使用Spring Security实现用户-权限-资源的精细化控制

于 2024-10-08 16:03:52 发布
阅读量538 收藏 5
点赞数 19
分类专栏: SpringSecurity 文章标签: spring oracle 数据库 security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Takumilove/article/details/142762244
版权

文章目录


在开发Web应用时,权限管理是一个不可忽视的部分。最近在项目中,我使用了Spring Security来实现用户、权限、资源之间的精细化控制。这里我想分享一下我的经验,希望对大家有所帮助。

一、基于权限的请求控制

首先,我们需要根据不同的资源路径设置相应的权限要求。以下是我的配置代码:

http.authorizeHttpRequests(authorize -> authorize
        .requestMatchers("/user/list").hasAuthority("USER_LIST")
        .requestMatchers("/user/add").hasAuthority("USER_ADD")
        // 对所有请求开启授权保护
        .anyRequest()
        // 已认证请求会自动被授权
        .authenticated());

这段代码的含义是:

  • 访问/user/list的请求需要拥有USER_LIST权限。
  • 访问/user/add的请求需要拥有USER_ADD权限。
  • 其他所有请求都需要用户已认证(登录)。

通过这种方式,我们实现了资源路径与权限的直接绑定,确保只有具备特定权限的用户才能访问对应的资源。

二、加载用户权限信息

接下来,我们需要为用户加载其对应的权限信息。在Spring Security中,我们可以通过实现UserDetailsService接口来完成:

@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
    LambdaQueryWrapper<User> lambdaQueryWrapper = new LambdaQueryWrapper<>();
    lambdaQueryWrapper.eq(User::getUsername, username);
    User user = userMapper.selectOne(lambdaQueryWrapper);
    if (user == null) {
        throw new UsernameNotFoundException(username);
    } else {
        Collection<GrantedAuthority> authorities = new ArrayList<>();
        // 模拟为用户添加权限,实际项目中应从数据库获取用户的权限列表
        // authorities.add(() -> "USER_LIST");
        authorities.add(() -> "USER_ADD");
        return new org.springframework.security.core.userdetails
                .User(user.getUsername(), user.getPassword(),
                      user.getEnabled(),
                      // 用户账号是否未过期
                      true,
                      // 用户凭证是否未过期
                      true,
                      // 用户是否未被锁定
                      true,
                      // 用户的权限列表
                      authorities);
    }
}

在这个方法中,我们:

  1. 根据用户名从数据库中查询用户信息。
  2. 如果用户存在,创建一个权限列表authorities
  3. 为用户分配对应的权限(在实际应用中,应从数据库中获取用户的权限列表)。
  4. 返回一个包含用户名、密码、权限等信息的UserDetails对象。

通过这种方式,我们实现了用户与权限的关联,为后续的权限验证提供了基础。

三、自定义异常处理

当用户尝试访问未被授权的资源时,默认情况下会跳转到一个错误页面。为了提升用户体验,我们希望返回一个JSON格式的错误信息。这就需要自定义AccessDeniedHandler

public class MyAccessDeniedHandler implements AccessDeniedHandler {
    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response,
                       AccessDeniedException accessDeniedException) throws IOException, ServletException {
        // 创建结果对象
        HashMap<String, Object> result = new HashMap<>();
        result.put("code", -1);
        result.put("message", "没有权限");

        // 转换成JSON字符串
        String json = JSON.toJSONString(result);

        // 返回响应
        response.setContentType("application/json;charset=utf-8");
        response.getWriter().println(json);
    }
}

这样,当用户没有权限访问某个资源时,会返回一个包含错误代码和提示信息的JSON对象,方便前端进行处理。

四、注册自定义异常处理器

最后,我们需要在Spring Security的配置中注册我们自定义的异常处理器:

http.exceptionHandling(exception -> {
    // 请求未认证的处理
    exception.authenticationEntryPoint(new MyAuthenticationEntryPoint());
    // 请求未授权的处理
    exception.accessDeniedHandler(new MyAccessDeniedHandler());
});

通过上述配置,Spring Security会在遇到认证或授权异常时,调用我们自定义的处理器,从而返回统一的错误信息。

image-20241008160219176

五、总结

通过以上步骤,我们实现了用户、权限、资源之间的精细化控制:

  • 用户:通过UserDetailsService加载用户信息和权限。
  • 权限:为用户分配特定的权限标识符,如USER_LISTUSER_ADD
  • 资源:通过requestMatchers指定资源路径,并绑定所需的权限。

