SpringSecurity授权流程(自己做笔记用的)

最新推荐文章于 2024-05-17 08:29:31 发布
最新推荐文章于 2024-05-17 08:29:31 发布
阅读量690 收藏 9
点赞数 10
分类专栏: 认证和授权 文章标签: 笔记 spring 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gaoqiandr/article/details/138164875
版权
本文介绍了如何在SpringSecurity中结合RABC模型设计权限表,通过MyBatis查询权限并将其转换为Security集合,以及如何在控制器和前端页面上使用注解实现授权功能。
摘要由CSDN通过智能技术生成

目录

一、RABC表的设计

二、查询权限并添加Security中

三、通过注解进行授权

四、授权进行前端访问

一、RABC表的设计

基本概念就是五个表:

用户表:users

角色表:role

权限表:permission

还需要两种关系表,才能通过users知道他的权限

用户_角色表

角色_权限表

用户对应角色,角色对应着权限

二、查询权限并添加Security中

基本的创建mapper,自定义方法(通过用户名来查询权限)

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE mapper
        PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN"
        "http://mybatis.org/dtd/mybatis-3-mapper.dtd">

<mapper namespace="com.gq.springsecuritydemo1.mapper.UsersMapper">
    <select id="findByUsername" resultType="com.gq.springsecuritydemo1.pojo.users" parameterType="string">
        select * from users where username=#{username}
    </select>
    <select id="FindPermissionByUsername" parameterType="string" resultType="com.gq.springsecuritydemo1.pojo.permission">
        select distinct permission.pid,permission.permission,permission.url from users left join
            users_role on users.uid=users_role.uid left join
            role on users_role.rid=role.rid left join
            role_permission on role.rid=role_permission.rid left join
            permission on permission.pid=role_permission.pid
             where username=#{username}
    </select>
</mapper>

查询到权限后,接着在UserDetails中将自定义的权限集合转换为Security中的权限集合

//自定义认证服务
@Service
public class MyUserDetailsService implements UserDetailsService {
    @Autowired
    private UsersMapper usersMapper;
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        users s=usersMapper.findByUsername(username);
        //查询用户的权限
        if(s==null){
            return null;
        }
        List<permission> permissionList=usersMapper.FindPermissionByUsername(username);
        //将自定义的权限集合转换为Security的权限类型集合
        List<GrantedAuthority> grantedAuthorities=new ArrayList<>();
        //开始遍历添加权限
        for(permission permission:permissionList){
            grantedAuthorities.add(new SimpleGrantedAuthority(permission.getUrl()));
        }
        //封装为UserDetailsService对象
        UserDetails userDetailsService= User.withUsername(s.getUsername())
                .password(s.getPassword())
                .authorities(grantedAuthorities)
                .build();
        return userDetailsService;
    }
}

这里的权限你可以写url路径来进行认证,也可以自己随便写点别的,反正作为标识即可。

三、通过注解进行授权

在控制器中使用注解来进行鉴权前,我们需要再启动类中添加注解

@EnableMethodSecurity

接着通过@PreAuthorize注解进行鉴权

 //测试权限的方法
    @PreAuthorize("hasAnyAuthority('/search')")
    @RequestMapping("/search")
    public String s1(){
        return "查询权限";
    }
    @PreAuthorize("hasAnyAuthority('/update')")
    @RequestMapping("/update")
    public String u1(){
        return "修改权限";
    }

四、授权进行前端访问

在进行前端访问前,我们还需要引入thymeleaf和security的整合包,这里我直接把大致需要的所有依赖都写了(毕竟有时候版本出现问题是真烦)

<dependencies>
<!--        thymeleaf和security的整合包-->
        <dependency>
            <groupId>org.thymeleaf.extras</groupId>
            <artifactId>thymeleaf-extras-springsecurity5</artifactId>
        </dependency>
<!--        springboot起步-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
<!--mysql驱动-->
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
            <version>8.0.29</version>
            <scope>runtime</scope>
        </dependency>
<!--        lombok-->
        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
            <optional>true</optional>
        </dependency>
<!--        junit单元测试-->
        <dependency>
            <groupId>junit</groupId>
            <artifactId>junit</artifactId>
            <scope>test</scope>
        </dependency>
<!--        mybatis-plus-->
        <dependency>
            <groupId>com.baomidou</groupId>
            <artifactId>mybatis-plus-boot-starter</artifactId>
            <version>3.5.0</version>
        </dependency>
<!--        thymeleaf-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-thymeleaf</artifactId>
        </dependency>
<!--        springsecurity-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>
    </dependencies>

