权限控制、Spring Security(笔记)

最新推荐文章于 2024-04-03 00:01:18 发布
最新推荐文章于 2024-04-03 00:01:18 发布
阅读量345 收藏 1
点赞数 1
分类专栏: Spring 文章标签: spring SpringSecurity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Tang_cancan/article/details/103672181
版权

初次学习Spring Security框架!

了解一下权限控制

认证授权概念:

  • 认证:系统提供的用于识别用户身份的功能,通常提供用户名和密码进行登录其实就是在进行认证,认证的目的是让系统知道你是谁。
  • 授权:用户认证成功后,需要为用户授权,其实就是指定当前用户可以操作哪些功能。
权限模块数据模型

一般来说,有这7种表:

用户表user,权限表permission,角色表role,菜单表menu

用户角色关系表user_role,角色权限关系表role_permission,角色菜单关系表role_menu

认证过程:只需要用户表
授权过程:用户必须完成认证之后才能进行授权,首先可以根据用户查询其角色,再根据角色查询对应的菜单,然后再根据用户的角色查询对应的权限,这样就确定了用户拥有哪些权限

接着学习~

什么是Spring Security

简单的话就是:提供安全认证服务的框架
详情-> 官网:https://spring.io/projects/spring-security

(其他安全认证框架Apache shrio)

创建一个maven项目,打成war包,来试试手

对应的maven坐标
<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-web</artifactId>
    <version>5.0.5.RELEASE</version> 
</dependency>
<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-config</artifactId>
    <version>5.0.5.RELEASE</version> 
</dependency>

配置它当然还得记得导入spring相关的依赖
因为相互依赖嘛
在这里插入图片描述

接着配置web.xml

用于整合第三方框架 DelegatingFilterProxy

    <!--
    DelegatingFilterProxy用于整合第三方框架
    整合Spring Security时过滤器的名称必须为springSecurityFilterChain,否则会抛出NoSuchBeanDefinitionException异常
-->
    <filter>
        <filter-name>springSecurityFilterChain</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>springSecurityFilterChain</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

这里的其他配置就没写入了,加载配置文件,比如DispatcherServlet

下一步配置spring-security.xml

主要配置Spring Security拦截规则和认证管理器

来来来,先大概了解一下有关配置

<!--
	http:用于定义相关权限控制
	auto‐config:是否自动配置
	设置为true时框架会提供默认的一些配置,例如提供默认的登 录页面、登出处理等
	设置为false时需要显示提供登录表单配置,否则会报错
	use‐expressions:用于指定intercept‐url中的access属性是否使用表达式
-->
<security:http auto‐config="true" use‐expressions="true">
	<!--
		intercept‐url:定义一个拦截规则
		pattern:对哪些url进行权限控制	/**代表对所有的请求资源
		access:在请求对应的URL时需要什么权限,默认配置时它应该是一个以逗号 分隔的角色列表,
		请求的用户只需拥有其中的一个角色就能成功访问对应的URL
	-->
	<security:intercept‐url pattern="/**" access="hasRole('ROLE_ADMIN')" />
</security:http>

<!--authentication‐manager:认证管理器,用于处理认证操作-->
<security:authentication-manager>
    <!--authentication‐provider:认证提供者,执行具体的认证逻辑 -->
    <security:authentication-provider>
        <!--
                配置一个具体的用户,后期需要从数据库查询用户
                user:定义用户信息,可以指定用户名、密码、角色,
                {noop}:表示当前使用的密码为明文
                -->
        <security:user-service>
            <security:user name="admin" 
            				password="{noop}1234" 
            				authorities="ROLE_ADMIN"/>
        </security:user-service>
    </security:authentication-provider>
</security:authentication-manager>

这是一个简单的配置

接着接着

配置可匿名访问的资源

<!--配置哪些资源匿名可以访问(不登录也可以访问)-->
	<!--
		security="none"不进行安全检查
		pattern放行哪些
	-->
    <security:http security="none" pattern="/a.html"></security:http>
    <security:http security="none" pattern="/pages/b.html"></security:http>
    <!--
    	/**放行所有的
    -->
    <security:http security="none" pattern="/**"></security:http>

使用指定的登录界面

先创建一个login.html页面,简单的表单登录那几个框框
在这里插入图片描述
接着,放行这个页面

<security:http security="none" pattern="/login.html"></security:http>

然后

<!--如果我们要使用自己指定的页面作为登录页面,必须配置登录表单.页面提交的登录表单请求是由框架负责处理-->
<!--
    login-page:指定登录页面访问URL
    username-parameter,password-parameter:取前端表单的name对应的属性
    login-processing-url:请求路径
    default-target-url:默认跳转页面
    authentication-failure-url:校验失败跳转
-->
<security:form-login
        login-page="/login.html"
        username-parameter="username"
        password-parameter="password"
        login-processing-url="/login.do"
        default-target-url="/pages/main.html"
        authentication-failure-url="/login.html"></security:form-login>

