Spring-Security权限实例

已于 2023-11-09 14:39:23 修改
阅读量191 收藏
点赞数 1
分类专栏: JAVA 文章标签: spring java spring boot
于 2023-11-09 14:36:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Z15800020057/article/details/134293211
版权

基于springBoot项目

引入依赖配置文件

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

快速上手

不连接数据库

1.创建用户实体类

@Data
@AllArgsConstructor
@NoArgsConstructor
public class UserTest {
    private String username;
    private String password;
}

2.Controller层(测试权限)

@RestController
@RequestMapping("/test")
public class MyController {
    @GetMapping
    public String test01() {
        return "hello security!!!";
    }
}
@RestController
public class SuccessController {
    @GetMapping("success")
    public String test02() {
        return "success";
    }
    @Secured({"ROLE_ADMIN"})
    @RequestMapping("testSecured")
    public String test03() {
        return  "testSecured";
    }
    @PreAuthorize("hasAnyAuthority('testpath')")
    @RequestMapping("")
    public String test04() {
        return "testSecured02";
    }
}

3.security配置文件 

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
//        配置登录的form表单
//        路径前面必须加/
        http.formLogin()
                .loginPage("/login.html")
                .loginProcessingUrl("/userlogin")
                .usernameParameter("myname")
                .passwordParameter("mypwd")
                .defaultSuccessUrl("/success");
        http.authorizeRequests().antMatchers("/login.html","/userlogin","/").permitAll();
        // 其他的路径  都需要认证
        http.authorizeRequests().anyRequest().authenticated();
//          权限不允许的时候
        http.exceptionHandling().accessDeniedPage("/403.html");
        //  csrf  方便html 文件  能够通过
        http.csrf().disable();
    }

    @Resource
    private UserDetailsService userDetailsService;

    @Bean
    public PasswordEncoder getPassword() {
        return new BCryptPasswordEncoder();
    }

    //    自定义用户的信息
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService).passwordEncoder(getPassword());
    }
}

4.service逻辑代码

@Service
public class MyUserDetailService implements UserDetailsService {
    

//    根据用户的名字 加载用户的信息
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
//        username 代表前端传递过来的名字
        BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder();
        String encode = passwordEncoder.encode("root");
        UserTest userTest = new UserTest("root", encode);
        if(username.equals(userTest.getUsername())) {
            List<SimpleGrantedAuthority> authorities = new ArrayList<>();
//            authorities 代表所有资源的信息
            authorities.add(new SimpleGrantedAuthority("testpath"));
            authorities.add(new SimpleGrantedAuthority("ROLE_USER"));
            return new User(username,encode,authorities);
        }
        return null;
    }
}

连接数据库(权限实例)

sql文件顶部资源下载

1.引入相关依赖

        <dependency>
            <groupId>com.mysql</groupId>
            <artifactId>mysql-connector-j</artifactId>
            <scope>runtime</scope>
        </dependency>
        <!-- mp-->
        <dependency>
            <groupId>com.baomidou</groupId>
            <artifactId>mybatis-plus-boot-starter</artifactId>
            <version>3.5.3</version>
        </dependency>

        <!-- 自动生成-->
        <dependency>
            <groupId>com.baomidou</groupId>
            <artifactId>mybatis-plus-generator</artifactId>
            <version>3.5.3</version>
        </dependency>

        <!-- 模板-->
        <dependency>
            <groupId>org.apache.velocity</groupId>
            <artifactId>velocity-engine-core</artifactId>
            <version>2.3</version>
        </dependency>

        <dependency>
            <groupId>org.freemarker</groupId>
            <artifactId>freemarker</artifactId>
        </dependency>

