FilterInvocationSecurityMetadataSource 接口

最新推荐文章于 2024-01-28 16:32:07 发布
最新推荐文章于 2024-01-28 16:32:07 发布
阅读量1.2k 收藏 3
点赞数 1
CC 4.0 BY-SA版权
文章标签: java spring 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_60458298/article/details/129771731
FilterInvocationSecurityMetadataSource是SpringSecurity的核心接口,用于获取请求的访问控制元数据,如权限和角色。实现类通常从数据库等外部源获取这些元数据并存储在缓存中。配置时,需注入到FilterSecurityInterceptor,以实现动态访问控制。示例代码展示了如何配置和使用此接口。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

FilterInvocationSecurityMetadataSource 接口是 Spring Security 中的核心接口之一,用于获取指定请求所需的访问控制元数据,包括访问所需的权限、角色等信息。该接口定义了如下方法:

  1. Collection getAttributes(Object object):根据传入的请求对象,获取该请求所需的访问控制元数据,返回一个 ConfigAttribute 对象的集合。
  2. Collection getAllConfigAttributes():获取系统中所有已定义的访问控制元数据,返回一个 ConfigAttribute 对象的集合。
  3. boolean supports(Class<?> clazz):判断该类是否支持传入的参数类型,如果支持则返回 true,否则返回 false。 FilterInvocationSecurityMetadataSource 接口的实现类负责根据请求 URL ,从数据库或其他外部数据源中获取相应的访问控制元数据,并将其放置到 Spring Security 的全局缓存中供后续使用。常见的实现类包括:
  4. AntPathRequestMatcher:基于 Ant 风格的 URL 匹配器,用于匹配请求的 URL。
  5. DefaultFilterInvocationSecurityMetadataSource:默认的 FilterInvocationSecurityMetadataSource 实现类,用于获取访问控制元数据。
  6. ExpressionBasedFilterInvocationSecurityMetadataSource:基于表达式的 FilterInvocationSecurityMetadataSource 实现类,用于动态获取访问控制元数据。 使用 FilterInvocationSecurityMetadataSource 接口时,我们需要将其注入到 FilterSecurityInterceptor 中,如下所示: 
    @Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
 
    @Autowired
    private FilterInvocationSecurityMetadataSource securityMetadataSource;
 
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/admin/**").hasRole("ADMIN")
                .anyRequest().authenticated()
                .withObjectPostProcessor(new ObjectPostProcessor<FilterSecurityInterceptor>() {
                    public <O extends FilterSecurityInterceptor> O postProcess(O fsi) {
                        fsi.setSecurityMetadataSource(securityMetadataSource);
                        return fsi;
                    }
                });
    }
 
    // ...省略其他配置...
}

    在上面的代码中,我们将 FilterInvocationSecurityMetadataSource 的实现类 securityMetadataSource 注入到 configure() 方法中,并使用 setObjectPostProcessor() 方法将其注册到 FilterSecurityInterceptor 中。这样,当用户发起请求时,Spring Security 将从 securityMetadataSource 中获取该请求所需的访问控制元数据,并根据这些元数据进行访问控制。 总结来说,FilterInvocationSecurityMetadataSource 接口用于获取指定请求所需的访问控制元数据,实现类负责根据请求 URL,从数据库或其他外部数据源中获取相应的访问控制元数据,并将其放置到 Spring Security 的全局缓存中供后续使用。同时,我们需要将其注入到 FilterSecurityInterceptor 中,并使用 setObjectPostProcessor() 方法将其注册到 FilterSecurityInterceptor 中,以实现访问控制功能。

