兩個核心概念,資源伺服器與身份認證伺服器。我們對兩個註解進行配置的同時,到底觸發了內部的什麼相關

Spring Security學習Spring Security Guides

配置方式 主要有四種配置方式 Hello Spring Security Java Config Hello Spring Security with Boot Hello Spring Security Xml Config Hello Spri

Java for Web學習筆記一四二Spring security準備3初窺

瞭解Spring Security的基本知識 完全J2EE的web container也能提供完整的安全框架,但tomcat不是。Spring Security可以使用JDBC,或者我們的服務或倉庫來認證使用者,也提供了內建的對微軟Active Derectory,Jasi

Spring Security入門:密碼加密

前文導讀Github 地址https://github.com/ChinaSilence/any

Spring Security教程3---- 自定義登入頁面

在專案中我們肯定不能使用Spring自己生成的登入頁面,而要用我們自己的登入頁面,下面講一下如何自定義登入頁面,先看下配置 <sec:http auto-config="true"> <sec:intercept-url pattern="/

Spring Security 入門:自定義-Filter

前文導讀本文解決問題將自定義的 Filter 加入到 Spring Security 中的 Fi

spring security oauth2 jwt 認證和資源分離的配置文件java類配置版

boot cond lan 資源分離 測試 sql adapter 依賴 註入 最近再學習spring security oauth2。下載了官方的例子sparklr2和tonr2進行學習。但是例子裏包含的東西太多,不知道最簡單最主要的配置有哪些。所以決定自己嘗試搭建簡單版

Spring Security 4 整合Hibernate 實現持久化登入驗證帶原始碼

【相關已翻譯的本系列其他文章,點選分類裡面的spring security 4】 本教程將使用Spring Security 4 和hibernate向你展示持久化登入驗證. 在持久化登入驗證中,應用通過session記住使用者特徵。 一般來說,在登入介面,當你

Spring Security 4 安全檢視片段 使用標籤Spring Security 標籤

下一篇文章: 【剩餘文章,將盡快翻譯完畢,敬請期待。 翻譯by 明明如月 QQ 605283073】 本教程向你展示怎樣建立安全檢視層,Spring MVC web 應用中,使用Spring Security 標籤,基於使用者角色顯示或者隱藏部分jsp或

Spring Security 4 整合Hibernate Bcrypt密碼加密帶原始碼

【相關已翻譯的本系列其他文章,點選分類裡面的spring security 4】 【 翻譯by 明明如月 QQ 605283073】 上一篇文章: Spring Security 4 Hibernate整合 註解和xml例子(帶原始碼) 本教程演示 使用 Spri

Spring Security教程4---- 資料庫表結構的建立

PD建模圖 建模語句 alter table SYS_AUTHORITIES_RESOURCES drop constraint FK_SYS_AUTH_REFERENCE_SYS_AUTH; alter table SYS_AUTHORITIES_RESOU

Spring Boot整合Spring Security(4.0)入門Maven

    之前沒有做過許可權方面的,組長讓我做下一版本的許可權管理,去看了幾篇部落格,感覺寫的不夠清晰,自己總結一下,僅當做自己學習的記錄(如有誤導、錯誤敬請諒解、指出)。 1.pom.xml中引入支援包: <!-- springboot spring securi

Spring Security入門2-3HttpSecurity的使用

登錄 一個 最終 指定 ebs row pat ati 是我 到目前為止我們的 SecurityConfig 只包含了關於如何驗證我們的用戶的信息。 Spring Security怎麽知道我們想對所有的用戶進行驗證?Spring Security怎麽知道我們需要支持基於表單

spring-springmvc搭建springMVC添加對靜態資源訪問的支持及對Fastjson的支持

gmv port ack register repos servle 配置 als img 1.添加對靜態資源.js/.img/.css的訪問 方式有3種: 1,更改springmvc 的DispatherServlet的urlpattern的路徑改為“/*

Spring Boot 學習系列03—jar or war,做出你的選擇

此文已由作者易國強授權網易雲社群釋出。 歡迎訪問網易雲社群,瞭解更多網易技術產品運營經驗。 兩種打包方式 採用Spring Boot框架來構建專案,我們對專案的打包有兩種方式可供選擇,一種仍保持原有的方式不變,package一個war包放置到外接的應用容器中;另一種則是直接打包成一個