2.通过mybatis-plus快速生成代码

public class MyTest {
    public static void main(String[] args) {
        FastAutoGenerator.create("jdbc:mysql:///test01?useSSL=false","root","root")
                // 全局配置
                .globalConfig((scanner, builder) -> builder
                        .author("hp")
                        .outputDir("D:\\Idea-spring-security\\demo01\\src\\main\\java")
                )
                // 包配置
                .packageConfig(
                        (scanner, builder) ->
                                builder
                                        .parent("com.security")
                                        .pathInfo(Collections.singletonMap(OutputFile.xml, "D:\\Idea-spring-security\\demo01\\src\\main\\resources\\mapper")))
                // 策略配置
                .strategyConfig((scanner, builder) -> builder.addInclude(getTables(scanner.apply("请输入表名,多个英文逗号分隔?所有输入 all")))
                        .controllerBuilder().enableRestStyle().enableHyphenStyle()
                        .entityBuilder().enableLombok().addTableFills(
                                new Column("create_time", FieldFill.INSERT)
                        ).build())
                /*
                    模板引擎配置,默认 Velocity 可选模板引擎 Beetl 或 Freemarker
                   .templateEngine(new BeetlTemplateEngine())
                   .templateEngine(new FreemarkerTemplateEngine())
                 */
                .execute();


// 处理 all 情况

    }

    protected static List<String> getTables(String tables) {
        return "all".equals(tables) ? Collections.emptyList() : Arrays.asList(tables.split(","));
    }
}

3.application 文件

spring:
  datasource:
    driver-class-name: com.mysql.cj.jdbc.Driver
    url: jdbc:mysql:///test01?serverTimezone=UTC
    password: root
    username: root
  jackson:
    date-format: yyyy-MM-dd HH:mm:ss
    time-zone: GMT+8
    serialization:
      write-date-keys-as-timestamps: false
  mvc:
    pathmatch:
      matching-strategy: ant_path_matcher

mybatis-plus:
  configuration:
    map-underscore-to-camel-case: true
    log-impl: org.apache.ibatis.logging.stdout.StdOutImpl
  mapper-locations: classpath:/mapper/*.xml
  global-config:
    db-config:
      logic-not-delete-value: 1
      logic-delete-value: 0
  type-aliases-package: com.security.entity

4.TabMenuMapper.xml文件

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="com.security.mapper.TabMenuMapper">
    <select id="selectCodeByRids" resultType="TabMenu">
        select *
        from tab_menu
        where id in
        (
        select mid
        from tab_role_menu
        where rid in
        <foreach collection="list" item="rid" open="(" close=")" separator=",">
            #{rid}
        </foreach>
        )
    </select>
</mapper>

5.TabMenuMapper

public interface TabMenuMapper extends BaseMapper<TabMenu> {
    List<TabMenu> selectCodeByRids(List<Integer> rids);
}

6.修改service文件

@Service
public class MyUserDetailService implements UserDetailsService {
    @Resource
    private TabUserMapper userMapper;
    @Resource
    private TabUserRoleMapper userRoleMapper;
    @Resource
    private TabRoleMapper roleMapper;
    @Resource
    private TabMenuMapper menuMapper;

//    根据用户的名字 加载用户的信息
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
//        username 代表前端传递过来的名字
//        根据名字去数据库查询一下有没有这个用户的信息
        QueryWrapper queryWrapper = new QueryWrapper();
        queryWrapper.eq("username",username);
        TabUser tabUser = userMapper.selectOne(queryWrapper);
        if(tabUser != null) {
//            有值 查询用户对应的角色的id
            QueryWrapper queryWrapper1 = new QueryWrapper();
            queryWrapper1.eq("uid",tabUser.getId());
            List<TabUserRole> tabUserRoles = userRoleMapper.selectList(queryWrapper1);
            List<Integer> rids = tabUserRoles.stream().map(tabUserRole -> tabUserRole.getRid()).collect(Collectors.toList());
//            根据角色的id 查询rcode
            List<TabRole> tabRoles = roleMapper.selectBatchIds(rids);
//            角色的修信息 角色管理 修改角色的名字
            List<SimpleGrantedAuthority> collect = tabRoles.stream().map(tabRole -> new SimpleGrantedAuthority("ROLE_" + tabRole.getRcode())).collect(Collectors.toList());
//            根据角色的id 查询菜单的mcode
            List<TabMenu> menus = menuMapper.selectCodeByRids(rids);
            List<SimpleGrantedAuthority> resources = menus.stream().map(tabMenu -> new SimpleGrantedAuthority(tabMenu.getMcode())).collect(Collectors.toList());
//            将角色的所有信息,和资源信息合并在一起
            List<SimpleGrantedAuthority> allresource = Stream.concat(collect.stream(), resources.stream()).collect(Collectors.toList());
            return new User(username, tabUser.getPassword(), allresource);
        }
        return null;
      }
}

