Spring Security-动态权限控制(2)

最新推荐文章于 2024-04-18 15:12:58 发布
最新推荐文章于 2024-04-18 15:12:58 发布
阅读量577 收藏 8
点赞数 13
分类专栏: Spring Security 文章标签: spring java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ly121862/article/details/135665218
版权

6创建service层

MenuService.java

 
package com.service;
 ​
 import com.entity.Menu;
 import com.mapper.MenuMapper;
 import org.springframework.beans.factory.annotation.Autowired;
 import org.springframework.stereotype.Service;
 ​
 import java.util.List;
 ​
 @Service
 public class MenuService {
 ​
     @Autowired
     MenuMapper menuMapper;
 ​
    public  List<Menu> getAllMenus(){
         return menuMapper.getAllMenus();
     }
 ​
 ​
 }

MyUserDetailsService.java

 package com.service;
 ​
 import com.entity.User;
 import com.mapper.UserMapper;
 import org.springframework.beans.factory.annotation.Autowired;
 import org.springframework.security.core.userdetails.UserDetails;
 import org.springframework.security.core.userdetails.UserDetailsService;
 import org.springframework.security.core.userdetails.UsernameNotFoundException;
 import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
 import org.springframework.stereotype.Service;
 ​
 ​
 @Service("userDetailsService")
 public class MyUserDetailsService implements UserDetailsService {
 ​
     @Autowired
     private UserMapper userMapper;
 ​
 ​
 ​
     @Override
     public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
 ​
         //根据用户名 查询 --调用mapper进行查询----- User 是咱 自己的entity,
         //因为他class User implements      UserDetails  ,这里不要引错
        User info = userMapper.loadUserByUsername(username);  
         //判断
         if(info==null){   //没有用户 验证失败
             throw new UsernameNotFoundException("用户名不存在");
         }
         //设置密码--注意加密
         info.setPassword(new BCryptPasswordEncoder().encode(info.getPassword()));
         //根据当前用户id 查询 当前 用户的角色
         info.setRoles(userMapper.getUserRolesById(info.getId()));
         //返回User
         return info;
     }
 }
 ​

7创建 controller层java

TestController.java

新增,导出 修改,删除 查询的 url 已经再数据库 menu中进行配置

 
package com.controller;
 ​
 import org.springframework.stereotype.Controller;
 import org.springframework.web.bind.annotation.GetMapping;
 import org.springframework.web.bind.annotation.RequestMapping;
 import org.springframework.web.bind.annotation.ResponseBody;
 ​
 ​
 @Controller
 @RequestMapping("/test")
 public class TestController {
 ​
     @GetMapping("/add")  //新增
     @ResponseBody
     public String add(){ return "hello add"; }
     @GetMapping("/export") //导出
     @ResponseBody
     public String export(){
         return "hello export";
     }
 ​
     @GetMapping("/update") //修改
     @ResponseBody
     public String update(){
         return "hello update";
     }
 ​
     @GetMapping("/delete") //删除
     @ResponseBody
     public String delete(){
         return "hello delete";
     }
 ​
     @GetMapping("/query")  //查询
     @ResponseBody
     public String query(){
         return "hello query";
     }
     
     //自定义登录页面的url
     @GetMapping("/toLogin")
     public String login(){
         return "login";
     }
     //认证成功过后 进入主页
     @GetMapping("/success")
     public String success(){
         return "main";
     }
 }

8创建MyAccessDecisionManager 访问决策管理器

AccessDecisionManager是一个接口,声明了三个方法,核心方法是decide用以授权,另外两个supports方法主要起辅助作用,大都执行检查操作的。

 
package com.config;
 ​
 import org.springframework.security.access.AccessDecisionManager;
 import org.springframework.security.access.AccessDeniedException;
 import org.springframework.security.access.ConfigAttribute;
 import org.springframework.security.authentication.AnonymousAuthenticationToken;
 import org.springframework.security.authentication.InsufficientAuthenticationException;
 import org.springframework.security.core.Authentication;
 import org.springframework.security.core.GrantedAuthority;
 import org.springframework.stereotype.Component;
 ​
 import java.util.Collection;
 ​
 @Component
 public class MyAccessDecisionManager implements AccessDecisionManager {
     @Override
     public void decide(Authentication authentication, Object object, Collection<ConfigAttribute> configAttributes) throws AccessDeniedException, InsufficientAuthenticationException {
 ​
         for(ConfigAttribute attribute:configAttributes){
            
