SpringBoot集成Spring Security(5)——权限控制

最新推荐文章于 2024-05-22 16:49:19 发布
最新推荐文章于 2024-05-22 16:49:19 发布
阅读量1k 收藏 2
点赞数
分类专栏: java 文章标签: springboot springsecurity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SKT_T1_Faker/article/details/84306509
版权

在第一篇中,我们说过,用户<–>角色<–>权限三层中,暂时不考虑权限,在这一篇,是时候把它完成了。

为了方便演示,这里的权限只是对角色赋予权限,也就是说同一个角色的用户,权限是一样的。当然了,你也可以精细化到为每一个用户设置权限,但是这不在本篇的探讨范围,有兴趣可以自己实验,原理都是一样的。

目录

一、数据准备

1.1 创建sys_permission表

1.2 创建POJO、Mapper、Service

1.3 修改接口

二、PermissionEvaluator

三、运行程序

一、数据准备

1.1 创建sys_permission表

让我们先创建一张权限表,名为sys_permission

CREATE TABLE `sys_permission` (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `url` varchar(255) DEFAULT NULL,
  `role_id` int(11) DEFAULT NULL,
  `permission` varchar(255) DEFAULT NULL,
  PRIMARY KEY (`id`),
  KEY `fk_roleId` (`role_id`),
  CONSTRAINT `fk_roleId` FOREIGN KEY (`role_id`) REFERENCES `sys_role` (`id`) ON DELETE CASCADE ON UPDATE CASCADE
) ENGINE=InnoDB AUTO_INCREMENT=5 DEFAULT CHARSET=utf8;

内容就是两条数据,url+role_id+permission唯一标识了一个角色访问某一url时的权限,其中权限暂定为c、r、u、d,即增删改查。

1.2 创建POJO、Mapper、Service

(1)pojo

package com.chwx.springbootspringsecurity.pojo;

import lombok.Data;

import javax.persistence.Column;
import javax.persistence.Id;
import javax.persistence.Table;
import javax.persistence.Transient;
import java.io.Serializable;
import java.util.Arrays;
import java.util.List;

@Table(name = "sys_permission")
@Data
public class SysPermission implements Serializable {
    static final long serialVersionUID = 1L;

    @Id
    private Integer id;

    private String url;

    @Column(name = "role_id")
    private Integer roleId;

    private String permission;

    @Transient
    private List permissions;

    // 省略除permissions外的getter/setter

    public List<String> getPermissions() {
        return Arrays.asList(this.permission.trim().split(","));
    }

    public void setPermissions(List permissions) {
        this.permissions = permissions;
    }
}

这里需要注意的时相比于数据库,多了一个permissions属性,该字段将permission按逗号分割为了list。

(2)mapper

package com.chwx.springbootspringsecurity.dao;

import com.chwx.springbootspringsecurity.pojo.SysPermission;
import org.apache.ibatis.annotations.Mapper;
import org.apache.ibatis.annotations.Select;

import java.util.List;

/**
 * @author ZY Wei
 * @date 2018/11/20 16:49
 */
@Mapper
public interface SysPermissionMapper {
    @Select("select * from sys_permission where role_id = #{roleId}")
    List<SysPermission> listByRoleId(Integer roleId);
}

(3)Service

package com.chwx.springbootspringsecurity.service;

import com.chwx.springbootspringsecurity.pojo.SysPermission;
import com.chwx.springbootspringsecurity.dao.SysPermissionMapper;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;

import java.util.List;

/**
 * @author ZY Wei
 * @date 2018/11/20 16:50
 */
@Service
public class SysPermissionService {
    @Autowired
    private SysPermissionMapper sysPermissionMapper;

    /**
     * 获取指定角色所有权限
     * @param roleId
     * @return
     */
    public List<SysPermission> listByRoleId(Integer roleId){
        return sysPermissionMapper.listByRoleId(roleId);
    }
}

Service中有一个方法,根据roleId获取所有的SysPermission

1.3 修改接口

@Controller
public class LoginController {
    ...

    @RequestMapping("/admin")
    @ResponseBody
    @PreAuthorize("hasPermission('/admin','r')")
    public String printAdminR() {
        return "如果你看见这句话,说明你访问/admin路径具有r权限";
    }

    @RequestMapping("/admin/c")
    @ResponseBody
    @PreAuthorize("hasPermission('/admin','c')")
    public String printAdminC() {
        return "如果你看见这句话,说明你访问/admin路径具有c权限";
    }
}

让我们修改下我们要访问的接口,重点是printAdmin()方法,@PreAuthorize("hasPermission('/admin','r')")是关键,它第一个参数指明了访问该接口需要的url,第二个参数指明了访问该接口需要的权限。

