前后端分离,使用vue3整合SpringSecurity加JWT实现权限校验

已于 2024-05-14 22:20:28 修改
阅读量1.3k 收藏 34
点赞数 30
分类专栏: spring boot整合第三方技术 文章标签: 前端 javascript security
于 2024-02-27 20:57:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_78646673/article/details/136328309
版权

书接上回,之前写了vue3整合SpringSecurity实现登录认证。现在,接着之前写的那两个项目实现权限校验。

我本来是想着登录认证和权限校验放在一篇文章里的,但是上次写登录认证就写了非常多了,实在是有些写不动了,所以才分为了两篇文章。

本文适合有一定基础的人来看,如果你对springsecurity安全框架还不是很了解,建议你先去看一下我之前写过的spring security框架的快速入门:

springboot3整合SpringSecurity实现登录校验与权限认证(万字超详细讲解)_springboot3 springsecurity-CSDN博客

技术栈版本:vue3.3.11、springboot3.1.5、spring security6.x

之前的登录认证文章:
前后端分离,使用vue3整合SpringSecurity加JWT实现登录认证_springsecurity整合vue3-CSDN博客

在上次的文章中,只写到登录成功和退出之后就不写了,这次会加上权限校验。

首先,在原来数据库的基础上再新建:角色表、权限表、用户角色表、角色权限表四张表:

2、角色表

CREATE TABLE roles (
  id INT AUTO_INCREMENT PRIMARY KEY,
  name VARCHAR(50) NOT NULL UNIQUE,
  description VARCHAR(255),
  created_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP
);


3、权限表

CREATE TABLE permissions (
  id INT AUTO_INCREMENT PRIMARY KEY,
  name VARCHAR(50) NOT NULL UNIQUE,
  description VARCHAR(255),
  created_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP
);


4、用户角色表

CREATE TABLE user_roles (
  id INT AUTO_INCREMENT PRIMARY KEY,
  user_id INT NOT NULL,
  role_id INT NOT NULL,
  created_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP,
  FOREIGN KEY (user_id) REFERENCES users(id),
  FOREIGN KEY (role_id) REFERENCES roles(id)
);


5、角色权限表

CREATE TABLE role_permissions (
  id INT AUTO_INCREMENT PRIMARY KEY,
  role_id INT NOT NULL,
  permission_id INT NOT NULL,
  created_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP,
  FOREIGN KEY (role_id) REFERENCES roles(id),
  FOREIGN KEY (permission_id) REFERENCES permissions(id)
);

现在,我们的数据库中共有5张表,分别创建相应的server、mapper和controller层。

接下来,再原来的登录认证的代码的基础上就可以来实现我们的权限校验了;

权限校验这方面主要体现在后端代码上,所以前端我只是进行一些简单的演示即可;

1、在我们的MyTUserDetail类中定义角色和权限的属性集合,并添加到UserDetails类的getAuthorities方法中(角色和权限我都使用Set定义,这样能够去重)

代码如下:

@Data
public class MyUserDetail implements Serializable, UserDetails {

    private static final long serialVersionUID = 1L;

    private Users Users;

//    角色
    private Set<String> roles;

//    权限
    private  Set<String> permissions;

    @JsonIgnore  //json忽略
    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {

        List<GrantedAuthority> list =  new ArrayList<>();

//        如果角色不用空,则将角色添加到list中
        if (!ObjectUtils.isEmpty(roles)){
            roles.forEach(role->list.add(new SimpleGrantedAuthority(role)));
        }

//                如果权限不用空,则将权限添加到list中
        if (!ObjectUtils.isEmpty(permissions)){
            permissions.forEach(permission->list.add(new SimpleGrantedAuthority(permission)));
        }
        return list;
        
    }

    @JsonIgnore
    @Override
    public String getPassword() {
        return this.getUsers().getPassword();
    }
    @JsonIgnore
    @Override
    public String getUsername() {
        return this.getUsers().getUsername();
    }

    @JsonIgnore
    @Override
    public boolean isAccountNonExpired() {
        return this.getUsers().getStatus()==0;
    }
    @JsonIgnore
    @Override
    public boolean isAccountNonLocked() {
        return this.getUsers().getStatus()==0;
    }
    @JsonIgnore
    @Override
    public boolean isCredentialsNonExpired() {
        return this.getUsers().getStatus()==0;
    }
    @JsonIgnore
    @Override
    public boolean isEnabled() {
        return this.getUsers().getStatus()==0;
    }
}

2、在MyUserDetailServerImpl类的loadUserByUsername方法中查出登录用户的权限集合:

代码如下:

@Service
@Slf4j
public class MyUserDetailServerImpl implements MyUserDetailServer {
    @Autowired
    UsersMapper userService;

    /**
     * 返回一个账号所拥有的权限码集合
     */

//    角色权限表
    @Autowired
    IRolePermissionsService rolePermissionsService;
    //    用户角色表
    @Autowired
    IUserRolesService userRolesService;
    //权限表
    @Autowired
    IPermissionsService permissionsService;

    //    角色表
    @Autowired
    IRolesService rolesService;



    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        Users users = userService.selectOne(new LambdaQueryWrapper<Users>().
                eq(username != null, Users::getUsername, username));
        if (users == null) {
            throw new UsernameNotFoundException("用户名不存在");
        }
log.info("UserDetailServer中的user:=========>"+users);
        MyUserDetail myTUserDetail=new MyUserDetail();
myTUserDetail.setUsers(users);


        // 查询用户权限


//        根据用户id从用户角色表中获取角色id
        List<UserRoles> roleIds = userRolesService.list(new LambdaQueryWrapper<UserRoles>()
                .eq(UserRoles::getUserId,users.getId()));
        List<Integer> rolesList = roleIds.stream().map(UserRoles::getRoleId).toList();

        if (!(roleIds.size() >0)){
//            用户没有分配角色
            return myTUserDetail;
        }
        
        Set<String> listPermission = new HashSet<>();

        rolesList.forEach(roleId ->{
            // 根据角色id从角色权限表中获取权限id
            List<RolePermissions> rolePermissions = rolePermissionsService.list(new LambdaQueryWrapper<RolePermissions>().
                    eq(RolePermissions::getRoleId, roleId));
            // 根据权限id从权限表中获取权限名称
            rolePermissions.forEach(permissionsId->{
                Permissions permissions = permissionsService.getById(permissionsId.getPermissionId());
                listPermission.add(permissions.getName());
            });
        });

myTUserDetail.setPermissions( listPermission);

        // 查询角色角色

        Set<String> listRole = new HashSet<>();

     
        
        roleIds.forEach(roleId ->{
            Roles byId = rolesService.getById(roleId.getRoleId());
            listRole.add(byId.getName());
        });
        myTUserDetail.setRoles(listRole);
log.info("UserDetailServer中的查完权限的myTUserDetail:=========>"+myTUserDetail);
        return myTUserDetail;
    }

}

我所实现的是标准的RBAC(基于用户、角色、权限的访问控制模型)。所以,在得到用户id的情况下、先根据用户角色表查出角色id(如果角色id的集合为空,说明用户没有分配任何角色,直接返回用户信息)、在根据角色权限表查询权限id,在根据权限表查出具体权限名称。

上面使用了Mybatis-plus的条件构造器和stream流的形式进行查询。

3、在JwtAuthenticationTokenFilter拦截器中,在查询到用户信息时,将用户的标识和用户拥有的权限一起放到SecurityContextHolder中,这样后面的过滤器在获取到用户信息的同时也能获取到用户所拥有的权限;

代码如下:

@Component
@Slf4j
public class JwtAuthenticationTokenFilter extends OncePerRequestFilter {
    @Autowired
    private RedisTemplate<String,String> redisTemplate;

    @Autowired
    private JwtUtil jwtUtil;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        //获取请求头中的token
        String token = request.getHeader("token");
        System.out.println("前端的token信息=======>"+token);
        //如果token为空直接放行,由于用户信息没有存放在SecurityContextHolder.getContext()中所以后面的过滤器依旧认证失败符合要求
        if(!StringUtils.hasText(token)){
            filterChain.doFilter(request,response);
            return;
        }

//        解析Jwt中的用户id
        Integer userId = jwtUtil.getUsernameFromToken(token);
        //从redis中获取用户信息
        String redisUser = redisTemplate.opsForValue().get(String.valueOf(userId));
        if(!StringUtils.hasText(redisUser)){
            filterChain.doFilter(request,response);
            return;
        }

        MyUserDetail myTUserDetail= JSON.parseObject(redisUser, MyUserDetail.class);
log.info("Jwt过滤器中MyUserDetail的值============>"+myTUserDetail.toString());

        //将用户信息存放在SecurityContextHolder.getContext(),后面的过滤器就可以获得用户信息了。这表明当前这个用户是登录过的,后续的拦截器就不用再拦截了
        UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken=new UsernamePasswordAuthenticationToken(myTUserDetail,null,myTUserDetail.getAuthorities());
        SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken);
        filterChain.doFilter(request,response);
    }
}

