说说如何使用 Spring Security 自定义账户权限体系

最新推荐文章于 2024-07-31 14:45:28 发布
最新推荐文章于 2024-07-31 14:45:28 发布
阅读量367 收藏
点赞数 1
分类专栏: Spring 文章标签: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/deniro_li/article/details/108892937
版权

如果使用之前说过的基于 JDBC 的认证方案,那么必须遵循一定的规范,比如字段名名称限制等等。所以如果需要完全自定义,我们可以使用直接 Spring Data Repository。

Craig Walls 举了这样一个示例,来说明如何自定义账户权限体系。

1 定义账户实体类

@Entity
@Data
@NoArgsConstructor(access = AccessLevel.PRIVATE, force = true)
@RequiredArgsConstructor
public class User implements UserDetails {

    private static final long serialVersionUID = 1L;

    @Id
    @GeneratedValue(strategy = GenerationType.AUTO)
    private Long id;

    private final String username;
    private final String password;
    private final String fullname;
    private final String street;
    private final String city;
    private final String state;
    private final String zip;
    private final String phoneNumber;


    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return Arrays.asList(new SimpleGrantedAuthority("ROLE_USER"));
    }

    @Override
    public String getPassword() {
        return null;
    }

    @Override
    public String getUsername() {
        return null;
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return true;
    }
}

除了定义了一些账户基本属性之外, User 类还实现了 Spring Security 的 UserDetails 接口。该接口定义一些与权限有关的方法。

方法名说明
getAuthorities返回该账户被授予的权限集合
isAccountNonExpired账户是否未过期
isAccountNonLocked账户是否未被锁定
isCredentialsNonExpired账户凭证是否未过期
isEnabled账户是否可用

示例代码中,以上这些方法全部返回 TRUE,即允许该账户登录使用。

2 账户 Repository 接口

public interface UserRepository extends CrudRepository<User,Long> {

    User findByUsername(String username);
}

Spring Data JPA 会在运行时自动生成账户 Repository 接口的实现类。这种方式的好处是不需要写代码。

3 账户 Service 接口

Spring Security 本身定义了 UserDetailsService 接口,代码如下:

public interface UserDetailsService {

    UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;
}

Service接口中定义了一个依据账号名获取账号的方法。如果找不到相应账号,就会抛出 UsernameNotFoundException 异常。

UserDetailsService 是Spring Security 定义的接口。

定义 UserDetailsService 的实现类:

@Service
public class UserRepositoryUserDetailsService implements UserDetailsService {

    private UserRepository userRepository;

    @Autowired
    public UserRepositoryUserDetailsService(UserRepository userRepository) {
        this.userRepository = userRepository;
    }


    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        User user = userRepository.findByUsername(username);
        if (user != null) {
            return user;
        } else {
            throw new UsernameNotFoundException("User '" + username + "' not found");
        }
    }
}

UserDetailsService 的实现类通过构造器方式将UserRepository 注入进来。然后在 loadUserByUsername 方法中通过 UserRepository 的 findByUsername 方法来查询账户对象。
UserDetailsService 的实现类使用了 @Service 注解,这样 Spring 应用启动时,就会将其初始化为一个 bean。

接下来需要把 UserDetailsService 服务与 Spring Security 绑定起来。在 SecurityConfig 类中,注入并绑定UserDetailsService 服务:

  @Autowired
  UserDetailsService userDetailsService;

@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.userDetailsService(userDetailsService);
}

与 JDBC 方式一样,我们也可以配置密码编码器,这样存放在数据库中的密码就是密文的。

@Bean
    public PasswordEncoder encoder() {
        return new BCryptPasswordEncoder(6);
}

@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
		auth.userDetailsService(userDetailsService)
        .passwordEncoder(encoder());
}

首先定义一个返回 PasswordEncoder 对象的方法,然后调用passwordEncoder() 方法,该方法的入参是PasswordEncoder 对象,这样 AuthenticationManagerBuilder 对象就装配上了密码编码器。

因为encoder() 方法定义了 @Bean 注解,所以对encoder() 方法的调用都会被 Spring 拦截,接着 Spring 框架会返回应用上下文中的 PasswordEncoder bean 实例。

