使用JWT保存权限以及使用Spring Security控制访问权限

最新推荐文章于 2023-11-03 10:20:25 发布
最新推荐文章于 2023-11-03 10:20:25 发布
阅读量1.4k 收藏
点赞数
文章标签: json java servlet
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Alliestrasza/article/details/126828609
版权

使用JWT保存权限

UserDetailsServiceImpl中,调用的adminMapper.getLoginInfoByUsername()中已经包含用户的权限,则,在返回的UserDetails对象中封装权限信息:

UserDetails userDetails = User.builder()
                .username(loginAdmin.getUsername())
                .password(loginAdmin.getPassword())
                .accountExpired(false)
                .accountLocked(false)
                .credentialsExpired(false)
                .disabled(loginAdmin.getEnable() == 0)
                .authorities(loginAdmin.getPermissions().toArray(new String[] {})) // 调整
                .build();

AdminServiceImpl中,执行认证且成功后,返回的Authentication对象中的“当事人”就是以上返回的UserDetails对象,所以,此对象中是包含了以上封装的权限信息的,则可以将权限信息取出并封装到JWT中。

需要注意:如果直接将权限(Collection<? extends GrantedAuthority>)存入到JWT数据中,相当于把Collection<? extends GrantedAuthority>转换成String,此过程会丢失数据的原始类型,且不符合自动反序列化格式,后续解析时,无法直接还原成Collection<? extends GrantedAuthority>类型!为解决此问题,可以先将Collection<? extends GrantedAuthority>转换成JSON格式的字符串再存入到JWT中,后续,解析JWT时得到的也会是JSON格式的字符串,可以反序列化为Collection<? extends GrantedAuthority>格式!

则先添加JSON工具类的依赖项:

<!-- fastjson:实现对象与JSON的相互转换 -->
<dependency>
    <groupId>com.alibaba</groupId>
    <artifactId>fastjson</artifactId>
    <version>1.2.75</version>
</dependency>

然后,在AdminServiceImpl中,先从认证成功的返回结果中取出权限,然后存入到JWT中:

// 从认证返回结果中取出当事人信息
User principal = (User) authenticateResult.getPrincipal();
String username = principal.getUsername();
log.debug("认证信息中的用户名:{}", username);
// ===== 以下是新增 ======
Collection<GrantedAuthority> authorities = principal.getAuthorities();
log.debug("认证信息中的权限:{}", authorities);
String authorityListString = JSON.toJSONString(authorities);
log.debug("认证信息中的权限转换为JSON字符串:{}", authorityListString);

// 生成JWT,并返回
// 准备Claims值
Map<String, Object> claims = new HashMap<>();
claims.put("username", username);
claims.put("authorities", authorityListString); // 新增

最后,在JwtAuthorizationFilter中,解析JWT时,取出权限的JSON字符串,将其反序列化为符合Collection<? extends GrantedAuthority>的格式:List<SimpleGrantedAuthority>,并用于存入到认证信息中:

String username = claims.get("username", String.class);
log.debug("从JWT中解析得到【username】的值:{}", username);
String authorityListString = claims.get("authorities", String.class); // 新增
log.debug("从JWT中解析得到【authorities】的值:{}", authorityListString); // 新增

// 准备权限,将封装到认证信息中
List<SimpleGrantedAuthority> authorityList
        = JSON.parseArray(authorityListString, SimpleGrantedAuthority.class);

// 准备存入到SecurityContext的认证信息
Authentication authentication
        = new UsernamePasswordAuthenticationToken(
        		username, null, authorityList);

使用Spring Security控制访问权限

首先,需要在Spring Security的配置类上开启方法前的权限检查:

@Slf4j
@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true) // 新增
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
    // 省略配置类中原有代码
}

然后,在需要对权限进行检查(控制)的控制器类的方法上,使用注解来配置权限,例如:

// http://localhost:9081/admins
@ApiOperation("查询管理员列表")
@ApiOperationSupport(order = 400)
@PreAuthorize("hasAuthority('/ams/admin/read')") // 新增
@GetMapping("")
public JsonResult<List<AdminListItemVO>> list() {
    log.debug("开始处理【查询管理员列表】的请求……");
    List<AdminListItemVO> list = adminService.list();
    return JsonResult.ok(list);
}

以上新增的@PreAuthorize("hasAuthority('/ams/admin/read')")就表示已经通过认证的用户必须具有 '/ams/admin/read' 权限才可以访问此请求路径(http://localhost:9081/admins`),如果没有权限,将抛出`org.springframework.security.access.AccessDeniedException: 不允许访问

由于无操作权限时会出现新的异常,则在GlobalExceptionHandler中补充对此类异常的处理:

@ExceptionHandler
public JsonResult<Void> handleAccessDeniedException(AccessDeniedException e) {
    log.debug("处理AccessDeniedException");
    Integer serviceCode = ServiceCode.ERR_FORBIDDEN.getValue();
    String message = "请求失败,当前账号无此操作权限!";
    return JsonResult.fail(serviceCode, message);
}

 