在thymeleaf中前端鉴权时,别忘了写约束

<!DOCTYPE html>
<!-- 约束-->
<html lang="en" xmlns:th="http://www.thymeleaf.org"
      xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity5">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<h3 sec:authorize="hasAnyAuthority('/search')">查询</h3>
<h3 sec:authorize="hasAnyAuthority('/update')">修改</h3>
<h3 sec:authorize="hasAnyAuthority('/delete')">删除</h3>
<h3 sec:authorize="hasAnyAuthority('/insert')">添加</h3>
</body>
</html>

 

菜到极致就是渣
关注
  • 10
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
SpringSecurity笔记,编程不良人笔记
10-28
在本笔记中,我们将深入探讨SpringSecurity的核心概念、配置以及如何与SpringBoot结合使用。 1. **SpringSecurity核心概念** - **Filter Chain**: SpringSecurity通过一系列过滤器实现其安全功能,这些过滤器构成...
springsecurity学习笔记
12-13
在"springsecurity学习笔记"中,你可能会涉及以下主题: - Spring Security的基本配置,包括web安全配置和全局安全配置。 - 如何自定义认证和授权流程,比如实现自定义的AuthenticationProvider和...
SpringSecurity授权流程详解和代码实现
qq_44749491的博客
06-30 5025
承接上一篇博客SpringSecurity认证流程详解和代码实现除了使用自带的权限校验方法,也可以定义自己的权限校验方法,在注解中使用自定义的方法。//获取当前用户的权限 Authentication authentication = SecurityContextHolder . getContext() . getAuthentication();//判断用户权限集合中是否存在authority return permissions . contains(authority);} }在SPEL。
SpringSecurity - 简单前后端分离 - 自定义授权
铠の魂博客
10-08 2573
隔了那么久,终于来补坑了,(/▽\)。 我们接着介绍自定义授权是如何的。环境准备和前面一样,接着认证篇,继续完成我们的授权处理。
Spring Security 自定义授权服务器实践
最新发布
2401_85015477的博客
05-17 782
❗ 在配置授权服务器uri的时候,请勿依旧使用127.0.0.1,由于是在本地测试,授权服务器的session和客户端的session会互相覆盖,导致莫名其妙的问题。这里我们要使用自己的搭建授权服务器,需要自定义一个客户端,还是使用前面集成GitHub的示例,只要在配置文件中扩展就可以。如上是最小化授权服务器的配置,这里我们将授权主体和客户端都存储在内存中,当然也可以持久化到数据库中,分别使用。(img-LeWEJC5t-1715905749295)]请区分回调地址,和授权服务器端点uri的地址。
Spring Security 核心解读(二)自定义认证授权体系
冰糖的博客
06-03 1001
Spring Security 自定义认证授权
3.spring security授权流程
weixin_45974277的博客
02-26 3740
Spring Security授权流程如下: 分析授权流程: 1. 拦截请求,已认证用户访问受保护的web资源将被SecurityFilterChain中的 FilterSecurityInterceptor 的子类拦截。 2. 获取资源访问策略,FilterSecurityInterceptor会从 SecurityMetadataSource 的子类 DefaultFilterInvocationSecurityMetadataSource 获取要访问当前资源所需要的权限 Collection.
SpringSecurity授权
小钟不想敲代码
05-28 5462
SpringSecurity授权
视频配套笔记_Spring Security OAuth2.0认证授权_v1.1.rar
04-30