通过以上方式,我们就可以实现自定义 Spring Security 权限体系。

Deniro Lee
关注
专栏目录
SpringSecurity自定义用户权限信息的存取
04-16
SpringSecurity自定义用户权限信息的存取,SpringSecurity教程,用户权限信息存取
SpringSecurity自定义权限
qq_62770345的博客
02-17 488
SpringSecurity权限的校验主要有和校验。本文主要解释基于路径校验。SpringSecurity权限的校验主要通过这个过滤链实现的。
SpringSecurity授权功能的实现
最新发布
m0_63624484的博客
07-31 1032
Security:认证 (判断你是平台合法用户)授权(有没有权限访问这个资源)a:b:c我们使用的是自定义权限表达式 ,也就是我们的权限用的是a:b:c这种格式来定义权限的,我们在判断权限的时候也是用这种格式来查询是否有对用的权限SpringSecurity支持表达式:@PreAuthorize 注解的常用参数有:。。。。。。。。。用于判断接口需要的访问权限登录的用户是否拥有/***自定义权限实现,ss取自SpringSecurity首字母*/
关于SpringSecurity自定义方法权限
c_z_z的博客
07-01 547
关于SpringSecurity自定义方法权限
Spring Secutity 自定义权限配置
weixin_34290096的博客
07-18 496
Srping Security网上也有很多例子,但基本都是所资源直接配置在XML文件里,限制太大,不够灵活。我们需要的是可以在后台修改资源访问权限,实时生效,才能符合现在大多数系统的需求。 需要引入的依赖 <!-- Spring security --> <dependency> &...
SpringSecurity自定义权限校验(三)
臆想的一只猫
04-15 1335
INSERT INTO `tb_resource` VALUES (5, '登录权限', 'all:login'); INSERT INTO `tb_resource` VALUES (6, '登出权限', 'all:logout'); INSERT INTO `tb_resource` VALUES (7, '错误逻辑显示权限', 'all:error'); INSERT INTO `tb_resource` VALUES (8, '入口页面显示权限', 'all:toMain'); INSERT IN.
Spring security 自定义密码加密方式的使用范例。
09-15
Spring Security中,默认使用的是BCryptPasswordEncoder或者PBEWithMD5AndDES等加密算法。但为了满足特定需求,我们可以自定义密码编码器。下面是如何实现的步骤: 1. **创建自定义PasswordEncoder**:你需要创建...
java中自定义Spring Security权限控制管理示例(实战篇)
08-31
1. **自定义Voter**:Voter是Spring Security的核心组件之一,它负责投票决定用户是否具有访问某个资源的权限。在这里,我们需要创建一个自定义的Voter,让它能够根据URL和HTTP方法与数据库中的权限配置进行匹配。...
SpringBoot使用SpringSecurity自定义用户登录与自定义权限-session篇
chitiguan0536的博客
04-15 6410
SpringSecurity的学习成本比较高,API比较难懂,这里记录一下用SpringSecurity实现项目的登录各种需求 首先实现自定义用户登录与自定义权限的session模式,session其实就是存储在服务器上的用户信息,用户登录后会返回一个sessionID存储到...
spring security自定义用户登入
m0_46392265的博客
06-15 441
2.创建实体类实现UserDetailsService接口。1.设置security的配置类。
spring security 自定义认证
migo_的专栏
03-02 914
当用户提交凭据时接下来,身份验证被传递到 AuthenticationManager 以进行身份验证如果身份验证失败,则为“失败”如果身份验证成功,则为“成功”。如下我们只需要实现 UserDetailsService 接口,spring就会自动注入我们的认证方法(可以引入其他存储中间件做替换)@Service@Autowired@Override// 模拟jdbc获取用户信息// 设置登录角色。
SpringSecurity权限控制实现原理解析
08-24
主要介绍了SpringSecurity权限控制实现原理解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring Security 6使用自定义数据库存储用户权限
weixin_52019286的博客
01-24 387
1] 自定义实体@Entity@Getter@Setter@ToString@Id@Override@Override[2] 自定义repository[3] 自定义CustomerUserDetailsSpring Security 使用UserDetailsService实例来存取用户信息,因此,这里我们实现了这个接口,从自定义的customers表中提取信息,创建UserDetails对象。
Spring Security)学习七:自定义用户资源权限动态控制
希克的博客
09-01 920
实现了自定义用户动态登录后,不同的用户必定有不同的用户权限和资源,我们需要根据不同的用户的角色以及资源,来给用于对应的权限控制。在查看本文章之前,需要实现了解RBAC权限设计思想和概念,以便更好的理解用户资源权限动态控制。...
基于 Spring Security 搭建用户权限系统(二) - 自定义配置
nimo10050的博客
08-08 568
明 本文的目的是如何基于 Spring Security 去扩展实现一个基本的用户权限模块, 内容会覆盖到 Spring Security 常用的配置. 文中涉及到的业务代码是不完善的, 甚至会存在逻辑上的漏洞, 业务部分请自行思考完善. 一、脱离框架实现认证和鉴权 Spring Security、Shiro 这种所谓的安全框架, 其核心作用就是 认证 和 鉴权, 当不使用这些框架时, 比较常规的实现方式如下: 定义一个登录接口用于验证用户身份 (认证) 定义一个过滤器验证用户的访问权限 (鉴权)
如何在 Spring Security自定义权限表达式
YYniannian的博客
07-12 677
在 SpEL 表达式中,如果上来就直接写要执行的方法名,那么就明这个方法是 RootObject 对象中的方法,如果要执行其他对象的方法,那么还需要写上对象的名字
为什么我要用springsecurity自定义授权实现?真的好用
乐于分享,共同成长
01-17 402
为什么我要用springsecurity自定义授权实现?真的好用
基于角色访问控制(RBAC)的自定义权限管理系统
weixin_33811539的博客
07-05 1128
1.开发人员在设计和实现系统时,关联资源和操作,并创造权限;2.管理员可以为用户分配权限;3.用户使用权限。 createtableUsers(IDintidentity(1,1)primarykey,UserNamevarchar(16),Passwordbinary(16));createtableRoles(IDintidentity...
Spring Security自定义认证登录详解与步骤
本文主要介绍了Spring Security自定义认证登录的全过程,这是一种强大的基于Spring AOP和Servlet过滤器的安全框架,用于管理权限认证。Spring Security提供了四种常见的使用方式,从最简单的无数据库配置到更复杂的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值