权限管理-spring-security的使用

最新推荐文章于 2023-03-21 11:47:18 发布
最新推荐文章于 2023-03-21 11:47:18 发布
阅读量317 收藏 2
点赞数
分类专栏: spring 文章标签: spring-security 权限管理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/freestyle3210/article/details/91357615
版权

spring-security

依赖

      <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-web</artifactId>
            <version>${spring.security.version}</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-config</artifactId>
            <version>${spring.security.version}</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-core</artifactId>
            <version>${spring.security.version}</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-taglibs</artifactId>
            <version>${spring.security.version}</version>
        </dependency>

        <dependency>
            <groupId>javax.annotation</groupId>
            <artifactId>jsr250-api</artifactId>
            <version>1.0</version>
        </dependency>

配置文件

  1. web.xml
    <!--配置加载类路径的配置文件-->
  <context-param>
    <param-name>contextConfigLocation</param-name>
    <param-value>classpath*:applicationContext.xml,classpath*:spring-security.xml
    </param-value>
  </context-param>
  
  <!--spring-security配置-->
  <filter>
    <filter-name>springSecurityFilterChain</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
  </filter>
  <filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>
  1. spring-security
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:security="http://www.springframework.org/schema/security"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xsi:schemaLocation="http://www.springframework.org/schema/beans
    http://www.springframework.org/schema/beans/spring-beans.xsd
    http://www.springframework.org/schema/security
    http://www.springframework.org/schema/security/spring-security.xsd">

    <!--开启权限控制
    
Spring Security在方法的权限控制上支持三种类型的注解,
    JSR-250注解、@Secured注解、支持表达式的注解,
    这三种注解默认都是没有启用的,
    需要单独通过global-method-security元素的对应属性进行启用

    <security:global-method-security jsr250-annotations="enabled"/>
    <security:global-method-security secured-annotations="enabled"/>
    <security:global-method-security pre-post-annotations="enabled"/>
    -->
    <security:global-method-security pre-post-annotations="enabled" jsr250-annotations="enabled"/>

    <!-- 配置不拦截的资源 -->
    <security:http pattern="/login.jsp" security="none"/>
    <security:http pattern="/failer.jsp" security="none"/>
    <security:http pattern="/css/**" security="none"/>
    <security:http pattern="/img/**" security="none"/>
    <security:http pattern="/plugins/**" security="none"/>

    <!--
    	配置具体的规则
    	auto-config="true"	不用自己编写登录的页面,框架提供默认登录页面
    	use-expressions="false"	是否使用SPEL表达式(没学习过)
    	设置为true
    -->
    <!--添加这个bean  可以设置use-expressions="false"  也可以再页面使用SPEL表达式-->
    <!--<bean id="webexpressionHandler" class="org.springframework.security.web.access.expression.DefaultWebSecurityExpressionHandler"></bean>-->

    <security:http auto-config="true" use-expressions="true">

        <security:remember-me   data-source-ref = "dataSource"/>

        <!-- 配置具体的拦截的规则 pattern="请求路径的规则" access="访问系统的人,必须有ROLE_USER的角色" -->
        <!--设置了使用SPEL表达式   access就必须使用表达式  不设置 可以 access="ROLE_USER,ROLE_ADMIN"-->
        <security:intercept-url pattern="/**" access="hasAnyRole('ROLE_USER','ROLE_ADMIN')"/>

        <!-- 定义跳转的具体的页面
        -->
        <security:form-login
                login-page="/login.jsp"
                login-processing-url="/login.do"
                default-target-url="/index.jsp"
                authentication-failure-url="/failer.jsp"
                authentication-success-forward-url="/pages/main.jsp"
        />

        <!-- 关闭跨域请求 -->
        <security:csrf disabled="true"/>
        <!-- 登录退出 spring-security里写好的logout.do-->
        <security:logout invalidate-session="true" logout-url="/logout.do" logout-success-url="/login.jsp" />

