springsecurity实现数据库动态加载资源鉴权规则以及权限表达式

最新推荐文章于 2023-10-24 09:00:00 发布
最新推荐文章于 2023-10-24 09:00:00 发布
阅读量995 收藏 2
点赞数
分类专栏: springboot springsecurity 文章标签: java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/libiao1994libiao/article/details/106895073
版权

1:在springsecurity的配置文件中添加配制

@Override
    protected void configure(HttpSecurity http) throws Exception {
        http.headers().frameOptions().sameOrigin();
        //http.csrf().disable().cors().disable().headers().disable();
        http.authorizeRequests().antMatchers("/", "/index", "/index.html",
                "/toLoginPage").permitAll()

                //.antMatchers("/static/**").permitAll()
//  这个配置就是告诉springsecurity,鉴权规则通过数据库动态加载
.anyRequest().access("@myRbacAuthention.hasPermission(request,authentication)")
                /*.antMatchers("/vip1").hasRole("VIP1")
                .antMatchers("/vip2").hasRole("VIP2")
                .antMatchers("/vip3").hasRole("VIP3")*/;
        // 开启表单认证
        http.formLogin().loginProcessingUrl("/login").loginPage("/toLoginPage")
                // 成功和失败的处理器
                .successHandler(mySavedRequestAwareAuthenticationSuccessHandler)
                .failureHandler(mySimpleUrlAuthenticationFailureHandler);

        // 开启记住我,60秒
        http.rememberMe().rememberMeParameter("rememberMe").tokenValiditySeconds(60);

        // 开启注销
        http.logout().logoutSuccessUrl("/");

        // 处理登出的404错误!springsecurity的csrf(跨站请求伪造)保护
        http.csrf().disable();

        // 一个账户只能一个账号登陆,maxSessionsPreventsLogin(false)设置为false,标识第一个账号登陆后,
        // 同一个账号还可以在其他地方登陆。只是将第一个挤下去,如果设置为true,则同一个账号就不能再次登陆了

        http.sessionManagement().maximumSessions(1).maxSessionsPreventsLogin(false)
                .expiredSessionStrategy(new MySessionInfomantion());
    }

2:自定义一个数据库加载资源鉴权的类

就是加载数据库中查询当前用户所有拥有的权限,然后和当前请求的资源进行比对,成功就返回true,否则就返回false

package com.itgo.springboot.springsecurity.config;

import com.itgo.springboot.springsecurity.mapper.SysUserMapper;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.stereotype.Component;
import org.springframework.util.AntPathMatcher;

import javax.annotation.Resource;
import javax.servlet.http.HttpServletRequest;
import java.util.List;

/**
 * @Description: 自定义的权限表达式
 * @auther: libiao
 * @Email: libiao@163.com
 * @Date: 2020-6-21 14:51
 * @Copyright: (c) 2019-2022  XXXX公司
 */
@Component("myRbacAuthention")
public class MyRbacAuthention {

    private AntPathMatcher antPathMatcher = new AntPathMatcher();

    @Resource
    private SysUserMapper sysUserMapper;
    /**
     * @Description: 判断当前用户是否存在某种权限
     * @author libiao
     * @Date 2020-6-21 14:52
     * @Param
     * @return
     **/
    public boolean hasPermission(HttpServletRequest request, Authentication authentication) {

        Object principal = authentication.getPrincipal();
        if (principal instanceof UserDetails) {
            String username = ((UserDetails) principal).getUsername();
            // 通过用户名查询这个用户的所有权限
            List<String> permissions = sysUserMapper.getAllPermissionByUesrName(username);
            return permissions.stream().anyMatch(
                    url -> antPathMatcher.match(url, request.getRequestURI())
            );
        }
        return false;
    }
}

