Spring Security当使用注解标记权限时修改ROLE_前缀

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Spring Security当使用注解标记权限时修改ROLE_前缀相关的知识,希望对你有一定的参考价值。

一般的方法是在RoleVoter中注入rolePrefix属性,然后将RoleVoter注入到AccessDecisionManager,然后在<security:http/>中使用access-decision-manager-ref属性引用AccessDecisionManager即可修改前缀。但当使用注解方式标记权限时,比如使用@Secured注解,发现拦截方法后调用的AccessDecisionManager不是access-decision-manager-ref引用的AccessDecisionManager,所以上述方法不可用。尝试过把AccessDecisionManager注入到MethodSecurityInterceptor,但MethodSecurityInterceptor应该怎么注入到系统中,或者有其他修改前缀的方式,求大佬指点!配图为Spring Security的xml配置文件,图中已经放弃了修改ROLE_前缀,都注释掉了

参考技术A 关键配置:<security:global-method-security secured-annotations="enabled" access-decision-manager-ref="myAccessDecisionManager" />
开启secured注解配置secured-annotations="enabled"后,自定义注入图中myAccessDecisionManager对象bean,指定注解使用myAccessDecisionManager中包含的自定义RoleVoter对象来进行投票即可。不指定时,会使用默认的RoleVoter对象,就会自动使用ROLE_前缀来进行匹配。
另外,图中的roleVoter对象需要注入到myAccessDecisionManager对象中,即rolePrefix部分需要体现在myAccessDecisionManager中。
参考技术B 那就是没有扫描到文件,看看打包后里面包路径是不是spring扫描的包路径,项目运行时打包成jar的项目相当于把这个压缩包里面的东西解压到classes里面追问

修改前缀跟扫描文件有什么关系啊?

在项目中使用Spring Security进行权限控制

参考技术A 1:导入Spring Security环境
(1)pom.xml中添加依赖
(2)web.xml添加代理过滤器
2:实现认证和授权
(1)认证:SpringSecurityUserService.java
(2)创建Service类、Dao接口类、Mapper映射文件
(3)springmvc.xml(dubbo注解扫描范围扩大)
(4)spring-security.xml
(5)springmvc.xml(导入spring-security.xml)
(6)TravelItemController类(@PreAuthorize("hasAuthority('CHECKITEM_ADD')"):完成权限)
(7)travelitem.html(如果没有权限,可以提示错误信息)
(8)导入login.html测试登录
3:显示用户名
4:用户退出

【路径】
1:pom.xml导入坐标
2:web.xml添加代理过滤器

在父工程的pom.xml中导入Spring Security的maven坐标

在meinian_web工程的web,xml文件中配置用于整合Spring Security框架的过滤器DelegatingFilterProxy

在meinian_web工程中按照Spring Security框架要求提供SpringSecurityUserService,并且实现UserDetailsSercice接口

创建UserService服务接口、服务实现类、Dao接口、Mapper映射文件
【路径】
1:UserService.java 接口
2:UserServiceImpl.java 类
3:UserDao.java(使用用户id查询用户)
4:RoleDao.java (使用用户id查询角色集合)
5:PermissionDao.java(使用角色id查询权限集合)
6:UserDao.xml(使用用户id查询用户)
7:RoleDao.xml(使用用户id查询角色集合)
8:PermissionDao.xml (使用角色id查询权限集合)

使用debug跟踪调试,查看user

修改meinian_web工程中的springmvc.xml文件,修改dubbo批量扫描的包路径
之前的扫描包

现在的扫描包

此处原来扫描的包为com.atguigu.controller,现在改为com.atguigu包的目的是需要将我们上面定义的SpringSecurityUserService也扫描到,因为在SpringSecurityUserService的loadUserByUsername方法中需要通过dubbo远程调用名称为UserService的服务

【路径】
1:定义哪些链接可以放行
2:定义哪些链接不可以方向,即需要有角色、权限才可以放行
3:认证管理,定义登录账号和密码,并授权访问的角色、权限
4:设置在页面可以通过iframe访问受保护的页面,默认为不允许默认访问,需要添加security:frame-optionspolicy=”SAMEORIGIN“
【讲解】
在meinian_web工程中提供spring-security.xml配置文件

在spring-security.xml中添加
放置到 <security:http auto-config="true" use-expressions="true"> 里面

因为我们在main.html中定义: 如果不配置springSecurity 会认为iframe访问的html页面时受保护的页面,不允许访问。

在springmvc,xml文件中引入spring-security.xml文件

在Controller的方法上加入权限 控制注解,此处以TravelItemController为例

添加页面,没有权限时提示信息设置
1.在<security:http>标签中增加<security:access-denied-handler>

2.增加自定义处理类

3.增加/pages/error/403.html页面

【路径】
1:引入js
2:定义username属性
3:使用钩子函数,调用ajax,查询登录用户(从SpringSecurity中获取),复制username属性
4:修改页面,使用username显示用户信息
【讲解】
前面我们已经完成了认证和授权操作,如果用户认证成功后需要在页面显示当前用户的用户名,Spring Security在认证成功后会将用户信息保存到框架提供的上下文对象中,所以此处我们就可以调用Spring Security框架提供的api获取当前用户的username 并展示到页面上
实现步骤:
第一步:在mian.html页面中修改,定义username模型数据基于VUE的数据展示用户名,发送Ajax请求获取username
(1):引入js

(2):定义username属性
(3):使用钩子函数,调用ajax
(4):修改页面
显示当前登录人

【路径】
1:在main,html中提供的退出菜单上加入超链接
2:在Spring-security.xml文件中配置
【讲解】
第一步:在main.html中提供的退出菜单上加入超链接

第二步:在Spring-security.xml文件中配置

以上是关于Spring Security当使用注解标记权限时修改ROLE_前缀的主要内容,如果未能解决你的问题,请参考以下文章

Spring Security 中的权限注解很神奇吗?

spring-security 开启注解权限控制为什么没有效果

Spring Security 中的权限注解很神奇吗?

Spring Security 中的权限注解很神奇吗?

Spring Security(17)——基于方法的权限控制

Spring Security基本配置(登录,注销,权限,记住我,注解)