最后

<!--
  csrf:对应CsrfFilter过滤器
  disabled:是否启用CsrfFilter过滤器,如果使用自定义登录页面需要关闭此项,否则登录操作会被禁用(403)
-->
<security:csrf disabled="true"></security:csrf>

从数据库查询用户信息
必须按照spring security框架的要求提供一个实现UserDetailsService接口的实现类,并按照框架的要求进行配置即可

实现类代码

import com.alibaba.dubbo.config.annotation.Reference;
import com.trc.pojo.Permission;
import com.trc.pojo.Role;
import com.trc.pojo.User;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Component;

import java.util.ArrayList;
import java.util.List;
import java.util.Set;

@Component
public class SpringSecurityUserService implements UserDetailsService {

    @Reference
    private UserService userService;
    //根据用户名查询用户信息
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        //远程调用用户服务,根据用户名查询用户信息
        User user = userService.findByUsername(username);
        if (user == null){
            return null;
        }
        List<GrantedAuthority> list = new ArrayList<>();

        //动态为当前用户授权
        Set<Role> roles = user.getRoles();
        for (Role role : roles) {
            //授予角色
            list.add(new SimpleGrantedAuthority(role.getKeyword()));
            Set<Permission> permissions = role.getPermissions();
            for (Permission permission : permissions) {
                //遍历权限集合,为用户授权
                list.add(new SimpleGrantedAuthority(permission.getKeyword()));
            }
        }

        org.springframework.security.core.userdetails.User securityUser = new org.springframework.security.core.userdetails.User(username,user.getPassword(),list);
        return securityUser;
    }
}

仅供参考,看看其过程
当然这里你可以模拟用户数据,用静态代码块创建一个出来就行了,就不用userService去调方法等等操作

配置

<!--配置认证管理器-->
<security:authentication-manager>
    <!--配置认证提供者-->
    <security:authentication-provider user-service-ref="springSecurityUserService">

    </security:authentication-provider>
</security:authentication-manager>

<bean id="springSecurityUserService" class="com.trc.service.SpringSecurityUserService"></bean>

密码进行加密

<!--指定度密码进行加密的对象-->
<security:password-encoder ref="passwordEncoder"></security:password-encoder>

<!--配置密码加密对象-->
<bean id="passwordEncoder"
          class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder" />

bcrypt:将salt随机并混入最终加密后的密码,验证时也无需单独提供之前的salt,从而无需单独处理salt问题
加密后的格式一般为

$2a$10$/bTVvqqlH9UiE0ZJZ7N2Me3RIgUCdgMheyTgV0B4cMCSokPa.6oCa

加密后字符串的长度为固定的60位;其中:$是分割符,无意义;2a是bcrypt加密版本号;10是cost的值;而后的前22位是salt值;再然后的字符串就是密码的密文了;

注解方式权限控制

Spring Security除了可以在配置文件中配置权限校验规则,还可以使用注解方式控制类中方法的调用。例如Controller中的某个方法要求必须具有某个权限才可以访问,此时就可以使用Spring Security框架提供的注解方式进行控制

  1. 在spring-security.xml文件中配置组件扫描,用于扫描Controller
<mvc:annotation‐driven></mvc:annotation‐driven>
<context:component‐scan base‐package="com.trc.controller"></context:component‐scan>
  1. 在spring-security.xml文件中开启权限注解支持
<security:global‐method‐security pre‐post‐annotations="enabled" />
  1. 创建Controller类并在Controller的方法上加入注解进行权限控制
@RestController
@RequestMapping("/hello")
public class HelloController {
	@RequestMapping("/add")
	@PreAuthorize("hasAuthority('add')")//表示用户必须拥有add权限才能调用当前方法
	public String add(){
		System.out.println("add...");
		return "success";
	}

	@RequestMapping("/delete")
	@PreAuthorize("hasRole('ROLE_ADMIN')")//表示用户必须拥有ROLE_ADMIN角色才能调用当前方法
	public String delete(){
		System.out.println("delete...");
		return "success";
	}
}

欧啦!

