SpringSecurity权限管理

已于 2022-03-15 15:44:58 修改
阅读量5.6k 收藏
点赞数
文章标签: spring java 后端 安全
于 2022-03-14 10:28:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/alone_song/article/details/123472059
版权

SpringSecurity权限管理

Security能做什么?

用户认证:系统认为用户是否能够登录

用户授权:系统判断用户是否有权力去做某些事情

SpringSecurity特点:

  1. 和Spring无缝整合
  2. 全面的权限控制
  3. 专门为web开发而设计
  4. 重量级 需要引入各种依赖

SpringSecurity基本原理:

SpringSecurity本质上是一个过滤器链  包含很多个过滤器

执行流程:

  1. 配置DelegatingFilterProxy
  2. 执行doFilter
  3. initDelegate初始化
  4. String targetBeanName =this.getTargetBeanName 获取到内置过滤器FilterChainProxy
  5. doFilterInternal过滤器调用getFilters方法
  6. getFilters通过迭代器最终返回List<Filter>
  7. List<Filter>集合中加载了所有的过滤器

部分代码:

 1.web.xml

<!--委派过滤器,用于整合其他框架-->
<filter>
    <!--整合spring security时,此过滤器的名称固定springSecurityFilterChain-->
    <filter-name>springSecurityFilterChain</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

2.SpringSecurityUserService

@Component
public class SpringSecurityUserService implements UserDetailsService {

    @Reference
    private UserService userService;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        //通过用户名查找用户
        com.aaa.pojo.User user = userService.findUserByUsername(username);
        if (user == null){
            return null;
        }
        List<GrantedAuthority> list = new ArrayList<>();
        Set<Role> roles = user.getRoles();
        for (Role role : roles) {
            list.add(new SimpleGrantedAuthority(role.getKeyword()));
            Set<Permission> permissions = role.getPermissions();
            for (Permission permission : permissions) {
                list.add(new SimpleGrantedAuthority(permission.getKeyword()));
            }
        }
        UserDetails userDetails = new User(username,user.getPassword(),list);
        return userDetails;
    }
}

3.applicationContext-security.xml

<!--配置资源匿名访问-->
<security:http security="none" pattern="/pages/login.html"></security:http>
<security:http security="none" pattern="/css/**"></security:http>
<security:http security="none" pattern="/img/**"></security:http>
<security:http security="none" pattern="/js/**"></security:http>
<security:http security="none" pattern="/plugins/**"></security:http>
<!--
    auto-config:自动配置,如果设置为true,表示自动应用一些默认配置,比如框架会提供一个默认的登录页面
    use-expressions:是否使用spring security提供的表达式来描述权限
-->
<security:http auto-config="true" use-expressions="true">
    <security:headers>
        <!--设置在页面可以通过iframe访问受保护的页面,默认为不允许访问-->
        <security:frame-options policy="SAMEORIGIN"></security:frame-options>
    </security:headers>
    <!--配置拦截规则,/** 表示拦截所有请求-->
    <!--
        pattern:描述拦截规则
        asscess:指定所需的访问角色或者访问权限
    -->
    <!--只要认证通过就可以访问-->
    <security:intercept-url pattern="/pages/**"  access="isAuthenticated()" />

    <!--如果我们要使用自己指定的页面作为登录页面,必须配置登录表单.页面提交的登录表单请求是由框架负责处理-->
    <!--
        login-page:指定登录页面访问URL
    -->
    <security:form-login
            login-page="/pages/login.html"
            username-parameter="username"
            password-parameter="password"
            login-processing-url="/login.do"
            default-target-url="/pages/main.html"
            authentication-failure-url="/pages/login.html"></security:form-login>

    <!--
      csrf:对应CsrfFilter过滤器
      disabled:是否启用CsrfFilter过滤器,如果使用自定义登录页面需要关闭此项,否则登录操作会被禁用(403)
    -->
    <security:csrf disabled="true"></security:csrf>

    <!--
      logout:退出登录
      logout-url:退出登录操作对应的请求路径
      logout-success-url:退出登录后的跳转页面
    -->
    <security:logout logout-url="/logout.do"
                     logout-success-url="/pages/login.html" invalidate-session="true"/>

</security:http>

<!--配置认证管理器-->
<security:authentication-manager>
    <!--配置认证提供者-->
    <security:authentication-provider user-service-ref="springSecurityUserService">
        <!--指定度密码进行加密的对象-->
        <security:password-encoder ref="passwordEncoder"></security:password-encoder>
    </security:authentication-provider>
</security:authentication-manager>

<!--配置密码加密对象-->
<bean id="passwordEncoder"
      class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder" />

<!--开启注解方式权限控制-->
<security:global-method-security pre-post-annotations="enabled" />

<bean id="springSecurityUserService" class="com.aaa.service.SpringSecurityUserService"></bean>

权限管理经典数据库设计(5表、7表)

