SpringBoot는 SpringSecurityOauth2를 어떻게 통합하여 인증을 위한 동적 권한 문제를 구현합니까?
Prepare
spring-boot: 2.1.4.RELEASE
spring-security-oauth3: 2.3.3.RELEASE (소스코드를 사용하고 싶다면 이 버전번호를 임의로 바꾸지 마세요. 작성방법이 다음과 같기 때문입니다) 2.4 이후부터 다름)
mysql: 5.7
Effect 표시
여기서는 postman만 테스트에 사용됩니다. 당분간 프런트 엔드 페이지는 도킹에 사용되지 않습니다. 페이지 표시
1. 공개 인터페이스 http://localhost:7000/open/hello
2에 액세스합니다. 토큰 없이 http://localhost:7000/admin/user/info에 액세스합니다.
3. 로그인 후 토큰 가져오기 접속 후 현재 로그인된 사용자 정보가 성공적으로 반환되었습니다
implementation
oauth3에는 총 4가지 모드가 있습니다. 여기에서 설명하세요. 온라인으로 검색하면 같은 내용을 찾을 수 있습니다
이제 우리는 단방향 거래만 고려하므로 비밀번호 모드가 사용됩니다.
나중에 SpringCloud+Oauth3, 게이트웨이 인증에 관한 기사가 나올 예정입니다.
몇 가지 사항에 대해 이야기해 보겠습니다.
1. 인터셉터 구성 동적 권한
새 MySecurityFilter 클래스를 생성하고 AbstractSecurityInterceptor를 상속하고 필터 인터페이스를 구현합니다.
초기화, 사용자 정의 액세스 결정 관리자
@PostConstruct
public void init(){
super.setAuthenticationManager(authenticationManager);
super.setAccessDecisionManager(myAccessDecisionManager);
}사용자 정의 필터 호출 보안 메타데이터 소스
@Override
public SecurityMetadataSource obtainSecurityMetadataSource() {
return this.mySecurityMetadataSource;
}먼저 보안 메타데이터 소스를 호출하는 사용자 정의 필터의 핵심 코드를 살펴보겠습니다
다음 코드는 권한(역할)을 얻는 데 사용됩니다. )가 현재 요청이 들어오기 위해 필요합니다
/**
* 获得当前请求所需要的角色
* @param object
* @return
* @throws IllegalArgumentException
*/
@Override
public Collection<ConfigAttribute> getAttributes(Object object) throws IllegalArgumentException {
String requestUrl = ((FilterInvocation) object).getRequestUrl();
if (IS_CHANGE_SECURITY) {
loadResourceDefine();
}
if (requestUrl.indexOf("?") > -1) {
requestUrl = requestUrl.substring(0, requestUrl.indexOf("?"));
}
UrlPathMatcher matcher = new UrlPathMatcher();
List<Object> list = new ArrayList<>(); //无需权限的,直接返回
list.add("/oauth/**");
list.add("/open/**");
if(matcher.pathsMatchesUrl(list,requestUrl))
return null;
Set<String> roleNames = new HashSet();
for (Resc resc: resources) {
String rescUrl = resc.getResc_url();
if (matcher.pathMatchesUrl(rescUrl, requestUrl)) {
if(resc.getParent_resc_id() != null && resc.getParent_resc_id().intValue() == 1){ //默认权限的则只要登录了,无需权限匹配都可访问
roleNames = new HashSet();
break;
}
Map map = new HashMap();
map.put("resc_id", resc.getResc_id());
// 获取能访问该资源的所有权限(角色)
List<RoleRescDTO> roles = roleRescMapper.findAll(map);
for (RoleRescDTO rr : roles)
roleNames.add(rr.getRole_name());
}
}
Set<ConfigAttribute> configAttributes = new HashSet();
for(String roleName:roleNames)
configAttributes.add(new SecurityConfig(roleName));
log.debug("【所需的权限(角色)】:" + configAttributes);
return configAttributes;
}사용자 정의 액세스 결정 관리자의 핵심 코드를 살펴보겠습니다. 이 코드는 주로 현재 로그인된 사용자를 확인하는 데 사용됩니다(현재 로그인한 사용자가 소유한 역할은 마지막 항목에 기재) 권한 역할이 있나요?