通过扩展Spring Security,我们可以将其与OAuth2.0结合起来,实现现代Web服务的安全认证和授权流程。 OAuth2.0的核心概念包括四个主要角色:资源所有者(Resource Owner)、客户端(Client)、资源服务器(Resource...
Spring Security OAuth2.0学习笔记.zip
10-27
Spring Security OAuth2.0学习笔记 什么是认证、授权、会话。 Java Servlet为支持http会话了哪些事儿。 基于session认证机制的运作流程。 基于token认证机制的运作流程。 理解Spring Security的工作原理,Spring ...
编程不良人的spring security笔记
06-19
Spring Security 也支持OAuth2协议,允许你构建安全的API服务,支持客户端认证、授权码模式、密码模式等多种OAuth2流程。 总结,Spring Security 是一个全面的Java安全框架,覆盖了从认证到授权的各个环节。理解和...
Spring security授权过程
weixin_35751194的博客
02-14 186
Spring Security 授权过程包括以下步骤: 身份验证:验证用户是否已经登录,并且提供了有效的凭证。 授权决策:确定用户是否具有执行某个操作的权限。 访问控制:根据授权决策的结果,允许或拒绝用户的请求。 在这个过程中,Spring Security 会使用各种不同的技术,包括身份验证机制(如基于用户名和密码的身份验证)、访问控制策略(如基于角色的访问控制)等。 ...
SpringSecurity的自定义授权
qq_58137891的博客
05-10 381
1.在LoginUser类中新增一个List属性一个List属性,包含着权限信息2.重写getAuthorities()方法(因为权限信息需要从该方法中取得),将List封装到List中对应getAuthorities方法的返回值。3.对List属性取消JSON序列化,否则反序列化会出错。
spring security 认证授权详解
小趴菜不能喝的博客
10-14 1227
详细介绍spring security认证授权流程
一种基于RBAC的软件系统权限管理设计
weixin_45617480的博客
01-14 4679
一种基于RABC的软件系统权限管理设计1 权限管理介绍1.1 权限管理分级1.2 常用的权限模型 1 权限管理介绍 简介:在软件系统的中的权限管理,指的是用户能否具有访问系统、系统资源的资格。在软件系统中主要通过管理员将某些资源的访问、管理、操作等权限赋予用户,达到管理和使用的目的。譬如主机的访问使用权限,某项功能菜单的使用权限亦或是某个数据的读写权限。 1.1 权限管理分级 软件系统中,我们通常将权限关联分为三级 (1)一级权限:访问权限 (2)二级权限:菜单、按钮权限 (3)三级权限:数据权限 依据不同
Spring Security 认证和授权流程备忘
shenzhiyoushen的博客
04-11 323
spring security 认证和授权流程备忘
AD20 Altium designer——如何快速批量调整丝印位置、大小_ad丝印层怎么设置
2401_85013850的博客
05-16 594
如果我们不需要进行批量调整,可以参考一下步骤在一些复杂的PCB,我们可以在选择丝印层后,按下Shift+S键,可以更清楚地看清丝印布局,效果如下所示。
springsecurity 授权流程
08-20
Spring Security 授权流程通常涉及以下步骤: 1. 用户登录:用户通过单、OAuth2 或其他方式进行身份验证,获取访问令牌。 2. 认证:Spring Security 使用令牌验证用户身份,并将用户信息保存在安全上下文中。 3. 授权请求:用户发送带有访问令牌的请求到受保护的资源服务器。 4. 访问决策:Spring Security 根据用户的角色和权限决定是否允许访问资源。 5. 授权处理:如果用户被授予访问资源的权限,Spring Security 将允许请求通过,并返回所请求的资源。 6. 安全注解:使用安全注解(如 @PreAuthorize、@PostAuthorize)在方法级别进行细粒度的授权控制。 在实现这些步骤时,通常需要配置以下组件: 1. 用户认证配置:配置认证管理器、用户详细信息服务和密码编码器,用于验证用户的凭据。 2. 授权配置:配置访问决策管理器、资源服务器和授权达式处理程序,用于定义角色和权限的授权规则。 3. 安全注解配置:启用方法级别的安全注解,并根据需要配置注解的具体行为。 这些步骤和组件的具体配置可以根据应用程序的需求进行调整和扩展。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

菜到极致就是渣

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值