springboot集成springsecurity简单权限管理与logout退出,@AuthenticationPrincipal

最新推荐文章于 2024-06-25 03:00:11 发布
最新推荐文章于 2024-06-25 03:00:11 发布
阅读量1.5w 收藏 9
点赞数 4
分类专栏: spring 文章标签: springsecurity 权限管理 @AuthenticationPrincipal
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/c5113620/article/details/89500627
版权

springsecurity主要是 认证 (密码登录) 与 授权 (角色权限管理)

下面一个简单项目例子,使用springsecurity的权限管理

  • MyUserDetailsService#loadUserByUsername 用户登录查询
  • SecurityConfig#configure 配置springsecurity行为
  • Controller中的@PreAuthorize就是判断用户角色权限

理解权限关系怎么在springsecurity中实现

  • 用户:abc(角色admin,userRole),ccc(角色userRole)
  • 角色:admin (权限Lsit,Add),userRole(权限List)
  • 资源(权限):List,Add

项目结构
spring security 项目

http://127.0.0.1:8080/index 首页,不用权限
http://127.0.0.1:8080/list 会跳转到login,输入ccc,456 登录 (springsecurity自动拦截login的post请求,进入MyUserDetailsService#loadUserByUsername),可以看http://127.0.0.1:8080/list,但是http://127.0.0.1:8080/add需要admin角色,会报错
http://127.0.0.1:8080/logout 跳转到index,虽然没有在controller写logout,但是springsecurity自动有了( 在SecurityConfig#configure配置的loguot端点)
http://127.0.0.1:8080/login 输入abc,123登录,可以看 /list与 /add
基本完成权限控制与角色权限控制

密码没有BCrypt加密(字符串开头$2a),会报错 Encoded password does not look like BCrypt

//App.java
package boottest;

import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;

/**
 * @author zhanghui
 * @date 2019/4/24
 */
@SpringBootApplication
public class App {
    public static void main(String[] args) {

        SpringApplication.run(App.class);

        System.out.printf("test here!");
    }
}

//SysUser.java
package boottest.auth;

/**
 * @author zhanghui
 * @date 2019/4/24
 */
public class SysUser {
    private String userName;
    private String password;
    private String roles;

    public SysUser(String userName, String password, String roles) {
        this.userName = userName;
        this.password = password;
        this.roles = roles;
    }

    public String getUserName() {
        return userName;
    }

    public void setUserName(String userName) {
        this.userName = userName;
    }

    public String getPassword() {
        return password;
    }

    public void setPassword(String password) {
        this.password = password;
    }

    public String getRoles() {
        return roles;
    }

    public void setRoles(String roles) {
        this.roles = roles;
    }
}

//SecurityConfig.java
package boottest.auth;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

/**
 * @author zhanghui
 * @date 2019/4/24
 */
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)  //  启用方法级别的权限认证
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private MyUserDetailsService myUserDetailsService;


    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //  允许所有用户访问"/"和"/index.html"
        http.authorizeRequests()
                .antMatchers("/", "/index").permitAll()
                .anyRequest().authenticated()   // 其他地址的访问均需验证权限
                .and()
                .csrf().disable() //暂时关闭csrf,不知道java获取csrf放入form表单
                .formLogin() // form提交登录
                .loginPage("/login")   //  登录页
                .failureUrl("/login-error").permitAll()
                .and()
                .logout()  //   添加 /logout 访问点,能退出
                .logoutSuccessUrl("/index");  //退出后访问
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(myUserDetailsService).passwordEncoder(passwordEncoder());
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
}

//MyUserDetailsService.java
package boottest.auth;

import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;

import java.util.List;

/**
 * @author zhanghui
 * @date 2019/4/24
 */
@Service
public class MyUserDetailsService implements UserDetailsService {

    /**
     * 根据用户的角色判断权限
     */

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

        //模拟数据库
        SysUser sysUser;
        BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder();
        if("abc".equals(username)){
            sysUser=new SysUser("abc",passwordEncoder.encode("123")),"ROLE_admin,ROLE_user");
        }else if("ccc".equals(username)){
            sysUser=new SysUser("ccc",passwordEncoder.encode("456")), "ROLE_user");
        }else {
            sysUser=null;
        }
        if (null == sysUser) {
            throw new UsernameNotFoundException(username);
        }
        // authorities 是 roles 集合
        List<GrantedAuthority> authorities = AuthorityUtils.commaSeparatedStringToAuthorityList(sysUser.getRoles());

        //上面是根据用户名查出用户信息,下面才会比较传来的password是否正确
        return new User(sysUser.getUserName(), sysUser.getPassword(), authorities);
    }
}

//Controller.java
package boottest.auth;

import org.springframework.security.access.prepost.PreAuthorize;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.ResponseBody;
import org.springframework.web.bind.annotation.RestController;

/**
 * @author zhanghui
 * @date 2019/4/24
 */
@RestController
@ResponseBody
public class Controller {

    @GetMapping(value = {"/",""})
    public String defaut(){
        return "defaut";
    }

