那些遇到过的问题

在Spring Security 3中动态创建新角色和权限

Dar*_*ake 33 spring spring-security

我在Struts 2 + Spring IOC项目中使用Spring Security 3.

我在我的项目中使用过滤器,身份验证提供程序等.

你可以在这里看到我的security.xml

<?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns="http://www.springframework.org/schema/security"
  xmlns:beans="http://www.springframework.org/schema/beans"
  xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
  xmlns:p="http://www.springframework.org/schema/p"
   xsi:schemaLocation="http://www.springframework.org/schema/beans
       http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
       http://www.springframework.org/schema/security
       http://www.springframework.org/schema/security/spring-security-3.1.xsd">


<global-method-security pre-post-annotations="enabled">
        <expression-handler ref="expressionHandler" />
</global-method-security>

<beans:bean id="expressionHandler"
        class="org.springframework.security.access.expression.method.DefaultMethodSecurityExpressionHandler" >
    <beans:property name="permissionEvaluator" ref="customPermissionEvaluator" />
</beans:bean>

<beans:bean class="code.permission.MyCustomPermissionEvaluator" id="customPermissionEvaluator" />

<!-- User Login -->

  <http auto-config="true" use-expressions="true" pattern="/user/*" >
<intercept-url pattern="/index.jsp" access="permitAll"/>
<intercept-url pattern="/user/showLoginPage.action" access="permitAll"/>
<intercept-url pattern="/user/showFirstPage" access="hasRole('ROLE_USER') or hasRole('ROLE_VISIT')"/>
<intercept-url pattern="/user/showSecondUserPage" access="hasRole('ROLE_USER')"/>
<intercept-url pattern="/user/showThirdUserPage" access="hasRole('ROLE_VISIT')"/>
<intercept-url pattern="/user/showFirstPage" access="hasRole('ROLE_USER') or hasRole('ROLE_VISIT')"/>
<form-login login-page="/user/showLoginPage.action" />
<logout invalidate-session="true"
        logout-success-url="/"
        logout-url="/user/j_spring_security_logout"/>
<access-denied-handler ref="myAccessDeniedHandler" />

  <custom-filter before="FORM_LOGIN_FILTER" ref="myApplicationFilter"/>
  </http>

    <beans:bean id="myAccessDeniedHandler" class="code.security.MyAccessDeniedHandler" />

    <beans:bean id="myApplicationFilter" class="code.security.MyApplicationFilter">
        <beans:property name="authenticationManager" ref="authenticationManager"/>
        <beans:property name="authenticationFailureHandler" ref="failureHandler"/>
        <beans:property name="authenticationSuccessHandler" ref="successHandler"/>
    </beans:bean>

    <beans:bean id="successHandler"
  class="org.springframework.security.web.authentication.SavedRequestAwareAuthenticationSuccessHandler">
      <beans:property name="defaultTargetUrl" value="/user/showFirstPage">   </beans:property>
    </beans:bean>

     <beans:bean id="failureHandler"
  class="org.springframework.security.web.authentication.SimpleUrlAuthenticationFailureHandler">
      <beans:property name="defaultFailureUrl" value="/user/showLoginPage.action?login_error=1"/>
    </beans:bean>

    <beans:bean id= "myUserDetailServiceImpl" class="code.security.MyUserDetailServiceImpl">
    </beans:bean>

     <beans:bean id="myAuthenticationProvider" class="code.security.MyAuthenticationProvider">
        <beans:property name="userDetailsService" ref="myUserDetailServiceImpl"/>

    </beans:bean>

 <!-- User Login Ends -->

 <!-- Admin Login -->

    <http auto-config="true" use-expressions="true" pattern="/admin/*" >
    <intercept-url pattern="/index.jsp" access="permitAll"/>
    <intercept-url pattern="/admin/showSecondLogin" access="permitAll"/>
    <intercept-url pattern="/admin/*" access="hasRole('ROLE_ADMIN')"/>
    <form-login login-page="/admin/showSecondLogin"/>
    <logout invalidate-session="true"
        logout-success-url="/"
        logout-url="/admin/j_spring_security_logout"/>

    <access-denied-handler ref="myAccessDeniedHandlerForAdmin" />
    <custom-filter before="FORM_LOGIN_FILTER" ref="myApplicationFilterForAdmin"/> 
</http>

<beans:bean id="myAccessDeniedHandlerForAdmin" class="code.security.admin.MyAccessDeniedHandlerForAdmin" />

  <beans:bean id="myApplicationFilterForAdmin" class="code.security.admin.MyApplicationFilterForAdmin">
        <beans:property name="authenticationManager" ref="authenticationManager"/>
        <beans:property name="authenticationFailureHandler" ref="failureHandlerForAdmin"/>
        <beans:property name="authenticationSuccessHandler" ref="successHandlerForAdmin"/>
   </beans:bean>

    <beans:bean id="successHandlerForAdmin"
  class="org.springframework.security.web.authentication.SavedRequestAwareAuthenticationSuccessHandler">
    </beans:bean>

