关于Spring Security的基于路径的动态权限控制

最新推荐文章于 2025-05-23 21:50:32 发布
最新推荐文章于 2025-05-23 21:50:32 发布
阅读量1k 收藏 15
点赞数 10
CC 4.0 BY-SA版权
文章标签: spring java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_68240667/article/details/139410132

1.默认的权限控制

在之前的学习中,使用到了Spring Security的@PreAuthorize注解来定义一个接口所需要的权限,基本的步骤如下:
 

@Controller
@Api(tags = "PmsProductController", description = "商品管理")
@RequestMapping("/product")
public class PmsProductController {
    @Autowired
    private PmsProductService productService;

    @ApiOperation("创建商品")
    @RequestMapping(value = "/create", method = RequestMethod.POST)
    @ResponseBody
    //在此处使用PreAuthorize注解控制权限
    @PreAuthorize("hasAuthority('pms:product:create')")
    public CommonResult create(@RequestBody PmsProductParam productParam, BindingResult bindingResult) {
        int count = productService.create(productParam);
        if (count > 0) {
            return CommonResult.success(count);
        } else {
            return CommonResult.failed();
        }
    }
}

然后,通过自定义的loadUserByUsername方法去数据库中查询出用户的权限信息:


@Service
public class UmsAdminServiceImpl implements UmsAdminService {
    @Override
    public UserDetails loadUserByUsername(String username){
        //获取用户信息
        UmsAdmin admin = getAdminByUsername(username);
        if (admin != null) {
            List<UmsPermission> permissionList = getPermissionList(admin.getId());
            return new AdminUserDetails(admin,permissionList);
        }
        throw new UsernameNotFoundException("用户名或密码错误");
    }
}

之后Spring Security把用户拥有的权限值和接口上注解定义的权限值进行比对,如果包含则可以访问,反之就不可以访问;
使用这种方法来配置接口的权限比较清晰,易于理解,但是如果接口的数量一多,配置的工作量就比较大了,修改起来也比较麻烦

2.基于路径的动态权限控制

因为上述的方法配置起来存在一定问题,所以,学习新的方法来优化一下
从这种方法的名字就可以知道,这种权限校验的方式是通过请求带来的路径自动校验的,这样一来,就能为我们省下不少功夫

首先,需要创建一个过滤器,来实现动态权限控制:
在这一步骤中,重要的是super.beforeInvocation(fi)这段代码,调用父类的beforeInvocation方法进行鉴权逻辑的总体控制

DynamicSecurityFilter 

/**
 * 动态权限过滤器,用于实现基于路径的动态权限过滤
 */
public class DynamicSecurityFilter extends AbstractSecurityInterceptor implements Filter {

    @Autowired
    private DynamicSecurityMetadataSource dynamicSecurityMetadataSource;
    @Autowired
    private IgnoreUrlsConfig ignoreUrlsConfig;

    @Autowired
    public void setMyAccessDecisionManager(DynamicAccessDecisionManager dynamicAccessDecisionManager) {
        super.setAccessDecisionManager(dynamicAccessDecisionManager);
    }

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) servletRequest;
        FilterInvocation fi = new FilterInvocation(servletRequest, servletResponse, filterChain);
        //OPTIONS请求直接放行,否则会出现跨域问题
        if(request.getMethod().equals(HttpMethod.OPTIONS.toString())){
            fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
            return;
        }
        //白名单请求直接放行
        PathMatcher pathMatcher = new AntPathMatcher();
        for (String path : ignoreUrlsConfig.getUrls()) {
            if(pathMatcher.match(path,request.getRequestURI())){
                fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
                return;
            }
        }
        //此处开始进入动态权限校验的流程
        InterceptorStatusToken token = super.beforeInvocation(fi);
        try {
            fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
        } finally {
            super.afterInvocation(token, null);
        }
    }

    @Override
    public void destroy() {
    }

    @Override
    public Class<?> getSecureObjectClass() {
        return FilterInvocation.class;
    }