再来一个

退出登录

我们可以使用Spring Security框架,配置后,帮我们退出登录

用户完成登录后Spring Security框架会记录当前用户认证状态为已认证状态

简单的说就是,相当于一个过滤器,我们发出请求后,帮我们清空了session,也就是登录失效

<!--
  logout:退出登录
  logout-url:退出登录操作对应的请求路径
  logout-success-url:退出登录后的跳转页面
-->
<security:logout logout-url="/logout.do"
                 logout-success-url="/login.html" invalidate-session="true"/>

最最最后
记录一下我整合后的spring-security.xml

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xmlns:context="http://www.springframework.org/schema/context"
       xmlns:dubbo="http://code.alibabatech.com/schema/dubbo"
       xmlns:mvc="http://www.springframework.org/schema/mvc"
       xmlns:security="http://www.springframework.org/schema/security"
       xsi:schemaLocation="http://www.springframework.org/schema/beans
						http://www.springframework.org/schema/beans/spring-beans.xsd
						http://www.springframework.org/schema/mvc
						http://www.springframework.org/schema/mvc/spring-mvc.xsd
						http://code.alibabatech.com/schema/dubbo
						http://code.alibabatech.com/schema/dubbo/dubbo.xsd
						http://www.springframework.org/schema/context
						http://www.springframework.org/schema/context/spring-context.xsd
                     http://www.springframework.org/schema/security
                     http://www.springframework.org/schema/security/spring-security.xsd">

    <!--配置哪些资源匿名可以访问(不登录也可以访问)-->
    <security:http security="none" pattern="/login.html"></security:http>
    <security:http security="none" pattern="/css/**"></security:http>
    <security:http security="none" pattern="/img/**"></security:http>
    <security:http security="none" pattern="/js/**"></security:http>
    <security:http security="none" pattern="/plugins/**"></security:http>
    <!--
        auto-config:自动配置,如果设置为true,表示自动应用一些默认配置,比如框架会提供一个默认的登录页面
        use-expressions:是否使用spring security提供的表达式来描述权限
    -->
    <security:http auto-config="true" use-expressions="true">
        <security:headers>
            <!--设置在页面可以通过iframe访问受保护的页面,默认为不允许访问-->
            <security:frame-options policy="SAMEORIGIN"></security:frame-options>
        </security:headers>
        <!--配置拦截规则,/** 表示拦截所有请求-->
        <!--
            pattern:描述拦截规则
            asscess:指定所需的访问角色或者访问权限
        -->
        <!--只要认证通过就可以访问-->
        <security:intercept-url pattern="/pages/**"  access="isAuthenticated()" />

        <!--如果我们要使用自己指定的页面作为登录页面,必须配置登录表单.页面提交的登录表单请求是由框架负责处理-->
        <!--
            login-page:指定登录页面访问URL
        -->
        <security:form-login
                login-page="/login.html"
                username-parameter="username"
                password-parameter="password"
                login-processing-url="/login.do"
                default-target-url="/pages/main.html"
                authentication-failure-url="/login.html"></security:form-login>

        <!--
          csrf:对应CsrfFilter过滤器
          disabled:是否启用CsrfFilter过滤器,如果使用自定义登录页面需要关闭此项,否则登录操作会被禁用(403)
        -->
        <security:csrf disabled="true"></security:csrf>

        <!--
          logout:退出登录
          logout-url:退出登录操作对应的请求路径
          logout-success-url:退出登录后的跳转页面
        -->
        <security:logout logout-url="/logout.do"
                         logout-success-url="/login.html" invalidate-session="true"/>

    </security:http>

    <!--配置认证管理器-->
    <security:authentication-manager>
        <!--配置认证提供者-->
        <security:authentication-provider user-service-ref="springSecurityUserService">
            <!--
                    配置一个具体的用户,后期需要从数据库查询用户
            <security:user-service>
                <security:user name="admin" password="{noop}1234" authorities="ROLE_ADMIN"/>
            </security:user-service>
            -->
            <!--指定度密码进行加密的对象-->
            <security:password-encoder ref="passwordEncoder"></security:password-encoder>
        </security:authentication-provider>
    </security:authentication-manager>

    <!--配置密码加密对象-->
    <bean id="passwordEncoder"
          class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder" />

    <!--开启注解方式权限控制-->
    <security:global-method-security pre-post-annotations="enabled" />
</beans>

