小白的springboot之旅(十一) - springboot之用户权限管理(一)

最新推荐文章于 2024-08-01 10:59:34 发布
最新推荐文章于 2024-08-01 10:59:34 发布
阅读量6.5w 收藏 146
点赞数 18
分类专栏: java 框架
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/likeyjs/article/details/80525042
版权
java 同时被 2 个专栏收录
22 篇文章 3 订阅
订阅专栏
框架
11 篇文章 2 订阅
订阅专栏

关键词:springboot,jpa,spring security,mysql

通常我们的网站都有权限控制,就像一个公司有产品、开发、运维之分,各自负责各自的业务,相互独立,有相互协作,共同完成一个任务。拥有不同权限的用户查看不同的页面,进行不同的操作。

这篇来简单的说一下使用springboot+jpa+springsecurity实现简单的用户权限管理。

角色和用户的关系通过数据库配置控制。角色可以访问的权限通过硬编码控制。

springboot是一个灵活和强大的身份验证和访问控制框架,以确保基于spring的java web应用程序的安全。它与spring mvc有很好地集成,并配备了流行的安全算法实现捆绑在一起。

1)    springscurity验证用户密码机制

首先在usernamePasswordAuthenticationFilter中来拦截登录请求,并调用AuthenticationManager。AuthenticationManager调用Provider,provider调用userDetaisService来根据username获取真实的数据库信息。 

2) 数据库设计

主要包括:用户表、角色表、用户关系表。

3) 添加spring security的maven依赖

<dependency>
   <groupId>org.springframework.boot</groupId>
   <artifactId>spring-boot-starter-security</artifactId>
</dependency>

4)编写实体

User.java实现UserDetails接口,通过getAuthorities获取用户的角色。

package com.xiaoi.document.split.security.user.entity;

import com.xiaoi.document.split.security.role.entity.Role;
import lombok.ToString;
import org.hibernate.annotations.Cache;
import org.hibernate.annotations.CacheConcurrencyStrategy;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;

import javax.persistence.*;
import java.util.Collection;
import java.util.List;

@Entity
@Table(name = "sys_user")
@Cacheable
@Cache(usage = CacheConcurrencyStrategy.READ_WRITE, region = "entityCache")
@ToString(includeFieldNames = true)
public class User implements UserDetails {

    @Id
    @GeneratedValue
    @Column(name = "id")
    private String id;

    @Column(name = "username")
    private String username;

    @Column(name = "password")
    private String password;

    @ManyToMany(targetEntity = Role.class, cascade = {CascadeType.REFRESH}, fetch = FetchType.EAGER)
    @JoinTable(name = "sys_role_user", joinColumns = @JoinColumn(name = "user_id", referencedColumnName = "id"), inverseJoinColumns = @JoinColumn(name = "role_id", referencedColumnName = "id"))
    private List<Role> roles;

    public User() {
    }

    public User(String id, String username, String password) {
        this.id = id;
        this.username = username;
        this.password = password;
    }

    public String getId() {
        return id;
    }

    public void setId(String id) {
        this.id = id;
    }

    public String getUsername() {
        return username;
    }

    public void setUsername(String username) {
        this.username = username;
    }

    public String getPassword() {
        return password;
    }

    public void setPassword(String password) {
        this.password = password;
    }

    public List<Role> getRoles() {
        return roles;
    }

    public void setRoles(List<Role> roles) {
        this.roles = roles;
    }

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return roles;
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return true;
    }
}

role.java

package com.xiaoi.document.split.security.role.entity;

import com.xiaoi.document.split.security.permission.entity.Permission;
import com.xiaoi.document.split.security.user.entity.User;
import lombok.ToString;
import org.hibernate.annotations.Cache;
import org.hibernate.annotations.CacheConcurrencyStrategy;
import org.hibernate.annotations.ManyToAny;
import org.springframework.security.core.GrantedAuthority;

import javax.persistence.*;
import java.util.List;

@Entity
@Table(name = "sys_role")
@Cacheable
@Cache(usage = CacheConcurrencyStrategy.READ_WRITE, region = "entityCache")
@ToString(includeFieldNames = true)
public class Role implements GrantedAuthority {

    @Id
    @GeneratedValue
    @Column(name = "id")
    private String id;

