IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓ 		图片批量下载器
↓批量下载图片,美女图库↓ 		图片自动播放器
↓图片自动播放器↓ 		一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 开发测试 -> 动态权限常见问题(一) -> 正文阅读

[开发测试]动态权限常见问题(一)

问题描述:FilterInvocationSecurityMetadataSource 下的 getAttributes(Object o)方法执行完后不走AccessDecisionManager的实现类

解决办法:
getAttributes 方法返回一个 无权限,而不是返回null

		Collection<ConfigAttribute> collection = new LinkedList<>();
        //防止数据库中没有数据,不能进行权限拦截
        if(collection.size() < 1){
            ConfigAttribute configAttribute = new SecurityConfig("ROLE_NO_USER");
            collection.add(configAttribute);
        }
        return collection;

附完整动态权限代码如下:

/**
 * @author lyy
 * 加载请求需要的角色
 */
@Component
public class UrlFilterInvocationSecurityMetadataSource implements FilterInvocationSecurityMetadataSource {

    @Resource
    private AuthorityMapper authorityMapper;

    private final AntPathMatcher antPathMatcher = new AntPathMatcher();

    /**
     * 目的返回当前请求所需要的角色数组
     * @param o
     * @return
     * @throws IllegalArgumentException
     */
    @Override
    public Collection<ConfigAttribute> getAttributes(Object o) throws IllegalArgumentException {

        //获取请求地址
        String requestUrl = ((FilterInvocation) o).getRequestUrl();

        // 获取表 hs_authority 里字段authority_sys_url不为空的数据
        List<Authority> allMenu = authorityMapper.getAllMenu();

        for (Authority mwMenu : allMenu) {

            if (antPathMatcher.match(mwMenu.getAuthoritySysUrl(), requestUrl) && mwMenu.getRoles().size() > 0) {

                ArrayList<String> strings = new ArrayList<>();
                // 获取该接口的所有角色 add 到strings
                mwMenu.getRoles().forEach(
                        oo -> strings.add(oo.getRoleCode())
                );

                List<String> collect = strings.stream().distinct().collect(Collectors.toList());
                if (collect.size() == 0){
                    return null;
                }else {
                    return SecurityConfig.createList(collect.toArray(new String[collect.size()]));
                }
            }

        }

        Collection<ConfigAttribute> collection = new LinkedList<>();
        //防止数据库中没有数据,不能进行权限拦截
        if(collection.size() < 1){
            ConfigAttribute configAttribute = new SecurityConfig("ROLE_NO_USER");
            collection.add(configAttribute);
        }
        return collection;
    }

    @Override
    public Collection<ConfigAttribute> getAllConfigAttributes() {
        return null;
    }

    @Override
    public boolean supports(Class<?> aClass) {
        return FilterInvocation.class.isAssignableFrom(aClass);
    }
}

/**
 * 权限认证
 */
@Component
public class UrlAccessDecisionManager implements AccessDecisionManager {


    @Override
    public void decide(Authentication authentication, Object o, Collection<ConfigAttribute> collection) throws AccessDeniedException, AuthenticationException {
        for (ConfigAttribute ca : collection) {
            //当前请求需要的权限
            String needRole = ca.getAttribute();
            if (authentication instanceof AnonymousAuthenticationToken) {
                throw new BadCredentialsException("未登录");
            }
            //当前用户所具有的权限
            Collection<? extends GrantedAuthority> authorities = authentication.getAuthorities();
            for (GrantedAuthority authority : authorities) {
                if (authority.getAuthority().equals(needRole)) {
                    return;
                }
            }
        }
        throw new AccessDeniedException("权限不足!");
    }

    @Override
    public boolean supports(ConfigAttribute configAttribute) {
        return true;
    }

    @Override
    public boolean supports(Class<?> aClass) {
        return true;
    }
}

@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)  //开启注解@PreAuthorize/@PostAuthorize
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Resource
    UserLoginServiceImpl userLoginService;
    @Resource
    UrlFilterInvocationSecurityMetadataSource urlFilterInvocationSecurityMetadataSource;
    @Resource
    UrlAccessDecisionManager urlAccessDecisionManager;
    @Resource
    AuthenticationAccessDeniedHandler authenticationAccessDeniedHandler;
    @Resource
    private RedisUtils redisUtils;

    private String[] SWAGGER_WHITELIST = {
            "/refreshRedisDict",
            "/getDictList",
            "/getDictByCode",
            "/userLogout",
            "/userLogin",
            "/getAllMenu",
            "/oss/uploadFile",
            "/judge/**"
    };

    //认证
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userLoginService).passwordEncoder(new BCryptPasswordEncoder());
    }

    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring().antMatchers(SWAGGER_WHITELIST);;
    }

    //授权
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                // 所有的rest服务一定要设置为无状态,以提升操作效率和性能
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                // 所有请求都需要经过验证
                .and().authorizeRequests()
                .withObjectPostProcessor(
                        new ObjectPostProcessor<FilterSecurityInterceptor>() {
                            @Override
                            public <O extends FilterSecurityInterceptor> O postProcess(O o) {
                                o.setSecurityMetadataSource(urlFilterInvocationSecurityMetadataSource);
                                o.setAccessDecisionManager(urlAccessDecisionManager);
                                return o;
                            }
                        })
                .and().formLogin().loginPage("/login/warning").usernameParameter("username").passwordParameter("password").permitAll()
                // 添加过滤器
                .and().addFilter(new JWTAuthenticationFilter(authenticationManager(),userLoginService,redisUtils))
                // 退出登录
                .logout().permitAll()
                .and().cors()
                .and().csrf().disable().exceptionHandling().accessDeniedHandler(authenticationAccessDeniedHandler);
    }

}
  开发测试 最新文章
pytest系列——allure之生成测试报告(Wind
某大厂软件测试岗一面笔试题+二面问答题面试
iperf 学习笔记
关于Python中使用selenium八大定位方法
【软件测试】为什么提升不了?8年测试总结再
软件测试复习
PHP笔记-Smarty模板引擎的使用
C++Test使用入门
【Java】单元测试
Net core 3.x 获取客户端地址
上一篇文章      下一篇文章      查看所有文章
加:2022-04-07 23:01:13  更:2022-04-07 23:01:57 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年11日历 -2024/11/18 1:24:03-

图片自动播放器
↓图片自动播放器↓ 		TxT小说阅读器
↓语音阅读,小说下载,古典文学↓ 		一键清除垃圾
↓轻轻一点,清除系统垃圾↓ 		图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码