在spring-mvc.xml中

<import resource="spring-security.xml"/>
Splendid 、
关注
专栏目录
爆破专栏丨Spring Security系列教程之Spring Security的四种权限控制方式
xiaoxijinger的博客
11-05 1234
原创:一一哥 前言: 在前面的章节中,一一哥 已经给大家介绍了Spring Security的很多功能,在这些众多功能中,我们知道其核心功能其实就是认证+授权。 在前面我们分别基于内存模型、基于默认的数据库模型、基于自定义数据库模型实现了认证和授权功能,但是不管哪种方式,我们对某个接口的拦截限制,都是通过编写一个SecurityConfig配置类,在该类的configure (Http Security http)方法中,通过http. authorize Requests ( ). antMatchers
基于Spring Security的方法级别权限控制笔记
weixin_43591127的博客
10-17 357
基于Spring Security的方法级别权限控制 基于spring security的方法权限控制有三种类型注解:JSR-250注解,@Secured注解和支持表达式的注解,这三种注解都是没有开启的,需要通过global-method-security元素的对应属性进行启用 它们之间的关系为 从2.0版开始,springsecurity大大改进了对向服务层方法添加安全性的支持。它提供了对JSR-250注释安全性以及框架的原始@Secured注释的支持。从3.0开始,还可以使用新的基于表达式的注释。可以
spring security控制权限的方法
ichasel的专栏
04-15 1067
细分角色和权限,并将用户、角色、权限和资源均采用数据库存储,并且自定义过滤器,代替原有的FilterSecurityInterceptor过滤器, 并分别实现AccessDecisionManager、InvocationSecurityMetadataSourceService和UserDetailsService,并在配置文件中进行相应配置。 验证及授权的过程如下:     1、
SpringSecurity权限控制
qq_61544409的博客
03-21 7830
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。 正如你可能知道的关于安全方面的两个核心功能是“认证”和“授权”,一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分,这两点也是 SpringSecurity 重要核心功
Spring security权限控制流程
weixin_42577735的博客
02-14 260
Spring Security权限控制流程如下: 1.请求被发送到应用程序 2.请求通过Spring Security过滤器链 3.请求被身份验证过滤器认证 4.请求经过授权过滤器授权 5.如果请求被授权,它将被传递到目标资源 6.如果请求未被授权,将返回没有权限的错误响应 注意: 此流程是基于Spring Security默认配置的,可以根据需要自定义。 ...
SpringSecurity笔记,编程不良人笔记
10-28
在本笔记中,我们将深入探讨SpringSecurity的核心概念、配置以及如何与SpringBoot结合使用。 1. **SpringSecurity核心概念** - **Filter Chain**: SpringSecurity通过一系列过滤器实现其安全功能,这些过滤器构成...
springsecurity学习笔记
12-13
在"springsecurity学习笔记"中,你可能会涉及以下主题: - Spring Security的基本配置,包括web安全配置和全局安全配置。 - 如何自定义认证和授权流程,比如实现自定义的AuthenticationProvider和...
Spring Security笔记.rar
05-07
笔记将深入探讨Spring Security的核心概念、配置以及如何在实际项目中应用。 一、Spring Security核心概念 1. **身份验证(Authentication)**:这是验证用户身份的过程。Spring Security提供了多种方式来实现,...
SpringSecurity笔记
09-24
Spring Security 是一个强大的和高度可定制的框架,专门用于为基于 Spring 的企业级应用程序提供安全访问控制。它利用 Spring 的核心特性,如 Inversion of Control (IoC)、Dependency Injection (DI) 和 Aspect-...
Spring Security学习笔记(一)
09-07
Spring Security 是一个强大的安全框架,用于为Java应用提供安全控制,包括身份验证、授权等核心功能。本篇学习笔记将带你走进Spring Security的世界,逐步理解并掌握其基本用法。 首先,要开始使用Spring Security...
Spring security控制权限的几种方法
小飞侠的博客
01-06 615
使用springSecurity3的四种方法概述 那么在Spring Security3的使用中,有4种方法: 一种是全部利用配置文件,将用户、权限、资源(url)硬编码在xml文件中,已经实现过,并经过验证; 二种是用户和权限用数据库存储,而资源(url)和权限的对应采用硬编码配置,目前这种方式已经实现,并经过验证。 三种是细分角色和权限,并将用户、角色、权限和资源均采用数据库存储,...
springsecurity权限控制系列教程:1 入门
ice-wee的专栏
