Spring Security/Spring Data Repository -如何根据主体与user_id列匹配来保护所有方法?
Spring Security是一个基于Spring框架的安全性解决方案,它提供了一套全面的认证和授权机制,用于保护应用程序的安全性。Spring Data Repository是Spring框架中用于简化数据访问层的模块,它提供了一种简单而强大的方式来访问和操作数据库。
要根据主体与user_id列匹配来保护所有方法,可以使用Spring Security的自定义权限控制功能。下面是一种实现方式:
- 创建一个自定义的UserDetailsService实现类,用于根据user_id获取用户信息。该类需要实现UserDetailsService接口,并重写loadUserByUsername方法,根据user_id查询数据库并返回用户信息。
- 创建一个自定义的UserDetails实现类,用于封装用户信息。该类需要实现UserDetails接口,并根据数据库查询结果设置用户的用户名、密码、角色等信息。
- 创建一个自定义的AccessDecisionVoter实现类,用于根据主体与user_id列匹配来决定是否允许访问方法。该类需要实现AccessDecisionVoter接口,并重写vote方法,在该方法中判断主体与user_id是否匹配,如果匹配则返回ACCESS_GRANTED,否则返回ACCESS_DENIED。
- 在Spring Security的配置类中配置自定义的UserDetailsService和AccessDecisionVoter。可以通过重写configure方法来配置AuthenticationManagerBuilder,将自定义的UserDetailsService设置为认证提供者,并通过重写configure方法来配置HttpSecurity,将自定义的AccessDecisionVoter设置为访问决策管理器。
通过以上步骤,就可以根据主体与user_id列匹配来保护所有方法。当用户访问受保护的方法时,Spring Security会自动调用自定义的AccessDecisionVoter来判断是否允许访问。
推荐的腾讯云相关产品:腾讯云服务器(https://cloud.tencent.com/product/cvm)和腾讯云数据库(https://cloud.tencent.com/product/cdb),它们提供了可靠的云计算基础设施和数据库服务,可以与Spring Security和Spring Data Repository结合使用,为应用程序提供安全性和数据存储支持。
相关·内容
我有多个Spring数据存储库,并且我的很多表都有user_id列。 我必须保护我的API,以便每个用户只能查看和更改属于他的数据记录。具有admin角色的用户除外,这些用户可以更改所有数据记录。我的初衷是为每个存储库创建一个自定义实现,并覆盖保存、删除、findAll等方法。在自定义实现中,我可以获取主体,并对用户组和user_id进行手动检查。但这将导致许多自定义实现,如果我忘记重写一个方法(例如findAll,这将是可怕的),这
浏览 29提问于2021-03-30得票数 0
是否有可能使用Spring Security保护web应用程序免受DNS重新绑定攻击?如何配置Glassfish4.1 4.1来保护服务器免受同类攻击?我读到这个问题可以通过阻止所有http连接来解决,如果主机报头与服务器的DNS名称不匹配,但找不到任何示例代码。
浏览 2提问于2017-10-18得票数 0
我想保护我的Spring RESTful后端。单程(右?)是使用OAuth 2.0,如下所示:
“令牌”提供者:例如,这可能/应该是google或facebook。Spring REST
浏览 2提问于2013-07-14得票数 14
1回答
我有一个关于spring mvc和线程安全的问题。1:控制器是用Session作用域创建的吗?(但我认为,如果一个用户快速地做了一些可能导致控制器中的竞争条件的事情,也可能会出现问题)。2:控制器的作用域为request或者,也许有更好的“最佳实践”来解决这类问题。我之所以问这个问题,是因为现在我们将它们作为S
浏览 3提问于2012-08-25得票数 5
回答已采纳
2回答
我使用spring-mvc开发了一个简单的网站。问题是保护url的最好方法是什么?例如,我有用户和备注。用户只能编辑/删除自己的备注。在这些情况下,你是如何保护url的?
浏览 0提问于2011-04-02得票数 1
回答已采纳
我们可以用这种方式声明存储库类这条路上面提到的这两种方法有什么区别?因为如果我们去掉@Repository注解,那么代码就会工作得很好,那么有什么不同呢,有人能解释一下吗?