@Override
public void decide(Authentication authentication, Object o, Collection<ConfigAttribute> configAttributes) throws AccessDeniedException, InsufficientAuthenticationException {
if(configAttributes == null){ //属于白名单的,不需要权限
return;
}
Iterator<ConfigAttribute> iterator = configAttributes.iterator();
while (iterator.hasNext()){
ConfigAttribute configAttribute = iterator.next();
String needPermission = configAttribute.getAttribute();
for (GrantedAuthority ga: authentication.getAuthorities()) {
if(needPermission.equals(ga.getAuthority())){ //有权限,可访问
return;
}
}
}
throw new AccessDeniedException("没有权限访问");
}2. 맞춤 인증 예외가 공통 결과를 반환합니다.
이것이 필요한 이유는 무엇입니까? -end 인증 실패로 인해 반환된 내용을 이해하기 위해서는 획일적으로 해석할 수 없으므로 더 이상 고민하지 않고 구성 및 구성 없이 반환 상황을 살펴보겠습니다.
(1) 커스터마이징 전, 토큰을 소지하지 않는 경우 보호된 API 인터페이스에 액세스하기 위해 반환된 결과는 다음과 같습니다
(2) 인증 실패 인터페이스가 인터페이스로 반환된 후 다음과 같이 처리하고 사용자에게 메시지를 표시하는 것이 더 낫다고 규정합시다.
어디로 갈지 살펴보겠습니다. 구성
리소스 서버 OautyResourceConfig, 코드의 다음 부분을 다시 작성하여 인증 예외에서 반환된 결과를 맞춤설정하세요
이 https를 참조할 수 있습니다. //www.yisu.com/article/131668.htm
@Override
public void configure(ResourceServerSecurityConfigurer resources) throws Exception {
resources.authenticationEntryPoint(authenticationEntryPoint) //token失效或没携带token时
.accessDeniedHandler(requestAccessDeniedHandler); //权限不足时
}
3. 현재 로그인된 사용자를 가져옵니다
첫 번째: JWT를 사용하여 사용자 정보를 가져온 다음 토큰을 가져온 후 구문 분석합니다
지금은 설명이 없습니다
두 번째: UserDetails 인터페이스를 구현하기 위해 SecurityUser를 작성합니다(이 프로젝트는 에서 사용된 것입니다)
원래 UserDetails 인터페이스에는 사용자 이름과 비밀번호만 있습니다. 여기서는 시스템에 사용자를 추가합니다.
protected User user;
public SecurityUser(User user) {
this.user = user;
}
public User getUser() {
return user;
}BaseController에서 각 컨트롤러는 이를 상속받아 getUser() 메소드에 씁니다. 사용자가 액세스할 토큰을 가져오는 한 현재 로그인된 사용자의 정보를 직접 얻을 수 있습니다protected User getUser() {
try {
SecurityUser userDetails = (SecurityUser) SecurityContextHolder.getContext().getAuthentication()
.getPrincipal();
User user = userDetails.getUser();
log.debug("【用户:】:" + user);
return user;
} catch (Exception e) {
}
return null;
}따라서 사용자가 로그인한 후 성공적으로 사용자의 역할 수집 등을 가져오는 방법은 UserDetailsService 인터페이스를 구현해야 합니다
@Service
public class TokenUserDetailsService implements UserDetailsService{
@Autowired
private LoginService loginService;
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
User user = loginService.loadUserByUsername(username); //这个我们拎出来处理
if(Objects.isNull(user))
throw new UsernameNotFoundException("用户名不存在");
return new SecurityUser(user);
}
}그런 다음 보안 구성 클래스에서 UserDetailsService를 위에서 작성한 것과 같이 설정합니다
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder());
}마지막으로 loginService에서 메소드를 구현하고 실제 비즈니스 처리를 기반으로 사용자 존재 여부 등을 판단하면 됩니다.