08-14 1768
springsecurity的执行过程,无非就是拦截器的执行流程,网上有很多资料可供学习。新手学习后实际去做权限控制时,感觉对springsecurity的理解还是雾里看花,如何快速学透权限控制?看完我这篇博客就行了。拦截器里面的实现需要一些组件来实现,在这些组件中有三个最重要接口or方法1 UserDetailsService 处理用户和用户可以访问的url(可以在数据库中配置用户,角色)   ...
13、使用Spring Security进行权限控制
nice___amusin的博客
07-30 3074
2、配置Security,主要是对授权的配置,(认证使用的是原来的认证方案,没有对登录认证进行相关配置);普通的拦截器,通过实现HandlerInterceptor接口实现拦截器,通过实现WebMvcConfigurer接口实现一个配置类,在配置类中注入拦截器,最后再通过@Configuration注解注入配置。2、LoginTicket拦截器在请求一开始就会判断凭证,可以在此时对用户进行认证,并构建用户认证的结果,存入SecurityContext,以便于Security进行授权。3、异步请求时的处理。.
spring-security权限处理办法
Saton
11-27 564
第一种 使用jsr-250注解 第二种 使用@secured注解 第三种 表达式
Spring Security 中的四种权限控制方式
最新发布
WJud11的博客
04-03 1178
看完美团、字节、腾讯这三家的一二三面试问题,是不是感觉问的特别多,可能咱们真的又得开启面试造火箭、工作拧螺丝的模式去准备下一次的面试了。开篇有提及我可是足足背下了Java互联网工程师面试1000题,多少还是有点用的呢,换汤不换药,不管面试官怎么问你,抓住本质即可!能读到此处的都是真爱Java互联网工程师面试1000题。
Spring Security权限控制
m0_56409614的博客
03-20 2443
该文章为学习Spring Security(权限控制)的一点基础知识
Spring Security 权限控制
m0_48922996的博客
07-16 8529
项目版本BootSecurity官网文档在前面的文章中,所有的接口只需要登录就能访问。并没有对每个接口进行权限限制。在正式的系统中,一个用户会拥有一个或者多个角色,而不同的角色会拥有不同的接口权限。如果要实现这些功能,需要重写中的。HttpSecurity用于构建一个安全过滤器链SecurityFilterChain,可以通过它来进行自定义安全访问策略。@Bean}@Override.and()}@Overridehttp.authorizeRequests()//开启配置。...
spring security控制权限的几种方法
weixin_30498921的博客
04-02 342
spring security控制权限的几种方法 分类: spring security 2012-02-11 10:38 99人阅读 评论(0) 收藏 举报 使用Spring Security3的四种方法概述 那么在Spring Security3的使用中,有4种方法: 一...
SpringSecurity权限管理基本概念和整体架构介绍
写写平时的技术与感想
05-23 3432
Spring Security是⼀个功能强⼤、可⾼度定制的身份验证和访问控制框架。它是保护基于Spring的应⽤程序的事实标准。Spring Security是⼀个⾯向Java应⽤程序提供身份验证和安全性的框架。与所有Spring项⽬⼀样,Spring Security的真正威⼒在于它可以轻松地扩展以满⾜定制需求。是⼀个功能强⼤、可⾼度定制的身份验证和访问控制的框架。或者说⽤来实现系统中权限管理的框架。
Spring Security笔记
08-14
Spring Security是一个功能强大、灵活的身份验证和访问控制框架,用于保护基于Spring的应用程序。它提供了一套完整的认证和授权解决方案,可以帮助开发人员轻松地添加安全功能到他们的应用程序中。 以下是一些常见的Spring Security笔记: 1. Spring Security的核心概念:Spring Security基于一些核心概念,如认证(Authentication)、授权(Authorization)、用户(User)、角色(Role)等。了解这些概念对于理解和使用Spring Security非常重要。 2. 配置Spring Security:通过配置文件或Java代码,可以将Spring Security集成到应用程序中。配置文件中可以定义安全规则、用户信息、角色等。 3. 认证:认证是验证用户身份的过程。Spring Security支持多种认证方式,如基于表单、基于HTTP Basic认证、基于OAuth2等。开发人员可以选择适合自己应用程序的认证方式。 4. 授权:授权是决定用户是否有权限执行某个操作的过程。Spring Security提供了一套强大的授权机制,可以基于角色、权限、资源等进行访问控制。 5. 自定义认证和授权:通过实现Spring Security提供的接口或扩展现有的类,开发人员可以自定义认证和授权逻辑。这允许开发人员根据应用程序的特定需求定制安全策略。 6. 集成其他安全框架:Spring Security可以与其他安全框架(如OAuth2、LDAP、CAS等)进行集成,以满足不同应用程序的安全需求。 7. 日志和调试:Spring Security提供了详细的日志记录机制,可以帮助开发人员调试和排查安全问题。 以上是关于Spring Security的一些笔记,希望对你有帮助!如果你有其他问题,请随时提问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值