             if("ROLE_login".equals(attribute.getAttribute())){
                 //路径不在数据库配置范围
                 if(authentication instanceof AnonymousAuthenticationToken){ // 用户未登录
 ​
                  
                     throw new AccessDeniedException("非法请求尚未登录 ,请先登录");
                 }else{
                     return ; // 用户已经登录, 无需判断, 方法到此结束
                 }
 ​
             }
             // 获取当前登录用户的角色
             Collection<? extends GrantedAuthority> authorities = authentication.getAuthorities();
           
             for(GrantedAuthority authority:authorities){
                 if(authority.getAuthority().equals(attribute.getAttribute())){
 ​
                     return;   // 当前用户具备所需的角色, 无需判断
                 }
             }
 ​
         }
 ​
         throw new AccessDeniedException("非法请求,权限不足,请联系管理员");
 ​
     }
 ​
     @Override
     public boolean supports(ConfigAttribute attribute) {
         return true;
     }
 ​
     @Override
     public boolean supports(Class<?> clazz) {
         return true;
     }
 }

9 创建过滤器

 package com.filter;
 ​
 import com.entity.Menu;
 import com.entity.Role;
 import com.service.MenuService;
 import org.springframework.beans.factory.annotation.Autowired;
 import org.springframework.security.access.ConfigAttribute;
 import org.springframework.security.access.SecurityConfig;
 import org.springframework.security.web.FilterInvocation;
 import org.springframework.security.web.access.intercept.FilterInvocationSecurityMetadataSource;
 import org.springframework.stereotype.Component;
 import org.springframework.util.AntPathMatcher;
 ​
 import java.util.Collection;
 import java.util.List;
 ​
 @Component
 public class MyFilter implements FilterInvocationSecurityMetadataSource {
     @Autowired
     public MenuService menuService;
 ​
     //路径匹配符  直接用于匹配路径
     AntPathMatcher pathMatcher=new AntPathMatcher();
 ​
 ​
     @Override
     public Collection<ConfigAttribute> getAttributes(Object object) throws IllegalArgumentException {
        String url = ((FilterInvocation)object).getRequestUrl();//获取请求地址
         List<Menu> allMenus = menuService.getAllMenus();
 ​
         for(Menu menu:allMenus){
             if(pathMatcher.match(menu.getPattern(),url)){
                 List<Role> roles = menu.getRoles();
                 String[]rolesStr = new String[roles.size()];
                 for(int i=0;i<roles.size();i++){
                     rolesStr[i] = roles.get(i).getName();
                 }
                
                 return SecurityConfig.createList(rolesStr);//返回请求地址所需的角色
             }
         }
      
         //请求地址没有匹配数据库中的地址则返回默认值
         return SecurityConfig.createList("ROLE_login");
     }
 ​
     @Override
     public Collection<ConfigAttribute> getAllConfigAttributes() {
         return null;
     }
 ​
     @Override
     public boolean supports(Class<?> clazz) {
         return true;
     }
 }

10创建配置类

 package com.config;
 ​
 ​
 import com.filter.MyFilter;
 import org.springframework.beans.factory.annotation.Autowired;
 import org.springframework.context.annotation.Bean;
 import org.springframework.context.annotation.Configuration;
 import org.springframework.security.config.annotation.ObjectPostProcessor;
 import org.springframework.security.config.annotation.web.builders.HttpSecurity;
 import org.springframework.security.config.annotation.web.configuration.WebSecurityCustomizer;
 import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
 import org.springframework.security.crypto.password.PasswordEncoder;
 import org.springframework.security.web.SecurityFilterChain;
 import org.springframework.security.web.access.intercept.FilterSecurityInterceptor;
 import org.springframework.security.web.firewall.HttpFirewall;
 import org.springframework.security.web.firewall.StrictHttpFirewall;
 ​
 ​
 @Configuration    //配置类
 public class SecurityConfig  {
 ​
     @Autowired
     MyFilter myFilter;
 ​
     @Autowired
     MyAccessDecisionManager myAccessDecisionManager;
 ​
     