7.获取用户的信息

/*
* 获取当前登录的用户的信息
* */
@RestController
public class UserController {
    @GetMapping("user1")
    @PreAuthorize("hasAnyAuthority('user:add')")
    public Object getUser(Principal principal) {
        return principal;
    }
    @GetMapping("user2")
    public Object getUser2(Authentication authentication){
        return authentication;
    }
    @GetMapping("user3")
    public Object getUser3() {
        Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
        return authentication;
    }
}

调试接口进行测试

没时间喽
关注
专栏目录
Spring Security实战例子
09-08
Spring Security实战例子资源里面有4个小项目,都是利用maven搭建的。数据库要建立一个security的表
spring-security-project.zip- Spring Security实现RBAC权限模型demo
02-09
Spring Security 是一个强大...总结来说,"spring-security-project.zip"提供了一个使用Spring Security实现RBAC权限模型的实例,涵盖了认证、授权角色权限的管理,是学习和理解Spring Security安全框架的好材料。
Spring Security实例
在交流中成长
03-12 1356
在认识Spring Security之前,所有的权限验证逻辑都混杂在业务逻辑中,用户的每个操作以前可能都需要对用户是否有进行该项操作的权限进行判断,来达到认证授权的目的。类似这样的权限验证逻辑代码被分散在系统的许多地方,难以维护。AOP(Aspect Oriented Programming)和Spring Security为我们的应用程序很好的解决了此类问题,正如系统日志,事务管理等这些系统级的
Spring Security数据库集成实战示例
最新发布
weixin_42600407的博客
09-15 1070
本文还有配套的精品资源,点击获取 简介:Spring Security是一个用于Java Web应用的安全框架,提供了认证和授权机制。通过本文档,将介绍如何利用数据库实现用户管理及权限控制。首先需要实现UserDetailsService接口,用于从数据库中获取用户信息。接着,构建必要的数据库模型和SQL脚本,然后在Spring Security配置中指定自定义的UserD...
Spring Security实例
weixin_63769623的博客
01-07 847
Spring Security实例
Spring Security 简单示例
MaiYo_
09-07 580
Spring security 默认开启 csrf ,post 提交需要提供 csrf token 注销的处理逻辑: The default is that accessing the URL "/logout" will log the user out by invalidating the HTTP Session, cleaning up any rememberMe() au
spring security简单实例
goodyuedandan的博客
03-08 741
spring security简单实例 返回脚本百事通 1.Spring Security概述    Spring Security是一个能够为基于Spring的企业应用系统提供描述性安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC(依赖注入,也称控制反转)和AOP(面向切面编程)功能,为应用系统提供声明式的安全
spring-security-oauth2.rar
09-04
在当今的Web开发中,安全问题至关重要,Spring Security OAuth2提供了一套强大的框架,用于保护我们的应用程序和服务。本篇将深入探讨Spring Security OAuth2如何实现基于密码模式的用户登录以及如何使用数据库和...
ggj-spring-security
07-29
从压缩包子文件"SpringSecurity(6).zip"的命名推测,这可能是系列教程或案例研究的第六部分,可能涉及到更深入的安全策略或特定场景的应用。 3. **SanGeng_Security_Project.zip** 另一个压缩文件"Sangeng_...
spring-security-reference.pdf
06-20
描述了在同一个Spring Security上下文中配置多个`HttpSecurity`实例,用于定义不同安全要求的区域。 - **方法级安全** 强调了在方法级别上应用安全约束的能力,使用`@EnableGlobalMethodSecurity`注解来启用方法...
spring-security demo实例
01-21
在这个"spring-security demo实例"中,我们将深入探讨Spring Security 3的核心概念和常见用法。 1. **身份验证(Authentication)**:Spring Security 提供了多种身份验证方式,包括基于用户名和密码的登录,支持...