    @Column(name = "name")
    private String name;

    @ManyToMany(targetEntity = Permission.class, cascade = CascadeType.REFRESH, fetch = FetchType.EAGER)
    @JoinTable(name = "sys_permission_role", joinColumns = @JoinColumn(name = "role_id", referencedColumnName = "id"), inverseJoinColumns = @JoinColumn(name = "permission_id", referencedColumnName = "id"))
    private List<Permission> permissions;

    public Role() {
    }

    public String getId() {
        return id;
    }

    public void setId(String id) {
        this.id = id;
    }

    public String getName() {
        return name;
    }

    public void setName(String name) {
        this.name = name;
    }

    public List<Permission> getPermissions() {
        return permissions;
    }

    public void setPermissions(List<Permission> permissions) {
        this.permissions = permissions;
    }

    @Override
    public String getAuthority() {
        return name;
    }
}

5) 自定义用户验证service

UserDAO.java

package com.xiaoi.document.split.security.user.service.impl;

import com.xiaoi.document.split.security.user.dao.UserDAO;
import com.xiaoi.document.split.security.user.entity.User;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.stereotype.Service;

@Service(value = "customerUserService")
public class CustomerUserService implements UserDetailsService {

    @Autowired
    private UserDAO userDAO;

    @Override
    public UserDetails loadUserByUsername(String username) {
        User user = userDAO.findByUsername(username);
        if (user == null) {
            throw new UsernameNotFoundException("用户名不存在");
        }
        String pwd = new BCryptPasswordEncoder().encode(user.getPassword());
        user.setPassword(pwd);
        return user;
    }
}
CustomerService.java 

package com.xiaoi.document.split.security.user.service.impl;

import com.xiaoi.document.split.security.user.dao.UserDAO;
import com.xiaoi.document.split.security.user.entity.User;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.stereotype.Service;

@Service(value = "customerUserService")
public class CustomerUserService implements UserDetailsService {

    @Autowired
    private UserDAO userDAO;

    @Override
    public UserDetails loadUserByUsername(String username) {
        User user = userDAO.findByUsername(username);
        if (user == null) {
            throw new UsernameNotFoundException("用户名不存在");
        }
        String pwd = new BCryptPasswordEncoder().encode(user.getPassword());
        user.setPassword(pwd);
        return user;
    }
}

controller

package com.xiaoi.document.split.security.home.controller;

import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.ResponseBody;

/**
 * Created by Administrator on 2018/5/24.
 */
@Controller
public class HomeCotroller {

//    @RequestMapping(value = "/", method = RequestMethod.GET)
//    String home() {
//        return "login";
//    }
//
//    @RequestMapping(value = "/login", method = RequestMethod.GET)
//    String login() {
//        return "login";
//    }

//    @RequestMapping(value = "/welcome", method = RequestMethod.GET)
//    String welcome() {
//        return "welcome";
//    }

//    @RequestMapping(value = "/loginSubmit", method = RequestMethod.GET)
//    String loginSubmit(Model model, User user) {
//        model.addAttribute("user", user);
//        return "index";
//    }

    @RequestMapping("/index")
    public String index(Model model) {
//        Msg msg =  new Msg("测试标题","测试内容","欢迎来到HOME页面,您拥有 ROLE_ADMIN 权限");
//        model.addAttribute("msg", msg);
        return "index";
    }

    @RequestMapping("/admin")
    @ResponseBody
    public String hello() {
        return "hello admin";
    }
}

6) 添加视图,配置安全策略

package com.xiaoi.document.split.security.config;

import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.ViewControllerRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

/**
 * WebMvcConfig 页面访问安全配置
 *
 * @Author Yuan Jingshan
 * @Date 2018-05-29
 */
@Configuration
public class WebMvcConfig implements WebMvcConfigurer {

    @Override
    public void addViewControllers(ViewControllerRegistry registry) {
        registry.addViewController("/login").setViewName("login");
    }
}
package com.xiaoi.document.split.security.config;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.builders.WebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.web.access.intercept.FilterSecurityInterceptor;

/**
 * WebMvcSecurityConfig 页面访问安全配置
 *
 * @Author Yuan Jingshan
 * @Date 2018-05-29
 */
@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private AuthorizationSecurityInterceptor authorizationSecurityInterceptor;