这种用户-权限-资源的控制方式,能够有效地保障系统的安全性,确保只有具备相应权限的用户才能访问特定的资源。

Takumilovexu
关注
专栏目录
【微服务】springboot 整合 SA-Token 使用详解
congge
08-04 1万+
springboot 整合 SA-Token 使用详解
使用Spring Security和Redis实现用户登录以及权限控制,介绍下细节
weixin_35752122的博客
01-09 413
好的,这是使用 Spring Security 和 Redis 实现用户登录以及权限控制的一个简单示例。 在你的项目中引入 Spring Security 和 Redis 的依赖。 配置 Redis 的连接工厂和 Redis 的模板。 在 Spring Security 中配置 Redis 的相关 bean,用于缓存权限信息。 实现自定义的 UserDetailsService 来加载用户...
第10章 Spring Security 的未来趋势与高级话题(2024 最新版)
江帅帅
03-03 1085
在这个案例中,我们将通过实现一个基于短信验证码的认证流程来展示如何自定义用户认证流程。这种认证方式在移动应用或需要二次验证的场景中非常有用。步骤 1:定义短信验证码认证令牌首先,定义一个代表短信验证码认证信息的。这个令牌将在认证过程中使用,以携带用户的手机号和短信验证码。// 初始化时未认证@Override@Override// 认证成功后,设置用户权限并标记为已认证// 必须在设置权限前调用步骤 2:实现短信验证码认证提供者接着,创建一个实现,用于处理的认证逻辑。
spring security学习笔记(二)--授权
bjjx123456的博客
10-01 627
例:只有这个user在其对应的role对应的menu表中的perms字段(权限字段)中有sys:student:operation才可以访问。我们知道springboot中有全局异常处理器,当发生异常后会如果没在controller层,service层或者dao层进行处理会向上抛出给全局异常处理器,从而统一返回结果。SpringSecurity也有异常处理机制,我们还希望在认证失败或者是授权失败的情况下也能和我们的接口一样返回相同结构的json,这样可以让前端能对响应进行统一的处理。
第4章 Spring Security 的授权与角色管理(2024 最新版)
江帅帅
02-29 711
在更复杂的安全需求中,简单的角色检查可能不足以满足需求,这时可以通过自定义投票策略来进行细粒度的控制Spring Security 提供了一个灵活的访问决策管理器(),它可以根据多个投票器()的投票结果来决定是否授予访问权限。启动应用并尝试在不同时间访问受保护的资源。你会发现,只有在定义的时间段内(例如上午 9:00 至下午 5:00),请求才会被允许;其他时间则会被拒绝。
Shiro和spring Security简介及用shiro配置权限和拦截
Andrew0219的博客
05-13 531
Shiro及Security相关概念什么是ACL和RBAC什么是 spring Security:什么是 Apache Shiro:讲解用户访问整合Shrio的系统,权限控制的运行流程和Shiro常见名称讲解shiro的使用 什么是ACL和RBAC ACL: Access Control List 访问控制列表 以前盛行的一种权限设计,它的核心在于用户直接和权限挂钩 优点:简单易用,开发便捷 缺点:用户权限直接挂钩,导致在授予时的复杂性,比较分散,不便于管理 例子:常见的文件系统权限设计, 直接给用
SpringBoot集成Spring Security(5)——权限控制
SKT_T1_Faker的博客
11-20 1211
在第一篇中,我们说过,用户&lt;–&gt;角色&lt;–&gt;权限三层中,暂时不考虑权限,在这一篇,是时候把它完成了。 为了方便演示,这里的权限只是对角色赋予权限,也就是说同一个角色的用户权限是一样的。当然了,你也可以精细化到为每一个用户设置权限,但是这不在本篇的探讨范围,有兴趣可以自己实验,原理都是一样的。 目录 一、数据准备 1.1 创建sys_permission表 1.2 ...
使用redisMQ-spring-boot-starter实现消息队列和延时队列
a785975139的博客
02-22 1067
项目地址:https://github.com/lengmianshi/redisMQ-spring-boot-starter-parent,欢迎提bug。虚拟空间很有必要,例如,开发环境和测试环境的数据如果没有隔离,在调试时被测试环境的消费端干扰。已支持的订单,xxx天后自动确认收货等。浏览器访问:http://ip:port/queue.html,默认的账号密码为admin/admin。一般引入redis的项目都会事先配置,如果你的项目没配置过,则可在。包装,这只是我的个人习惯,你也可以使用实体类。