二、PermissionEvaluator

我们需要自定义对hasPermission()方法的处理,就需要自定义PermissionEvaluator,创建类CustomPermissionEvaluator,实现PermissionEvaluator接口。

package com.chwx.springbootspringsecurity.common;

import com.chwx.springbootspringsecurity.pojo.SysPermission;
import com.chwx.springbootspringsecurity.service.SysPermissionService;
import com.chwx.springbootspringsecurity.service.SysRoleService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.access.PermissionEvaluator;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.userdetails.User;
import org.springframework.stereotype.Component;

import java.io.Serializable;
import java.util.Collection;
import java.util.List;

/**
 * @author ZY Wei
 * @date 2018/11/20 16:57
 */
@Component
public class CustomPermissionEvaluator implements PermissionEvaluator {

    @Autowired
    private SysPermissionService sysPermissionService;
    @Autowired
    private SysRoleService sysRoleService;

    @Override
    public boolean hasPermission(Authentication authentication, Object o, Object o1) {
        //获取loadUserByUsername()方法结果
        User user = (User) authentication.getPrincipal();
        //获取loadUserByUsername()中注入的角色
        Collection<GrantedAuthority> authorities = user.getAuthorities();

        //遍历所有的角色
        for (GrantedAuthority authority : authorities){
            String roleName = authority.getAuthority();
            Integer roleId = sysRoleService.selectByName(roleName);
            //得到角色所有的权限
            List<SysPermission> permissionList = sysPermissionService.listByRoleId(roleId);

            //遍历permissionList
            for(SysPermission sysPermission : permissionList){
                //获取权限集
                List permissions = sysPermission.getPermissions();
                //如果访问的url和权限用户符合的话,返回true
                if(o.equals(sysPermission.getUrl()) && permissions.contains(o1)) {
                    return true;
                }
            }
        }

        return false;
    }

    @Override
    public boolean hasPermission(Authentication authentication, Serializable serializable, String s, Object o) {
        return false;
    }
}

hasPermission()方法中,参数1代表用户的权限身份,参数2参数3分别和@PreAuthorize("hasPermission('/admin','r')")中的参数对应,即访问url和权限。

思路如下:

通过Authentication取出登录用户的所有Role

遍历每一个Role,获取到每个Role的所有Permission

遍历每一个Permission,只要有一个Permission的url和传入的url相同,且该Permission中包含传入的权限,返回true

如果遍历都结束,还没有找到,返回false

下面就是在WebSecurityConfig中注册CustomPermissionEvaluator
 

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    ...
    /**
     * 注入自定义PermissionEvaluator
     */
    @Bean
    public DefaultWebSecurityExpressionHandler webSecurityExpressionHandler(){
        DefaultWebSecurityExpressionHandler handler = new DefaultWebSecurityExpressionHandler();
        handler.setPermissionEvaluator(new CustomPermissionEvaluator());
        return handler;
    }
    ...
}

三、运行程序

当我使用角色为ROLE_USER的用户仍然能访问,因为该用户访问/admin路径具有r权限:

Allen-Wei
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot 实现权限管理(一)
iijik55的博客
08-02 4925
若token失效则返回失效,token未失效进行权限查看(token及权限信息等常用个人信息采用Redis进行缓存),有权限放行,无权限拦截;(2)用户访问登录URL,则无需拦截,判断用户、密码,进行缓存个人信息(查询关系数据库的用户角色、权限信息后进行缓存),并返回token给用户作为下次登录凭证;(2)分类资源(对应相应的权限),一般可以有数据权限、操作权限、访问权限等,表现为对URL(URI)的访问控制;在关系数据库中,由于原子性(第一规范),因此需要两张关联表进行管理用户和角色,角色和权限。...
springboot自定义权限注解(1)-NoAuth
u013008898的博客
03-05 1003
NoAuth: package com.zy.basy.upload.annotation; import java.lang.annotation.ElementType; import java.lang.annotation.Retention; import java.lang.annotation.RetentionPolicy; import java.lang.annotation.Target; @Target({Ele
springboot整合security实现权限控制
最新发布
Amour恋空的博客
05-22 1257
Spring Security 的前身是 Acegi Security ,是。Spring Security 为基于J2EE企业应用软件提供了全面安全服务。特别是使用领先的J2EE解决方案-Spring框架开发的企业软件项目。人们使用Spring Security有很多种原因,不过通常吸引他们的是在J2EE Servlet规范或EJB规范中找不到典型企业应用场景的解决方案。特别要指出的是他们不能再WAR 或 EAR 级别进行移植。
springboot权限系统
ABC_efg123456的博客
03-02 2957
springboot权限管理系统详细思路
Springboot权限管理
zkk的博客
09-05 1800
现在鉴权模块已经非常成熟,以上仅为个人心得和实践,还有很多改进的地方欢迎评论,后续还会补充通过Shiro框架实现的鉴权这一模块。
springboot 权限校验
12-02 2873
springboot做后台开发,难免会用到权限校验,比如查看当前用户是否合法,是否是管理员.而spring的面向切面的特性可以帮助我们很好的实现动态的权限校验.下面我们就用spring的aop和注解来快速的实现权限校验. 1.项目结构搭建 2.相关依赖 <!--aop支持--> <dependency> ...
SpringBoot集成Spring Security登录管理 添加 session 共享【完整源码+数据库】
02-16
以上就是关于"SpringBoot集成Spring Security登录管理 添加 session 共享"的详细讲解。通过这个过程,我们可以创建一个安全且具有session共享功能的SpringBoot应用,为用户提供一致的登录体验。实际操作时,应根据...
基于SpringBoot+SpringSecurity的RBAC管理系统.zip
05-18
【标题】:“基于SpringBoot+SpringSecurity的RBAC管理系统”是一个使用Java开发的现代Web应用程序,它利用了SpringBoot框架的便利性和SpringSecurity的安全管理功能...RBAC模型是一种常见的权限分配策略,...
基于SpringBoot+SpringSecurity+Thymeleaf新冠疫情管理系统设计源码案例设计.zip
04-20
本系统设计案例采用的是现代Web开发的主流技术栈——SpringBootSpringSecurity和Thymeleaf,旨在构建一个新冠疫情的管理平台,实现数据的高效存储、安全访问以及用户友好的界面展示。以下将对这三个核心组件进行...
springboot+mybatis+gradle+thymeleaf+springsecurity
01-03
综上所述,"springboot+mybatis+gradle+thymeleaf+springsecurity"的项目组合,构建了一个功能完善的、安全的Web应用,涵盖了从数据存储、业务处理到用户界面呈现和安全防护的各个层面。开发者可以根据实际需求...
springboot项目——基于springSecurity实现的前后端分离的企业级人事管理系统
10-03
本文将深入探讨如何在SpringBoot项目中集成SpringSecurity,构建一个前后端分离的企业级人事管理系统。 首先,SpringBoot简化了Spring应用的初始化和配置过程,使得开发者可以快速搭建项目结构。在这个案例中,...
SpringBoot基础-权限管理2
weixin_46899412的博客
03-25 1658
自定义注解,SpringBoot分配权限
SpringBoot 整合 Shiro 实现登录验证即权限下放、关于Permission
baolingye的博客
11-15 851
Shiro简介 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。 Shiro三个核心组件: Subject:即“当前操作用户”。但是,在Shiro中,Subject这一概念并不仅仅指人,也可以是第三方进程、后台帐户(Daemon Account)或其他类似事物。它仅仅意味着“当前跟软件交互的东西”。Subject代表了当前用户的安全操作,Secur...
SpringBoot 自定义注解(二)权限校验
这就是快乐嘛
07-20 1310
通过注解加上拦截器实现对指定注解参数的拦截 注解类: @Target({ ElementType.METHOD, ElementType.TYPE}) @Retention(RetentionPolicy.RUNTIME) public @interface PermissionCheck { // 根据参数判断 String resourceKey(); } 再对过滤的方法上面加注解: @GetMapping("v2") @PermissionCheck(resourceKey = "t
SpringBoot 集成 Spring Security 自定义权限逻辑备忘
nangongyanya的专栏
03-28 2420
继上一次记录《SpringBoot 集成 Spring Security 自定义认证逻辑备忘》之后,这次记录一下SpringBoot 集成 Spring Security 自定义权限逻辑 源码位置:码云地址、CSDN下载地址 主要分为三步:1、用户自定义认证通过后获取数据库栏目地址列表;2、添加自定义权限校验器SecurityPermissionEvaluator; 3、注入自定...
自己实现注解式权限校验(SpringBoot)
LitongZero的博客
12-20 4138
权限校验(SpringBoot注解式) 权限校验是很多情况都会用到的,结合Java注解和拦截器,直接在Controller层的方法上添加一个注解,可以无侵入式的进行权限校验。 一.Java注解 1.RequestMapping 我们打开一个最常用的Spring注解 可以看到,RequestMapping注解上,还有几个注解,分别代表 ①Target:注解目标(如:可以在方法、类、参数中使用)...
springBoot中实现权限管理分配菜单
weixin_48122970的博客
08-13 612
在开发过程中根据不同的角色会分配不同的功能,比如管理者有编辑其他用户的功能,而普通用户没有。用于描述role中的id与permission表中的id,有对应的即有该功能。角色表,用户名角色名称以及对应的id ,其中flag为唯一。主要要有role字段用于描述用户角色。
SpringBoot+SpringSecurity+Jwt实现认证和授权
一个肥鲇鱼博客
01-18 1012
*** 自定义退出处理类* @Author: 一个肥鲇鱼*/@Component/*** 退出处理* @return*/@Override// R.success是统一返回类,可自行定义ServletUtils.renderString(response, JSON.toJSONString(R.success("退出成功")));将退出类添加到过滤链中/*** token认证过滤器*//*** 退出处理*/@Overridehttp// 关闭csrf。
Springboot集成SpringSecurity实现登录和权限管理代码
06-07
好的,下面是 SpringBoot 集成 SpringSecurity 实现登录和权限管理的示例代码: 首先,我们需要在 pom.xml 中添加 SpringSecurity 的依赖: ```xml <groupId>org.springframework.boot <artifactId>spring-boot...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值