    <beans:bean id="failureHandlerForAdmin"
  class="org.springframework.security.web.authentication.SimpleUrlAuthenticationFailureHandler">
       <beans:property name="defaultFailureUrl" value="/admin/showSecondLogin?login_error=1"/>
     </beans:bean>

        <authentication-manager alias="authenticationManager">
    <authentication-provider ref="myAuthenticationProviderForAdmin" />
    <authentication-provider ref="myAuthenticationProvider" />
</authentication-manager>

<beans:bean id="myAuthenticationProviderForAdmin" class="code.security.admin.MyAuthenticationProviderForAdmin">
    <beans:property name="userDetailsService" ref="userDetailsServiceForAdmin"/>
</beans:bean>

<beans:bean id= "userDetailsServiceForAdmin" class="code.security.admin.MyUserDetailsServiceForAdminImpl">
</beans:bean>

 <!-- Admin Login Ends -->

<beans:bean id="messageSource"
    class="org.springframework.context.support.ResourceBundleMessageSource">
    <beans:property name="basenames">
        <beans:list>
            <beans:value>code/security/SecurityMessages</beans:value>
        </beans:list>
    </beans:property>            
</beans:bean>
Run Code Online (Sandbox Code Playgroud)

现在你可以看到,我提到的url-pattern是硬编码的.我想知道是否有办法动态创建新的ROLES和PERMISSIONS,而不是硬编码.

就像创建新角色和权限并将它们保存到数据库然后从数据库访问一样.我在网上搜索过,但我无法找到如何在代码中添加新条目.

Ral*_*lph 39

所以这些至少有两个问题:

  • 如何使授予的权限/特权/角色动态?
  • 如何使URL的访问限制动态?

1)如何使授予的权限/特权/角色动态化?

我不会非常详细地回答这个问题,因为我认为这个主题经常被讨论过.

最简单的方法是将完整的用户信息(登录名,密码和角色)存储在数据库中(3表:用户,角色,用户2角色)并使用JdbcDetailService.您可以在xml配置中非常好地配置两个SQL语句(用于身份验证和授予角色).

但随后用户需要注销并登录才能获得这些新角色.如果这是不可接受的,您还必须操纵当前登录用户的角色.它们存储在用户会话中.我想最简单的方法是在spring安全过滤器链中添加一个过滤器,用于更新每个请求的角色(如果需要更改).

2)如何使URL的访问限制动态化?

在这里你有两种方式:

  • 黑客入侵FilterSecurityInterceptor并更新securityMetadataSource,所需的角色应该存储在那里.至少你必须操纵方法的输出DefaultFilterInvocationSecurityMetadataSource#lookupAttributes(String url, String method)
  • 另一种方法是使用access属性的其他表达式而不是access="hasRole('ROLE_USER')".示例:access="isAllowdForUserPages1To3".当然,您必须创建该方法.这被称为"自定义SpEL表达式处理程序"(如果您有第28页的Spring Security 3 Book.希望它们有章节编号!).所以你现在需要做的是继承WebSecurityExpressionRoot并引入一个新方法isAllowdForUserPages1To3.然后,您需要子类化DefaultWebSecurityExpressionHandler并修改createEvaluationContext方法,以便其第一个请求StandartEvaluationContext调用super(您需要将结果转换为StandartEvaluationContext).然后,替换rootObjectStandartEvaluationContext使用新CustomWebSecurityExpressionRoot的实现.那是困难的部分!然后,您需要将xml配置expressionHandler中的expressionVoter(WebExpressionVoter)属性替换为新的子类DefaultWebSecurityExpressionHandler.(这很糟糕,因为您首先需要编写大量安全配置明确,因为您无法直接从安全命名空间访问它们.)

dim*_*mas 12

我想补充Ralph关于创建自定义SpEL表达式的响应.他的解释非常有助于我找到正确的方法来做到这一点,但我认为他们需要扩展.

以下是有关如何创建自定义SpEL表达式的方法:

1)创建WebSecurityExpressionRoot类的自定义子类.在此子类中,创建一个将在表达式中使用的新方法.例如:

public class CustomWebSecurityExpressionRoot extends WebSecurityExpressionRoot {

    public CustomWebSecurityExpressionRoot(Authentication a, FilterInvocation fi) {
        super(a, fi);
    }

    public boolean yourCustomMethod() {
        boolean calculatedValue = ...;

        return calculatedValue;

    }
}
Run Code Online (Sandbox Code Playgroud)

2)创建DefaultWebSecurityExpressionHandler类的自定义子类,并在其中覆盖方法createSecurityExpressionRoot(Authentication authentication,FilterInvocation fi)(而不是createEvaluationContext(...))以返回CustomWebSecurityExpressionRoot实例.例如:

@Component(value="customExpressionHandler")
public class CustomWebSecurityExpressionHandler extends DefaultWebSecurityExpressionHandler {

    @Override
    protected SecurityExpressionRoot createSecurityExpressionRoot(
            Authentication authentication, FilterInvocation fi) {

        WebSecurityExpressionRoot expressionRoot = new CustomWebSecurityExpressionRoot(authentication, fi);

        return expressionRoot;
}}
Run Code Online (Sandbox Code Playgroud)

3)在spring-security.xml中定义对表达式处理程序bean的引用

<security:http access-denied-page="/error403.jsp" use-expressions="true" auto-config="false">
    ...