 ​
     @Bean
     PasswordEncoder passwordEncoder(){
         return new BCryptPasswordEncoder();
     }
 ​
 ​
     @Bean
     public HttpFirewall allowUrlEncodedslashHttpFirewall() {
         StrictHttpFirewall firewall = new StrictHttpFirewall();//此处可添加别的规则,目前只设置允许双
         firewall.setAllowUrlEncodedDoubleSlash(true);
         return firewall;
     }
 ​
 ​
     @Bean
     public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
 ​
 ​
         //配置没有权限访问跳转的页面
         http.exceptionHandling().accessDeniedPage("/403.html");
         http.authorizeRequests()  //开始请求权限配置。
                 .withObjectPostProcessor(new ObjectPostProcessor<FilterSecurityInterceptor>() {
                     @Override
                     public <O extends FilterSecurityInterceptor> O postProcess(O object) {
                         object.setAccessDecisionManager(myAccessDecisionManager);
                         object.setSecurityMetadataSource(myFilter);
                         return object;
                     }
                 })
                 //.anyRequest().authenticated()
                 .and()
                 .formLogin()
                             .loginPage("/test/toLogin")   //登录页面显示
                             .loginProcessingUrl("/user/login")  //html form action
                             .defaultSuccessUrl("/test/success",true)
                 .permitAll()
 ​
 ​
                 .and()
                 .csrf().disable();
         return http.build();
     }
 ​
 ​
     @Bean
    public WebSecurityCustomizer webSecurityCustomizer() {
         return (web) -> web.ignoring().antMatchers("/images/**", "/js/**", "/css/**");
      }
 }

11创建页面

login.html

 
<!DOCTYPE html>
 <html lang="en" xmlns:th="http://www.thymeleaf.org">
 <head>
     <meta charset="UTF-8">
     <title>登录页面</title>
     <link rel="stylesheet" th:href="@{/css/login.css}" />
 </head>
 <body>
 ​
    <form action="/user/login" method="post">
   <input type="text" name="username" placeholder="输入用户名"/><br/>
   <input type="password" name="password" placeholder="输入密码"/><br/>
   <input type="submit" value="登录"/>
 </form>
 </body>
 </html>

main.html

 
<!DOCTYPE html>
 <html lang="en" xmlns:th="http://www.thymeleaf.org" xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity5">
 <head>
     <meta charset="UTF-8">
     <title>Title</title>
     <link rel="stylesheet" th:href="@{/css/main.css}" />
 </head>
 <body>
 <h1> 这是 主页</h1>
 <div sec:authorize="isAuthenticated()">
    <span sec:authentication="name" style="color: #007bff"></span>您好
 ​
     <div sec:authorize="hasRole('admin')">
         <h1>管理员</h1>
         <a th:href="@{/test/add}">增加1</a>
         <a th:href="@{/test/update}">修改1</a>
         <a th:href="@{/test/delete}">删除1</a>
         <a th:href="@{/test/export}">导出1</a>
 ​
         <a th:href="@{/test/query}">查询1</a>
     </div>
 ​
     <div sec:authorize="!hasRole('admin')">
         <h1>普通用户</h1>
 ​
         <a th:href="@{/test/export}">导出</a>
 ​
         <a th:href="@{/test/query}">查询</a>
     </div>
 ​
 ​
 </div>
 ​
 ​
 </body>
 </html>

12 启动类

 package com;
 ​
 import org.mybatis.spring.annotation.MapperScan;
 import org.springframework.boot.SpringApplication;
 import org.springframework.boot.autoconfigure.SpringBootApplication;
 ​
 ​
 @SpringBootApplication
 @MapperScan(basePackages = "com.mapper")
 public class SS1222App {
     public static void main(String[] args) {
         SpringApplication.run(SS1222App.class,args);
     }
 }

