spring-security 记录笔记03 数据库

最新推荐文章于 2024-05-15 16:33:41 发布
最新推荐文章于 2024-05-15 16:33:41 发布
阅读量131 收藏
点赞数
分类专栏: spring-security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liuyuncd/article/details/112231057
版权

现有配置如下:

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.authorizeRequests()
            .antMatchers("/sayHello").hasRole("ADMIN")
            .antMatchers("/say").hasAnyAuthority("user:read")
            .antMatchers("/addUser").hasRole("ADMIN")
            .anyRequest().authenticated()
            .and().addFilterAt(customAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class)
            .exceptionHandling().accessDeniedHandler(customAccessDeniedHandler());
            //.and().csrf().disable();
    http.sessionManagement().maximumSessions(1).expiredUrl("/userLogin");
}

这这个配置中我们设置了

 	  .antMatchers("/sayHello").hasRole("ADMIN")
            .antMatchers("/say").hasAnyAuthority("user:read")
            .antMatchers("/addUser").hasRole("ADMIN")

这三个访问位置需要的权限和角色
我们的UserDetailsService 中如下配置(现在还未把权限联系到数据库中)

@Override
public UserDetails loadUserByUsername(String name) throws UsernameNotFoundException {
    User u=userService.findUserByName(name);
    if (u==null){
        throw new UsernameNotFoundException(null);
    }
    MyUserDetails MyUserDetails=new MyUserDetails(u,getGrantedAuthority(u));
    return MyUserDetails;
}
public List<GrantedAuthority> getGrantedAuthority(User user){
    List<GrantedAuthority> list = new ArrayList<>();
    list.add(new SimpleGrantedAuthority("ROLE_ADMIN"));
    //权限
   // list.add(new SimpleGrantedAuthority("user:read"));
    return list;
}

我们默认再当前用户登录的时候(用户数据连接到了数据库),但是我们再这里只设置了当前用户角色为:RORE_ADMIN,此时每个登录成功的用户都拥有这个角色权限
测试我们写的几个handle

@GetMapping("/sayHello")
JsonResult sayHello()throws Exception{
    return new JsonResult(ResultCode.SUCCESS,"hello world");
}
@GetMapping("/admin/say")
JsonResult sayAd()throws Exception{
    return new JsonResult(ResultCode.SUCCESS,"admin");
}
@GetMapping("/say")
JsonResult say()throws Exception{
    return new JsonResult(ResultCode.SUCCESS,"say");
}
@GetMapping("addUser")
JsonResult addUser()throws Exception{
    return new JsonResult(ResultCode.SUCCESS,"addUser");
}

当我们访问sayHello、addUser的时候会正常访问,但是当我们访问say路径的时候会提示我们
在这里插入图片描述
因为再我们之前的配置中配置为

  .antMatchers("/say").hasAnyAuthority("user:read")

而我们再上述赋权位置没有给user:read这个权限,所以没有权限访问

创建数据库角色权限表:

CREATE TABLE `Sys_Role`(
                           `id` BIGINT UNSIGNED NOT NULL AUTO_INCREMENT,
                           `name` VARCHAR(200) NOT NULL,
                           `description` VARCHAR(200) DEFAULT NULL,
                           PRIMARY KEY (`id`)
) ENGINE=INNODB CHARSET=utf8mb4 COLLATE=utf8mb4_general_ci;

创建用户与角色对应表

CREATE TABLE `Sys_role_user`(
                                `id` BIGINT UNSIGNED NOT NULL AUTO_INCREMENT,
                                `user_id` BIGINT UNSIGNED NOT NULL,
                                `sys_role_id` BIGINT UNSIGNED NOT NULL,
                                PRIMARY KEY (`id`)
) ENGINE=INNODB CHARSET=utf8mb4 COLLATE=utf8mb4_general_ci;

再角色表新增角色如下
在这里插入图片描述
这里新增了一个管理员和销售部门管理员
调整权限位置:

.antMatchers("/sayHello").hasRole("ADMIN")
.antMatchers("/addUser").hasRole("SALE_ADMIN")

