【08】Spring Security登录授权和权限控制。

已于 2024-03-17 16:49:32 修改
阅读量397 收藏 10
点赞数 6
文章标签: spring java
于 2024-03-17 14:52:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Wgwvs/article/details/136782193
版权

1.引入依赖

        <!--权限控制-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

2.编写SecurityConfiguration配置类

package com.itheima.config;

import com.itheima.controller.backend.security.SpringSecurityUserService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.builders.WebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;


/**
 * Security配置类
 */
@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {

    /**
     * http请求处理方法
     *
     * @param http
     * @throws Exception
     */
    //授权
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // 开启表单认证
        http.formLogin()
                // 自定义登录页面
                .loginPage("/backend/login.html")
                // 登录访问的url
                .loginProcessingUrl("/login")
                // 修改自定义表单name值.
                .usernameParameter("username").passwordParameter("password")
                // 登录成功后跳转路径
                .defaultSuccessUrl("/backend/pages/main.html")
                // 配置要控制的http URL---认证请求
                .and().authorizeRequests()
                //允许匿名访问的
                .antMatchers("/backend/login.html", "/backend/css/**", "/backend/img/**", "/backend/js/**", "/backend/plugins/**", "/favicon.ico").permitAll()
                //所有请求都需要登录认证才能访问;
                .anyRequest().authenticated();
        // 关闭csrf防护
        http.csrf().disable();
        // 允许iframe加载页面
        http.headers().frameOptions().sameOrigin();
        //注销,开启注销功能
        http.logout();
        http.rememberMe();
    }
    //认证用户
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(securityUserService).passwordEncoder(myPasswordEncoder());
    }
    @Autowired
    private SpringSecurityUserService securityUserService;
    @Bean
    protected PasswordEncoder myPasswordEncoder() {
        return new BCryptPasswordEncoder();
    }

}

3.创建一个类实现UserDetailsService接口,重写其中的方法。

根据用户名从数据库中查询用户信息。封装用户-角色-权限

package com.itheima.controller.backend.security;

import com.itheima.pojo.Permission;
import com.itheima.pojo.Role;
import com.itheima.pojo.User;
import com.itheima.service.UserService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;

import java.util.ArrayList;
import java.util.List;
import java.util.Set;

@Service
public class SpringSecurityUserService implements UserDetailsService {
    //查找服务,实现查询数据库
    @Autowired
    private UserService userService;

    //根据用户名查询数据库中用户信息
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        User user = userService.findByUsername(username);
        if(user == null){
            //用户名不存在
            return null;
        }
        List<GrantedAuthority> list = new ArrayList<>();
        //动态为当前用户授权
        Set<Role> roles = user.getRoles();
        for (Role role : roles) {
            //授予角色·
            list.add(new SimpleGrantedAuthority(role.getKeyword()));
            Set<Permission> permissions = role.getPermissions();
            for (Permission permission : permissions) {
                //授权
                list.add(new SimpleGrantedAuthority(permission.getKeyword()));
            }
        }
        org.springframework.security.core.userdetails.User securityUser =
                new org.springframework.security.core.userdetails.User(username,user.getPassword(),list);
        return securityUser;
    }
}

userService.findByUsername方法

package com.itheima.service.serviceImpl;

import com.itheima.dao.PermissionDao;
import com.itheima.dao.RoleDao;
import com.itheima.dao.UserDao;
import com.itheima.pojo.Permission;
import com.itheima.pojo.Role;
import com.itheima.pojo.User;
import com.itheima.service.UserService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;
import org.springframework.transaction.annotation.Transactional;

import java.util.Set;

@Service
public class UserServiceImpl implements UserService {
    @Autowired
    private UserDao userDao;
    @Autowired
    private RoleDao roleDao;
    @Autowired
    private PermissionDao permissionDao;

    /**
     * 根据用户名称查询用户信息和角色信息、权限信息
     * @param username
     * @return
     */
    @Transactional
    @Override
    public User findByUsername(String username) {
        //查询用户信息
        User user = userDao.findByUsername(username);
        if(user == null){
            return null;
        }