Nasho
关注
自定义实现FilterInvocationSecurityMetadataSource类时自动注入空指针异常
燕雷的博客
04-25 1万+
public class MyInvocationSecurityMetadataSourceService implements FilterInvocationSecurityMetadataSource { @Autowired private IResourceDao resourceDao; //&lt;资源,权限列表&gt;存储所有资源与权限 private stati...
java 接口权限控制_手把手教你搞定权限管理,结合Spring Security实现接口的动态权限控制!...
weixin_32972053的博客
03-07 2728
SpringBoot实战电商项目mall(30k+star)地址:github.com/macrozheng/…摘要权限控管理作为后台管理系统中必要的功能,mall项目中结合Spring Security实现了基于路径的动态权限控制,可以对后台接口访问进行细粒度的控制,今天我们来讲下它的后端实现原理。前置知识学习本文需要一些Spring Security的知识,对Spring Security不太...
FilterInvocationSecurityMetadataSource方法使用
java牛牛的博客
02-06 1万+
1.Collection getAttributes(Object object) throws IllegalArgumentException; 获取某个受保护的安全对象object的所需要的权限信息,是一组ConfigAttribute对象的集合,如果该安全对象object不被当前SecurityMetadataSource对象支持,则抛出异常IllegalArgumentException...
Spring Security——基于读写锁的动态权限配置FilterInvocationSecurityMetadataSource实现类
无限迭代中......
03-23 1301
问题描述 每次都加载资源,效率低下。 解决方案 /** * @author ShenTuZhiGang * @version 1.2.0 * @date 2020-03-07 21:57 */ @Slf4j @Component public class CustomFilterInvocationSecurityMetadataSource implements FilterInvocationSecurityMetadataSource { private fi
关于每次请求都要执行两个,即经过重写FilterInvocationSecurityMetadataSource的getAttributes()方法
weixin_42947972的博客
02-26 921
关于每次请求都要执行两个,即经过重写FilterInvocationSecurityMetadataSource的getAttributes()方法 执行两次的方法 @Override public Collection<ConfigAttribute> getAttributes(Object object) throws IllegalArgumentException { //获取请求地址 String requestUrl = ((FilterI
spring security自定义权限拦截FilterInvocationSecurityMetadataSource
热门推荐
lichuangcsdn的博客
07-08 2万+
一般情况下,我们如果需要自定义权限拦截,则需要涉及到FilterInvocationSecurityMetadataSource这个接口了。 这里有个坑爹的地方。如果用户未登录,但是已经设置了拦截白名单的URL,仍然会进入到权限验证里面来。起初,我以为不会进来,但后来跟踪源代码发现,还是会进来。只是此时的身份是一个匿名用户。其默认的实现为DefaultFilterInvocationSecuri...
MyBatis实现动态授权:FilterInvocationSecurityMetadataSource方法使用
最新发布
m0_73956769的博客
01-28 309
元数据(Metadata)中的『元(Meta)』可以理解为事物或对象,『数据(data)』当然就是指该对象的相关数据。
filterinvocationsecuritymetadatasource
03-16
filterinvocationsecuritymetadatasourceSpring Security中的一个类,用于为安全过滤器链提供安全元数据。它是一个接口,定义了从方法或类级别的注释或其他元数据中提取安全性信息的方法。这些信息可以用于在请求...
Spring Security 3.0+ 动态权限管理
05-17
4. 实现 FilterInvocationSecurityMetadataSource 接口 我们需要实现 FilterInvocationSecurityMetadataSource 接口来获取需要保护的资源信息,例如 URL、HTTP 方法等。 5. 配置 Spring Security 最后,我们需要...
微人事-后端接口权限设计
azto的博客
06-08 840
后端接口权限设计思路实现 思路 表hr 用户表 表hr_role 表role 角色 表menu 菜单 表menu_role 登录成功获取一个id 通过id获取角色 通过角色 知道可以操作哪些菜单 /** 是ant风格的路径匹配符 /** 匹配0或者更多的目录 /employee/basic/** 用户从前台发送http请求->需要通过id获取角色 查看用户是否有权限访问该接口,在有权访问的url中去匹配(拿到http请求后分析地址和url中的哪一个地址是相匹配的) 一级菜单不设置角色 实
