微人事——Spring Security权限管理(一)

最新推荐文章于 2023-08-16 17:12:58 发布
最新推荐文章于 2023-08-16 17:12:58 发布
阅读量282 收藏 3
点赞数
文章标签: java spring spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Gsasuke/article/details/112786220
版权

权限管理(一)

我用的是Spring Security权限管理,分为“认证”以及“验证”。
“认证”就是登陆,“验证”就是根据权限授予一定的操作,也就是权限。

Spring Security大致的过程就是这样
在这里插入图片描述
这个图片不是我做的,是另一个博主做的我觉得很不错。
原地址: https://blog.csdn.net/zhaoxichen_10/article/details/88713799.

(一)数据库设计

数据库设计

权限管理系统涉及到了三个数据库。

  • hr数据库是存储账户信息
    hr数据库
  • menu是权限管理数据库
    权限管理数据库
  • role是角色数据库
    角色数据库

(二)认证过程

认证过程就是用户根据hr中的username和password来登陆系统。
认证过程和menu类无关,不涉及menu类中的方法

1、Hr实体类
  • 如果我们需要从数据库里面加载用户,那么我们在定义用户的时候就要实现一个接口UserDetails
  • UserDetails相当于是一个规范,所有人都得实现它,这样的话以后我要获取用户名我就知道就是username,我要获取密码就是password
@Data
@Entity
@Table(name = "hr")
public class Hr implements UserDetails {
    @Id
    @GeneratedValue(strategy = GenerationType.IDENTITY)
    private Integer id ;
    private String name;
    private String phone;
    private String telephone;
    private String address;
    private Boolean enabled;
    private String username;
    private String password;
    private String userface;
    private String remark;

    @ManyToMany(cascade = {CascadeType.REFRESH},fetch=FetchType.EAGER)
    @JoinTable(name = "hr_role", joinColumns = {@JoinColumn(name ="hrid" )}, inverseJoinColumns = { @JoinColumn(name = "rid") })
    private List<Role> roles ;

    @Override
    public boolean equals(Object o) {
        if (this == o) return true;
        if (o == null || getClass() != o.getClass()) return false;
        Hr hr = (Hr) o;
        return Objects.equals(username, hr.username);
    }

    @Override
    public int hashCode() {
        return Objects.hash(username);
    }

    //返回分配给用户的角色列表
    @Override
    @JsonIgnore
    public Collection<? extends GrantedAuthority> getAuthorities() {
        List<SimpleGrantedAuthority> authorities = new ArrayList<>(roles.size());
        for (Role role : roles) {
            authorities.add(new SimpleGrantedAuthority(role.getName()));
        }
        return authorities;
    }

    //账户是否过期
    @Override
    public boolean isAccountNonExpired() {
        return  true;
    }

    //账户是否锁定
    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    //密码是否过期
    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    //账户是否激活
    @Override
    public boolean isEnabled() {
        return true;
    }
2、关于JPA的多表联查

Hr和Role的关系是单向多对多

	@ManyToMany(cascade = {CascadeType.REFRESH},fetch=FetchType.EAGER)
	@JoinTable(name = "hr_role", joinColumns = {@JoinColumn(name ="hrid" )}, inverseJoinColumns = { @JoinColumn(name = "rid") })
    private List<Role> roles ;
  • 单向多对多就是生成一个中间表,多对多关联映射需要新增加一张表(hr_role)才完成基本映射
  • JoinTable是中间表表名
  • joinColumns指定中间表中关联自己ID的字段
  • joinColumn是列名
  • inverseJoinColumns表示中间表中关联对方ID的字段
    关联表
    hrid代表hr的id,rid表示Role中的id
3、HrService类
public interface HrRepository extends JpaRepository<Hr,Integer> {
    public Hr findByUsername(String username);
}

创建HrService类,并实现UserDetailsService类,重写该类的loadUserByUsername方法

@Service
public class HrService implements UserDetailsService {

    @Autowired
    HrRepository hrRepository;
   
