spring security认证与授权

最新推荐文章于 2024-02-12 19:01:35 发布
最新推荐文章于 2024-02-12 19:01:35 发布
阅读量384 收藏 2
点赞数
文章标签: spring security 认证 授权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/admin_15082037343/article/details/107365179
版权

默认数据库模型的认证与授权

项目结构如下

  • WebSecurityConfig
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/admin/api/**").hasAnyRole("ADMIN")
                .antMatchers("/user/api/**").hasAnyRole("USER")
                .antMatchers("/app/api/**").permitAll()
                .anyRequest().authenticated()
                .and()
                .formLogin();

    }

}
  • AdminController,只有管理员才能访问
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
@RequestMapping("/admin/api")
public class AdminController {

    @GetMapping("/hello")
    public String hello() {
        return "admin hello";
    }

}
  • AppController,任何人都能访问
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
@RequestMapping("/app/api")
public class AppController {

    @GetMapping("/hello")
    public String hello() {
        return "app hello";
    }

}
  • UserController,登录用户才能访问
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
@RequestMapping("/user/api")
public class UserController {

    @GetMapping("/hello")
    public String hello() {
        return "user hello";
    }

}

启动,浏览器访问http://127.0.0.1:8080/app/api/hello、http://127.0.0.1:8080/user/api/hello、http://127.0.0.1:8080/admin/api/hello


此时发现只能访问http://127.0.0.1:8080/app/api/hello,由于没有设置用户角色,所有/admin、/user都无法访问,我们需要设置用户角色

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.provisioning.InMemoryUserDetailsManager;

@Configuration
public class BeanConfiguration {

    @Bean
    public UserDetailsService userDetailsService(PasswordEncoder passwordEncoder) {
        InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();
        manager.createUser(User.withUsername("admin")
                .password(passwordEncoder.encode("admin")).roles("ADMIN", "USER").build());
        manager.createUser(User.withUsername("user")
                .password(passwordEncoder.encode("user")).roles("USER").build());
        return manager;
    }

    @Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }

}

只需要注入一个UserDetailsService就行。

此时发现admin登录可以访问所有,user登录无法访问/admin/api/hello

使用默认数据库模型的认证与授权

  • 添加依赖,这里使用的是postgresql数据库
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-jdbc</artifactId>
    <version>2.1.0.RELEASE</version>
</dependency>
<dependency>
    <groupId>org.postgresql</groupId>
    <artifactId>postgresql</artifactId>
    <version>42.2.10</version>
</dependency>
  • application.yml配置数据源
spring:
  datasource:
    url: jdbc:postgresql://127.0.0.1:5432/postgres
    driver-class-name: org.postgresql.Driver
    username: postgres
    password: 123456
  • 数据库建表
create table users(
	username varchar(50) unique not null primary key,
	password varchar(64) not null,
	enabled boolean not null
);

create table authorities(
	username varchar(50) unique not null,
	authority varchar(50) not null,
	constraint fk_u_a foreign key(username) references users(username)
);
  • UserDetailsService更新,记得判断用户名是否存在
@Bean
public UserDetailsService userDetailsService(DataSource dataSource, PasswordEncoder passwordEncoder) {
    JdbcUserDetailsManager manager = new JdbcUserDetailsManager();
    manager.setDataSource(dataSource);
    if (!manager.userExists("user")) {
        manager.createUser(User.withUsername("user")
                .password(passwordEncoder.encode("user")).roles("USER").build());
    }
    if (!manager.userExists("admin")) {
        manager.createUser(User.withUsername("admin")
                .password(passwordEncoder.encode("admin")).roles("ADMIN", "USER").build());
    }
    return manager;
}

启动,发现刚创建的表中的了几条数据

自定义数据库模型的认证与授权

使用默认的数据库模型的认证与授权时,灵活性欠佳,所以我们需要自定义数据库模型的认证与授权,简单说就是实现自己的UserDetailsService就行。这里使用的是JPA去操作数据库

  • 创建用户表,并添加数据,密码为123456
create table users(
	id varchar(32) not null primary key,
	username varchar(50) unique not null,
	password varchar(64) not null,
	enable boolean not null,
	roles varchar(255) not null
);
insert into users(id, username, password, enable, roles) values('1', 'admin', 'admin', true, 'ROLE_ADMIN, ROLE_USER');
insert into users(id, username, password, enable, roles) values('2', 'user', 'user', true, 'ROLE_USER');create table users(
	id varchar(32) not null primary key,
	username varchar(50) unique not null,
	password varchar(64) not null,
	enabled boolean not null,
	roles varchar(255) not null
);
insert into users(id, username, password, enabled, roles) values('1', 'admin', '$2a$10$P8TZBQfcU6Yx6JsRu1Vmtu23tSIVyu9vNLI5dGpGpoT6fzvNy1YR.', true, 'ROLE_ADMIN, ROLE_USER');
insert into users(id, username, password, enabled, roles) values('2', 'user', '$2a$10$P8TZBQfcU6Yx6JsRu1Vmtu23tSIVyu9vNLI5dGpGpoT6fzvNy1YR.', true, 'ROLE_USER');