Spring Boot2 总结(四) Spring Security 动态权限配置
09-15 1215
  使用HttpSecurity配置认证授权并不是很灵活,无法实现资源和角色之间的动态调整,要实现动态配置URL权限,开发者需要自定义权限配置。(结合总结三实现) 1.数据库设计   在总结三的基础上新增一张资源表和一张角色关联表,如下图所示,资源表中定义了用户能够访问的URL模式,资源角色表定义了访问该模式的URL需要什么样的角色。 2.自定义 FilterInvocationSecurityMetadataSource   要实现动态配置权限,首先自定义一个类实现FilterInvocationS
Spring Security中的FilterInvocation
java牛牛的博客
02-06 2336
Holds objects associated with a HTTP filter. Guarantees the request and response are instances of HttpServletRequest and HttpServletResponse, and that there are no null objects. Required so that secu...
springSecurity源码分析---FilterInvocation类
冰冻非一日之寒
05-03 5606
最近在研究spring security时,发现程序中出现了如下一行代码:     System.out.println("********************MySecurityFilter**********************"); FilterInvocation fi = new FilterInvocation(request, respo
用Hibernate 实现 FilterInvocationDefinitionSource(Acegi)
melin1204的博客
06-08 241
整个工程在附件中,去掉了lib 目录,需要的jar包在jar.jpg。带有数据脚本,还有好多去完善,有空会更新 下面的代码缓存好像没有起作用。以后在调试,如果那位调试缓存起作用,请回复 [code]public class RdbmsFilterInvocationDefinitionSource extends AbstractFilterInvocationDefinitionSource...
Spring Security API: SecurityMetadataSource
dengdeying的博客
12-29 519
文章目录SecurityMetadataSourceDeclaredClass JdocgetAttributesDeclaredMethod JdocgetAllConfigAttributesDeclaredMethod JdocsupportsDeclared SecurityMetadataSource Declared package org.springframework.securi...
Spring Security : 概念模型 SecurityMetadataSource
Details Inside Spring
06-23 5481
概述 介绍 SecurityMetadataSource是Spring Security的一个概念模型接口。用于表示对受权限保护的"安全对象"的权限设置信息。一个该类对象可以被理解成一个映射表,映射表中的每一项包含如下信息 : * 安全对象 * 安全对象所需权限信息 围绕该映射表,SecurityMetadataSource 定义了如下方法 : Collection<ConfigAttri...
spring security——学习笔记(day06)-实现授权认证-FilterSecurityInterceptor、SecurityMetadataSource、AccessDecisionM
键上艺术家
01-11 4826
复制 demo02 ,拷贝一个 demo03,IDEA复制项目可以看 day04 。 6.1 授权认证 之前学了身份认证,就是认证当前登录的用户是否是存在并真实的,身份认证成功后就可以访问认证后的接口(资源)了,但即便是已认证的用户也有能访问不能访问的接口(资源),那么就需要通过授权认证来判断。 今天学习授权认证,也就是认证当前登录用户都有哪些权限,并确定当前用户的权限是否能访问当前请求的接口。 之前在spring security——学习笔记(day03)-UserDetailsSe...
Spring Boot 之 Spring Security高级配置(权限和资源的关系)
探索er的博客
05-11 1163
Spring Security高级配置(权限和资源的关系)
常见Web安全漏洞
A_991128a的博客
06-02 930
在应用程序解析XML输入时,XML文件的解析依赖libxml 库,而 libxml2.9 以前的版本默认支持并开启了对外部实体的引用,服务端解析用户提交的XML文件时,未对XML文件引用的外部实体(含外部一般实体和外部参数实体)做合适的处理,并且实体的URL支持 file:// 和 ftp:// 等协议,导致可加载恶意外部文件 和 代码,造成任意文件读取、命令执行、内网端口扫描、攻击内网网站、发起Dos攻击等危害。对用户提交的所有内容进行过滤,对url中的参数进行过滤,过滤掉会导致脚本执行的相关内容;
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值