    @GetMapping("/index")
    public String index(){
        return "index";
    }

    // direct request to "/logout" for logout
    @RequestMapping("/login")
    public String login(){
        return "<form action=\"/login\" method=\"post\">\n" +
                "    <label for=\"username\">Username</label>:\n" +
                "    <input type=\"text\" id=\"username\" name=\"username\" autofocus=\"autofocus\" /> <br />\n" +
                "    <label for=\"password\">Password</label>:\n" +
                "    <input type=\"password\" id=\"password\" name=\"password\" /> <br />\n" +
                "    <input type=\"submit\" value=\"Login\" />\n" +
                "</form>";
    }

    @GetMapping("/login-error")
    public String loginerror(){
        return "login-error";
    }

//    @PreAuthorize("hasAuthority('ROLE_user')")  //判断角色
    @PreAuthorize("hasRole('user')")       //同上,判断角色,会自动加 前缀 ROLE_
    @GetMapping("/list")
    public String list() {
        //程序内判断role, 或者@AuthenticationPrincipal注解取得MyUserDetailsService内的UserDetails
        Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
        if(authentication.getAuthorities().contains(new SimpleGrantedAuthority("ROLE_user"))){
            System.out.println("user role2");
        }
        return "to list";
    }

    @PreAuthorize("hasAuthority('ROLE_admin')")
    @GetMapping("/add")
    public String add() {
        return "to add";
    }
}
lukezhang-123
关注
  • 4
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
SpringBoot+Security+Vue前后端分离开发权限管理系统
04-10
适用人群所有的IT从业者,尤其适合快速掌握新技术,快速增长工作经验人群,对教育公平,教育公益,教育爱心公益人士课程概述该互联网实战项目是基于 Spring Boot 2+ SpringSecurity5+Element UI+Vue Admin Template+蚂蚁可视化AntV 等技术栈开发的项目,采用分布式,多模块,前后端分离开发。包括图形展示、权限管理、用户管理等功能。【后端技术】技术说明Spring Boot2MVC框架 开发的一站式解决方案Spring Security5 认证和授权框架MyBatisPlus3.3.1 基于 MyBatis 框架的快速研发框架MyBatisCode工具生成 MyBatis 相关代码Jackson提供了处理 JSON 数据的工具Lombok简化对象封装工具 Druid   数据库连接池 【前端技术】Vue       互联网最火的前端框架Vue Router路由框架Vuex全局状态管理框架Axios前端 HTTP 框架Element UI前端 UI 框架Vue Element Admin前端模板Antv  蚂蚁金服可视化技术,阿里巴巴可视化技术,天猫,淘宝,支付宝,花呗均使用AntV【开发工具】IntelliJ IDEA开发 IDESQLyog数据库连接客户端PostmanHTTP 请求工具【开发环境】工具版本JDK1.8MySQL5.7
Spring Security安全框架
Lamb_quan的博客
02-13 410
一、Spring Security 的原理介绍 Spring Security 是基于spring和Servlet规范中的Filter实现的,使用Filter保护web请求并心智URL级别的访问,为企业应用系统提供声明式的安全访问控制的安全框架,它提供了一组可以在spring应用上下文配置的Bean,充分利用了Spring IOC 、DI和AOP的功能,为应用系统提供声明式的安全访问控制功能,减...
springsecurity 中获取用户信息
Soul space of Jamon_Wang
11-30 2706
一、使用注解 @AuthenticationPrincipal @GetMapping("/user") public String user(@AuthenticationPrincipal Principal principal, Model model){ model.addAttribute("username", principal.getName()); return "user/user"; } @AuthenticationPrinc
SpringBoot 学习笔记(十)Spring Security 安全框架_springbootsecurity学习
最新发布
2401_84240129的博客
06-25 801
需新建配置类注册一个指定的加密方式Bean,或在下一步Security配置类中注册指定。* 如果用户的账户有效(即未过期),则返回true,如果不在有效就返回false。* 指示用户的凭证(密码)是否已过期。无法对锁定的用户进行身份验证。* 如果用户未被锁定,则返回true,否则返回false。* 如果启用了用户,则返回true,否则返回false。* 指示用户的账户是否已过期。无法验证过期的账户。* 如果用户的凭证有效(即未过期),则返回true。* 如果不在有效(即过期),则返回false。
spring security-@AuthenticationPrincipal注解
dijia_todey的博客
07-18 1065
AuthenticationPrincipal注解是Spring Security框架提供的一个注解,用于获取当前用户的认证信息。它可以用于方法参数上,表示将当前用户的认证信息注入到该参数中。通常情况下,我们可以使用它来获取当前用户的用户名、角色、权限等信息,以便进行业务逻辑的处理。