    <security:expression-handler ref="customExpressionHandler"/>
</security:http>
Run Code Online (Sandbox Code Playgroud)

在此之后,您可以使用自己的自定义表达式而不是标准表达式:

<security:authorize access="yourCustomMethod()">
Run Code Online (Sandbox Code Playgroud)

Mat*_* Kh 5

这个问题有一个非常简单的答案。我想知道为什么你还没有得到答案。
有两件事至少应该明确:

首先,您应该知道,当您使用命名空间时,会自动为您编写的每个 URL 添加一些过滤器。

其次,您还应该知道每个过滤器的作用。

回到你的问题:
当你想要动态配置拦截url时,你必须删除这些命名空间,并用这些过滤器替换它们:

<bean id="springSecurityFilterChain" class="org.springframework.security.web.FilterChainProxy">
    <sec:filter-chain-map path-type="ant">
        <sec:filter-chain pattern="/css/**" filters="none" />
        <sec:filter-chain pattern="/images/**" filters="none" />
        <sec:filter-chain pattern="/login.jsp*" filters="none" />
        <sec:filter-chain pattern="/user/showLoginPage.action" filters="none" />
        <sec:filter-chain pattern="/**"
            filters="
        securityContextPersistenceFilter,
        logoutFilter,
        authenticationProcessingFilter,
        exceptionTranslationFilter,
        filterSecurityInterceptor" />
    </sec:filter-chain-map>
</bean>
Run Code Online (Sandbox Code Playgroud)



然后你必须将自己的SecurityMetadaSource注入FilterSecurityInterceptor。请参阅以下内容:

<bean id="filterSecurityInterceptor"
    class="org.springframework.security.web.access.intercept.FilterSecurityInterceptor">
    <property name="authenticationManager" ref="authenticationManager" />
    <property name="accessDecisionManager" ref="accessDecisionManager" />
    <property name="securityMetadataSource" ref="myFilterInvocationSecurityMetadataSource" />
</bean>

<bean id="myFilterInvocationSecurityMetadataSource" class="myPackage.MyFilterSecurityMetadataSource">
</bean>
Run Code Online (Sandbox Code Playgroud)



但在此之前,您必须首先自定义“MyFilterSecurityMetadataSource”。
该类必须实现“DefaultFilterInitationSecurityMetadataSource”。
由于您希望在数据库中拥有所有角色和 URL,因此您必须自定义其getAttributes

现在请参阅以下其实现示例:

public class MyFilterSecurityMetadataSource implements FilterInvocationSecurityMetadataSource {


    public List<ConfigAttribute> getAttributes(Object object) {
        FilterInvocation fi = (FilterInvocation) object;
        String url = fi.getRequestUrl();
        List<ConfigAttribute> attributes = new ArrayList<ConfigAttribute>();

        attributes = getAttributesByURL(url); //Here Goes Code

        return attributes;
    }

    public Collection<ConfigAttribute> getAllConfigAttributes() {
        return null;
    }

    public boolean supports(Class<?> clazz) {
        return FilterInvocation.class.isAssignableFrom(clazz);
    }
}
Run Code Online (Sandbox Code Playgroud)


你看到“这是你的代码”评论了吗?您必须自己实现该方法。
我自己有一个名为 URL_ACCESS 的表,其中包含 URL 及其相应的角色。收到用户的 URL 后,我查找该表并返回其相关角色。

由于我正在研究这个主题,您可以提出任何问题......我总是会回答。

归档时间:

查看次数:

42673 次

最近记录:

7 年,5 月 前
Spring MVC - 检查用户是否已通过Spring Security登录? 41
更多相关链接
相关归档
为什么request.getRemoteAddr()根据上下文(post query或ajax query)返回ipv4或ipv6 23
Spring-data findFirstBy抛出IncorrectResultSizeDataAccessException? 13
骆驼 - 使用结束() 12
ContextLoaderListener和ContextLoaderServlet之间的区别 9
将数据从一个数据库复制到另一个数据库时,如何解决org.hibernate.StaleObjectStateException? 7
Spring Security会通过并发登录尝试来锁定用户 7
RESTful Web服务中的身份验证 6
如何使用Spring Session + Spring安全xml配置和乘法安全过滤器 6
Spring 安全登录总是登陆一个没有消息的错误页面 6
Spring Security记住我不工作 0
难疑归档
如何在另一个JavaScript文件中包含JavaScript文件? 4904
迭代HashMap 3244
"git add -A"和"git add"之间的区别. 2788
如何测试空的JavaScript对象? 2730
如何检测元素外部的单击? 2367
显示两个修订版之间已更改的文件 2041
用PHP将HTML + CSS转换为PDF? 1585
如何将堆栈跟踪转换为字符串? 1435
什么是未定义的引用/未解析的外部符号错误,我该如何解决? 1418
为什么Java有瞬态字段? 1406