spring boot 集成 security 授权

最新推荐文章于 2024-07-12 15:51:39 发布
最新推荐文章于 2024-07-12 15:51:39 发布
阅读量555 收藏 1
点赞数
分类专栏: 认证授权 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ayayazzz/article/details/124204673
版权

授权

上一篇写了认证,授权其实就是把数据库查出来的角色、权限交给security来管理对比

1.准备工作

在这里插入图片描述用户、用户-角色、角色、角色-权限、权限在这里插入图片描述在这里插入图片描述

2.授权

首先从数据库中查找到用户所拥有的角色信息放入UserDetailsService的实现类里

		User user = userRepository.selectByUserName(username);
 		//封装权限信息 这里从数据库通过userId查询出来的权限集合
        List<SysRole> roles = userRepository.getRoleByUserId(user.getUserId());
        List<String> collect = roles.stream().map((role) -> {
            return role.getRoleName();
        }).collect(Collectors.toList());
        for (String s : collect) {
            log.info("用户角色名:{}",s);
        }
        LoginUser loginUser = new LoginUser();
        loginUser.setUser(user);
        List<SimpleGrantedAuthority> authorities =
                collect.stream()
                        .map(SimpleGrantedAuthority::new)
                        .collect(Collectors.toList());
        loginUser.setAuthorities(authorities);

然后需要准备查询所有的请求路径下对应的角色
例如请求/user/** 的访问角色有ROLE_admin和ROLE_stu
/admin/** 的访问角色有ROLE_admin

@Service
public class MenuService {

    @Autowired
    private UserRepository userRepository;

    public List<SysMenu> getMenus(){
        return userRepository.getMenus();
    }
}

<resultMap id="menus_map" type="com.lxf.mytest01.pojo.entity.SysMenu">
        <id column="id" property="id"/>
        <result column="menu_id" property="menuId"/>
        <result column="menu_url" property="menuUrl"/>
        <collection property="roles" ofType="com.lxf.mytest01.pojo.entity.SysRole">
            <id column="rid" property="id"/>
            <result column="roleid" property="roleId"/>
            <result column="rolename" property="roleName"/>
        </collection>
    </resultMap>
    <select id="getMenus" resultMap="menus_map">
        select m.*,r.id as rid,r.role_id as roleid,r.role_name as rolename
        from sys_role_menu rm  LEFT JOIN sys_menu m  ON m.menu_id =rm.menu_id
            LEFT JOIN sys_role r on rm.role_id = r.role_id
    </select>

之后创建一个filter 交给它来过滤请求用户是否拥有所对应的角色

@Slf4j
@Component
public class MyFilterInvocationSecurityMetadataSource implements FilterInvocationSecurityMetadataSource {

    @Autowired
    private MenuService menuService;

    /**
     * 路径匹配器
     */
    private final AntPathMatcher antPathMatcher = new AntPathMatcher();

    /**
     * 匹配路径,返回角色列表 (如果这个请求url含有对应角色才能访问,返回对应角色)
     * @param object
     * @return
     * @throws IllegalArgumentException
     */
    @Override
    public Collection<ConfigAttribute> getAttributes(Object object) throws IllegalArgumentException {
        //获取请求路径
        String requestUrl = ((FilterInvocation) object).getRequestUrl();
        log.info("requestUrl : {}",requestUrl);
        //查询数据库 获取所有菜单
        List<SysMenu> menus = menuService.getMenus();

        for (SysMenu menu : menus) {
            //如果路径匹配
            if(antPathMatcher.match(menu.getMenuUrl(),requestUrl)){
                //获取对应角色
                List<SysRole> roles = menu.getRoles();
                String[] roleNames = new String[roles.size()];
                for (int i = 0; i < roles.size(); i++) {
                    roleNames[i] =roles.get(i).getRoleName();
                }
                log.info("对应路径查询到的角色:{}", Arrays.toString(roleNames));
              return   SecurityConfig.createList(roleNames);
            }
        }
        //设置默认访问角色 游客模式
       return SecurityConfig.createList(SysRoleCode.ROLE_GUEST.roleName());
    }