    //注册UserDetailsService的bean
    @Autowired
    UserDetailsService customerUserService;

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(customerUserService).passwordEncoder(new BCryptPasswordEncoder());
    }

    //安全策略
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/", "/register", "/reg", "/login").permitAll()
                .anyRequest().authenticated()
                .and()
                .formLogin()
                .loginPage("/login")
                .failureUrl("/login?error")
                .defaultSuccessUrl("/index")
                .permitAll()
                .and()
                .logout()
                .permitAll();

        http.addFilterBefore(authorizationSecurityInterceptor, FilterSecurityInterceptor.class);
    }

    //解决静态资源被拦截的问题
    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring().antMatchers("/css/**");
        web.ignoring().antMatchers("/img/**");
        web.ignoring().antMatchers("/plugins/**");
    }
}

7)前端页面

login.html

<!DOCTYPE html>
<html xmlns:th="http://www.thymeleaf.org">
<head>
    <meta charset="utf-8"/>
    <meta name="viewport" content="width=device-width, initial-scale=1, maximum-scale=1">
    <title>springboot-demo</title>
    <link rel="Shortcut Icon" href="/img/logo_m.png" type="image/x-icon">
    <link rel="stylesheet" th:href="@{plugins/layui/css/layui.css}">
    <link rel="stylesheet" th:href="@{css/style.css}">
</head>
<body class="login">
<div class="layui-layout">
    <!-- 主体 -->
    <div class="layui-body">
        <div class="layui-row" style="margin-top: 5%;margin-bottom: 5%;">
            <div class="layui-col-md7"
                 style="border-bottom: 2px solid white;margin-right: 2%;letter-spacing:2px;float: right;">
                <div class="project_name">
                    <img src="/img/logo_l.png"/>
                    <strong>QA对知识拆分管理系统</strong>
                </div>
            </div>
        </div>

        <div class="layui-row">
            <div class="layui-col-md3 layui-col-md-offset8">
                <div class="layui-input-block"
                     style="text-align: center;line-height: 38px;background-color: #f79647;margin-bottom:5px;font-weight: 800;color: white;letter-spacing:5px;border-radius:5px">
                    用户登录
                </div>

                <form class="layui-form" th:action="@{/login}" action="/login" method="POST"
                      style="background-color: white;padding: 10px 10px;border-radius:5px">
                    <div class="layui-form-item" style="margin-top: 10px;background-color: white;">
                        <div class="layui-input-block">
                            <input type="text" id="username" name="username" lay-verify="title" autocomplete="off" placeholder="请输入用户名" class="layui-input">
                        </div>
                    </div>
                    <div class="layui-form-item">
                        <div class="layui-input-block">
                            <input type="password" id="password" name="password" lay-verify="required" placeholder="请输入密码" autocomplete="off" class="layui-input">
                        </div>
                    </div>
                    <div id="login_div" class="layui-form-item">
                        <div class="layui-input-block">
                            <p th:if="${param.logout}" class="bg-warning">已成功注销</p>
                            <p th:if="${param.error}" class="bg-danger">有错误,请重试</p>
                            <button class="layui-btn" lay-submit lay-filter="formDemo">登录</button>
                        </div>
                        <!--<input type="button" id="login_btn" class="layui-btn layui-btn-primary layui-col-xs-offset9"-->
                        <!--style="padding: 0 23px;border: 1px solid #4476A7;color: #B2B2B2;border-radius:10px"-->
                        <!--value="登录">-->
                        <!--</input>-->
                    </div>
                </form>
            </div>
        </div>
    </div>

    <div class="layui-footer">
        <p>
            © 贵州小爱机器人科技有限公司
        </p>
    </div>
</div>

<script th:src="@{plugins/layui/layui.js}"></script>
<script>
    layui.use('form', function () {
        var form = layui.form;