Spring Security 实例 一个简单的HelloWorld
03-23
关于spring安全实例 因为Spring Security是建立在Spring的基础之上的, 这个简陋的页面是Spring Security自动生成的,一来为了演示的方便,二来避免用户自己编写登陆页面时犯错,Spring Security为了避免可能出现的风险,连测试用的登录页面都自动生成出来了。在这里我们就省去编写登陆页面的步骤,直接使用默认生成的登录页面进行演示吧。
Spring Security 完整实例
09-19
完成的Spring Security实例,其中包括自定义数据库表结构、自定义登陆页面、使用数据库管理资源、自定义的密码编码器、自定义访问拒绝页面、动态管理资源结合自定义登录页面等方面的例子
SpringSecurity入门Demo实例
10-15
按照教程https://blog.csdn.net/ryo1060732496/article/details/78848205 编写的demo程序
springSecurity3例子
01-07
简单的 springSecurity3例子代码
spring security 完整项目实例
01-07
基于用户,角色权限spring security完整项目,包括登陆,免登陆,session配置,角色权限验证等功能
spring security 使用示例
先天牛马圣体
08-19 2161
用户名密码认证、短信验证码认证、踢人下线、 AuthorizationFilter 授权、FilterSecurityInterceptor url / expression 授权、登出、分布式配置。 2、SecurityConfig   先添加一个 SecurityConfig 配置类,作为整个 spring security 的核心配置,后续的认证、授权等功能都将在整个配置类中完成。 3、用户名密码认证   用户名密码认证主要是自定义实现 UserDetails、UserDetailsService、A
SpringSecurity入门案例
weixin_54673484的博客
10-29 787
Spring Security的核心就是各种Filter,因此认证和授权也是在Filter中完成。故而,若要在Spring Security中使用token,则需要分别对认证和授权进行定制。整体流程为:通过认证,生成token并返回给前端→前端请求的header中附带token→资源服务器验证token的有效性并判定其权限,返回请求结果。其中在资源服务器验证token的有效性这一步,可根据实际情况来进行定制.
XML 自定义PermissionEvaluator方法
05-13
Spring Security 中,可以通过实现 PermissionEvaluator 接口来自定义权限验证逻辑。 首先,需要在配置文件中开启自定义 PermissionEvaluator 的支持: ```xml <beans:bean id="expressionHandler" class="org.springframework.security.access.expression.method.DefaultMethodSecurityExpressionHandler"> <beans:property name="permissionEvaluator" ref="customPermissionEvaluator" /> </beans:bean> <beans:bean id="customPermissionEvaluator" class="com.example.CustomPermissionEvaluator" /> ``` 接下来,实现 PermissionEvaluator 接口的 evaluate 方法: ```java public class CustomPermissionEvaluator implements PermissionEvaluator { @Override public boolean hasPermission(Authentication authentication, Object targetDomainObject, Object permission) { // 在此处编写自定义的权限验证逻辑 } @Override public boolean hasPermission(Authentication authentication, Serializable targetId, String targetType, Object permission) { // 在此处编写自定义的权限验证逻辑 } } ``` 在 evaluate 方法中,第一个参数 authentication 表示当前用户的认证信息,第二个参数 targetDomainObject 表示要验证的对象,第三个参数 permission 表示要验证的权限。 如果要验证的对象是一个实体类,可以使用 @PreAuthorize 或 @PostAuthorize 注解配合 SpEL 表达式来进行验证: ```java @PreAuthorize("hasPermission(#entity, 'read')") public void doSomething(Entity entity) { // ... } ``` 在 SpEL 表达式中,可以使用 #parameterName 来引用方法参数,也可以使用 #returnObject 来引用方法返回值。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值