    @Override
    public SecurityMetadataSource obtainSecurityMetadataSource() {
        return dynamicSecurityMetadataSource;
    }

}

以下是一个简化版的beforeInvocation方法示例:

public Object beforeInvocation(Object object) {
    // 获取与当前请求相关的安全元数据(即访问当前接口所需权限)
    Collection<ConfigAttribute> attributes = this.obtainSecurityMetadataSource().getAttributes(object);

    // 检查是否需要安全处理
    if (attributes == null || attributes.isEmpty()) {
        return object;
    }

    // 获取当前用户的身份信息
    Authentication authenticated = SecurityContextHolder.getContext().getAuthentication();

    // 进行访问决策,将用户拥有的权限与此接口所需权限进行比对
    try {
        this.accessDecisionManager.decide(authenticated, object, attributes);
    } catch (AccessDeniedException e) {
        // 权限不足,抛出异常
        this.publishEvent(new AuthorizationFailureEvent(object, attributes, authenticated, e));
        throw e;
    }

    // 其他前置处理逻辑(如日志记录、审计等)
    if (this.logger.isDebugEnabled()) {
        this.logger.debug("Authorization successful");
    }

    // 返回处理结果
    return object;
}

可以看到,这个方法中调用到了obtainSecurityMetadataSource().getAttributes方法和accessDecisionManager.decide方法,方法的作用已在注释中写明,这两个方法都是需要我们自己实现的,具体的方法示例如下:

getAttributes

/**
 * 动态权限数据源,用于获取动态权限规则
 */
public class DynamicSecurityMetadataSource implements FilterInvocationSecurityMetadataSource {

    private static Map<String, ConfigAttribute> configAttributeMap = null;
    @Autowired
    private DynamicSecurityService dynamicSecurityService;

    @PostConstruct
    public void loadDataSource() {
        //获取所有权限信息,key为路径,value为id:name
        configAttributeMap = dynamicSecurityService.loadDataSource();
    }
    
    //在对权限数据库进行修改后,需要清空存储在内存中的Map,以更新权限信息
    public void clearDataSource() {
        configAttributeMap.clear();
        configAttributeMap = null;
    }

    @Override
    public Collection<ConfigAttribute> getAttributes(Object o) throws IllegalArgumentException {
        if (configAttributeMap == null) this.loadDataSource();
        List<ConfigAttribute>  configAttributes = new ArrayList<>();
        //获取当前访问的路径
        String url = ((FilterInvocation) o).getRequestUrl();
        String path = URLUtil.getPath(url);
        PathMatcher pathMatcher = new AntPathMatcher();
        Iterator<String> iterator = configAttributeMap.keySet().iterator();
        //一一比对,获取访问该路径所需资源,将值存入configAttributes返回
        while (iterator.hasNext()) {
            String pattern = iterator.next();
            if (pathMatcher.match(pattern, path)) {
                configAttributes.add(configAttributeMap.get(pattern));
            }
        }
        // 未设置操作请求权限,返回空集合
        return configAttributes;
    }

    @Override
    public Collection<ConfigAttribute> getAllConfigAttributes() {
        return null;
    }

    @Override
    public boolean supports(Class<?> aClass) {
        return true;
    }

}

decide

/**
 * 动态权限决策管理器,用于判断用户是否有访问权限
 */
public class DynamicAccessDecisionManager implements AccessDecisionManager {

    @Override
    public void decide(Authentication authentication, Object object,
                       Collection<ConfigAttribute> configAttributes) throws AccessDeniedException, InsufficientAuthenticationException {
        // 当接口未被配置资源时直接放行
        if (CollUtil.isEmpty(configAttributes)) {
            return;
        }
        Iterator<ConfigAttribute> iterator = configAttributes.iterator();
        while (iterator.hasNext()) {
            ConfigAttribute configAttribute = iterator.next();
            //将访问接口所需资源与用户拥有资源进行比对
            String needAuthority = configAttribute.getAttribute();
            for (GrantedAuthority grantedAuthority : authentication.getAuthorities()) {
                if (needAuthority.trim().equals(grantedAuthority.getAuthority())) {
                    return;
                }
            }
        }
        throw new AccessDeniedException("抱歉,您没有访问权限");
    }