//        //监听提交
//        form.on('submit(formDemo)', function (data) {
//            layer.msg(JSON.stringify(data.field));
//            return false;
//        });
    });
</script>
</body>
</html>
<!DOCTYPE html>
<html xmlns:th="http://www.thymeleaf.org"
     xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity4">
<head>
   <meta content="text/html;charset=UTF-8"/>
   <title sec:authentication="name"></title>
   <link rel="stylesheet" th:href="@{css/bootstrap.min.css}" />
   <style type="text/css">
      body {
         padding-top: 50px;
      }
      .starter-template {
         padding: 40px 15px;
         text-align: center;
      }
   </style>
</head>
<body>
<nav class="navbar navbar-inverse navbar-fixed-top">
   <div class="container">
      <div class="navbar-header">
         <a class="navbar-brand" href="#">Spring Security演示</a>
      </div>
      <div id="navbar" class="collapse navbar-collapse">
         <ul class="nav navbar-nav">
            <li><a th:href="@{/}"> 首页 </a></li>
            <li><a th:href="@{/admin}"> admin </a></li>
         </ul>
      </div><!--/.nav-collapse -->
   </div>
</nav>


<div class="container">

   <div class="starter-template">
      <h1 th:text="${msg.title}"></h1>

      <p class="bg-primary" th:text="${msg.content}"></p>

      <div sec:authorize="hasRole('ROLE_ADMIN')"> <!-- 用户类型为ROLE_ADMIN 显示 -->
         <p class="bg-info" th:text="${msg.extraInfo}"></p>
      </div>

      <div sec:authorize="hasRole('ROLE_USER')"> <!-- 用户类型为 ROLE_USER 显示 -->
         <p class="bg-info">恭喜您,您有 ROLE_USER 权限</p>
      </div>

      <form th:action="@{/logout}" method="post">
         <input type="submit" class="btn btn-primary" value="注销"/>
      </form>
   </div>