    @Override
    public Collection<ConfigAttribute> getAllConfigAttributes() {
        return null;
    }

    @Override
    public boolean supports(Class<?> clazz) {
        return true;
    }
}

这个fitler返回一个或者多个能访问这个路径的角色交给下一个来鉴权

@Slf4j
@Component
public class MyAccessDecisionManager implements AccessDecisionManager {

    /**
     *
     * @param authentication 用户信息(UserDetailsService 获取到)
     * @param object
     * @param configAttributes 请求地址对应的角色信息(数据库查出的数据)
     * @throws AccessDeniedException
     * @throws InsufficientAuthenticationException
     */
    @Override
    public void decide(Authentication authentication, Object object, Collection<ConfigAttribute> configAttributes) throws AccessDeniedException, InsufficientAuthenticationException {
        log.info("进入权限鉴定~");
        for (ConfigAttribute configAttribute : configAttributes) {
            //判断是否游客模式
            if(StringUtils.equals(SysRoleCode.ROLE_GUEST.roleName(),configAttribute.getAttribute())){
                //匿名用户
                if(configAttribute instanceof AnonymousAuthenticationToken){
                    log.error("匿名用户访问");
                    throw new AccessDeniedException("无访问权限");
                }else {
                    //已经登录的用户,不需要权限的访问地址 直接放行
                    return;
                }
            }
            Collection<? extends GrantedAuthority> authorities = authentication.getAuthorities();
            for (GrantedAuthority authority : authorities) {
                log.info("用户所拥有的角色 ------------------> : {}",authority.getAuthority());
                log.info("路径所需要的角色 ------------------> : {}",configAttribute.getAttribute());
                if(StringUtils.equals(authority.getAuthority(),configAttribute.getAttribute())){
                    //如果用户角色和路径所需角色相同,则放行
                    return;
                }
            }
        }
        throw new AccessDeniedException("无访问权限");
    }

    @Override
    public boolean supports(ConfigAttribute attribute) {
        return true;
    }

    @Override
    public boolean supports(Class<?> clazz) {
        return true;
    }
}

在之前为了不每次都操作数据库,就在自己的loginService里把查询到的用户角色放入redis中

 List<SysRole> roles = userRepository.getRoleByUserId(userId);
        List<String> rolesNames = roles.stream().map((role) -> {
            return role.getRoleName();
        }).collect(Collectors.toList());
        redisUtil.del("authorities"+userId);
        String jsonString = JSONObject.toJSONString(rolesNames);
        redisUtil.set("authorities"+userId,jsonString,60*60);

然后需要在jwtFilter里加入角色权限,每次请求都会查询权限信息

 		//获取用户权限角色信息
        String o = (String) redisUtil.get("authorities" + userId);
        List<String> range = JSONObject.parseArray(o, String.class);
        log.info("redis role list size: {}",range.size());
        List<SimpleGrantedAuthority> authorities = new ArrayList<>();
        //如果redis中有,就从redis中获取
        if(Objects.nonNull(range)&&range.size()>0){
            authorities =
                    range.stream()
                            .map(SimpleGrantedAuthority::new)
                            .collect(Collectors.toList());
        }else {
            // 如果Redis中没有,就在数据库中查询,并放入redis
            List<SysRole> roles = userRepository.getRoleByUserId(userId);
            List<String> rolesNames = roles.stream().map((role) -> {
                return role.getRoleName();
            }).collect(Collectors.toList());
            authorities =
                    rolesNames.stream()
                            .map(SimpleGrantedAuthority::new)
                            .collect(Collectors.toList());
            redisUtil.set
                    ("authorities"+userId,JSONObject.toJSONString(rolesNames),3600l);
        }
        //存入securityContextHolder
        //封装到这个类中     获取权限信息user.getAuthorities()
        UsernamePasswordAuthenticationToken authenticationToken =
                new UsernamePasswordAuthenticationToken(user,null,authorities);

        SecurityContextHolder.getContext().setAuthentication(authenticationToken);

        //放行
        filterChain.doFilter(request,response);

最后就是在securityConfig中把上面的注入进去

	@Autowired
    private MyAccessDecisionManager myAccessDecisionManager;