    </security:http>



    <!-- 切换成数据库中的用户名和密码 -->
    <security:authentication-manager>
        <!--验证使用的service 需要继承UserDetailsService 并且命名-->
        <security:authentication-provider user-service-ref="userService">
            <!-- 配置加密的方式x-->
            <security:password-encoder ref="passwordEncoder"/>
        </security:authentication-provider>
    </security:authentication-manager>

    <!-- 配置加密类 -->
    <bean id="passwordEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder"/>

  <!--   &lt;!&ndash;提供了入门的方式,在内存中存入用户名和密码&ndash;&gt;
    <security:authentication-manager>
    	<security:authentication-provider>
    		<security:user-service>
    			<security:user name="admin" password="{noop}admin" authorities="ROLE_USER"/>
    		</security:user-service>
    	</security:authentication-provider>
    </security:authentication-manager>
-->
</beans>

方法级权限控制

  1. 开启权限控制
<!--
Spring Security在方法的权限控制上支持三种类型的注解,
    JSR-250注解、@Secured注解、支持表达式的注解,
    这三种注解默认都是没有启用的,
    需要单独通过global-method-security元素的对应属性进行启用
-->
    <security:global-method-security jsr250-annotations="enabled"/>
    <security:global-method-security secured-annotations="enabled"/>
    <security:global-method-security pre-post-annotations="enabled"/>
  1. jsr250注解使用
//该方法只要具有"USER", "ADMIN"任意一种权限就可以访问。这里可以省略前缀ROLE_,实际的权限可能是ROLE_ADMIN
@RolesAllowed({"USER", "ADMIN"}) 
 @RequestMapping("/findAll.do")
  public ModelAndView findAll() throws Exception { }
  1. 支持表达式的注解
//该方法只有用户名为jack的用户才能访问。
@PreAuthorize("authentication.principal.username=='jack'")
@RequestMapping("/save.do")
    public String save(UserInfo user) throws Exception { }


//这里表示在changePassword方法执行之前,判断方法参数userId的值是否等于principal中保存的当前用户的userId,或者当前用户是否具有ROLE_ADMIN权限,两种符合其一,就可以访问该方法。
@PreAuthorize("#userId == authentication.principal.userId or hasAuthority(‘ADMIN’)")
void changePassword(@RequestParam("userId") long userId ){ }

页面权限控制

  1. 依赖
 <dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-taglibs</artifactId>
    <version>version</version>
</dependency>
  1. 页面导入标签库
 <%@taglib uri="http://www.springframework.org/security/tags" prefix="security"%>
  1. 常用标签
<!--显示当前用户的用户名-->
<security:authentication property="principal.username"></security:authentication>


<!-- 用来判断普通权限的,通过判断用户是否具有对应的权限而控制其所包含内容的显示

有ADMIN权限的用户才显示此标签所包含的内容
-->
<security:authorize access="hasRole('ROLE_ADMIN')">   
    <a     href="${pageContext.request.contextPath}/user/findAll.do"> 
    <i  class="fa fa-circle-o"></i> 用户管理
    </a>     
</security:authorize>

用户登录

  1. 配置文件
    配置了 登录界面/失败界面,可登录权限,加密方式
 <security:http auto-config="true" use-expressions="true">
        <security:remember-me   data-source-ref = "dataSource"/>
        <!-- 配置具体的拦截的规则 pattern="请求路径的规则" access="访问系统的人,必须有ROLE_USER的角色" -->
        <!--设置了使用SPEL表达式   access就必须使用表达式  不设置 可以 access="ROLE_USER,ROLE_ADMIN"-->
        <security:intercept-url pattern="/**" access="hasAnyRole('ROLE_USER','ROLE_ADMIN')"/>

        <!-- 定义跳转的具体的页面
        -->
        <security:form-login
                login-page="/login.jsp"
                login-processing-url="/login.do"
                default-target-url="/index.jsp"
                authentication-failure-url="/failer.jsp"
                authentication-success-forward-url="/pages/main.jsp"
        />

        <!-- 关闭跨域请求 -->
        <security:csrf disabled="true"/>
        <!-- 登录退出 spring-security里写好的logout.do-->
        <security:logout invalidate-session="true" logout-url="/logout.do" logout-success-url="/login.jsp" />

