在用户管理中,常常会有针对模块的权限控制,例如客户管理相关的功能只能管理员查看,管理员的操作权限只能给超级管理员等。更加精细的甚至涉及到某个接口,例如查询接口相对权限较宽松,增删改接口相对权限较严谨。
这个时候,就可以在用户登录后注入权限信息,再通过方法上的注解配置,来实现权限控制。
1,在我们的配置类上面加上开启权限控制的注解
里面有三种配置方式,只需开启一种就行,本文演示的是第三种,jsr250Enabled,使用区别在于方法上面的注解方式不一样。
@resource,@secured,@preAuthorize,使用方法大同小异
2,在登录后MyUserDetailsService里面注入权限信息
注意在设置权限的时候要在前面加上"ROLE_",不然会不起效果
Set<String> permissionSet = new HashSet<String>();
//模拟数据库获得权限列表
if ("zx".equals(user.getUsername())) {
permissionSet = new HashSet<String>(){{add("000000");add("000001");add("000002");}};
}
if ("as".equals(user.getUsername())) {
permissionSet = new HashSet<String>(){{add("010000");add("010001");add("010002");}};
}
if ("qw".equals(user.getUsername())) {
permissionSet = new HashSet<String>(){{add("000000");add("000001");add("000002");add("010000");add("010001");add("010002");}};
}
//设置权限信息
userDetails.setAuthorities(new HashSet<GrantedAuthority>());
permissionSet.forEach(permission -> {
userDetails.getAuthorities().add(new SimpleGrantedAuthority("ROLE_" + permission));
});
3,在方法上加入可允许的权限注解
管理员权限
用户权限
综合步骤2,我们可以看到,zx用户可以操作管理类里面的接口,as用户可以操作用户类里面的接口,qw用户则两个类里面的接口都可以操作。
接下来是测试环节。
我们登录zx用户
测试管理员接口,成功得到返回
测试用户接口,发现没能通过
此时已经可以做到方法级别的权限控制了,剩下的就是用户-角色,角色-权限的配置问题了。
还有,我们发现越权的返回结果不太友好,下面自定义一下越权的返回结果
package com.mu.security4.security.handle;
import com.alibaba.fastjson.JSON;
import org.springframework.security.access.AccessDeniedException;
import org.springframework.security.web.access.AccessDeniedHandler;
import org.springframework.stereotype.Component;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.HashMap;
import java.util.Map;
/**
* 越权时调用
*/
@Component
public class MyAuthenticationAccessDeniedHandler implements AccessDeniedHandler {
@Override
public void handle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AccessDeniedException e) throws IOException, ServletException {
Map<String, Object> responseData = new HashMap<>();
responseData.put("status", 8001);
responseData.put("msg", "无权访问");
httpServletResponse.setContentType("application/json;charset=utf-8");
httpServletResponse.setStatus(200);
httpServletResponse.getWriter().write(JSON.toJSONString(responseData));
}
}
配置类先注入
再配置
本篇记录就到此结束了,如果本篇文章对您有所帮助可以点个赞,不胜感激。如果内容有不对的地方或者有侵犯权益的地方也欢迎留言联系我。
源码地址
security: springboot security 整合,简单实现
附参考博客