@Override
public User loadUserByUsername(String username){
log.debug(username);
Map map = new HashMap();
map.put("username",username);
map.put("is_deleted",-1);
User user = userMapper.findByUsername(map);
if(user != null){
map = new HashMap();
map.put("user_id",user.getUser_id());
//查询用户的角色
List<UserRoleDTO> userRoles = userRoleMapper.findAll(map);
user.setRoles(listRoles(userRoles));
//权限集合
Collection<? extends GrantedAuthority> authorities = merge(userRoles);
user.setAuthorities(authorities);
return user;
}
return null;
}데이터베이스 파일은 여기에 있습니다
위 내용은 SpringBoot는 SpringSecurityOauth2를 어떻게 통합하여 인증을 위한 동적 권한 문제를 구현합니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!
JVM은 다른 플랫폼에서 쓰레기 수집을 어떻게 관리합니까?Apr 28, 2025 am 12:23 AMjvmmanagesgarbageCollectionAcrossplatformSefficialthegendercationalStrationallySticallySticallySuciationalStrationalSproachandAptingToosandHardwaredifferences.ITEMPLOYSVARIOUSCOLLECTORSLIKESERIAL, PARALING, CMS, 및 G1, 각각의 소지 firedFferentscenarios.performanceCanbetwithflags-xex : xa
Java 코드가 수정없이 다른 운영 체제에서 실행할 수있는 이유는 무엇입니까?Apr 28, 2025 am 12:14 AMJava의 "Write Onge, Run Everywhere"철학은 JVM (Java Virtual Machine)에서 구현되므로 Java Code는 수정없이 다른 운영 체제에서 실행할 수 있습니다. 컴파일 된 Java Bytecode와 운영 체제 사이의 중개자로서 JVM은 바이트 코드를 특정 시스템 지침으로 변환하여 프로그램이 JVM이 설치된 모든 플랫폼에서 독립적으로 실행될 수 있도록합니다.
플랫폼 독립성을 강조하는 Java 프로그램을 컴파일하고 실행하는 프로세스를 설명하십시오.Apr 28, 2025 am 12:08 AMJava 프로그램의 편집 및 실행은 Bytecode 및 JVM을 통해 플랫폼 독립성을 달성합니다. 1) Java 소스 코드를 작성하여 바이트 코드로 컴파일하십시오. 2) JVM을 사용하여 모든 플랫폼에서 바이트 코드를 실행하여 코드가 플랫폼에서 실행되도록합니다.
기본 하드웨어 아키텍처가 Java의 성능에 어떤 영향을 미칩니 까?Apr 28, 2025 am 12:05 AMJava 성능은 하드웨어 아키텍처와 밀접한 관련이 있으며이 관계를 이해하면 프로그래밍 기능이 크게 향상 될 수 있습니다. 1) JVM은 JIT 컴파일을 통해 Java Bytecode를 기계 지침으로 변환하여 CPU 아키텍처의 영향을받습니다. 2) 메모리 관리 및 쓰레기 수집은 RAM 및 메모리 버스 속도의 영향을받습니다. 3) 캐시 및 분기 예측은 Java 코드 실행을 최적화합니다. 4) 멀티 코어 시스템의 멀티 스레딩 및 병렬 처리는 성능을 향상시킵니다.
기본 라이브러리가 Java의 플랫폼 독립성을 깨뜨릴 수있는 이유를 설명하십시오.Apr 28, 2025 am 12:02 AM기본 라이브러리를 사용하면 각 운영 체제마다 별도로 컴파일해야하기 때문에 Java의 플랫폼 독립성이 파괴됩니다. 1) 기본 라이브러리는 JNI를 통해 Java와 상호 작용하여 Java가 직접 구현할 수없는 기능을 제공합니다. 2) 기본 라이브러리를 사용하면 프로젝트 복잡성이 증가하고 다른 플랫폼에 대한 라이브러리 파일을 관리해야합니다. 3) 기본 라이브러리는 성능을 향상시킬 수 있지만,주의해서 사용해야하고 크로스 플랫폼 테스트를 수행해야합니다.
