SpringSecurity实战入门——授权

已于 2024-06-21 10:54:40 修改
阅读量609 收藏 7
点赞数 3
分类专栏: # 权限框架 文章标签: java
于 2024-06-21 09:06:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bbj12345678/article/details/139848325
版权

权限系统的作用

例如一个学校图书馆的管理系统,如果是普通学生登录就能看到借书还书相关的功能,不可能让他看到并且去使用添加书籍信息,删除书籍信息等功能。但是如果是一个图书馆管理员的账号登录了,应该就能看到并使用添加书籍信息,删除书籍信息等功能。

总结起来就是不同的用户可以使用不同的功能。这就是权限系统要去实现的效果。

我们不能只依赖前端去判断用户的权限来选择显示哪些菜单哪些按钮。因为如果只是这样,如果有人知道了对应功能的接口地址就可以不通过前端,直接去发送请求来实现相关功能操作。

所以我们还需要在后台进行用户权限的判断,判断当前用户是否有相应的权限,必须具有所需权限才能进行相应的操作。

授权基本流程

在SpringSecurity中,会使用默认的FilterSecurityInterceptor来进行权限校验。在FilterSecurityInterceptor中会从SecurityContextHolder获取其中的Authentication,然后获取其中的权限信息。当前用户是否拥有访问当前资源所需的权限。

所以我们在项目中只需要把当前登录用户的权限信息也存入Authentication。

然后设置我们的资源所需要的权限即可。

授权实现

限制访问资源所需权限

SpringSecurity为我们提供了基于注解的权限控制方案,这也是我们项目中主要采用的方式。我们可以使用注解去指定访问对应的资源所需的权限。

但是要使用它我们需要先开启相关配置

@EnableGlobalMethodSecurity(prePostEnabled = true)

然后就可以使用对应的注解。@PreAuthorize

@RestController
@RequestMapping("/book")
public class BookController {

    @GetMapping("/list")
    @PreAuthorize("hasAuthority('sys:book:list')")
    public String list() {
        return "book-list";
    }

    @GetMapping("/delete")
    @PreAuthorize("hasAuthority('sys:book:delete')")
    public String delete() {
        return "book-delete";
    }

}

封装权限信息

我们前面在写UserDetailsServiceImpl的时候说过,在查询出用户后还要获取对应的权限信息,封装到UserDetails中返回。

我们先直接把权限信息写死封装到UserDetails中进行测试。

我们之前定义了UserDetails的实现类LoginUser,想要让其能封装权限信息就要对其进行修改。

@Data
@NoArgsConstructor
@AllArgsConstructor
public class LoginUser implements UserDetails {

    private User user;

    //存储权限信息
    private List<String> permissions;

    //存储SpringSecurity所需要的权限信息的集合
    @JSONField(serialize = false)
    private List<GrantedAuthority> authorities;

    public LoginUser(User user,List<String> permissions) {
        this.user = user;
        this.permissions = permissions;
    }

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        if(authorities!=null){
            return authorities;
        }
        //把permissions中字符串类型的权限信息转换成GrantedAuthority对象存入authorities中
        authorities = permissions.stream().
                map(SimpleGrantedAuthority::new)
                .collect(Collectors.toList());
        return authorities;
    }

    @Override
    public String getPassword() {
        return user.getPassword();
    }

    @Override
    public String getUsername() {
        return user.getUserName();
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return true;
    }
}

LoginUser修改完后我们就可以在UserDetailsServiceImpl中去把权限信息封装到LoginUser中了。我们写死权限进行测试,后面我们再从数据库中查询权限信息。

@Service
public class UserDetailsServiceImpl implements UserDetailsService {

    @Resource
    private UserMapper userMapper;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        //根据用户名查询用户信息
        LambdaQueryWrapper<User> wrapper = new LambdaQueryWrapper<>();
        wrapper.eq(User::getUserName,username);
        User user = userMapper.selectOne(wrapper);
        //如果查询不到数据就通过抛出异常来给出提示
        if(Objects.isNull(user)){
            throw new RuntimeException("用户名或密码错误");
        }
        //TODO 根据用户查询权限信息 添加到LoginUser中
        List<String> list = new ArrayList<>(Arrays.asList("sys:book:list"));