    @Override
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
        Hr hr = hrRepository.findByUsername(s);
        if (hr == null){
            throw new UsernameNotFoundException("用户名不对");
        }
        return hr;
    }
}
4、配置WebConfig类

webconfig类需要继承WebSecurityConfigurerAdapter类

@Configuration
public class webSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    HrService hrService;
   

    //明文显示密码
    @Bean
    public CustomPasswordEncoder passwordEncoder() {
        return new CustomPasswordEncoder();
    }

    //定义认证规则
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
       auth.userDetailsService(hrService)
              .passwordEncoder(new CustomPasswordEncoder());

  
    }

由于spring5的内置加密方法是BCrypt,为了测试简单,我设置了明文加密

/**
 * 明文显示密码
 */
public class CustomPasswordEncoder implements PasswordEncoder {
    @Override
    public String encode(CharSequence charSequence) {
        return charSequence.toString();
    }

    @Override
    public boolean matches(CharSequence charSequence, String s) {
        return s.equals(charSequence.toString());
    }
}

@Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                //剩下的其他请求都是登陆之后就能访问的
          		.anyRequest().authenticated()
                //单表登陆
                .and().formLogin()
                //修改默认登陆的username
                .usernameParameter("username")
                //修改默认登陆的password
                .passwordParameter("password")
                //处理单表登陆的url路径
                .loginProcessingUrl("/doLogin")
                //默认看到的登录页面
                .loginPage("/login")
                //登陆成功的处理
                .successHandler(new AuthenticationSuccessHandler() {
                    @Override
                    public void onAuthenticationSuccess(HttpServletRequest req, HttpServletResponse resp, Authentication authentication) throws IOException, ServletException {
                        //如果登陆成功就返回一段json
                        resp.setContentType("application/json;charset=utf-8");
                        //这是往出写的
                        PrintWriter out = resp.getWriter();
                        //登陆成功的hr对象
                        Hr hr = (Hr) authentication.getPrincipal();
                        RespBean ok = RespBean.ok("登陆成功",hr);
                        //把hr写成字符串
                        String s = new ObjectMapper().writeValueAsString(ok);
                        //把字符串写出去
                        out.write(s);
                        out.flush();
                        out.close();
                    }
                })
                //登陆失败的处理
                .failureHandler(new AuthenticationFailureHandler() {
                    @Override
                    public void onAuthenticationFailure(HttpServletRequest req, HttpServletResponse resp, AuthenticationException e) throws IOException, ServletException {
                        //如果登陆失败就返回一段json
                        resp.setContentType("application/json;charset=utf-8");
                        PrintWriter out = resp.getWriter();
                        RespBean respBean = RespBean.error("登陆失败!");
                        if (e instanceof LockedException){
                            respBean.setMsg("账户被锁定,请联系管理员!");
                        }else if (e instanceof CredentialsExpiredException){
                            respBean.setMsg("密码过期,请联系管理员!");
                        }else if (e instanceof AccountExpiredException){
                            respBean.setMsg("账户过期,请联系管理员!");
                        }else if (e instanceof DisabledException){
                            respBean.setMsg("账户被禁用,请联系管理员!");
                        }else if (e instanceof  BadCredentialsException){
                            respBean.setMsg("用户名或者密码输入错误,请联系管理员!");
                        }
                        out.write(new ObjectMapper().writeValueAsString(respBean));
                        out.flush();
                        out.close();
                    }
                })
                //跟登陆相关的接口就能直接访问
                .permitAll()
                .and()
                .logout()
                //注销成功后的回调
                .logoutSuccessHandler(new LogoutSuccessHandler() {
                    @Override
                    public void onLogoutSuccess(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Authentication authentication) throws IOException, ServletException {
                        httpServletResponse.setContentType("application/json;charset=utf-8");
                        PrintWriter out = httpServletResponse.getWriter();
                        out.write(new ObjectMapper().writeValueAsString(RespBean.ok("注销成功!")));
                        out.flush();
                        out.close();
                    }
                })
                .permitAll()
                .and()
                //关闭csrf攻击
                .csrf().disable();
    }
5、postman测试