3:权限表达式

如果需要在方法上做权限表达式,需要配置注解,开启
在springsecurity的配置类中,开启注解
@EnableGlobalMethodSecurity(prePostEnabled = true)// 默认是false

package com.libiao.basicserver.service;

import com.libiao.basicserver.model.Person;
import org.springframework.security.access.prepost.PostAuthorize;
import org.springframework.security.access.prepost.PostFilter;
import org.springframework.security.access.prepost.PreAuthorize;
import org.springframework.security.access.prepost.PreFilter;
import org.springframework.stereotype.Service;

import java.util.ArrayList;
import java.util.List;

import static org.springframework.security.core.context.SecurityContextHolder.getContext;

@Service
public class MethodelService {
// 在执行方法之前判断当前用户是否存在admin这个角色
    @PreAuthorize("hasRole('admin')")
    public List<Person> findAll(){
        return null;
    }

// 在执行方法后,判断返回值
    @PostAuthorize("returnObject.name == authentication.name")
    public Person findOne(){
        String authName =
                getContext().getAuthentication().getName();
        System.out.println(authName);
        return new Person("admin");
    }
// 过滤,执行方法之前,过滤掉,不满足要求的参数
    @PreFilter(filterTarget="ids", value="filterObject%2==0")
    public void delete(List<Integer> ids, List<String> usernames) {
        System.out.println();
    }

// 执行方法后,过滤掉不满足要求的返回值
    @PostFilter("filterObject.name == authentication.name")
    public List<Person> findAllPD(){

        List<Person> list = new ArrayList<>();
        list.add(new Person("kobe"));
        list.add(new Person("admin"));