这里将用户和角色合成一张表了,roles代表多个角色,用","分开,这里只是一个简单的demo,所有字段类型就使用varchar了。

  • 添加JPA的依赖
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-data-jpa</artifactId>
    <version>2.1.0.RELEASE</version>
</dependency>
  • 添加JPA的配置
spring:
  datasource:
    url: jdbc:postgresql://127.0.0.1:5432/postgres
    driver-class-name: org.postgresql.Driver
    username: postgres
    password: 123456
  jpa:
    show-sql: true
    hibernate:
      ddl-auto: none
    properties:
      hibernate:
        temp:
          use_jdbc_metadata_defaults: false
  • 添加Users实体,实现UserDetails,这里使用了lombok,使用@Data就不用谢getter、setter了
import lombok.Data;
import org.hibernate.annotations.GenericGenerator;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;

import javax.persistence.*;
import java.io.Serializable;
import java.util.Collection;
import java.util.List;

@Data
@Entity
@Table(name = "users")
public class User implements Serializable, UserDetails {

    @Id
    @Column(name = "id", length = 32)
    @GenericGenerator(name = "generator", strategy = "uuid")
    @GeneratedValue(generator = "generator")
    private String id;

    @Column(name = "username", length = 50)
    private String username;

    @Column(name = "password", length = 64)
    private String password;

    @Column(name = "enabled")
    private Boolean enabled;

    @Column(name = "roles")
    private String roles;

    @Transient
    private List<GrantedAuthority> authorities;


    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return this.authorities;
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return this.enabled;
    }
}

isAccountNonExpired、isAccountNonLocked、isCredentialsNonExpired暂时用不到,统一返回true

isEnabled返回enabled字段值

getAuthorities,后面再做详细说明

  • UserRepository,这里使用的是jpa,基本上不用写SQL语句
import com.demo.entity.User;
import org.springframework.data.jpa.repository.JpaRepository;

public interface UserRepository extends JpaRepository<User, String> {

    /**
     * 根据用户名查询
     * @param username 用户名
     * @return 数据库查询结果,为查询到返回null
     */
    User findByUsername(String username);

}
  • 实现自己的UserDetailService,之前的UserDetailService就可以注释掉了
import com.demo.entity.User;
import com.demo.repository.UserRepository;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;

@Service
public class MyUserDetailService implements UserDetailsService {

    @Autowired
    private UserRepository userRepository;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        // 数据库查询
        User user = userRepository.findByUsername(username);
        if (user == null) {
            throw new NullPointerException("该用户不存在:" + username);
        }

        // 解析权限集合
        user.setAuthorities(AuthorityUtils.commaSeparatedStringToAuthorityList(user.getRoles()));
        return user;
    }

}

浏览器再次访问,http://127.0.0.1:8080/app/api/hello、http://127.0.0.1:8080/user/api/hello、http://127.0.0.1:8080/admin/api/hello,看结果