    </security:http>

    <!-- 切换成数据库中的用户名和密码 -->
    <security:authentication-manager>
        <!--验证使用的service 需要继承UserDetailsService 并且命名-->
        <security:authentication-provider user-service-ref="userService">
            <!-- 配置加密的方式x-->
            <security:password-encoder ref="passwordEncoder"/>
        </security:authentication-provider>
    </security:authentication-manager>

    <!-- 配置加密类 -->
    <bean id="passwordEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder"/>
  1. 代码
    用户的密码必须加密后,才能登录成功

//指定service的名字,用于spring-security
@Service("userService")
@Transactional
public class IUserServiceImpl implements IUserService {
    @Autowired
    private IUserDao iUserDao;

    // spring-security提供的加密的类
    @Autowired
    private BCryptPasswordEncoder bCryptPasswordEncoder;

    /*
    * 实现spring-security 的验证方法loadUserByUsername
    * */
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        UserInfo userInfo=null;
        try {
            userInfo  = iUserDao.findByuserName(username);
        } catch (Exception e) {
            e.printStackTrace();
        }
        //获取可访问的角色
        List<SimpleGrantedAuthority> authority = getAuthority(userInfo.getRoles());
        //处理用户对象封装成UserDetails
        //这里的user是spring-security提供的user,实现了UserDetails
        //user的status为0,账户不可用  enable为false
        User user =new User(userInfo.getUsername(),userInfo.getPassword(),userInfo.getStatus()==0?false:true,true,true,true,authority);
        return user;
    }

/**
     * 装入角色描述  允许访问的角色ROLE
     * 返回list集合
     * */
    public List<SimpleGrantedAuthority> getAuthority(List<Role> roles){
        List<SimpleGrantedAuthority> list=new ArrayList<>();
        for(Role role:roles){
            String roleName = role.getRoleName();
            list.add(new SimpleGrantedAuthority("ROLE_"+role.getRoleName()));
        }
        return list;
    }
    
   /*
    * 添加用户
    * */
    @Override
    public void save(UserInfo userInfo) throws Exception {
        //保存时对密码进行加密处理
        userInfo.setPassword(bCryptPasswordEncoder.encode(userInfo.getPassword()));
       