在这里解释一下UsernamePasswordAuthenticationToken类:

UsernamePasswordAuthenticationToken是Spring Security中用于表示基于用户名和密码的身份验证令牌的类。它主要有以下两个构造方法:

  1. UsernamePasswordAuthenticationToken(Object principal, Object credentials)

    • principal参数表示认证主体,通常是用户名或用户对象。在身份验证过程中,这通常是用来标识用户的信息,可以是用户名、邮箱等。
    • credentials参数表示凭据,通常是用户的密码或其他凭证信息。在身份验证过程中,这用于验证用户的身份。

  2. UsernamePasswordAuthenticationToken(Object principal, Object credentials, Collection<? extends GrantedAuthority> authorities)

    • 除了上述两个参数外,这个构造方法还接受一个授权权限集合(authorities参数)。这个集合表示用户所拥有的权限,通常是一个包含用户权限信息的集合。
    • GrantedAuthority接口代表了用户的权限信息,可以通过该接口的实现类来表示用户具体的权限。

这两个构造方法的作用是创建一个包含用户身份信息、凭据信息和权限信息的身份验证令牌,以便在Spring Security中进行身份验证和授权操作。通过这些构造方法,可以将用户的相关信息封装成一个完整的身份验证对象,方便在安全框架中进行处理和验证。

总之,UsernamePasswordAuthenticationToken是在Spring Security中用于表示用户名密码身份验证信息的重要类,通过不同的构造方法可以满足不同场景下的需求

所以我们通过myTUserDetail.getAuthorities()方法完全可以将用户拥有的权限方法Security容器中,并供后续的拦截器获取用户信息和权限;

4、运行测试:
接下来我编写一个基于方法的权限校验,看我们编写的代码是否生效;

(基于方法的权限认证要在SecurityConfig类上加上@EnableMethodSecurity注解,表示开启了方法权限的使用;)

新建一个TestController,并在这个类中定义一个方法,用来测试:

@RestController
@RequestMapping("/test")
public class TestController {
    @PreAuthorize("hasAnyAuthority('所有权限')")
 @GetMapping("/hello")
    public Result hello(){
        System.out.println("test接口中的hello方法调用========================");
        return Result.successData("hello");
    }

}

在前端的Layout.vue页面中新增一个按钮,并绑定指定的方法用来测试;

代码如图:

const testHello = async() => {
  let data:any= await api.get("/test/hello")
if(data.code===200){
  ElMessage('有权限')
}
else{
  ElMessage.error('没有权限')
}
}

现在,我们来测试看看这个方法能不能被调用到:
 

可以看到这个方法被正确的访问到了,这是必须的因为这个”张乔“用户有这个权限,那么我们改一下所需的权限看还能不能访问到;

点击前端按钮:

可以看到确实不能访问到了,这说明我们的代码是正确的;

我们权限校验的逻辑是:直接在登录时查询用户的权限,并放在我们自定义的实现了UserDetail的接口类中(MyUserDetail),用来表示登录用户的全部信息;

至此:我们前后端分离,使用vue3整合SpringSecurity实现登录认证和权限校验就已经全部的讲解完毕了,我还是会将前后端的源码放在码云上,有需要的童靴可以自行的下载:
码云地址:
Vue-Security: 前后端分离的Security