    @Override
    public boolean supports(ConfigAttribute configAttribute) {
        return true;
    }

    @Override
    public boolean supports(Class<?> aClass) {
        return true;
    }

}

在这里有个细节,在配置Bean的时候,使用@ConditionalOnBean注解来判断是否使用动态权限管理,这样一来,在其他模块使用Spring Security时,配置UserDetailsService和DynamicSecurityService对象即可

使用@ConditionalOnBean注解

/**
 * SpringSecurity通用配置
 * 包括通用Bean、Security通用Bean及动态权限通用Bean
 */
@Configuration
public class CommonSecurityConfig {

    @ConditionalOnBean(name = "dynamicSecurityService")
    @Bean
    public DynamicAccessDecisionManager dynamicAccessDecisionManager() {
        return new DynamicAccessDecisionManager();
    }

    @ConditionalOnBean(name = "dynamicSecurityService")
    @Bean
    public DynamicSecurityMetadataSource dynamicSecurityMetadataSource() {
        return new DynamicSecurityMetadataSource();
    }

    @ConditionalOnBean(name = "dynamicSecurityService")
    @Bean
    public DynamicSecurityFilter dynamicSecurityFilter(){
        return new DynamicSecurityFilter();
    }
}

配置我们自定义的动态权限过滤器:

/**
 * SpringSecurity相关配置,仅用于配置SecurityFilterChain
 */
@Configuration
@EnableWebSecurity
public class SecurityConfig {
    
    @Autowired(required = false)
    private DynamicSecurityService dynamicSecurityService;
    @Autowired(required = false)
    private DynamicSecurityFilter dynamicSecurityFilter;

    @Bean
    SecurityFilterChain filterChain(HttpSecurity httpSecurity) throws Exception {
        ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry registry = httpSecurity
                .authorizeRequests();
        //省略若干代码...
        //有动态权限配置时添加动态权限校验过滤器
        if(dynamicSecurityService!=null){
            registry.and().addFilterBefore(dynamicSecurityFilter, FilterSecurityInterceptor.class);
        }
        return httpSecurity.build();
    }

}


 