新增用户zhangsan id为2
在这里插入图片描述
分别设置admin和zhangsan的权限如下图
在这里插入图片描述

我们修改我们之前写死的权限加载为:

public List<GrantedAuthority> getGrantedAuthority(User user){
    List<GrantedAuthority> list = new ArrayList<>();
    List<String> roles=userService.findUserRoleByUserId(user.getId());
    for (String role:roles){
        list.add(new SimpleGrantedAuthority("ROLE_"+role));
    }
    //list.add(new SimpleGrantedAuthority("ROLE_ADMIN"));
    return list;
}

现在当前用户登录的时候动态通过findUserRoleByUserId方法去数据库加载该用户所有的角色,就完成了动态赋值角色的操作了

但是控制操作节点在角色上有点粗糙,比如同样是经理,我想赋值某个经理额外的操作特权的时候就很难搞了,这个时候我们再细化一下我们的系统,我们加入权限的概念,关系为:一个角色包含多个权限

创建权限表:

CREATE TABLE `Sys_permission`(
                                 `id` BIGINT UNSIGNED NOT NULL AUTO_INCREMENT,
                                 `name` VARCHAR(200) NOT NULL,
                                 `description` VARCHAR(200) DEFAULT NULL,
                                 `url` VARCHAR(200) NOT NULL,
                                 PRIMARY KEY (`id`)
) ENGINE=INNODB CHARSET=utf8mb4 COLLATE=utf8mb4_general_ci;

新权限如下:
在这里插入图片描述

以及和角色的对应表:

CREATE TABLE `Sys_permission_role`(
  `id` BIGINT UNSIGNED NOT NULL AUTO_INCREMENT,
  `role_id` BIGINT UNSIGNED NOT NULL,
  `permission_id` BIGINT UNSIGNED NOT NULL,
  PRIMARY KEY (`id`)
) ENGINE=INNODB CHARSET=utf8mb4 COLLATE=utf8mb4_general_ci;

新增对应关系如下:
在这里插入图片描述
其中管理员拥有新增用户、删除用户、修改用户的权限,而销售管理员拥有 新增用户、修改用户的权限

新建权限类(前边的角色类偷懒没有创建实体类)

@Entity
@Data
public class Permission {
    @Id
    @GeneratedValue(strategy = GenerationType.IDENTITY)
    private Integer id;
    private String name;
    private String description;
    private String url;
}