有什么疑问可以在评论区说,我看到了会回复的

张乔24
关注
  • 30
    点赞
  • 34
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
SpringSecurity+JWT+Vue完成前后端分离权限控制
qq_42680779的博客
10-10 290
近期,在做项目的过程中遇到了前后端分离权限认证问题,通过查阅资料,找到了解决方案,记录一下。 WebSecurityConfig @Bean public PasswordEncoder passwordEncoder(){ // 使用BCrypt密密码 return new BCryptPasswordEncoder(); } @Override protected void configure(HttpSecurity ht
VueJS3.0-JWT-Authentication:VueJS JWT身份验证
05-22
vue-jwt-auth 项目设置 npm install 编译和热重装以进行开发 npm run serve 编译并最小化生产 npm run build 整理和修复文件 npm run lint 自定义配置 请参阅。
后端如何实现URL权限校验
qq_46130027的博客
12-01 142
实现核心是基于Spring Security提供的@PreAuthorize注解,这个注解可以添在方法上,基于表达式判断,是否有权限权限表达式有两种,一种是基于角色标识的校验,一种是基于权限标识的校验。第三段逻辑则会遍历每一个权限,判断这个权限对应的菜单,最终在这个用户上有没有角色去满足。有的时候不是校验是否有权限,而是判断是否有某个角色,则可以使用hasRole这个方法。接着判断是否是超级管理员,如果是,也是return true。首先是判断权限是否为空,为空则说明已经有权限,返回true。
SpringSecurity整合JWT实现登录的认证授权
最新发布
m0_49808352的博客
03-28 402
【代码】SpringSecurity整合JWT实现登录的认证授权。
最新Springboot3.1.1+SpringSecurity6.1.1+JWT+Vue/React前后端分离项目
facebook47的博客
07-10 709
ems-admin(easy manage system)是一套极简的后台管理系统, 基于SpringBoot3.1.1、SpringSecurity6.1.1、Mybatis-plus3.5.3.1、Mysql8.0、 JWTVue2.6/Rea、element-ui进行开发, 只提供最基础的登录、权限管理功能与日志功能,所有的业务功能, 都可以根据自己的需求在此之上构建。本项目虽然采用了前后端分离的设计,但整个项目是放在一起的,项目里面的web目录存放前端代码。权限管理的细粒度到了按钮级别(前端控制)
SpringBoot+Vue+SpringSecurity+JWT实现登录
weixin_43203735的博客
05-18 1604
前后端代码:GitHub地址 Vue-Cli创建前端项目 前端项目目录结构 我们需要Login.vue和Home.vue组件,一个用于登录,一个用于登录成功之后的跳转。 我们需要封装一些函数,这些函数用于在前后端交互时请求与响应的拦截。定义api.js 我们还需要删除原有的组件,清除App.vue的内容(不能删除)。 引入Element-ui 参考element-ui官网 在main.js文件中引入Element-ui import ElementUI from 'element-ui'; import
前后端分离使用vue3整合SpringSecurityJWT实现登录认证
2301_78646673的博客
01-22 2895
前段时间写了一篇spring security的详细入门,但是没有联系实际。所以这次在真实的项目中来演示一下怎样使用springsecurity实现我们最常用的登录校验。本次演示使用现在市面上最常见的开发方式,前后端分离开发。前端使用vue3进行构建,用到了element-plus组件库、axios封装、pinia状态管理、Router路由跳转等技术。后端还是spring boot整合springsecurity+JWT实现登录校验
SpringSecurity-Vue前后端分离(超详细讲解)
2301_77112535的博客
12-21 1073
Spring Security是一个Java框架,用于保护应用程序的安全性。它提供了一套全面的安全解决方案,包括身份验证、授权、防止攻击等功能。Spring Security基于过滤器链的概念,可以轻松地集成到任何基于Spring的应用程序中。
vue中解析JWT
不靠谱的作曲家
08-19 4639
首先在vue中下载解析jwt的依赖包 npm install jsonwebtoken 在页面中引入 import jwt from 'jsonwebtoken' 使用流程: let jwt = require('jsonwebtoken'); let str = jwt.decode(data.data) #解码(data.data代表的是解析的数据) ...
(已解决)vue中如何解析jwt令牌,vuejwt-decode无法使用,报错缺少类jwt-decode,无法找到jwt-decode
BrianGriffin的博客
01-31 911
jwt-decode经过了一次更新,jwt-decode中已没有jwt-decode模块,所以无法使用jwt-decode进行jwt令牌解析。通过查找模块,发现jwt-decode模块更新为jwtDecode模块。所以需要使用jwtDecode进行解析。使用es6语法进行导入。
vue前端解析jwt
qq_61950936的博客
03-20 756
我们可以用在线解析看解析的结果:https://www.lddgo.net/encrypt/jwt-decrypt。但是如果在前端需要解析token,拿到其中的权限信息,可以这样解决。
SpringBoot+Vue前后端分离使用SpringSecurity完美处理权限问题
10-12
转载他人 https://blog.csdn.net/u012702547/article/details/79010010 https://blog.csdn.net/u012702547/article/details/79019510