JVM은 운영 체제 API의 차이를 어떻게 처리합니까?Apr 27, 2025 am 12:18 AMJVM은 JNI (JavanativeInterface) 및 Java 표준 라이브러리를 통한 운영 체제 API 차이를 처리합니다. 1. JNI는 Java 코드가 로컬 코드를 호출하고 운영 체제 API와 직접 상호 작용할 수 있습니다. 2. Java Standard Library는 통합 API를 제공하며,이 API는 내부적으로 다른 운영 체제 API에 매핑되어 코드가 플랫폼에서 실행되도록합니다.
Java 9에 도입 된 모듈성은 플랫폼 독립성에 어떤 영향을 미칩니 까?Apr 27, 2025 am 12:15 AMmodularityDoesNotDirectHeftJava'splatformincendence.java'splatformincendenceIngeasted whejvm, butModularItyInfluencesApplicationStructureAndmanagement, deploymentandDuffictionBecomeMoreferficaliticiboliticalWI
바이트 코드 란 무엇이며 Java의 플랫폼 독립성과 어떤 관련이 있습니까?Apr 27, 2025 am 12:06 AMbytecodeinjavaistheintermediaterepresentation attenablesplatformincendence.1) javacodeiscompiledintobytecodestoredin.2) thejvminterpretsorcompilesthisbytecodeintomachinecodeartruntime, theCodeTorUnanynanynovice를 허용합니다
핫 AI 도구
Undresser.AI Undress
사실적인 누드 사진을 만들기 위한 AI 기반 앱
AI Clothes Remover
사진에서 옷을 제거하는 온라인 AI 도구입니다.
Undress AI Tool
무료로 이미지를 벗다
Clothoff.io
AI 옷 제거제
Video Face Swap
완전히 무료인 AI 얼굴 교환 도구를 사용하여 모든 비디오의 얼굴을 쉽게 바꾸세요!
인기 기사
뜨거운 도구
Eclipse용 SAP NetWeaver 서버 어댑터
Eclipse를 SAP NetWeaver 애플리케이션 서버와 통합합니다.
SublimeText3 영어 버전
권장 사항: Win 버전, 코드 프롬프트 지원!
맨티스BT
Mantis는 제품 결함 추적을 돕기 위해 설계된 배포하기 쉬운 웹 기반 결함 추적 도구입니다. PHP, MySQL 및 웹 서버가 필요합니다. 데모 및 호스팅 서비스를 확인해 보세요.
DVWA
DVWA(Damn Vulnerable Web App)는 매우 취약한 PHP/MySQL 웹 애플리케이션입니다. 주요 목표는 보안 전문가가 법적 환경에서 자신의 기술과 도구를 테스트하고, 웹 개발자가 웹 응용 프로그램 보안 프로세스를 더 잘 이해할 수 있도록 돕고, 교사/학생이 교실 환경 웹 응용 프로그램에서 가르치고 배울 수 있도록 돕는 것입니다. 보안. DVWA의 목표는 다양한 난이도의 간단하고 간단한 인터페이스를 통해 가장 일반적인 웹 취약점 중 일부를 연습하는 것입니다. 이 소프트웨어는
SecList
SecLists는 최고의 보안 테스터의 동반자입니다. 보안 평가 시 자주 사용되는 다양한 유형의 목록을 한 곳에 모아 놓은 것입니다. SecLists는 보안 테스터에게 필요할 수 있는 모든 목록을 편리하게 제공하여 보안 테스트를 더욱 효율적이고 생산적으로 만드는 데 도움이 됩니다. 목록 유형에는 사용자 이름, 비밀번호, URL, 퍼징 페이로드, 민감한 데이터 패턴, 웹 셸 등이 포함됩니다. 테스터는 이 저장소를 새로운 테스트 시스템으로 간단히 가져올 수 있으며 필요한 모든 유형의 목록에 액세스할 수 있습니다.