    @Autowired
    private MyFilterInvocationSecurityMetadataSource myFilterInvocationSecurityMetadataSource;
    
	http.withObjectPostProcessor(new ObjectPostProcessor<FilterSecurityInterceptor>() {
                    @Override
                    public <O extends FilterSecurityInterceptor> O postProcess(O object) {
                        object.setAccessDecisionManager(myAccessDecisionManager);
                        object.setSecurityMetadataSource(myFilterInvocationSecurityMetadataSource);
                        return object;
                    }
                })
ayayazzz
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring boot 项目集成security
zoro_soro的博客
04-22 2696
springboot集成security需要三步: 一、引入依赖 <!--集成安全框架--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </depen
SpringBoot集成Spring Security
weixin_40458996的博客
01-03 225
最近在学习springboot 及微服务框架时,在搭建项目的时候想实现登录注册的功能,在网上翻翻找找,感觉还是现在目前比较流行的Spring Security比较靠谱,所以自己尝试搭建了下。spring Security的特性,如果感兴趣可以查一查,毕竟我不是它的推广者么,只是使用者,如果你感觉它还可以,那就有必要到这里来看下了,这里只讲一下其简单的工作原理和搭建流程。 说明 在开始之前,个人...
Spring Security授权GrantedAuthority介绍
kaven
01-06 6966
在之前的博客中,已经介绍了Spring Security的用户UserDetails、用户服务UserDetailsService和密码编码器PasswordEncoder,它们都是用于验证用户的身份,而GrantedAuthority则表示用户验证通过后被授予的权限(可能授予多种权限),本篇博客介绍GrantedAuthority接口及其实现类。 Spring Security:用户UserDetails源码与Debug分析 Spring Security:用户服务UserDetailsService源
SpringBoot SpringSecurity知识点
m178643的博客
11-16 284
明确三个接口GrantedAuthority(角色权限) UserDetails (用户信息) UserDetailsService(获取用户信息和用户权限) 角色表DO实现GrantedAuthority接口: @Data @AllArgsConstructor @NoArgsConstructor public class RoleInfo implements GrantedAuthorit...
springboot整合SpringSecurity并实现简单权限控制
听钱塘信来的博客
11-28 6695
springboot整合SpringSecurity并实现简单权限控制
Spring Security OAuth2 自定义GrantedAuthority授权接口
OceanSky的专栏
07-30 9824
使用security oatuh2的时候需要返回给前端用户的角色或者权限,框架提供了GrantedAuthority接口,有一个默认的实现SimpleGrantedAuthority,但是它只能返回简单 的字符串,如果我们想灵活的使用很难控制;所以我这边通过实现GrantedAuthority接口,自定义实现权限控制; 1.自定义授权接口如下 package com.yaomy.security....
Spring Boot Security配置用户认证和资源授权(URL与角色)
swg321321的博客
09-11 1051
Spring Boot Security:完成用户认证,资源授权配置(一般是用户角色和URL的匹配)。
spring boot jpa security
05-08
Spring Boot项目中集成Spring Security,首先需要在`pom.xml`或`build.gradle`文件中添加依赖,然后通过Spring Boot的自动配置,Spring Security会自动启动并应用默认的安全策略。当然,开发者可以根据需求自定义...
详解Spring Boot 使用Spring security 集成CAS
08-30
在本篇文章中,我们将介绍如何使用 Spring Boot 集成 Spring Security 和 CAS,以实现安全的身份验证和授权Spring Boot 集成 Spring Security 首先,我们需要在 Spring Boot 项目中添加 Spring Security 依赖...