        Integer userId = user.getId();
        //根据用户Id查询用户角色
       Set<Role> roles =  roleDao.findByUserid(userId);
       //根据角色查询对应的权限
        for (Role role : roles) {
            Integer roleId = role.getId();
            //根据角色id查找对应的角色
            Set<Permission> permissions = permissionDao.findByRoleid(roleId);
            //为角色设置权限
            role.setPermissions(permissions);
        }
        //为用户设置角色
        user.setRoles(roles);
        return user;
    }
}

++n
关注
Spring security实现登陆和权限角色控制
09-09
在这个场景中,我们将探讨如何使用Spring Security来实现登录权限角色控制。首先,确保你正在使用的Spring版本为4.3.2.RELEASE,而Spring Security版本是4.1.2.RELEASE。在开始之前,你需要对Spring MVC、SPeL...
Spring Security如何使用URL地址进行权限控制
08-25
其中,权限控制Spring Security的一个重要组件,它允许开发者根据用户角色和权限控制访问不同的资源。在本文中,我们将探讨如何使用Spring Security来实现URL地址的权限控制权限控制是指根据用户的角色和...
Spring框架系列(五)--Spring AOP以及实现用户登录权限控制
qq_37813807的博客
06-05 261
一、背景: 当需要为多个不具有继承关系的对象引入一个公共行为,例如日志、权限验证等功能时。 如果使用OOP,需要为每个Bean引入这些公共行为。会产生大量重复代码,并且不利用维护。 AOP就是为了解决这个问题。 二、AOP: AOP可以理解一种思想,不是Java独有的,作用是对方法进行拦截处理或增强处理。而在Java中我们使用Spring AOP和AspectJ。 1、Sprin...
Spring Boot 中使用 Spring Security 实现安全访问权限管理:详尽指南
最新发布
一杯梅子酱的博客
07-02 1654
为了更细致地控制安全策略,我们可以创建一个配置类,扩展。Java47 auth10 .and()12 }1314 @Bean17 }1825 .and()27 .and()29 }30}如果你希望使用自定义的登录页面,可以通过以下配置:Java2 .loginPage("/custom-login") // 自定义登录页面URL3 .loginProcessingUrl("/login") // 处理登录请求的URL。
如何关闭SpringSecurity权限认证
weixin_43756775的博客
11-19 1万+
关键字:security ,shiro ,权限 ,放行 ,绕过 ,认证 不论是哪个授权方式都是基于拦截器做的处理,基于这一个原理,我们就可以通过放开拦截器来关闭掉权限框架的token校验 1.权限中都会有一个 xxx.java 类 继承 WebMvcConfigurer 类 如下 // 此处省略注解 public class MyMvcConfig implements WebMvcConfigurer { // 重写 【登陆拦截/拦截放行】 @Override public void addInte
spring boot 2.2.2 中禁用 spring security
愿风裁尽尘中沙
12-27 4930
只要在 spring boot 中加入 spring security 就会自动启用七安全机制,默认每次访问接口都会进行验证。但是由于某些原因,不想使用 spring security,可以选择禁用 spring security,以前可以使用 security.basic.enabled=false 禁用,但是在在某个版本后已经不支持通过该配置禁用了,在 spring-configuration...
springboot 2.x 开发调试禁用spring security
jiahaodong的博客
06-20 4422
目录gradle引入spring security开发调试时,不需要每次都登陆,所以要禁用1.启动类排除自动装配类2.配置文件排除自动装配类application.yml配置文件写法application.properties配置文件写法备注 gradle引入spring security springboot 项目开发时引入了spring security implementation "org.springframework.boot:spring-boot-starter-security" 引入后
springboot springsecurity动态权限控制
09-18
在这个“springboot springsecurity动态权限控制”的主题中,我们将深入探讨如何在Spring Boot项目中集成Spring Security,实现动态权限控制,让菜单权限的管理更加灵活和高效。 首先,我们需要理解Spring Security...
SpringSecurity+OAuth2+JWT分布式权限控制.zip
07-23
本项目“SpringSecurity+OAuth2+JWT分布式权限控制”旨在提供一个完整的解决方案,帮助开发者构建安全的、基于微服务的分布式应用程序。 Spring Security 是一个强大的和高度可定制的身份验证和授权框架,适用于...