在这里插入图片描述
在这里插入图片描述
到这里认证就完成了,接下来就是权限了。

oh my 桂桂
关注
人事第十天:spring security初体验
qq_41998938的博客
02-01 417
Spring SecuritySpring 家族中的一个安全管理框架,实际上,在 Spring Boot 出现之前,Spring Security 就已经发展了多年了,但是使用的并不多,安全管理这个领域,一直是 Shiro 的天下。 相对于 Shiro,在 SSM/SSH 中整合 Spring Security 都是比较麻烦的操作,所以,Spring Security 虽然功能比 Shiro...
人事(3)- 动态权限控制(SpringCache、SpringSecurity
weixin_44021967的博客
08-11 385
文章目录前端设计:左侧菜单设计后台设计:动态权限控制动态权限控制扩展知识1: 前端设计:左侧菜单设计 将每一级的菜单放到数据库中,而不是写死到前端 enabled表示当前项是否启用。 keepAlive表示不显示这个标签的时候,这个标签是隐藏还是销毁。 requireAuth表示组件是否需要登录才能访问。 后台设计:动态权限控制 数据库:hr、hr_role、role、menu_role、menu 用户->角色->权限:在menu中定义了当前权限的url接口,例如员工奖惩对应的url为/pers
人事第十天:Spring Security基于数据库的认证
qq_41998938的博客
02-08 355
Spring Security中我们是在配置类中手动写死登录名和密码的,现在我们通过在数据库中预先填写好几个用户名和密码,等到登录的时候只需要去和数据库中的用户名和密码进行认证就可以了。 具体操作步骤如下: 填写web,Spirng Security,以及mybatis和mysql的相关依赖。 现在给出构建数据库的相关sql代码: 这里创建了三张表分别是:user(用户表) role(权限表) ...
人事-spring security登录认证分析
一个还在上学的程序缘
03-14 444
前言 vhr登录认证(1)用户名+密码+验证码(2)对于用户的角色认证 vhr采用了spring security做认证及授权,今天想来总结下整个登录的流程。 分析 上图可以先大概看下流程 (1)spring Security 中有一个非常重要的对象叫做 Authentication,我们可以在任何地方注入 Authentication 进而获取到当前登录用户信息,Authentication 本身是一个接口,它有很多实现类,最常用的就是 UsernamePasswordAuthenticationTok
人事——Spring Security权限管理(二)
Gsasuke的博客
01-18 291
权限管理(二) 权限功能 1、数据库 因为是权限管理所以需要根据用户的role来查找所对应的权限menu 简单来说分为两步: 第一步,用户先从前端发起一个http请求,拿到http请求地址之后,我先去分析地址和数据库中的menu表中的哪一个url是相匹配的。就先看一下用户的请求地址跟这里边的哪一个是吻合的。 第一步的核心目的是根据用户的请求地址分析出来它所需要的角色,就是当前的请求需要哪些角色才能访问 第二步是去判断当前用户是否具备它需要的角色 2、UrlFilterInvocationSecurit
springboot项目——基于springSecurity实现的前后端分离的企业级人事管理系统
10-03
本文将深入探讨如何在SpringBoot项目中集成SpringSecurity,构建一个前后端分离的企业级人事管理系统。 首先,SpringBoot简化了Spring应用的初始化和配置过程,使得开发者可以快速搭建项目结构。在这个案例中,...
人事项目
04-24
人事管理系统——人事。主要目的是通过这个项目加强各个部门之间的协调从而提高工作效率。该项目是一个前后端分离的开发方式,前端使用vue来构建单页面应用, 单页面应用通过动态重写当前页面来与用户交互,而非...
Java WEB——人事管理系统
10-11
此外,为了实现用户认证和授权,可以利用Spring Security框架,它提供了强大的访问控制功能,可以根据角色、URL或特定条件来限制用户的访问权限。对于登录注册,通常会有Session管理和验证码机制,防止非法用户入侵...
spring-boot+vue+Element UI的人事管理系统,采用前后端分离模式
04-01
