SpringBootSecurity学习(11)网页版登录之URL动态权限

动态权限

前面讨论用户登录认证的时候,根据用户名查询用户会将用户拥有的角色一起查询出来,自动实现判断当前登录用户拥有哪些角色。可以说用户与角色之间的动态配置和判断security做的非常不错。不过在配置方法级别的权限的时候,使用注解虽然是一种比较优雅的方式,但是要求在开发的时候就知道当前url对应哪些角色,无法实现动态的配置,而实际的项目中,每个链接允许哪些角色访问也不是一成不变的,因此下面我们来实现自己的路由判断。

创建表

前面的讨论中,我们创建了用户表,角色表和用户角色中间表,下面来创建菜单功能表,并把现在有的url链接添加进去:

然后创建角色菜单中间表,加入角色与url之间的对应关系:

创建基础类

首先去掉前面的方法级别权限的注解,然后创建菜单实体类:

创建查询方法,根据url查询次链接对应的所有角色名称:

对应的sql语句如下:

路由动态获取角色

首先增加一个处理类,在收到访问的时候,动态获取当前url的角色:

新建一个ObjectPostProcessor类,将这个处理类配置到其中:

最后将新建的ObjectPostProcessor类配置到权限配置方法中:

路由决策管理

用户与角色是多对多的关系,url与角色也是多对多的关系,这里的设定是,只要用户与url对应的角色中有相同的存在,就表示用户有访问的权限。首先看一下对应判断的处理类:

使用双重for循环进行判断,并进行结果投票。在注释中可以看到,使用不同的方式会产生不同的策略。下一步在security配置类中配置路由策略方法:

除了UrlRoleAuthHandler类,其它决策类使用的都是security存在的类,最后在权限配置中配置决策管理:

测试

这样动态权限url就配置好了,根据上面方法中的数据,可以登录查看是否具有对应的url权限,没有配置的是否不具备权限。

代码地址:https://gitee.com/blueses/spring-boot-security 11

原文地址:https://www.cnblogs.com/guos/p/11616868.html

时间: 2024-07-30 02:19:18

SpringBootSecurity学习(11)网页版登录之URL动态权限的相关文章

SpringBootSecurity学习(01)网页版登录入门介绍

Web应用安全管理 Web应用的安全管理,主要包括两个方面的内容,一个是用户身份的认证,即用户登录的设计,二是用户授权,即一个用户在一个应用系统中能够执行哪些操作的权限管理.权限管理的设计一般使用角色来管理,即给一个用户赋予哪些角色,这个用户就具有哪些权限. Spring框架体系中,经典的安全体系框架是Security.关于系统的安全管理及各种设计,Spring Security已经大体上都实现了,只需要一些配置和引用就能够正常使用.SpringBoot使用Security更加的简单,因为Spr

SpringBootSecurity学习(04)网页版登录其它授权和登录处理

其它授权配置 security的配置类中,对所有路径进行了统一授权配置.但是有的内容我们也需要让未登录游客有权限访问,比如js,css等静态文件,还有一些宣传页面等等.这些路径可以单独配置: 我们来试验一些,springboot项目的试图页面一般放在resource文件夹下面的templates文件夹下.而静态文件一般放在resource文件夹下面的static文件夹下.我们来建立一个test.css文件, 随便写点内容,启动项目看看效果: 可以看到在未登录的情况下是可以访问的.也可以弄一个简单

SpringBootSecurity学习(07)网页版登录整合JDBC

数据库中定义用户 前面我们定义用户是在配置文件和代码中定义死的默认用户,一般在开发中是不会这样做的,我们的用户都是来自我们的用户表,存储在数据库中.操作数据库的技术有很多,spring security默认支持了一个JDBC的方式,下面用这个方式来从数据库中查询用户.首先定义用户表users: enabled字段表示是否启用,改为0表示不允许此用户登录.在表里面添加两个用户 : 注意密码前面都加了{noop}是JDBC这种查询方式默认的加密算法.实际上,这种方式还需要定义好几个表,此处我们演示定

SpringBootSecurity学习(08)网页版登录整合MyBatis

创建数据库 前面介绍了springboot-security整合jdbc从数据库中查询用户的方式,适用性有限,下面介绍最常用的整合MyBatis,这种在开发和生产环境中是最常用,也是最实用的.首先需要创建数据库表,我们来创建三张表,分别是用户表,角色表,还有用户角色表,首先看用户表: 只有三个字段,具体业务中需要几个字段完全由我们自己设计.密码是admin,是加密的,后面的配置中会看到加密方式,与前面介绍的在内存中配置默认用户的方式类似.下面看角色表: 注意每个角色名字的前面都加了一个ROLE_

SpringBootSecurity学习(09)网页版登录配置Session共享

场景 当后台项目由部署在一台改为部署在多台以后,解决session共享问题最常用的办法就是把session存储在redis等缓存中.关于session和cookie概念这里就不再赘述了,在springboot-security环境下,把session存储到redis中共享是非常非常简单的,除了多了一些配置,几乎不用改任何代码.共享session达到的效果就是,用户在一台服务器上面登录成功后,访问另外一台,用户也是处于登录状态.下面创建两个一样的项目,来配置session共享. 增加依赖 把ses

SpringBootSecurity学习(10)网页版登录之记住我功能

场景 很多登录都有记住我这个功能,在用户登陆一次以后,系统会记住用户一段时间,在这段时间,用户不用反复登陆就可以使用我们的系统.记住用户功能的基本原理如下图: 用户登录的时候,请求发送给过滤器UsernamePasswordAuthenticationFilter,当该过滤器认证成功后,会调用RememberMeService,会生成一个token,将token写入到浏览器cookie,同时RememberMeService里边还有个TokenRepository,将token和用户信息写入到数

学习11 网页插入图片标签

<!doctype html> <html> <body> <img src=""><img src="../Desktop/22.png" width="101" height="101" alt="下载失败" title="夏天图片"/> </body> </html>

SpringBootSecurity学习(12)前后端分离版之简单登录

前后端分离 前面讨论了springboot下security很多常用的功能,其它的功能建议参考官方文档学习.网页版登录的形式现在已经不是最流行的了,最流行的是前后端分离的登录方式,前端单独成为一个项目,与后台的交互,包括登录认证和授权都是由异步接口来实现.在前后端不分离的应用模式中,前端页面看到的效果都是由后端控制,由后端渲染页面或重定向,也就是后端需要控制前端的展示,前端与后端的耦合度很高.这种应用模式比较适合纯网页应用, 但是当后端对接App时,App可能并不需要后端返回一个HTML网页,而

Office 365系列之十四:配置自定义URL访问个人Portal和网页版Outlook

在之前的文章中我们已经通过添加自定义域名实现将用户登录名和电子邮件地址修改为公司的域名.但是如何实现通过自定义的URL访问Office 365 Portal和Exchange OWA. 1.  配置自定义URL 1.1  在开始本章节之前请确保已经在Office 365管理中心添加好了自定义域,关于如何添加自定义域请参考黄锦辉专栏,链接:http://stephen1991.blog.51cto.com/8959108/1596060 1.2 实现通过portal.wangld.com访问Off