浏览 1提问于2020-06-30得票数 3
1回答
Spring Security3.1提供了一种巧妙而方便的方法,可以在XML配置中包含所需的散列,它的工作方式非常出色: <security:jdbc-user-service
da
浏览 0提问于2012-02-10得票数 0
回答已采纳
1回答
我从一个新的Spring项目开始,在这个项目中我计划使用SSO。我看了很多博客,知道spring security SAML将是SP最好的解决方案。因此,我实现了Spring site 提供的spring Security SAML示例应用程序作为SP,以及Shibboleth IDP。我很困惑如何将这个Spring安全SAML扩展与</
浏览 11提问于2014-08-27得票数 5
回答已采纳
我正在开发一个应用程序,它使用组模型来分配域对象的所有权。我正在寻找帮助,以确定Spring安全性是否适合做授权。这个系统有分组。例如,用户"Sally“可能是组”A“的成员,并在该组中扮演"DATA_EDITING”角色。我目前的研究:
在阅读<e
浏览 0提问于2016-02-22得票数 0
我使用Spring (2.3.4.RELEASE)实现作为OAuth2资源服务器的Boot服务。到目前为止,我能够保护所有端点并确保存在一个有效的令牌。在接下来的步骤中,我想使用Spring方法安全性。第三步是填充自定义用户详细信息(通过UserDetailsService)。
如何正确配置Spring方法安全性?我无法启用Spring方法安全性(正确)。我将实体保存在数据库中,并通过MutableAclServic
浏览 1提问于2020-10-31得票数 2
回答已采纳
我正在使用Spring boot2和Spring Data,Spring-Data-Elastisearch和Spring-data-Redis(用于http会话)。当我启动应用程序时。Data modules found, entering strict repository configuration mode!Data modules found, entering strict repository<
浏览 6提问于2017-10-29得票数 22
2回答
我想阻止访问我的spring web应用程序中的某些URL。我做了一些研究,发现了"headers“。我不知道如何使用它们。任何帮助都将受到高度的感谢。提前谢谢。
浏览 0提问于2014-02-19得票数 0
2回答
我有一个使用OIDC (oauth2)进行身份验证的spring引导应用程序,我正在尝试从授权服务器获取所有用户的列表--我应该如何使用spring来实现这个功能呢?
浏览 0提问于2018-11-26得票数 0
回答已采纳
我正在开发一个相当简单的spring引导API,它将由oauth2来保护。所有端点都能很好地接受应用程序/json请求,但默认的spring /oauth/*端点除外,这些端点似乎需要请求内容类型的应用程序/x-www-form-urlencoded。是否有任何方法覆盖此行为,或者是否需要在我的spring引导应用程序中包含一个库来处理映射?dependency>
浏览 2提问于2015-07-29得票数 2
回答已采纳
我正在寻找一个具体、严肃和完整的示例,说明如何在Spring Boot应用程序中使用Spring security,该应用程序使用访问数据库,从而查询注册用户。我已经看到,通过覆盖configure方法,它可以很容易地使用Spring安全来保护一系列网页,例如,使用以下选项: .antMatchers(我一直在阅读有关Spring安全的文章,但我不明白如何<e
浏览 1提问于2016-05-06得票数 1
4回答
我在spring / Java EE web应用程序中设置了基本的Spring安全性。我可以限制对某些页面的访问,并强制登录(使用角色等)。需要有一个表单,新用户可以注册并指定登录名和密码。我想知道,为了创建新用户,我是否只是简单地查询和更新适当的spring安全表(例如,使用hibernate),就像我对任何查询所做的那样,还是有内置的功能来创建新用户?如果我只是简单地使用标准DAO来更新用户,我应该如何处理密码的散列?
谢谢!
浏览 0提问于2010-02-09得票数 15
我有一个Spring应用程序,它有一个UserRepository,但是我没有用@Repository对这个存储库进行注释,但是我的应用程序仍然工作得很好。为什么@Repository注释在Spring中是可选的,以及我们应该在存储库类中注释它的最佳实践是什么。
浏览 17提问于2022-02-08得票数 0
当我尝试使用一个带有匹配器的示例来执行find all时,我目前遇到了以下问题: public List<AlumniProfile> getAllAlumniProfileByExample(AlumniProfile(QueryByExamplePredicateBuilder.java:89) ~[spring-data-jpa-2.1.4.RELEASE.jar:2.1.4.RELEASE]
at org.springframework.data.jpa.repository<
浏览 56提问于2019-03-07得票数 1
回答已采纳
我的数据库中有一个包含8列的表。我想在所有列中搜索至少一个字符串的匹配项。在第一次过滤完成之后,我想要过滤这个返回,在一个特定的列中至少出现另一个字符串。我一直在通过示例Spring Jpa使用派生方法和查询进行所有过滤。似乎我需要的这个过滤器是不可能通过这些方式的。看起来,构建查询是使其工作的唯一方法,因此我必须使用@Query注释,并创建一个方法来实现自定义查询。虽然,它返回了一个错误,但我似乎
浏览 88提问于2019-04-23得票数 0
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
云直播
对象存储活动推荐
腾讯云开发者