流年ln
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Spring Security认证授权
Zhang122593332的博客
08-31 388
Spring Security是一个专注与为Java应用程序提供身份认证授权的框架,它的强大之处在于它可以轻松扩展以满足自定义的需求。实现认证的逻辑,自定义认证规则(AuthenticationManager: 认证的核心接口)转发,浏览器访问A,A完成部分请求,存入Request,转发给B完成剩下请求。之前采用拦截器实现了登录检查,这是简单的权限管理方案,现在将废弃。对当前系统内的所有的请求,分配访问权限(普通用户、板主、管理员)。继承WebSecurityConfigurerAdapter。...
spring security认证授权
05-14
要实现的效果: 1、用户及用户的权限保存在数据库中。 2、url及所需的权限保存在数据库中,系统加载时从数据库中获取。 https://blog.csdn.net/u014572215/article/details/80309161
Spring security认证授权
11-30
Spring security认证授权例子,自动创建数据库,在SysUser类增加字段,即可动态增加数据库对应表sys_user字段(前提是要删除原表,启动应用时才会重建表)
SpringSecurity认证授权
qq_43675092的博客
09-04 212
springsecurity认证授权得使用
Spring Security认证授权(1)
weixin_43831002的博客
08-02 1972
Shiro本身是一个老牌的安全管理框架,有着众多的优点,例如轻量、简单、易于集成、可以在JavaSE环境中使用等。不过,在微服务时代,Shiro就显得力不从心了,在微服务面前,它无法充分展示自己的优势。也有开发者选择自己实现安全管理,这一部分人不在少数,但是一个系统的安全,不仅仅是登录和权限控制这么简单,我们还要考虑各种各样可能存在的网络攻击以及防御策略,从这个角度来说,开发者自己实现安全管理也并非是一件容易的事情,只有大公司才有足够的人力物力去支持这件事情。...
Spring Security 认证授权详解
共勉
05-03 4472
Spring SecuritySpring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。在对与安全方面的两个主要区域是“认证”和“授权”(或者访问控制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分,这两点也是 Spring Security 重要核心功能。
SpringSecurity学习 - 认证授权
本郡主是喵
09-16 474
我们自定义UserDatailService 实现UserDatailService接口,注入到spring容器中,这样就会在SpringSecurity认证流程中调用我们自定义的实现类。@Service@Override// 用用户名查询对应User// 判断是否空throw new RuntimeException("用户名或密码错误");// 将查询到user封装到自定义UserDeatail中。
使用Spring Security实现权限管理
一条宝鱼的专栏
03-16 1056
使用Spring Security实现权限管理   1、技术目标     了解并创建Security框架所需数据表为项目添加Spring Security框架掌握Security框架配置应用Security框架为项目的CRUD操作绑定权限     注意:本文所用项目为"影片管理",参看 http://hotstrong.iteye.com/blog/1156785   2
Spring Security认证授权
weixin_45947759的博客
04-29 117
RBAC: 1.1 基于角色的访问控制
Spring Security 认证授权(一)
12-13 1359
Spring Security
Spring Security 认证授权
快乐的小三菊的博客
12-15 2082
springSecurity认证授权
SpringSecurity认证授权
qq_63486066的博客
11-22 60
SpringSecurity认证授权大概流程
spring实战-Spring-security实现用户权限认证登录
乔布斯基的博客
08-19 6129
第八篇:Spring-security实现用户权限认证登录 spring-security原本是Acegi Security组件,该组件是一个强大的安全框架,但是使用方式很繁琐,要配置几百行XML。集成进Spring后,就可以通过xml或者JavaConfig的方式,很容易的就实现了系统的集成。下面示例展示了通过JavaConfig的方式集成spring-security安全框架
SpringSecurity】-- 认证授权
qq_46656857的博客
12-10 655
SpringSecurity
认证授权-SpringSecurity
木子Teng的博客
01-11 1461
如何实现授权?业界通常基于 RBAC 模型(Role-Based Access Control -> 基于角色的访问控制)实现授权。RBAC 认为授权实际就是who,what,how三者之间的关系(3W),即 who 对 what 进行 how 的操作。Spring Security 是为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架(包含: 认证 , 授权两个方面)。
Spring Security基本框架之认证授权
大后生大大大的博客
11-11 872
Authentication、AuthenticationManager、AuthenticationProvider、ProviderManager、AccessDecisionMamager、AccessDecisionVoter
SpringSecurity 授权认证
m0_57479908的博客
12-20 254
springsecurity 是用户请求进来,判断有没有请求的权限,抛出异常,重定向跳转。 它的底层是一个过滤器链。 它自带登录页和退出页,下面的配置中,我设置了默认登录页用自定义的登录页。 首先导入依赖jar包 <!-- Spring security 用户认证授权--> <dependency> <groupId>org.springframework.boot</g...
Spring Security实现权限认证授权
最新发布
b2105859的博客
02-12 1719
Spring Security实现认证授权
后端进阶之路——综述Spring Security认证授权(一)
Why_does_it_work的博客
08-02 3612
Spring Security是一个功能强大的Java框架,用于在应用程序中实现认证(Authentication)和授权(Authorization)功能。它提供了一套细粒度的安全性控制机制,帮助保护应用程序免受恶意攻击和未经授权的访问。 以下是Spring Security的基本概念和作用的简要总结:
"深入理解SpringSecurity认证授权
在学习 SpringSecurity 时,需要重点关注其认证授权的功能。认证部分主要是用来判断一个用户或系统是否具有登录的权限,而授权部分则是用来判断用户或系统登录成功后是否具有操作系统的权限。 首先,我们来讨论...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

流年ln

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值