Spring Security 注解AuthenticationPrincipal 失效排查
keep_learn的专栏
08-23 1771
背景项目使用了springframework.security接口入参使用了springframework.security 注解 @AuthenticationPrincipal注解失效,前端请求接口的时候发现Principal 为空。
配置Spring Security AuthenticationFilter和AuthenticationPrincipal
qiuweifan的博客
04-01 2025
5.自定义Spring Security AuthenticationFilter 最后,让我们编写JWTAuthenticationFilter从请求中获取 JWT 令牌,对其进行验证,加载与令牌关联的用户,并将其传递给 Spring Security - public class JwtAuthenticationFilter extends OncePerRequestFilter { @Autowired private JwtTokenProvider tokenProvi
SpringBoot集成Spring Security的方法
08-18
色信息。Spring Security 提供了 `UserDetailsService` 接口,我们...为了更好地利用Spring Security,开发者需要深入理解其核心概念,包括过滤器链、安全性元数据、访问决策管理器等,以便实现高效且安全的权限控制。
SpringBoot集成Spring Security入门程序并实现自动登录【完整源码+数据库】
02-16
在这个入门程序中,我们将深入理解如何将SpringBootSpring Security整合,以实现用户身份验证和授权功能,并通过自动登录功能提升用户体验。 首先,Spring Security的核心功能包括身份验证(Authentication)和...
详解Springboot2.3集成Spring security 框架(原生集成)
08-18
在本文中,我们将深入探讨如何在Spring Boot 2.3应用程序中集成Spring Security框架,以实现原生的安全管理。Spring Security是一个强大且高度可配置的安全框架,为Java应用提供了全面的安全解决方案。 首先,我们...
SpringBoot整合权限控制SpringSecurity.docx
12-10
在本文中,我们将探讨如何在SpringBoot项目中整合SpringSecurity实现权限控制,并结合前端Element UI的多标签页(Tabs)组件,提供更加高效的用户体验。SpringBoot是一个流行的Java开发框架,它简化了Spring应用的...
基于SpringBoot+SpringSecurity的RBAC管理系统,易读易懂.zip
02-22
总结,这个基于SpringBoot+SpringSecurity的RBAC管理系统,旨在为开发者提供一个清晰易懂的示例,帮助他们更好地掌握权限管理的实践。通过学习这个项目,你可以了解到SpringBoot的快速开发特性,SpringSecurity的...
Springboot整合SpringSecurity 04-启用登出logout功能
热门推荐
枫林晚丶的博客
09-12 1万+
Springboot整合SpringSecurity 04-启用登出logout功能 前面Springboot整合SpringSecurity 02-使用自定义登陆页面我们讲过了SpringSecurity的登陆功能。 本章我们继续讲解如何实现登出功能。 1.提供一个登出界面 我们在templates目录下面新建一个logout.html <!DOCTYPE HTML> <htm...
在有springSecurity或者若依项目中获取当前系统登录的用户信息
weixin_47615289的博客
11-22 2271
AuthenticationPrincipal 是 Spring Security 框架中的一个注解,用于获取当前已认证用户的 principal(即用户身份信息)。方法一(springSecurity自带的)方法二(若依项目自带的)
spring security-源码流程分析(六)-oauth授权模式分析
luoxiaomei999的博客
04-13 1131
spring security经常在项目中用到,但是平常只是简单的使用肯定是不够的,我们需要了解深层次的东西,才能在使用的过程中不畏惧,本次打算从demo入手,跟踪源码,剖析security内在 本文在上一篇的基础上进行,继续追踪看下不同类型模式的grant方法到底做了什么 一、ResourceOwnerPasswordTokenGranter 1、从继承关系可以看到,父类AbstractTokenGranter 2、在getOAuth2Authentication方法中进入子类自己的方法 注意,.
Spring Security 5.2.0.M2 发布,Spring 安全框架
cpongo5
04-17 446
开发四年只会写业务代码,分布式高并发都不会还做程序员? >>> Spring Security 5....
Spring框架重要注解和类(接口)整理Spring
AC_sunK的博客
01-22 553
Spring框架重要注解和类(接口)整理 一、Spring配置类注解和配置 基本配置类(通用注解) 注解名称 作用 @Configuration 指定标明的类为配置类 @ComponentScan(basePackages={“cn.zzcfirst.mapper”}) 将指定包中的组件添加到容器中 @MapperScan(basePackages = {“cn.zzcfirst.mapper”}) 将指定包dao层Mapper接口添加到容器中 @Bean 声明方法为创建bean
spring security 登录成功后通过Principal 获取名返回空
qq_33159000的博客
08-22 1万+
如上图,前端登录后获取用户信息,principal 返回空值,经历种种排查发现,前端请求后端,请求头没有加 bearer 按上图配置问题解决,记录一下下 ...
Spring Securityspringboot + mybatis-plus + mysql 用户logout登出后token失效
锥栗的博客
06-25 1397
Spring Securityspringboot + mybatis-plus + mysql 从数据库读取用户信息验证登录【Spring Securityspringboot + mybatis-plus + mysql 密码加密存储下的数据库用户验证登录【Spring Securityspringboot + mybatis-plus + mysql 用户token验证登录功能。
Springboot集成SpringSecurity实现登录和权限管理代码
06-07
好的,下面是 SpringBoot 集成 SpringSecurity 实现登录和权限管理的示例代码: 首先,我们需要在 pom.xml 中添加 SpringSecurity 的依赖: ```xml <groupId>org.springframework.boot <artifactId>spring-boot...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值