spring-authorization-server系列--Oauth介绍
qq_16033193的博客
06-03 843
OAuth 不是一个 API 或者服务,而是一种开放的授权协议,用于允许 web、移动和桌面应用程序以简单和标准的方法进行安全授权。即:OAuth 关注的是 Authorization(授权)的层面(即“What”),而不是 Authentication(认证)的层面。
SpringBoot2.0 整合 SpringSecurity 框架实现用户权限安全管理方法
08-25
Spring Boot 2.0 整合 Spring Security 框架实现用户权限安全管理】 Spring Security 是一个强大的安全框架,专为基于Spring的应用程序提供声明式的安全访问控制。它通过Spring的依赖注入(DI)和面向切面编程...
基于Spring Security的Activiti7工作流管理系统简介及实现-源码
06-10
1. **用户认证与授权**:Spring Security负责用户登录、权限验证,确保只有合法用户可以访问工作流系统,并根据用户角色和权限控制对不同流程的访问。 2. **流程启动与审批权限控制**:利用Spring Security的授权...
管理系统系列--pre基于spring security的RBAC权限管理系统.zip
02-25
通过以上步骤,我们可以构建出一个基于Spring Security的RBAC权限管理系统,有效地控制用户对系统的访问权限,保证系统的安全性。在实际开发过程中,还需要考虑如异常处理、记住我功能、会话超时等细节问题,以提供...
SpringMVC精品资源--Spring Security Core Brewery.zip
02-18
SpringMVC应用中整合Spring Security,可以实现对Web请求的精细控制。首先,需要在SpringMVC配置中引入Spring Security的依赖,并配置相应的安全拦截器。这通常涉及到以下步骤: 1. 添加Spring Security的依赖到...
Spring MVC的运行流程详解
J老熊
10-03 1002
Spring MVC作为一个广泛使用的框架,提供了灵活且强大的MVC架构支持。尤其在业务系统中,Spring MVC能够有效地处理大量并发请求,提供良好的用户体验。本文将详细讲解Spring MVC的运行流程,以电商交易系统为案例,帮助读者深入理解其工作原理。
毕业设计_基于springboot+layui+mybatisPlus的中小型仓库物流管理系统源码+SQL+教程+可运行】41004
pingguocu3的博客
10-04 892
毕业设计--课程设计--springboot--java 登录管理员账号:system 密码:123456 验证码输入:注意验证码字母要大写。启动项目后运行http://locahost:8080跳转到登录界面即可。后端:springboot、mybatis-plus、shiro。application.yml文件中的数据库连接信息。运行sql目录下的warehouse.sql文件。1.基础管理:商品管理、客户管理、供应商管理;2.物流管理:进货管理、发货管理、交付管理...
netty之SpringBoot+Netty+Elasticsearch收集日志信息数据存储
CSDN_LiMingfly的博客
10-04 744
将大量的业务以及用户行为数据存储起来用于分析处理,但是由于数据量较大且需要具备可分析功能所以将数据存储到文件系统更为合理。尤其是一些互联网高并发级应用,往往数据库都采用分库分表设计,那么将这些分散的数据通过binlog汇总到一个统一的文件系统就显得非常有必要。#开发环境环境准备windows安装包 下载注意 es是以来java环境 所以需要安装jdk 支持1.7以上es-hander下载可视化操作插件@Id//姓名//年龄//级别//时间//电话//邮箱//地址。
Springboot人才求职招聘系统源码(前台+后台)
最新发布
10-06 455
项目技术:springboot运行环境:jdk1.8+idea/eclipse+maven3+mysql5.6。
SpringBoot实现社区医院数据集成解决方案
2401_85743969的博客
10-01 920
同时,一个大型的计算机网站系统,必须有一个正确的设计指导思想,通过合理选择数据结构、网络结构、操作系统以及开发环境,构成一个完善的网络体系结构,才能充分发挥计算机信息管理的优势。随着计算机技术的发展以及计算机网络的逐渐普及,互联网成为人们查找信息的重要场所,二十一世纪是信息的时代,所以信息的管理显得特别重要。随着互联网技术的快速发展,网络时代的到来,网络信息也将会改变当今社会。2.高可靠性:一个实用的网站同时必须是可靠的,本设计通过合理而先进的网络设计以及软、硬件的优化选型,可保证网站的可靠性与容错性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值