Springboot+SpringSecurity+JWT实现用户登录权限认证示例
08-19
以下是实现Spring Boot + Spring Security + JWT登录权限认证的主要步骤: 1. **项目初始化**:创建一个新的Spring Boot项目,添加`spring-boot-starter-web`、`spring-boot-starter-security`、`spring-security...
Spring Security——【认证、授权、注销及权限控制
龍弟-idea的博客
10-10 5798
认证,授权(vip1,vip2,vip3) ·功能权限 访问权限·菜单权限 . ...拦截器,过滤器:大量的原生代码~冗余
SpringSecurity页面按钮权限控制
自知的博客
08-11 2940
页面按钮权限控制,其实就是利用RBAC1权限控制和sec:authorize标签。 一、引入pom依赖 <dependency> <groupId>org.thymeleaf.extras</groupId> <artifactId>thymeleaf-extras-springsecurity5</artifactId> </dependency> 此处使用spring-boot-starter-parent:2
springboot禁用security,不需要登陆
zgq_hw的博客
04-23 2万+
springboot引入security依赖之后,默认访问资源需要登陆,不想用的话可以禁用,有两种方式 1、启动方法上如下注解 @EnableAutoConfiguration(exclude = {SecurityAutoConfiguration.class}) 2、启动方法上如下注解 @SpringBootApplication(exclude = {SecurityAutoConfigu...
spring boot 2 禁用security
Merida的勇敢者游戏
12-22 1万+
pom.xml增加如下配置后,会默认启用spring security &amp;amp;lt;dependency&amp;amp;gt; &amp;amp;lt;groupId&amp;amp;gt;org.springframework.boot&amp;amp;lt;/groupId&amp;amp;gt; &amp;amp;lt;artifactId&amp;amp;gt;spring-boot-start
禁用SpringSecurity安全配置
可爱的程序yuan
10-23 3087
在启动类上加下面注解。 @SpringBootApplication(exclude = {SecurityAutoConfiguration.class, ManagementWebSecurityAutoConfiguration.class}) 也可以在配置文件中配置用户名和密码。 spring: #Activiti property configuration activiti: database-schema-update: true history-le...
启用springboot security登录web页面需要用户名和密码之默认的用户名和密码
热门推荐
russle的专栏
09-06 8万+
问题 默认的用户名是user 密码是 可以在application.properteis中配置对应的用户和密码 如果不想启用密码保护可以配置为 security.user.password=none security.basic.enabled=false...
Spring Security实现登录权限控制,记住我等功能
我真的很不错的博客
09-23 1285
文章目录1.Spring Security简介2.登录权限控制2.1.基本功能2.2.登录和未登录导航栏显示2.3.根据权限显示不同页面功能3.定制登录页和记住我功能3.1.定制登录页3.1.记住我 1.Spring Security简介 Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它实际上是保护基于spring的应用程序的标准。 Spring Security是一个框架,侧重于为Java应用程序提供身份验证和授权。与所有Spring项目一样,Spring安全性的真正强
java求禁止登录_java – 如何禁用spring-security登录界面?
weixin_39692830的博客
03-02 750
我正在使用spring-boot-starter-security依赖项来使用spring-security附带的几个类.但是,由于我想将它集成到现有的vaadin应用程序中,我只想使用这些类,而不是使用spring的默认login / auth屏幕.如何禁用此屏幕?我不能通过扩展WebSecurityConfigurerAdapter来进行任何配置,因为我的主入口类已经扩展了SpringBoot...
SpringMVC 实现权限管理之检验是否登录
IT小村
01-04 1850
一、前言 使用了 SpringMVC 做一个登录拦截界面,和之前写得的struts2的登录拦截做对比,会发现SpringMVC确实代码优美多了,耦合度低,容易理解 下面附上当时写的 Struts2 模拟登录界面拦截的例子链接 Struts2 登录拦截简单例子 二、功能模拟演示 ①主界面 index.jsp ②还没登录,直接点击内部链接,仍然是原来的界面,console 输出如下
Spring+Spring Security构建RBAC权限控制系统
资源摘要信息:"本项目是一个基于Spring框架和Spring Security模块,采用基于角色的访问控制(RBAC)模型,实现用户管理系统和权限控制的教程。该教程详细介绍了用户登录、密码加密存储、权限拦截器配置、后台接口...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值