Spring Security可以用于权限管理,实现用户认证和授权,确保系统安全。 Vue.js是前端的明星框架,它强调简洁的语法和可复用性,使得开发者能够高效构建用户界面。在本项目中,Vue.js作为主要的视图层框架,通过...
基于Springboot人事管理系统 (有报告) Javaee项目,springboot项目
最新发布
04-21
它整合了Spring BootSpring MVC、JPA、MyBatis、MySQL、Spring Security等多个组件,实现了用户管理、权限控制、数据存储等功能。对于学习和理解Spring Boot在实际项目中的应用,这是一个很好的参考案例。通过深入...
SpringBoot +Vue前后端项目 人事(第七天)
qq_45709416的博客
08-16 181
/
SpringBoot + Vue 人事项目(第一天)
qq_45709416的博客
08-15 1071
前端端分离vhr项目,超详细的笔记项目
人事第十天:Spring Security加密
qq_41998938的博客
02-03 425
在之前的博客中我们对于登陆的密码都是不加密的,现在为了安全起见,我们需要将密码由明文加密成为密文。 密码加密我们一般会用到散列函数,又称散列算法、哈希函数,这是一种从任何数据中创建数字“指纹”的方法。散列函数把消息或数据压缩成摘要,使得数据量变小,将数据的格式固定下来,然后将数据打乱混合,重新创建一个散列值。散列值通常用一个短的随机字母和数字组成的字符串来代表。好的散列函数在输入域中很少出现散列冲...
人事(1)- 前端登录页面
一角残叶的博客
08-08 1160
1
人事-总结
一个还在上学的程序缘
01-12 5009
vhr项目:地址 目前跟随江南一点雨大佬已经完成人事的百分之80,因为一直在赶进度,所以得做个总结。 已完成模块 1.登录模块 2.权限组 3.职称管理 4.职位管理 5.部门管理 6.基本资料 7.操作员管理 未完成模块 1.邮件发送 2.工资账套 3.员工聊天 已完成界面: ...
SpringBoot+Vue人事实战---项目搭建(1)
今夕何夕的博客
02-10 5063
1、项目来源 在Github上发现了一个基于SpringBoot+Vue技术栈的人事全栈项目。俗话说:不吃好的不吃贵的,今天整俩嘎嘣脆的,一瞧这项目13k的star,挺好,咱今天就从零开始造它! 2、项目技术栈 该项目采用前后端分离技术开发。 前端使用ElementUI+Vue构建SPA,后端则用简单易上手的SpringBoot。SPA是指单页面应用,所有的HTML、CSS、JS都通过单个页面...
人事-权限管理继续完善
azto的博客
06-09 250
1 当用户直接输入地址的时候会被服务器要求重定向到http://localhost:8081/login 要求用户登录用才可以访问 当后端将http://localhost:8081/login返回给前端,前端会直接访问这个地址,就不经过node.js代理。没有代理就跨域了。 解决1 在login的接口上使用@CrossOrigin注释 解决2 protected void configure(HttpSecurity http) throws Exception 以上方法中加入以下代码
人事项目学习之登陆页面制作(一)
人生错觉
02-28 996
人事项目学习之登陆页面制作(一) 学习SpringBoot+Vue前后端分离项目,原项目GitHub地址,项目作者江雨一点雨博客。
人事(一)登录模块
一蓑烟雨任平生
12-26 1061
(一)前后端分离后,前后端的数据交互关键桥梁—代理对象 该项目是属于前后端分离的项目,因此前端和后端各有一个端口建立socket请求。前端采用8081端口,后端使用8080端口。为了使前端能够调用后端的接口,后端能把JSON串传回前端。就需要在前端创建一个代理对象,进行端口的映射。代码如下: 端口映射vue.config.js 后端使用8081端口,前端使用8080端口 let proxyObj = {}; proxyObj['/'] = { ws: false, target: 'http
Spring Security权限管理实战教程
本示例将深入探讨如何使用Spring security来构建一个权限管理系统。" 在Spring security实现权限管理的过程中,主要包括以下几个关键步骤: 1. **依赖配置** 首先,在项目`POM.xml`中添加必要的依赖,如Spring ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值