        //封装成UserDetails对象返回
        return new LoginUser(user,list);
    }
}

我们在过滤器层面也需要将权限添加进去

<
最低0.47元/天 解锁文章
fastjson_
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security 6.x 系列(1)—— 初识Spring Security
gmHappy
10-05 2万+
`Spring Security`作为一个功能完善的安全框架,具有以下特性: - **认证(Authentication)**:解决 "你是谁" 的问题,验证系统中是否有这个“用户”(用户/设备/系统),也就是我们常说的“登录”。 - **授权(Authorization)**:权限控制/鉴别,解决的是系统中某个用户能够访问哪些资源,即“你能干什么”的问题。`Spring Security` 支持基于 `URL` 的请求授权、方法访问授权、对象访问授权
Spring Boot 实战 —— 入门
MichaelHH
07-20 191
原文链接: Spring Boot 实战 —— 入门 简介 目前没有系统学习过 Spring 框架,参与工作时,直接参与到了 Spring Boot 项目的开发。目前还比较菜,所以,你要是和我一样,不妨也跳过 Spring 框架的学习,直接学习 Sring Boot。 官方文档的一段介绍: Spring Boot makes it easy to create stand-alone, p...
SpringSecurity实战入门——认证
GSON的博客
06-19 371
Spring 家族中的一个安全管理框架。相比与另外一个安全框架,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。一般Web应用的需要进行和。而认证和授权也是SpringSecurity作为安全框架的核心功能。
SpringSecurity基础——快速入门
程序无言
09-26 877
一. 初始SpringSecurity 1. 简介 Spring Securityspring采用AOP思想,基于servlet过滤器实现的安全框架。它提供了完善的认证机制和方法级的授权功能。是一款非常优秀的权限管理框架。 2. 主要jar包 spring-security-core.jar: 核心包 spring-security-web.jar: web工程必备,包含过滤器 spring-security-config.jar: 用于解析xml配置文件 spring-security-tagli
Spring Web Flow2入门(二)
07-07
**Spring Web Flow2 入门详解** Spring Web Flow (SWF) 是一个强大的MVC框架,专注于管理应用程序中的用户交互流程。它允许开发者定义可重用的、有状态的导航流,这些流可以处理用户的输入并指导他们通过一系列步骤...
spring boot相关书籍
05-28
4. **安全**:讲解Spring Security的使用,包括身份验证、授权、CSRF保护等安全机制。 5. **Actuator**:Spring Boot的监控和健康检查组件,用于生产环境中的应用管理和维护。 6. **测试**:涵盖单元测试、集成...
spring-cloud-demo
03-21
Spring Cloud实战:基于spring-cloud-demo的深度解析》 在当今的微服务架构领域,Spring Cloud作为主流的微服务框架,被广泛应用于大型分布式系统中。本文将通过一个实际的项目——"spring-cloud-demo",深入探讨...
10.javaSE基础_JDBC编译程序(Driver+Statement+Connection+mysql数据库连接)
m0_61086522的博客
07-02 1193
JDBC是的缩写。它是Sun的Javasoft公司制定的Java数据库连接技术,是一套标准接口java.sql包中提供了JDBC API,通过它连接到各种数据库系统,编写访问数据库的程序。JDBC API不能直接访问数据库,它依赖于数据库厂商提供的JDBC Driver(JDBC驱动程序)
JVM原理(十一):JVM虚拟机六种必需对类进行初始化的情况
zuodingquan666的博客
07-03 487
Java虚拟机把描述类的数据从Class文件加载到内存,并对数据进行校验、转换解析和初始化,最终形成可以被虚拟机直接使用的Java类型,这个过程被称作虚拟机的类加载机制。Java天生可以动态扩展的语言特性就是依赖运行期间动态加载和动态链接这个特点实现的。
解决分布式环境下session共享问题
shenxiaomo1688的博客
07-06 461
在分布式环境下,session会存在两个问题第一个问题:不同域名下,浏览器存储的jsessionid是没有存储的。比如登录时认证服务auth.gulimall.com存储了session,但是搜索服务search.gulimall.com是没有这个session的;
Java面试题: 什么情况下索引会失效
qq_55630615的博客
07-02 388
通过执行计划EXPLAIN可以判断索引是否失效如果KEY和KEY_LEN为空代表索引失效。
java 程序、进程 、线程,cpu,并行、并发、启动线程两种方式
gu2022_3_5_21_23的博客
07-02 297
Thread 方式 线程间不可以共享数据,除非变量加 static 变为 静态变量 (每次创建实例,会有一个新的副本)。条件二: 重写 Thread 父类方法 后创建实例调用 start 方法 (创建匿名子类的匿名对象)条件一: 将创建自实现 Runable 接口后的实例 作为参数传递给 Thread 的构造方法。2、将创建自实现 Runable 接口后的实例 作为参数传递给 Thread 的构造方法。最后调用的都是 Thread 的start 的方法。创建的线程对象,都是Thread类或其子类的实例。
ShardingSphere
Casual_Lei的博客
07-04 617
ShardingSphere 通过提供数据分片、分布式事务、数据加密和读写分离等功能,帮助开发者轻松构建高性能、高可用的分布式数据库系统。其灵活的架构设计和丰富的功能模块,使其成为现代分布式数据库中间件的优秀选择。
如何使用缓存提升SpringBoot性能(EhCache和Redis方式)
三两肉的博客
07-03 962
缓存是指将文件或数据的副本存储在缓存或临时存储位置中,以便未来对该数据的请求可以更快地提供服务。当从存储中检索数据时,会在缓存中创建该数据的副本。如果再次需要该数据,可以从缓存中比从主存储器中更快地检索到该数据,主存储器可能涉及复杂的计算或较慢的访问速度。如何使用缓存提升SpringBoot性能(EhCache和Redis方式)
maven配置使用nexus仓库
ApexPredator的博客
07-03 202
maven配置使用nexus仓库
图片压缩代码和实际操作页面
英雄汉孑的博客
07-05 787
轻盈视界,高清依旧 —— 智能图片压缩,大容量,小体积,精彩不打折
基于SpringBoot的招聘信息管理系统的详细设计和实现(源码+lw+部署文档+讲解等,欢迎咨询我!!)
最新发布
程序员阿龙的博客
07-06 532
本次分享的是一个基于java开发的招聘信息管理系统,也说明了自己的开发实力,欢迎各位小伙伴来咨询相关业务,也可以参考一下这个文章!!
JavaSE阶段面试题(一)
tq02的博客
07-03 587
本章节主要讲述SE阶段的常见面试题
全套Spring Security入门到项目实战课程
03-21
本资源是一门针对Spring Security的全面教程,涵盖了从入门到实际项目中的应用。Spring SecuritySpring框架下的身份认证和授权解决方案,利用Servlet过滤器、依赖注入(DI)和面向切面编程(AOP)技术,确保Web...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值