十年网站开发经验 + 多家企业客户 + 靠谱的建站团队
量身定制 + 运营维护+专业推广+无忧售后,网站问题一站解决
本篇内容主要讲解“Spring Security OAuth2中怎么根据请求URI动态权限判断”,感兴趣的朋友不妨来看看。本文介绍的方法操作简单快捷,实用性强。下面就让小编来带大家学习“Spring Security OAuth2中怎么根据请求URI动态权限判断”吧!
公司专注于为企业提供成都网站设计、成都网站建设、微信公众号开发、商城网站建设,微信平台小程序开发,软件按需定制等一站式互联网企业服务。凭借多年丰富的经验,我们会仔细了解各客户的需求而做出多方面的分析、设计、整合,为客户设计出具风格及创意性的商业解决方案,成都创新互联公司更提供一系列网站制作和网站推广的服务。
优化内容:先增加一级获取uri然后判断uri需要什么权限,可以多个并且的权限 等等然后 在经过权限判断器进行拦截判断
新建自定义的url权限判断MyFilterInvocationSecurityMetadataSource 实现FilterInvocationSecurityMetadataSource
/** * @Description 根据url获取 url需要访问的权限 * @Author wwz * @Date 2019/08/01 * @Param * @Return */ @Component public class MyFilterInvocationSecurityMetadataSource implements FilterInvocationSecurityMetadataSource { private AntPathMatcher antPathMatcher = new AntPathMatcher(); // 模糊匹配 如何 auth/** auth/auth @Override public CollectiongetAttributes(Object object) throws IllegalArgumentException { Set set = new HashSet<>(); String requestUrl = ((FilterInvocation) object).getRequest().getMethod() + ((FilterInvocation) object).getRequest().getRequestURI(); System.out.println("requestUrl >> " + requestUrl); // 这里获取对比数据可以从数据库或者内存 redis等等地方获取 目前先写死后面优化 String url = "GET/auth/**"; if (antPathMatcher.match(url, requestUrl)) { SecurityConfig securityConfig = new SecurityConfig("ROLE_ADMIN"); set.add(securityConfig); } if (ObjectUtils.isEmpty(set)) { return SecurityConfig.createList("ROLE_LOGIN"); } return set; } @Override public Collection getAllConfigAttributes() { return null; } @Override public boolean supports(Class> clazz) { return FilterInvocation.class.isAssignableFrom(clazz); } }
修改原来MySecurityAccessDecisionManager 的decide,从获取到url 改成获取到需要什么权限。其他判断不变
@Override public void decide(Authentication authentication, Object object, CollectionconfigAttributes) throws AccessDeniedException, InsufficientAuthenticationException { System.out.println("collection>>" + configAttributes); for (ConfigAttribute configAttribute : configAttributes) { // 当前请求需要的权限 String needRole = configAttribute.getAttribute(); // 当前用户所具有的权限 Collection extends GrantedAuthority> authorities = authentication.getAuthorities(); System.out.println("authorities=" + authorities); for (GrantedAuthority grantedAuthority : authorities) { if (grantedAuthority.getAuthority().equals(needRole)) { return; } if (grantedAuthority.getAuthority().equals("ROLE_ADMIN")) { return; } } } throw new AccessDeniedException("无访问权限"); }
把MyFilterInvocationSecurityMetadataSource 注册到MySecurityResourceServerConfig的重写方法
public void configure(HttpSecurity http) throws Exception { http .csrf().disable() .exceptionHandling().authenticationEntryPoint((request, response, authException) -> response.sendError(HttpServletResponse.SC_UNAUTHORIZED)) .and() .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.IF_REQUIRED) // 另外,如果不设置,那么在通过浏览器访问被保护的任何资源时,每次是不同的SessionID,并且将每次请求的历史都记录在OAuth3Authentication的details的中 .and() .authorizeRequests().antMatchers("/actuator/health").permitAll().anyRequest().authenticated() // httpSecurity 放过健康检查,其他都需要验证 设置了.anyRequest().authenticated()才回进入自定义的权限判断 .and() .requestMatchers().antMatchers("/auth/**") // .requestMatchers().antMatchers(...) OAuth3设置对资源的保护如果是用 /**的话 会把上面的也拦截掉 .and() .authorizeRequests() .withObjectPostProcessor(new ObjectPostProcessor() { // 重写做权限判断 @Override public O postProcess(O o) { o.setSecurityMetadataSource(filterInvocationSecurityMetadataSource); // 请求需要权限 o.setAccessDecisionManager(accessDecisionManager); // 权限判断 return o; } }) .and() .httpBasic(); http.exceptionHandling().accessDeniedHandler(accessDeniedHandler); }
尝试并请求打印信息:
到此,相信大家对“Spring Security OAuth2中怎么根据请求URI动态权限判断”有了更深的了解,不妨来实际操作一番吧!这里是创新互联网站,更多相关内容可以进入相关频道进行查询,关注我们,继续学习!