SpringBoot+Vue前后端分离使用SpringSecurity完美处理权限问题的解决方法
08-28
主要介绍了SpringBoot+Vue前后端分离使用SpringSecurity完美处理权限问题,需要的朋友可以参考下
citrus:基于SpringBoot 2.3.2 + Mybatis-Plus + SpringSecurity + JWT 的前后分离后台管理系统 ,统一的认证入口、易于扩展的认证与权限校验、细粒度的权限与数据范围设计、动态数据源+多数据源事务
04-09
Citrus: 低代码开发脚手架项目简介基于SpringBoot 2.3.2 + Mybatis-Plus + SpringSecurity + JWT 的前后分离后台管理系统前端仓库地址:项目特性开箱即用,引入starter依赖后即可启动高效开发,只需要定义实体与库表...
人工智能-项目实践-信息检索-一个基于微服务架构的前后端分离博客系统 Web 端使用 Vue + ElementUi , 移动端
03-02
后端使用 SpringCloud + SpringBoot + Mybatis-plus进行开发,使用 Jwt + SpringSecurity 做登录验证和权限校验使用 ElasticSearch 和 Solr 作为全文检索服务,使用 Github Actions完成博客的持续集成,使用 ...
蘑菇博客(MoguBlog),一个基于微服务架构的前后端分离博客系统
01-15
后端使用Spring cloud + Spring boot + mybatis-plus进行开发,使用 Jwt + Spring Security做登录验证和权限校验使用ElasticSearch和Solr作为全文检索服务,使用Github Actions完成博客的持续集成,使用ELK收集...
SpringBoot+Redis+SpringSecurity+mybatisplus+vue3使用redis的自动过期机制实现登录3次错误30秒后重置登录次数功能
m0_55366658的博客
08-15 535
这样写的话就会在等待30秒重试后再次点击重置userLoginAttempts,这样就非常的不合理,就达不到所谓的登录错误3次等待30秒后再次登录这个需求。三、使用redis的分布式锁解决这个问题,当用户登录次数2的时候,将用户的邮箱号userEmail作为键,用户的userIds作为值存储至redis中,再通过onMessage判断userEmail是否存在,如果不存在直接将userLoginAttempts重置为0。二、使用的数据库为mysql,则使用mysql里的触发器来解决这个问题。
SpringBoot+SpringSecurity+MybatisPlus+Vue3小项目摘录(十)完结篇
xu772710255的博客
01-03 1026
SysMenuController 前端的视图组件代码: 各组件的详细代码如下: sys/role/index.vue sys/role/components/dialog.vue sys/role/components/menuDialog.vue 菜单信息管理模块化操作 菜单管理【树形表格菜单列表显示】 后端的控制SysMenuController请求方法编写 前端页面组件代码: sys/menu/index.vue sys/menu/components/dialog.vue
使用Springboot整合mybatisplus+springsecurity+vue3实现登陆密码错误3次后需要等待30秒再次登录功能
m0_55366658的博客
08-04 478
解密后判断密码是否正确,如果密码正确就直接登录成功,反之密码错误后,就会判断您具体登录几次,而我们需要实现登录密码错误3次后需要等待30秒才能再次登录。那么你如果下一次再次登录错误就达到了三次错误了,So就需要考虑以什么方式来解决等待30秒才能登录成功这个问题。我使用比较简单的一种方式:在user表中建立了一个记载第三次错误登录的字段user_loginLastTime。好在第四次登录的时候就需要等待30秒才能登录了。我们的数据库设置默认为0,因此点击一次登录错误后,就需要进行判断您还有几次登录机会;
springboot+vue前后端分离 + security + JWT 实现token登录
04-04
Spring Boot和Vue.js是两个非常流行的技术栈,可以非常好地实现前后端分离的开发模式。SecurityJWT是两个很好的工具,可以帮助我们实现安全的登录和授权机制。 以下是实现Spring Boot和Vue.js前后端分离的步骤: 1.创建Spring Boot工程 首先,我们需要创建一个Spring Boot工程,可以使用Spring Initializr来生成一个基本的Maven项目,添所需的依赖项,包括Spring SecurityJWT。 2.配置Spring SecuritySpring Security中,我们需要定义一个安全配置类,该类将定义我们的安全策略和JWT的配置。在这里,我们可以使用注解来定义我们的安全策略,如@PreAuthorize和@Secured。 3.实现JWT JWT是一种基于令牌的身份验证机制,它使用JSON Web Token来传递安全信息。在我们的应用程序中,我们需要实现JWT的生成和验证机制,以便我们可以安全地登录和授权。 4.配置Vue.js 在Vue.js中,我们需要创建一个Vue.js项目,并使用Vue CLI来安装和配置我们的项目。我们需要使用Vue Router来定义我们的路由,并使用Axios来发送HTTP请求。 5.实现登录和授权 最后,我们需要实现登录和授权机制,以便用户可以安全地登录和访问我们的应用程序。在Vue.js中,我们可以使用Vue Router和Axios来发送HTTP请求,并在Spring Boot中使用JWT来验证用户身份。 总结 以上是实现Spring Boot和Vue.js前后端分离的步骤,我们可以使用SecurityJWT实现安全的登录和授权机制。这种开发模式可以让我们更好地实现前后端分离,提高我们的开发效率和应用程序的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

张乔24

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值