       iUserDao.save(userInfo);
    }
hades9805
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring security用户权限项目
12-19
基于spring mvc mybatis spring security 和jquery easy-ui的用户权限管理项目。
security权限管理详解
程序三两行
07-24 2756
Collection
初识Spring Security(权限)
m0_62943203的博客
10-31 423
在我的上一个帖子中写了安全认证,这篇文章写一下Security中的权限是如何使用的。代码走起!
security权限认证demo
qq_42355476的博客
07-30 375
目录结构 部分POM文件如下: <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </depen...
SpringSecurity权限控制
qq_61544409的博客
03-21 6933
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。 正如你可能知道的关于安全方面的两个核心功能是“认证”和“授权”,一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分,这两点也是 SpringSecurity 重要核心功
user-impersonation-spring-security
05-13
本教程将深入探讨如何使用Spring Security实现用户模拟(User Impersonation)功能。 用户模拟允许一个具有特定权限的管理员或超级用户代表另一个普通用户进行操作,这对于系统维护、故障排查或者数据分析非常有用...
spring-boot spring-security-oauth2 完整demo
11-22
总的来说,这个“spring-boot spring-security-oauth2 完整demo”为学习和实践Spring Boot、Spring Security与OAuth2的结合提供了宝贵的参考。通过深入理解和实践这个示例,开发者不仅可以掌握这三大框架的基本用法...
ssm-spring-security-Aop.zip
09-05
【标题】"ssm-spring-security-Aop.zip" 涉及的核心技术是Spring Security与AOP在SSM(Spring、SpringMVC、MyBatis)框架中的集成应用,主要目的是实现安全登录功能并利用AOP进行日志记录并存入数据库。 【描述】...
spring-security-rbac:Spring Security实现RBAC权限管理
05-15
Spring Security实现RBAC权限管理一简介在企业应用中,认证和授权是非常重要的一部分内容,业界最出名的两个框架就是大名鼎鼎的Shiro和Spring Security。由于Spring Boot非常的流行,选择Spring Security做认证和...
SpringBoot--- SpringSecurity进行注销权限控制的配置方法
08-24
SpringBoot--- SpringSecurity 进行注销权限控制的配置方法 ...通过使用 SpringBoot 和 SpringSecurity,我们可以轻松地实现注销权限控制的配置方法,从而保护我们的应用程序免受未经授权的访问。
SpringSecurity在maven项目中的应用
mycsdnhh的博客
05-31 1754
1.导入坐标 <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-web</artifactId> </dependency> <version>5.0.5.RELEASE</version> <dependency> <groupId>
SpringBoot 整合SpringSecurity示例实现前后分离权限注解+JWT登录认证
beeworkshop的博客
03-16 1528
SpringSecurity是一个用于Java 企业级应用程序的安全框架,主要包含用户认证和用户授权两个方面.相比较Shiro而言,Security功能更加的强大,它可以很容易地扩展以满足更多安全控制方面的需求,但也相对它的学习成本会更高,两种框架各有利弊.实际开发中还是要根据业务和项目的需求来决定使用哪一种。 JWT是在Web应用中安全传递信息的规范,从本质上来说是Token的演变,是一种生成加...
SpringSecurity配置
K_Raytheon的博客
03-28 354
一、导入依赖 <!-- SpringSecurity 对 Web 应用进行权限管理 --> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-web</artifactId> <version>4.2.10.RELEASE</version> </dep
搭建SpringBoot项目依赖和配置快速篇
zly03的博客
11-01 4074
这里主要是搭建项目常用到的maven依赖以及搭建项目会需要用到的一些配置文件,可能下面这些依赖还不是很全,但是应该会满足日常大部分的需求了。
安全框架Spring Security基本用法
ABestRookie的博客
08-12 851
一.入门案列 1.在pom.xml中导入maven坐标 <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-web</artifactId> <version>5.0.5.RELEASE</version> </dependency> <dependency> <grou
搭建SpringBoot项目阶段-groupId和artifactId
zhangvalue的博客
11-04 1755
groupid和artifactId是什么? groupid和artifactId被统称为“坐标”是为了保证项目唯一性而提出的,如果你要把你项目弄到maven本地仓库去,你想要找到你的项目就必须根据这两个id去查找。 groupId和artifactId是maven管理项目包时用作区分的字段,就像是地图上的坐标。 artifactId:artifactId一般是项目名或者模块名 groupId和artifactId是maven管理项目包时用作区分的字段,就像是地图上的坐标。 groupId:grou
Maven的GroupID和ArtifactID的含义
qq_39661027的博客
08-02 3008
标签:目的   left   就会   定义   平时   包名   项目   rep   depend    groupID:是项目组织唯一的标识符,实际对应Java的包的结构,是main目录里Java的目录结构。 artifactID:是项目的唯一标识符,实际对应项目的名称,就是项目根目录的名称。   1.基础掌握 &lt;groupId&gt;com.yucong.commonma...
spring-boot中关于Maven依赖管理的一个问题
onedaycbfly的专栏
12-28 9932
背景: 今天在使用spring boot集成redis的时候,发现一个现象对于spring boot的其他pom依赖都可以不配置version版本号 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter</artifactId> </depende
Maven的GroupID和ArtifactID含义
angie
07-28 6695
groupId一般是域名的反写,也作为项目中类的包名, artifactId是工程名,也就是根文件夹名. groupId :the unique identifier of the organization or group that created the project artifactId :unique base name of the primary artifac...
thymeleaf-extras-springsecurity5 权限
最新发布
06-08
使用 thymeleaf-extras-springsecurity5,可以直接在 Thymeleaf 模板中使用 Spring Security 的安全表达式,例如: ```html ('ROLE_ADMIN')">只有具有ROLE_ADMIN角色的用户才能看到这个元素 ``` 以上代码中,sec:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值