        return list;
    }

}
libiao1994libiao
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security源码解析(四)
qq_40577332的博客
06-02 1435
本章节将以实际公司中对Spring Security的应用为例,讲解配置Spring Security的三个configure方法。
SpringSecurity连接数据库并设置权限
最新发布
weixin_68193389的博客
11-08 492
在页面显示权限是否正确。
Spring Boot(九)整合Spring Security实现动态权限控制
念念不忘,必有回响
12-27 3019
Spring Security简介 安全框架,权限管理 Springboot中 Spring Security的使用 引入依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-star...
SpringSecurity学习
weixin_57128596的博客
02-26 5217
目录 基于尚硅谷web学习 Security配置: 两个核心接口UserDetailsService与PasswordEncoder: 2.PasswordEncoder 给密码密 Web项目权限控制方案 (11条消息) SpringSecurity回顾_Fairy要carry的博客-CSDN博客 configure(AuthenticationManagerBuilder auth): configure(HttpSecurity http) 注解(对于处理请求方法的) 用户注销:.
SpringSecurity入门使用——资源
a_lllk的博客
11-17 1805
上一篇大概陈述了一下关于SpringSecurity的用户登录,从使用不同的方式进行用户登录做了一个简单的介绍。在开头我也曾提到过,SpringSecurity主要有两大功能,第一个就是用户登录,第二个就是资源。这篇就来大概描述一下资源的整个过程。 一.实现configure(HttpSecurity http)方法 在配置类中重写configure(HttpSecurity http)方法,注意参数是HTTPSecurity,在这里做一个最简单的登录成功失败Url配置。 @Over
SpringSecurity动态用户角色权限实现登录及功能
08-25
Spring Security 动态用户角色权限实现登录及功能 在 Spring Security 中,动态用户角色权限实现登录及功能的关键步骤。本文将详细介绍如何使用 Spring Security 实现动态用户角色权限,并...
SpringBoot集成Spring Security实现权限控制【完整源码+数据库
02-16
Spring Security可以与MySQL等数据库集成,使用`UserDetailsService`从数据库用户信息。项目提供的`sql`文件可能包含了预设的用户和角色数据。 6. **IDEA集成**:`idea`标签表明这个项目是使用IntelliJ IDEA...
Spring Cloud Gateway 整合 Spring Security 统一登录认证
02-24
在压缩包文件`spring_gateway_security_webflux`中,可能包含了示例代码或配置文件,用于演示如何在Spring Cloud Gateway中集成Spring Security,实现统一登录认证。这些资源可以帮助开发者更快地理解和实践上述...
Vue 动态路由的实现Springsecurity 按钮级别的权限控制
10-16
主要介绍了Vue 动态路由的实现以及 Springsecurity 按钮级别的权限控制的相关知识,本文通过实例代码给大家介绍的非常详细,具有一定的参考借价值,需要的朋友可以参考下
spring security动态配置url权限的2种实现方法
08-27
本文将探讨两种在Spring Security中实现动态配置URL权限的方法。 ### 方法一:自定义Filter 虽然自定义Filter可以实现动态权限判断,但这并不符合Spring Security的设计原则,因为这会使你绕过框架提供的安全机制...
springBoot+springSecurity 数据库动态管理用户、角色、权限(二)
热门推荐
哎幽的成长
01-20 15万+
序: 本文使用springboot+mybatis+SpringSecurity 实现数据库动态的管理用户、角色、权限管理本文细分角色和权限,并将用户、角色、权限资源均采用数据库存储,并且自定义滤器,代替原有的FilterSecurityInterceptor过滤器, 并分别实现AccessDecisionManager、InvocationSecurityMetadataSource
Spring Security OAuth2授服务器资源服务器基本配置(二)
FAIRYTAIL的博客
08-26 1140
上一篇介绍了一些基本的概念及大致的使用流程,本篇我们完成授服务的搭建并实现基本的认证授功能。
SpringBoot权限认证
阿巴阿巴
08-26 1080
常用框架:Shrio,SpringSecurity原来用拦截器、过滤器来做,代码较多。现在用框架。
Spring Security基于数据库配置权限(角色,路径)
pujiaolin的专栏
06-29 1万+
Spring Security基于数据库配置权限(角色,路径) 传统的后台管理系统,在权限处理上通常5个表:用户表,角色表,资源表,用户角色关联表,角色资源关联表。现在为了避免重复造轮子,自己写拦截处理,我们可以使用Spring Security来做权限控制。 Spring Security官方推荐通过配置来实现角色和资源的对应,这样的问题是假如需要线上配置角色与资源对应就不行了,所以下面
springboot 简单集成 spring security(二)权限控制
aimeng555的博客
05-10 1511
简介 上一篇我们实现了springboot简单的集成了spring security,实现了在用户想要实现某一操作时需要进行登陆认证,但是在登陆后用户能够进行所有想要的操作,这并不是我们想要的,我们需要的是当用户访问后,用户能够操作的是我们能够控制他能够操作接口。这里我们就需要进行权限的控制。
关于spring security的配置权限的configure方法
earthsomeday的博客
07-20 7161
关于spring security的拦截机制中的configure方法 当部署一个项目需要使用spring security时,需要自行编写一个config类继承WebSecurityConfigurerAdapter,在其中配置项目中资源的访问权限。 1.public修饰的configure方法 源码: /** * Override this method to configure {@l...
Spring Security 实现 antMatchers 配置路径的动态获取
MrLee的博客
12-26 2340
2,实现 SecurityConfigAttributeLoader (这里也可以从数据库获取)
Spring Security实现接口基于路径的动态权限控制
荔枝当大佬的博客
10-24 1601
在荔枝之前的一篇博客中,已经对Spring Security的证授的相关知识进行了梳理,弄清楚了为什么使用JWT以及用户登录后台执行的相关的证授的逻辑。在下面的文章中荔枝主要是补充梳理一下在真实的项目中如何使用Spring Security来实现接口动态权限控制的功能。
SpringSecurity - WebFlux环境下动态角色权限
小毕超博客
01-15 6055
一、SpringSecurity - WebFlux 在上篇文章中我们讲解了SpringSecurity 在WebFlux环境下的用户动态,本篇文章继续上篇文章讲解 WebFlux环境下动态角色权限。 上篇文章地址:https://blog.csdn.net/qq_43692950/article/details/122508425 二、权限控制 还记得前面我们在讲SpringSecurity 在SpringMVC环境下在做权限控制时,是采用HttpSecurity 对象,并通过antMatcher
springboot整合spring security 实现用户登录注册与全记录,权限数据库中查询
03-30
首先,需要在pom.xml中入spring security和相关依赖文件: ``` <groupId>org.springframework.boot ...至此,整合spring security实现用户登录注册与全记录,权限数据库中查询的操作已经完成。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值