这样就可以达到用户-权限-角色的控制了

欧阳云
关注
专栏目录
Java权限设计与控制
zhangxing
06-17 2万+
1.场景还原 近期,由于项目中要引用权限模块,于是笔者趁着空暇时间写了一个权限控制的小Demo,现在跟大伙讲讲权限的原理。2.权限数据库设计user:用户表user_role:用户角色表(用户跟角色多对多关系)role:角色表role_permission:角色权限表(角色跟权限多对多关系)permisssion:权限表3.权限需求设计该工程实现的需求:1.通过用户id得到该用户的所有角色...
java 系统权限设计
Hi, Sun
08-05 122
http://www.cnblogs.com/a7345678/archive/2008/09/25/1298838.html
java 权限系统设计_基于java的权限控制系统设计
weixin_36170641的博客
02-12 668
一、概要通常,需要单独的权限系统是解决授权的管理和维护,再分配等难题,不针对开发而言。系统架构目标:在易于理解和管理,开发的前提下,满足绝大部分粗粒度和细粒度权限控制的功能需要。除了粗粒度权限,系统中必然还会包括无数对具体Instance的细粒度权限。这些问题,被留给对框架的扩展方法来解决,这样的考虑基于以下两点:1、细粒度的权限判断必须要在资源上获取权限分配的支持的上下文信息才可能得以实现。2、...
java用户权限设计
07-29
很不错的java权限控制开发资料,值得学习
java系统权限管理设计
07-16
java系统权限管理设计,详细讲解了权限管理的设计和逻辑关系,以及表结构
spring-security【2022-3-18更新】
m0_53964515的博客
03-14 4873
话不多说导包本质上主要是使用了AOP 和 拦截器! 导包 <!-- spring security 包含下面两个注释掉的包 --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <!-- &l
Spring Security 学习笔记(六)--OAuth2.0
SuperArc1999的博客
01-08 1804
6.1OAuth2.0介绍 OAuth(开放授权)是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息。而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容。OAuth2.0是OAuth协议的延续版本,但不向后兼容OAuth1.0。即完全废止了OAuth1.0。很多大公司如Google,Yahoo,Microsoft等都提供了OAuth认证服务,这些足以证明OAuth标准逐渐成为开放资源授权的标准。 OAuth2.0已被广泛应用。 下面是OAuth2.0的认证流程
SpringSecurity笔记2-SpringSecurity命名空间
03-29
在"SpringSecurity笔记2-SpringSecurity命名空间"这个主题中,我们将深入探讨SpringSecurity配置的核心——命名空间。 SpringSecurity通过XML配置文件中的命名空间来简化设置过程,这些命名空间提供了丰富的元素和...
SpringSecurity笔记,编程不良人笔记
10-28
在本笔记中,我们将深入探讨SpringSecurity的核心概念、配置以及如何与SpringBoot结合使用。 1. **SpringSecurity核心概念** - **Filter Chain**: SpringSecurity通过一系列过滤器实现其安全功能,这些过滤器构成...
Spring-Security-Oauth2学习笔记(3):自定义异常处理
qq_26121913的博客
02-13 4935
1 前言 上一章我们已经按照与前端的约定自定义了token的返回格式。同样的,程序在运行过程中会产生各种异常,这些默认的异常对前端非常的不友好,比如默认的Oauth2异常response的status=4XX,返回的格式如下: { "error": "invalid_grant", "error_description": "Bad credentials" } 现在我们同样要把...
java权限设计
08-25
权限设计可以看看。。。。
java权限控制
02-02
历史上最全的java权限控制 基础S2SH的,基于servlet的,基于spring的,基于struts2的,很多,很全面。有角色权限,角色组,数据权限,操作权限,查询权限,菜单权限,按钮权限控制,粗粒度的,细粒度的,很多,欢迎下载....
Java基本的权限设计
08-03
Java权限设计,里面包括设计思路和自定义标签的使用,需要的可以参考下。
java web简单权限管理设计
ddak56357的博客
12-01 754
一套最基本的权限管理包括用户、角色、资源。 数据库设计 我的设计如下: 用户:user 角色:role 用户-角色:user_role 资源:resource(包括上级菜单、子菜单、按钮等资源) 角色-资源:role_resource 标准的权限管理系统设计为以上5张表。 注:用户、用户-角色我就不做说明了,这两个是很简单的两块,用户的crud,以及为用户分...
java 项目通用数据权限设计
最新发布
学海无涯,我用JAVA
05-15 1666
权限一般分为操作权限和数据权限操作权限: 菜单,页面,按钮数据权限: 能看到的数据,包括各种页面的数据范围这里不做扩展,其实这里仅仅是最简单的方式,即直接通过限制表达到对于业务表的数据过滤,那么其实我们还可以通过其他方式限制;通过字典组限制,那么exists内部在拼接之前可能需要二次处理;通过sql语句配置限定条件,那么我们需要拼接sql语句,甚至当sql语句中有变量,我们需要解析后,再拼接到sql片段中;
实现业务系统中的用户权限管理--设计篇(转自http://www.noahweb.net/mail/2/Project.htm)
热门推荐
NiuNIu's sPAcE
11-22 1万+
  B/S系统中的权限比C/S中的更显的重要,C/S系统因为具有特殊的客户端,所以访问用户的权限检测可以通过客户端实现或通过客户端+服务器检测实现,而B/S中,浏览器是每一台计算机都已具备的,如果不建立一个完整的权限检测,那么一个“非法用户”很可能就能通过浏览器轻易访问到B/S系统中的所有功能。因此B/S业务系统都需要有一个或多个权限系统来实现访问权限检测,让经过授权的用户可以正常合法的使用已授权
java 通用权限管理_通用权限管理设计篇(一)
weixin_42298225的博客
02-12 1167
一.引言因为做过的一些系统的权限管理的功能虽然在逐步完善,但总有些不尽人意的地方,总想抽个时间来更好的思考一下权限系统的设计。权限系统一直以来是我们应用系统不可缺少的一个部分,若每个应用系统都重新对系统的权限进行设计,以满足不同系统用户的需求,将会浪费我们不少宝贵时间,所以花时间来设计一个相对通用的权限系统是很有意义的。二.设计目标设计一个灵活、通用、方便的权限管理系统。在这个系统中,我们需要对系...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值