</div>

</body>
</html>


我是小山山
关注
专栏目录
SpringBoot课程笔记
Ringo19的博客
02-17 449
黑马程序员SpringBoot2课程笔记
springboot:dao层和实体层
夏至是个程序媛
03-27 4069
Controller层像是一个服务员,他把客人(前端)点的菜(数据、请求的类型等)进行汇总什么口味、咸淡、量的多少,交给厨师长(Service层),厨师长则告诉沾板厨师(Dao 1)、汤料房(Dao 2)、配菜厨师(Dao 3)等(统称Dao层)我需要什么样的半成品,副厨们(Dao层)就负责完成厨师长(Service)交代的任务。 Dao层:全称Data Access Object。Dao层比...
Spring Boot权限管理(最终)
08-17
Spring Boot权限管理
springboot 实现权限管理(一)
qq_44654974的博客
01-22 1万+
一、背景 1、 为什么进行权限管理? 生活在形形色色的世界之中,我们各自扮演着各自的角色,拥有不同的权利和义务。映射在计算机系统之中,也一样需要 角色、权限 来进行对用户的分类,限制访问资源,保证资源地合理被使用,使人各司其职。 2、应用场景 假设 管理员可以对用户进行CRUD的管理,而普通用户往往只拥有对资源的查看,无法进行删除等高级权限。 3、SpringBoot实现主要的方式 (1)采用注解+拦截器 (2)Shiro框架 (3)Spring Security 4、重点理解 (1)理解用户、角色、权限
springboot系列教程(二十九):springboot整合Security框架,实现用户权限管理
最新发布
weixin_43860634的博客
08-01 745
springboot系列教程(二十九):springboot整合Security框架,实现用户权限管理
SpringBoot2.0 整合 SpringSecurity 框架,实现用户权限安全管理
【积累】,是一个长期持续的过程。
07-17 1480
一、Security简介 1、基础概念 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring的IOC,DI,AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为安全控制编写大量重复代码的工作。 2、核心API解读 1)、Securi......
Springboot权限管理
zkk的博客
09-05 1881
现在鉴权模块已经非常成熟,以上仅为个人心得和实践,还有很多改进的地方欢迎评论,后续还会补充通过Shiro框架实现的鉴权这一模块。
SpringBoot 权限控制(菜单控制,页面元素控制,url控制)
04-13
基于RBAC思想的权限控制,可先建立完整的库,也可以使用使用代码生成,包中提供两种方式, 代码先后顺序 菜单控制----》元素控制-------》url控制
java架构师进阶之路
henhenha的博客
03-30 3801
包含了计算机基础、算法和数据结构、常用工具、java核心知识、性能优化、基础框架、数据库、消息队列、缓存中间件、搜索引擎、大数据、RPC、网关、容器、面试等知识
Java基础入门:IDEA软件安装和软件初始化设置
Aa112233aA1的博客
03-14 986
IDEA是一个专门针对Java的集成开发工具(IDE),由Java语言编写。所以,需要有JRE运行环境并配置好环境变量。 它可以极大地提升我们的开发效率。可以自动编译,检查错误。在公司中,使用的就是IDEA进行开发。 此软件集成了32位和64位,双击 ideaIU-2017.3.2.exe 进入安装。 选择安装路径,修改路径到D盘,将软件安装到D盘也可以根据自己的需要更改安装路径,这里我选择了d盘,之后“next”进入下一步。 之后来配置安装选项,将64位启动程序安装到桌面。 开始菜单选择Instal
网址备忘录
sinat_35444807的博客
10-31 1140
Bookmarks 前端学习 HTML canvas three.js Noise - value - 2D (1条消息) three.js script vertex和fragment在react中使用/纯js写法_草宝虫的博客-CSDN博客 texture = new THREE.TextureLoader().load()引入纹理,图片应该放在vue脚手架中的哪块 - SegmentFault 思否 Three.js – JavaScript 3D Library 前
springboot权限管理
03-26
一般系统都会有多个角色,不同角色可访问的系统功能不同,通过给用户分配不同角色,决定用户可访问的系统功能。
springboot权限控制系统
09-21
项目基于jdk1.8整合了springboot+mvc+mybatis(通用mapper)+druid+jsp+bootstrap等技术,springboot+Listener(监听器),Filter(过滤器),Interceptor(拦截器),Servlet,springmvc静态资源,文件上传下载,多数据源切换,缓存,quartz定时任务(没有具体业务实现)等技术点都在项目中实现了,可谓是麻雀虽小五脏俱全!项目也整合了redis做缓存,把pom.xml中spring-boot-starter-data-redis和com.xe.demo.common.support.redis包下的注释去掉,即可开启redis支持.
Spring Boot Shiro权限管理
爱笑的博客
08-28 2万+
转:http://412887952-qq-com.iteye.com/blog/2299777 (1). Shiro简单介绍 Shiro是Apache下的一个开源项目,我们称之为Apache Shiro。它是一个很易用与Java项目的的安全框架,提供了认证、授权、加密、会话管理,与 Spring Security 一样都是做一个权限的安全框架,但是与Spring Security
springBoot+springSecurity 数据库动态管理用户、角色、权限(二)
热门推荐
哎幽的成长
01-20 15万+
序: 本文使用springboot+mybatis+SpringSecurity 实现数据库动态的管理用户、角色、权限管理本文细分角色和权限,并将用户、角色、权限和资源均采用数据库存储,并且自定义滤器,代替原有的FilterSecurityInterceptor过滤器, 并分别实现AccessDecisionManager、InvocationSecurityMetadataSource
SpringBoot基础-权限管理1
weixin_46899412的博客
03-24 6065
SpringBoot授权管理,SpringBoot拦截器
springboot实现权限管理(shiro)
qq_44156131的博客
12-13 952
总结一下学习springboot权限管理的经验 1、创建数据库 5张表 user表:用户表 role表:角色表 permission表:功能表 role_permission:角色功能表(外键关联) user_role:角色用户表(外键关联) /* Navicat MySQL Data Transfer Source Server : 10.2.10.201111 Source ...
springboot权限控制_spring Boot + shiro 简单实现,权限控制
weixin_39673002的博客
11-26 99
为什么用使用shiro Apache Shiro 是一款 Java 安全框架,不依赖任何容器,可运行在 Java SE 和 Java EE 项目中,它的主要作用是用来做身份认证、授权、会话管理和加密等操作。简单来说就是根据不同的权限干不同的事,看不同的东西话不多说直接上代码核心代码块 配置类 @Bean public ShiroFilterFactoryBean filterFacto...
SpringBoot基础篇--黑马课程全解析,深入学习技术必备,开发者的首选。
在Java开发领域,掌握SpringBoot技术已成为程序员的必备技能之一。该课程在全网上提供了最全面的知识点内容,并深入理解了相关技术。同时,课程还设计了最高效的学习路线,帮助学习者更快地掌握SpringBoot的知识。 ...
评论 16
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值