Spring Boot集成Spring Security的Demo
11-13
Spring Boot集成Spring Security是开发基于Java的Web应用时常见的安全框架选择。Spring Security提供了一整套强大且灵活的安全控制机制,使得开发者可以轻松地实现身份验证、授权以及各种安全功能。下面将详细介绍...
详解Spring Boot Security
08-26
3. 与 Spring Boot 框架集成Spring Boot SecuritySpring Boot 框架的一部分,可以与其他 Spring Boot 组件集成Spring Boot Security 是一个功能强大且易用的安全框架,适合用于保护 Web 应用程序免受未经...
Spring Boot Security 2.5.8 实现账号、手机号、邮件登录,记住密码等功能
11-13
Spring Boot Security 2.5.8 是一个强大的框架,用于为Spring Boot应用程序提供安全控制,包括身份验证和授权。在2.5.8版本中,它增强了灵活性和易用性,使得开发者能够轻松地实现复杂的安全需求。在这个项目中,...
Spring BootSpring Security高级配置(权限和资源的关系)
探索er的博客
05-11 1054
Spring Security高级配置(权限和资源的关系)
【详解】Spring Security的GrantedAuthority(已授予的权限)
热门推荐
蔡小波的博客
06-10 1万+
转自:https://www.cnblogs.com/longfurcat/p/9417422.html 感谢大佬 前言   这篇是很久之前学习Spring Security整理的博客,发现浏览量都1000多了,一个赞都没有,那说明写得确实不怎么样,哈哈。应该很多初学者对这个接口存在疑问,特别是如果学习这个框架之前还了解过Shiro,可能会因为这两个框架角色、权限的表示方式,产生困惑。现在重新整理一下。 GrantedAuthority接口 我们知道UserDeitails接口里面有一...
基于SpringBoot整合SpringSecurity的认证授权(角色+权限)
weixin_45795349的博客
07-18 1232
之前一直是使用的Shiro,最近因为公司使用若依的前后端分离版本中,认证授权模块是使用的SpringSecurity,所以就打算写一遍这个教程了。嗯在这之前一直是使用Shiro做授权和认证的。嗯后面会讲的,在这之前读者需要具有SpringBoot基础、以及能够使用SpringBoot连接数据库进行操作
java-sec-code Fastjson漏洞
weixin_44687621的博客
08-27 1418
最近ctf比赛使用java作为web开发语言的题目越来越多,Fastjson的漏洞是一个很重要的rce。学会审计Fastjson漏洞,更有机会挖出高质量的漏洞,所以还是得多学习学习的。 Fastjson简介 Fastjson是一个Java库,可以用来将Java对象转换成它们的JSON表示。它还可以用于将JSON字符串转换为等效的Java对象。Fastjson可以处理任意Java对象,包括您没有源代码的现有对象。 Fastjson相对其他JSON库的特点是快速且简洁,但是却被屡屡爆出漏洞。 Fastjson可
Spring Boot 中的授权是什么,如何使用
IT徐师兄
07-06 655
授权是指在用户登录后,对用户进行身份验证,并授予用户访问应用程序特定资源的权限。认证:验证用户身份,确定用户是谁;授权:确定用户可以访问哪些资源。在 Spring Boot 中,认证是通过用户名和密码验证用户身份,而授权是通过角色和权限控制用户可以访问哪些资源。授权可以保护应用程序免受未经授权的访问和攻击。Spring SecuritySpring Framework 的一个模块,用于提供安全性和授权功能。
java使用fastjson转化失败:Exception in thread “xx“ com.alibaba.fastjson.JSONException: set property error
草叶儿的博客
08-31 3838
fastjson转化失败,,$ref无法在字符串中转化成对象的键。
java版的上门家政系统和PHP版的上门家政有什么区别?
最新发布
baina666的博客
07-12 611
综上所述,Java版和PHP版的上门家政系统各有优缺点,选择哪种语言主要取决于项目的具体需求、预算、开发团队的技术栈以及未来的扩展计划等因素。同时,由于Java生态系统的复杂性和多样性,也可能需要投入更多的时间和资源来学习和掌握相关的技术和工具。Java版:Java拥有庞大的生态系统和丰富的第三方库,这为家政系统的开发和扩展提供了强大的支持。Java版:由于Java的编译执行机制和高效的垃圾回收算法,Java版家政系统通常具有更高的运行效率和更好的性能表现,尤其是在处理高并发、大数据量等复杂场景时。
Spring Boot 集成 Security代码
03-29
Spring Boot 集成 Security 的代码如下: 1. 添加依赖 在 pom.xml 文件中添加以下依赖: ```xml <groupId>org.springframework.boot <artifactId>spring-boot-starter-security ``` 2. 配置 Security 在 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值