六七六柒
关注
Spring Security-动态权限控制(1)
射手座的程序媛的专栏
01-18 2992
spring security 动态权限控制
springsecurity】基于角色的权限控制 api路径配置 或者方法配置
qq_56132766的博客
06-08 607
springsecurity 基于角色的权限控制 实现了路径和方法的不同精度
Spring Security实现接口基于路径动态权限控制
荔枝当大佬的博客
10-24 2732
在荔枝之前的一篇博客中,已经对Spring Security的鉴证授权的相关知识进行了梳理,弄清楚了为什么使用JWT以及用户登录后台执行的相关的鉴证授权的逻辑。在下面的文章中荔枝主要是补充梳理一下在真实的项目中如何使用Spring Security来实现接口动态权限控制的功能。
手把手教你搞定权限管理,结合Spring Security实现接口的动态权限控制
最新发布
az44yao的专栏
05-23 128
接下来我们将对每张表的用途做个详细介绍。
springBoot+springSecurity 数据库动态管理用户、角色、权限
weixin_34220179的博客
06-23 2077
  使用spring Security3的四种方法概述 那么在Spring Security3的使用中,有4种方法: 一种是全部利用配置文件,将用户、权限、资源(url)硬编码在xml文件中,已经实现过,并经过验证; 二种是用户和权限用数据库存储,而资源(url)和权限的对应采用硬编码配置,目前这种方式已经实现,并经过验证。 三种是细分角色和权限,并将用户、角色、权限和资源均采用数据库...
Spring Security 动态url权限控制
weixin_44809110的博客
11-25 1963
记录一下。。。
【系统权限管理】SpringSecurity实现动态权限菜单控制
热门推荐
小马同学
03-18 2万+
目录 SpringSecurity实现完整的权限管理 使用技术 相关概念 数据库表设计 项目结构 相关依赖 功能部分 效果展示 案例代码下载 SpringSecurity实现完整动态权限菜单 在实际开发中,开发任何一套系统,基本都少不了权限管理这一块。这些足以说明权限管理的重要性。其实SpringSecurity去年就学了,一直没有时间整理,用了一年多时间了,给我的印象一直都...
spring security动态配置url权限的2种实现方法
08-27
本文将探讨两种在Spring Security中实现动态配置URL权限的方法。 ### 方法一:自定义Filter 虽然自定义Filter可以实现动态权限判断,但这并不符合Spring Security的设计原则,因为这会使你绕过框架提供的安全机制...
Spring security实现登陆和权限角色控制
09-09
在这个场景中,我们将探讨如何使用Spring Security来实现登录和权限角色控制。首先,确保你正在使用的Spring版本为4.3.2.RELEASE,而Spring Security版本是4.1.2.RELEASE。在开始之前,你需要对Spring MVC、SPeL...
Spring Security 用户授权与动态权限管理
2301_79555009的博客
12-31 1317
本文介绍了如何使用 Spring Security 配置用户授权,并实现动态权限管理。通过结合静态权限控制动态权限决策机制,我们能够灵活地管理和控制用户对系统资源的访问权限动态权限管理为复杂的权限需求提供了更高的灵活性,而 Spring Security 提供的强大功能使得我们能够构建安全、可靠的授权系统。
springboot springsecurity动态权限控制
09-18
springboot springsecurity动态权限控制,实现数据库动态管理菜单权限
spring security3动态权限
06-15
struts2 + spring3 + hibernate3 + spring security3 + mysql + tomcat sys_users;sys_roles;sys_authorities;sys_resources;sys_users_roles;sys_roles_authorities;sys_authorities_resources; PS:此项目运行不起来的,请参考代码,呵呵!
SpringSecurity权限控制
02-28
基于springMVC+mybatis+mysql实现。基于SpringSecurity权限控制的简单工程DEMO。maven构建.
Spring Security 基于角色的访问控制
qq_18208265的博客
09-10 2091
Spring Security 作为安全框架包含类两大核心的模块:认证与鉴权。在前两篇文章中展现了 Spring Security 中的认证模块一些内容,紧接着这篇文章会将目光放到 Spring Security 的鉴权模块中。介绍一下在 Spring Security 中如何使用鉴权功能。 那接下来就看一看在 Spring Security 中如何实现基于角色的访问控制吧! 本文配套的示例源码: https://github.com/lxiaocode/spring-security-examples
Spring Security实现动态路由权限控制
SampsonKong的博客
02-13 1787
Spring Security实现动态路由权限控制
Spring security 动态权限管理(基于数据库)
冬阳
09-10 1984
当我们配置的 URL 拦截规则请求 URL 所需要的权限都是通过代码来配置的,这样就比较死板,如果想要调整访问某一个 URL 所需要的权限,就需要修改代码。动态管理权限规则就是我们将UR 拦截规则和访问 URI 所需要的权限都保存在数据库中,这样,在不修改源代码的情况下,只需要修改数据库中的数据,就可以对权限进行调整。
三、SpringSecurity 动态权限访问控制
时间海绵
05-25 6493
在先前文章中我们搭建了SpringSecurity项目,并且讲解了自定义登录方式需要做哪些工作,如果你感兴趣可以前往博客阅读文章以及代码,在本文将继续讲解如何实现动态权限控制
Spring Security 实战干货:动态权限控制(上)思路
码农小胖哥
11-28 1736
1. 前言 欢迎阅读 Spring Security 实战干货系列[1]文章 。截止目前已经对 基于配置 和 基于注解 的角色访问控制进行了讲解。对于一些小项目来说基本是够用的。然而如果希望运营管理人员能够动态的配置和分配权限,以上两种方式显然是满足不了需求的。接下来我们来一起探讨一下思路。 2. 动态权限同样依赖 RBAC 我们依然应该在 RBAC 及其变种的基础上构建动...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值