香扑扑
关注
spring security入门
wwwjjj_3的博客
04-25 291
1、新建一个User实体类userEntity 实现UserDetailspublic Collection&lt;? extends GrantedAuthority&gt; getAuthorities() {     // 需将 List&lt;Authority&gt; 转成 List&lt;SimpleGrantedAuthority&gt;,否则前端拿不到角色列表名称     Li...
SpringSecurity+OAuth2+JWT分布式权限控制.zip
07-23
本项目“SpringSecurity+OAuth2+JWT分布式权限控制”旨在提供一个完整的解决方案,帮助开发者构建安全的、基于微服务的分布式应用程序。 Spring Security 是一个强大的和高度可定制的身份验证和授权框架,适用于...
实战篇:Security+JWT组合拳 | 附源码
程序IT圈
07-03 500
之前我们已经说过用Shiro和JWT来实现身份认证和用户授权,今天我们再来说一下「SecurityJWT」的组合拳。简介先赘述一下身份认证和用户授权:用户认证(Authenticatio...
03-方法授权-jwt令牌包含权限
minihuabei的博客
08-27 410
2.2 jwt令牌包含权限 修改认证服务的UserDetailServiceImpl类,下边的代码中 permissionList列表中存放了用户的权限, 并且将权限标识按照中间使用逗号分隔的语法组成一个字符串,最终提供给Spring security。 ...... //指定用户的权限,这里暂时硬编码 List<String> permissionList = new ArrayList<>(); permissionList.add("course_get_baseinfo");
关于权限控制jwt+security+shiro
eternally_zh128@sina.com的博客
07-31 321
1、GrantedAuthority:https://www.cnblogs.com/longfurcat/p/9417422.html https://www.cnblogs.com/longfurcat/p/9417422.html
springsecurity+jwt+redis+vue的后台系统权限方案
leyasuzhou的博客
11-03 331
springsecurity+jwt+redis+vue的后台系统权限方案
Spring Security实战之二~验证
qqqqqqhhhhhh的博客
03-10 265
2
Vue 动态路由的实现及 Springsecurity 按钮级别的权限控制
10-16
这些示例展示了如何实现Vue动态路由以及Spring Security按钮级别的权限控制,并且给出了具体的代码实现。通过这种方式,我们可以构建出具有动态权限控制的复杂Web应用,同时保证了应用的安全性和灵活性。
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
7. **Spring Security配置**:配置Spring Security以启用JWT认证,设置访问控制规则,例如哪些URL需要认证,哪些URL对所有用户开放。 8. **认证Controller**:创建一个专门处理用户登录请求的Controller,接收登录...
通用权限管理系统+springboot+mybatis plus+spring security+jwt+redis+mysql
05-30
后端使用SpringBoot框架进行业务逻辑开发,利用Spring Security实现权限控制。数据库采用MySQL进行数据存储,使用MyBatis进行数据访问。 权限控制模块设计包括用户、角色和权限三个主要模块。用户模块用于管理用户...
SpringBoot+Spring Security+JWT实现RESTful Api权限控制的方法
08-26
在本文中,我们将探讨如何使用Spring Boot、Spring SecurityJSON Web Tokens (JWT)来实现RESTful API的权限控制Spring Boot简化了构建基于Spring的应用程序流程,而Spring Security则提供了强大的安全框架,JWT...
小结springsecurity配合数据库
qq_45407628的博客
04-09 234
1.用户及权限验证 用户实体类实现UserDetails 重写 @Override public Collection<? extends GrantedAuthority> getAuthorities() { return authorities; } @Override public String getPassword() { return password; } @Override publ
Spring Security(三)
ningmeng666_c的博客
09-12 402
一、RBAC RBAC:用户是属于角色的,角色拥有权限的集合。用户数据某个角色,他就具有角色对应的权限权限:能对资源的操作,比如增加,修改,删除,查看等等。 角色:自定义的,表示权限的集合。一个角色可以有多个权限。 RBAC设计中的表: 1.用户表:用户认证(登录用到的表) 用户名,密码,是否启用,是否锁定等信息 2.角色表:定义角色信息 角色名称,角色的描述 3.用户和角色的关系表:用户和角色是多对多的关系 一个用户可以有多个角色,一个角色可以有多个用户 4.权限表,角色和权限的关系表 角色可以有哪
spring - security 权限控制
huifer
03-24 293
spring -security 文档&源码 官方文档 本文源码 依赖 本文在spring-boot中运行, <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-star...
GrantedAuthoritiesMapper接口
最新发布
xbcai1的博客
11-03 196
/ 根据权限集合映射新的权限集合。
【详解】GrantedAuthority(已授予的权限
dieqiuxie4160的博客
08-04 6247
前言   这篇是很久之前学习Spring Security整理的博客,发现浏览量都1000多了,一个赞都没有,那说明写得确实不怎么样,哈哈。应该很多初学者对这个接口存在疑问,特别是如果学习这个框架之前还了解过Shiro,可能会因为这两个框架角色、权限的表示方式,产生困惑。现在重新整理一下。 GrantedAuthority接口 我们知道UserDeitails接口里面有一个getA...
SpringBoot整合Spring Security使用数据库鉴权(四)
baikunlong的博客
09-23 577
一、实现UserDetails接口 package com.example.securityzimug.config.auth; import org.springframework.security.core.GrantedAuthority; import org.springframework.security.core.userdetails.UserDetails; import java.util.Collection; public class MyUserDetails imple
Java】Mybatis使用Collection属性
Syals的博客
07-19 3667
Mybatis联表查询、Json字段映射
Springboot 入门培训】#10 Security(二) 数据库DB 登录验证
zhtbs的博客
09-13 1044
介绍Security中的自定义验证方法,继承UserDetailsService接口在实现类中连接数据库DB进行登录验证业务。 验证与授权 ​ 在上一章中我们学到了在「WebSecurityConfigurerAdapter」的子类中的如何定义验证与授权,来完成用户名称与密码的登录验证与授权功能。 验证方法 protected void configure(AuthenticationManagerBuilder auth) 授权方法 protected void configure(HttpSec
实现SpringSecurity、OAuth2与JWT的分布式权限控制方案
资源摘要信息:"SpringSecurity+OAuth2+JWT分布式权限控制.zip" 1. Spring Security框架 Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架,它原生支持与Spring应用无缝整合。Spring Security...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

香扑扑

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值