【认证与授权】SpringSecurity的授权流程

更新时间:2023-06-25 17:48:29 阅读: 评论:0

【认证与授权】SpringSecurity的授权流程
上⼀篇我们简单的分析了⼀下认证流程,通过程序的启动加载了各类的配置信息。接下来我们⼀起来看⼀下授权流程,争取完成和前⾯简单的web基于ssin的认证⽅式⼀致。由于在授权过程中,我们预先会给⽤于设置⾓⾊,关于如果加载配置的⾓⾊信息这⾥就不做介绍了,上⼀篇的加载过程中我们可以发现相关的信息。
本篇依旧基于spring-curity-basic
1|0配置⾓⾊信息
配置⽤户及其⾓⾊信息的⽅式很多,我们这次依旧采取配置⽂件的⽅式,不⽤代码或其他的配置⽅式,在之前的配置⽤户信息的地⽅l,添加⽤户的⾓⾊信息。
spring: curity: ur: name: admin password: admin roles: ADMIN,USER
这样我们就完成了最简单的⽤户⾓⾊赋予。在加载⽤户信息时我们知道会⽣成⼀个Ur对象,将其⽤户名、密码、权限信息封装进去。
这⾥需要注意⼀下关于role信息的加载
public UrBuilder roles) { List<GrantedAuthority> authorities = new ArrayList<>( roles.length); for (String role : roles) { Asrt.isTrue(!role.startsWith("ROLE_"), () -> role + " cannot start with ROLE_ (it is automatically added)"); authorities.add(new SimpleGrantedAuthority("ROLE_" + role)); } return authorities(authorities); }
也就是说我们上⽅配置的ADMIN,USER会被转化成ROLE_ADMIN,ROLE_USER美瞳是什么
2|01、获取⽤户信息
我们在BasicController类中添加⼀个获取认证⽤户信息的接⼝
@RequestMapping("/getUr") public String api(HttpServletRequest request) { // ⽅式⼀ Principal urPrincipal =
System.out.Authentication()); // ⽅式三 Object context =
我们从ssion中去获取⽤户的信息,然后拿到其授权信息就可以做相应的判断
清炒杏鲍菇了Session().getAttribute("SPRING_SECURITY_CONTEXT");这⼀段代码我们找到是
在HttpSessionSecurityContextRepository.saveContext(SecurityContext context)中放⼊的,SPRING_SECURITY_CONTEXT是其维护的常量,这样我们就有可以根据这个key去获取当前的会话信息了。
当然我们还有另外的获取⽤户信息的⽅式还记得我们在AbstractAuthenticationProcessingFilter这个核⼼过滤器中的successfulAuthentication⽅法
protected void successfulAuthentication(HttpServletRequest request, HttpServletRespon respon, FilterChain chain, Authentication authResult) throws IOException, ServletException { if (logger.isDebugEnabled()) { logger.debug("Authentication success. Updating SecurityContextHolder to contain: " + authResult); } Context().tAuthentication(authResult); rem
微信群主怎么转让
emberMeServices.loginSuccess(request, respon, authResult); // Fire event if (this.eventPublisher != null) {
eventPublisher.publishEvent(new InteractiveAuthenticationSuccessEvent( authResult, Class())); }
这⾥将其认证成功的结果信息放⼊到上下⽂中Context().tAuthentication(authResult);那我们也是可以直接通过其get⽅法获取Context();
登陆后直接访问接⼝localhost:8080/getUr
孕妇梦见洗澡org.springframework.curity.authentication.UrnamePasswordAuthenticationToken@bade0105: Principal:
org.urdetails.Ur@586034f: Urname: admin; Password: [PROTECTED]; Enabled: true; AccountNonExpired: true; credentialsNonExpired: true; AccountNonLocked: true; Granted Authorities: ROLE_ADMIN; Credentials: [PROTECTED]; Authenti考试题
cated: true; Details:
org.springframework.curity.web.authentication.WebAuthenticationDetails@fffbcba8: RemoteIpAddress: 0:0:0:0:0:0:0:1; SessionId:
E4C77C8791C314B7B14F796B0DD38F13; Granted Authorities: ROLE_ADMIN
org.springframework.curity.authentication.UrnamePasswordAuthenticationToken@bade0105: Principal:
org.urdetails.Ur@586034f: Urname: admin; Password: [PROTECTED]; Enabled: true; AccountNonExpired: true; credentialsNonExpired: true; AccountNonLocked: true; Granted Authorities: ROLE_ADMIN; Credentials: [PROTECTED]; Authenticated: true; Details:
org.springframework.curity.web.authentication.WebAuthenticationDetails@fffbcba8: RemoteIpAddress: 0:0:0:0:0:0:0:1; SessionId:
E4C77C8791C314B7B14F796B0DD38F13; Granted Authorities: ROLE_ADMIN
org.springframework.curity.authentication.UrnamePasswordAuthenticationToken@bade0105: Principal:
org.urdetails.Ur@586034f: Urname: admin; Password: [PROTECTED]; Enabled: true; AccountNonExpired: true; credentialsNonExpired: true; AccountNonLocked: true; Granted Authorities: ROLE_ADMIN; Credentials: [PROTECTED]; Authenticated: true; Details:
org.springframework.curity.web.authentication.WebAuthenticationDetails@fffbcba8: RemoteIpAddress: 0:0:0:0:0:0:0:1; SessionId:
E4C77C8791C314B7B14F796B0DD38F13; Granted Authorities: ROLE_ADMIN
可以看到,控制台打印的三段信息是完全⼀样的。说明这⾥通过三种⽅式获取的⽤户信息是⼀致的。既然可以获取到当前登录的⽤户信息,接下来我们就可以通过⽤户信息的判断来决定其是否可以访问那些接⼝。
3|02、⾃定义拦截器
上⼀步我们通过三种⽅式获取到了认证⽤户的信息,这⾥我们将设计⼀个拦截器来控制⽤户的访问权
限。我们先设计两个接⼝,⼀个只能admin⾓⾊⽤户才可以访问,⼀个只能ur⾓⾊⽤户才可以访问
@RequestMapping("/api/admin") public String adminApi(HttpServletRequest request){ Principal principal = UrPrincipal(); String name = Name(); return "管理员:" + name + "你好,你可以访问/api/admin"; } @RequestMapping("/api/ur") public String urApi(HttpServletRequest request){ Principal principal = UrPrincipal(); String name = Name(); return "普通⽤户:" + name + "你好,你可以访问/api/ur"; }
苏格拉底语录
我们设计了两个接⼝,通过url来区别不同⾓⾊访问的结果,我们再设计⼀个拦截器,这⾥我们可以直接参考前⾯的⽂章中定义的拦截器public class AuthenticationInterceptor extends HandlerInterceptorAdapter { private final static String USER_SESSION_KEY = "SPRING_SECURITY_CONTEXT"; // 前置拦截,在接⼝访问前处理 @Override public boolean preHandle(HttpServletRequest request, HttpServletRespon respon, Object handler) throws Exception { Object attribute =
黑色裤子配什么颜色上衣Session().getAttribute(USER_SESSION_KEY); if (attribute == null) { writeContent(respon,"匿名⽤户不可访问"); return fal; } el { SecurityContext context = (SecurityContext) attribute; Collection<? extends GrantedAuthority> authorities =
(Authority().equals("ROLE_ADMIN") && RequestURI().contains("admin")){ return true; } if
(Authority().equals("ROLE_USER") && RequestURI().contains("ur")){ return true; } } writeContent(respon,"权限不⾜"); return fal; } } //响应输出 private void writeContent(HttpServletRespon respon, String msg) throws IOException { respon.tCharacterEncoding("UTF-8"); respon.tContentType("application/json;chart=utf‐8"); PrintWriter writer =
同时⽣效该拦截器
@Configuration public class WebSecurityConfig implements WebMvcConfigurer { // 添加⾃定义拦截器 @Override public void addInterceptors(InterceptorRegistry registry) { registry.addInterceptor(new AuthenticationInterceptor()).addPathPatterns("/api/**"); } }
成人贴图区4|03、注解⽅式判断
通过拦截器的⽅式配置,看上去⾮常的繁琐,如果我需要给某个接⼝添加⼀个⾓⾊访问权限,还需要去修改拦截器中的判断逻辑。当然Spring Security也提供了⾮常⽅便的注解模式去控制接⼝,需要修改哪个接⼝的⾓⾊访问,直接在接⼝上修改就可以了
@PreAuthorize("hasRole('ADMIN')") @RequestMapping("/api2/admin") public String admin2Api(String message){ return "hello : " + message; } @PreAuthorize("hasRole('USER')") @RequestMapping("/api2/ur") public String ur2Api(String message){ return "hello : " + message; }
⾮常的简单,⼀个注解就帮我们解决了拦截器中完成的事情,其实他们的原理是差不多的。不过这⾥有⼏个需要关注的点@PreAuthorize注解的⽣效,需要提前开启的。需要在@EnableGlobalMethodSecurity(prePostEnabled = true) 注解中⽣效,因为PreAuthorize 默认是fal
@PreAuthorize是⽀持表达式⽅式进⾏设置的,我⽤的是hasRole。是其内置的表达式库SecurityExpressionRoot中的⽅法
hasRole最终调⽤的是hasAnyAuthorityName的⽅法,这⾥会有⼀个缺省的前缀,当前你也可以写成hasRole('ROLE_ADMIN')的。并且是变长数组,我们还可⼀进⾏多⾓⾊的判断例如:hasRole('ROLE','USER')
String defaultedRole = getRoleWithDefaultPrefix(prefix, role); if (ains(defaultedRole)) { return true; } } return fal; }
到这⾥,我们已经完成了基于拦截器和注解⽅式的接⼝授权设置,基本上都是在零配置的基础上完成的。我们写发现了,好像不太容易扩展信息,例如l中没办法同时设置多个⽤户,认证成功后我想跳转到⾃定义的页⾯或者⾃定义的信息。别急,从下⼀篇开始,我们将逐步对代码进⾏改造,⼀步⼀步打造成你想满⾜的各种需求

本文发布于:2023-06-25 17:48:29,感谢您对本站的认可!

本文链接:https://www.wtabcd.cn/fanwen/fan/82/1037918.html

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,我们将在24小时内删除。

标签:信息   拦截器   访问   授权   需要
相关文章
留言与评论(共有 0 条评论)
   
验证码:
推荐文章
排行榜
Copyright ©2019-2022 Comsenz Inc.Powered by © 专利检索| 网站地图