1.7表

2.5表

alone_song
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
spring security权限管理
04-18
在"spring security权限管理"这个主题中,我们将深入探讨如何利用Spring Security来实现复杂而灵活的权限控制。 首先,`MyUser.java`可能是自定义的用户实体类,它通常会包含用户的基本信息,如用户名、密码、角色...
话说Spring Security权限管理(源码详解)
08-31
权限管理Spring Security的核心功能之一,它确保只有具有相应权限的用户才能访问特定的资源或执行特定的操作。在Spring Security中,权限管理的实现涉及到多个组件,如`AccessDecisionManager`、`...
Spring security权限管理
weixin_47072986的博客
04-02 3869
Spring Security是一个高度自定义的安全框架。利用Spring IoC/DI和AOP功能,为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。​ 使用Spring Secruity的原因有很多,但大部分都是发现了javaEE的Servlet规范或EJB规范中的安全功能缺乏典型企业应用场景。同时认识到他们在WAR或EAR级别无法移植。因此如果你更换服务器环境,还有大量工作去重新配置你的应用程序。
SpringSecurity详细解读与应用
CTZL123456的博客
06-19 574
执行完loadUserByUsername后会返回数据库的用户密码,此信息会经过PasswordEncode类,和用户输入的密码来进行校验,但是原生的PasswordEncode比较糟糕(略),所以我们在配置中修改一下PasswordEncode的校验方式,使用 BCrypt。通常,我们习惯于将原生的用户认证修改为基于数据库字段的(例如username和password)进行登录校验的业务逻辑,这就需要我们进入Secuirty的认证流程中,修改源代码来解决。二、代码实现-用户认证。
13.Spring security权限管理
EdSheeran的博客
04-14 1万+
文章目录*权限管理**13.1什么是权限管理**13.2Spring security权限管理策略**13.3核心概念**13.3.1角色与权限**13.3.2角色继承**13.3.3两种处理器**13.3.4前置处理器**投票器**决策器**13.3.5后置处理器**13.3.6权限元数据**`ConfigAttribute`**`SecurityMetadataSource`**13.3.7权限表达式**`SecurityExpressionRoot`**`WebSecurityExpressionRo
SpringSecurity权限管理基本概念和整体架构介绍
写写平时的技术与感想
05-23 3321
Spring Security是⼀个功能强⼤、可⾼度定制的身份验证和访问控制框架。它是保护基于Spring的应⽤程序的事实标准。Spring Security是⼀个⾯向Java应⽤程序提供身份验证和安全性的框架。与所有Spring项⽬⼀样,Spring Security的真正威⼒在于它可以轻松地扩展以满⾜定制需求。是⼀个功能强⼤、可⾼度定制的身份验证和访问控制的框架。或者说⽤来实现系统中权限管理的框架。
SpringSecurity授权管理介绍
波波烤鸭的博客
12-05 4665
  权限管理的两大核心是:认证和授权,前面我们已经介绍完了认证的内容,本文就给大家来介绍下SpringSecurity的授权管理 一、注解操作   我们在控制器或者service中实现授权操作比较理想的方式就是通过相应的注解来实现。SpringSecurity可以通过注解的方式来控制类或者方法的访问权限。注解需要对应的注解支持,若注解放在controller类中,对应注解支持应该放在mvc配置文件...
Spring security权限管理系统
m0_59448100的博客
10-07 863
Spring security
Spring Security权限管理
lflcodeplus的博客
08-11 2238
Spring security权限管理
spring security 权限管理
qq_56895799的博客
05-21 1945
spring security 的核心功能主要包括: 认证 (你是谁) 授权 (你能干什么) 攻击防护 (防止伪造身份) 其核心就是一组过滤器链,项目启动后将会自动配置。最核心的就是 Basic Authentication Filter 用来认证用户的身份,一个在spring security中一种过滤器处理一种认证方式。 一、配置加入spring security 在pom文件中加入依赖 <dependency> <gro...
SpringSecurity权限管理系统实战—一、项目简介和开发环境准备
热门推荐
CoderMy的博客
07-11 1万+
SpringSecurity实战一—项目简介和开发环境准备 一、简介 ​ 在企业应用中,认证和授权是非常重要的一部分内容,业界最出名的两个框架就是大名鼎鼎的 Shiro和Spring Security。本次我选取的是和SpringBoot更好兼容的SpringSecurity
SpringSecurity权限管理的详细使用
qq_45105989的博客
10-30 1802
SpringSecurity的框架搭建、详细使用及使用细节。
SpringBoot】Web开发之URL映射
Jacker
07-24 313
46如果URL中的参数名称与方法中的参数名称一致,则可以简化为:}49}52}58。
Spring 高级解析 07
程序员进阶之路
07-24 1095
Spring 是分层的 full-stack(全栈) 轻量级开源框架,以 IoC 和 AOP 为内核,提供了展现层 Spring MVC 和业务层事务管理等众多的企业级应⽤技术,还能整合开源世界众多著名的第三⽅框架和类库,已 经成为使⽤最多的 Java EE 企业应⽤开源框架。
SpringBoot3 使用虚拟线程
最新发布
yaobo2816的专栏
07-24 694
用最简单的方式使用虚拟线程
springboot整合 knife4j 接口文档
m0_60873265的博客
07-24 414
第三步:启动项目——访问地址 http://ip:端口号/doc.html#/
Spring Security权限管理实战教程
"Spring securityJava应用中广泛使用的安全框架,用于实现高级的权限管理和认证机制。本示例将深入探讨如何使用Spring security来构建一个权限管理系统。" 在Spring security实现权限管理的过程中,主要包括以下...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值