13 启动测试

 

我们发同一个 页面, 不同的 角色 ,权限不同, 因此会 看到不同的 页面显示 这就是 基于路径的权限控制

射手座的程序媛
关注
  • 13
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
springboot springsecurity动态权限控制
09-18
springboot springsecurity动态权限控制,实现数据库动态管理菜单权限
Spring Security实现接口基于路径的动态权限控制
荔枝当大佬的博客
10-24 1329
在荔枝之前的一篇博客中,已经对Spring Security的鉴证授权的相关知识进行了梳理,弄清楚了为什么使用JWT以及用户登录后台执行的相关的鉴证授权的逻辑。在下面的文章中荔枝主要是补充梳理一下在真实的项目中如何使用Spring Security来实现接口动态权限控制的功能。
【系统权限管理】SpringSecurity实现动态权限菜单控制
最新发布
2401_84048542的博客
04-18 423
现在正是金三银四的春招高潮,前阵子小编一直在搭建自己的网站,并整理了全套的**【一线互联网大厂Java核心面试题库+解析】:包括Java基础、异常、集合、并发编程、JVM、Spring全家桶、MyBatis、Redis、数据库、中间件MQ、Dubbo、Linux、Tomcat、ZooKeeper、Netty等等**《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!/getAuthority()返回用户对应的菜单权限
SpringSecurity+OAuth2+JWT分布式权限控制.zip
07-23
SpringSecurity+OAuth2+JWT分布式权限控制
Spring security实现登陆和权限角色控制
09-09
主要介绍了Spring security实现登陆和权限角色控制,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
spring-security-rbac:Spring Security实现RBAC权限管理
05-15
Spring Security实现RBAC权限管理 一简介 在企业应用中,认证和授权是非常重要的一部分内容,业界最出名的两个框架就是大名鼎鼎的 Shiro和Spring Security。由于Spring Boot非常的流行,选择Spring Security做认证和授权的 人越来越多,今天我们就来看看用SpringSpring Security如何实现基于RBAC的权限管理。 二、基础概念RBAC RBAC是Role Based Access Control的缩写,是基于角色的访问控制。一般都是分为用户(user), 角色(role),权限(permission)三个实体,角色(role)和权限(permission)是多对多的 关系,用户(user)和角色(role)也是多对多的关系。用户(user)和权限(permission) 之间没有直接的关系,都是通过角色作为代理,才能获
三、SpringSecurity 动态权限访问控制
时间海绵
05-25 6119
在先前文章中我们搭建了SpringSecurity项目,并且讲解了自定义登录方式需要做哪些工作,如果你感兴趣可以前往博客阅读文章以及代码,在本文将继续讲解如何实现动态权限控制
Spring Security实现动态配置权限
qq_60458298的博客
03-25 904
需要注意的是,如果我们需要根据数据库或其他外部数据源动态配置权限,可以在 MyVoter 中进行相关的查询操作,以动态获取资源的 ConfigAttribute,然后再进行决策。在上面的代码中,我们通过实现 vote() 方法,根据当前用户的 Authentication 对象和资源的 ConfigAttribute 对象,决策当前用户是否有权限访问该资源。
Spring Security6 最新版配置该怎么写,该如何实现动态权限管理
热门推荐
LoveSummer
08-15 2万+
自定义 JSON 登录也和之前旧版不太一样了。小伙伴们知道,Spring Security 中默认的登录接口数据格式是 key-value 的形式,如果我们想使用 JSON 格式来登录,那么就必须自定义过滤器或者自定义登录接口,下面先来和小伙伴们展示一下这两种不同的登录形式。Spring Security 默认处理登录数据的过滤器是 UsernamePasswordAuthenticationFilter,在这个过滤器中,系统会通过。
快速学习安全框架 Springsecurity最新版(6.2)--用户授权模块
qq_55272229的博客
02-22 1517
上一节Springsecurity 用户认证Springsecurity 拥有强大的认证和授权功能并且非常灵活,,一来说我们都i有以下需求可以帮助应用程序实现以下两种常见的授权需求:用户-权限-资源:例如张三的权限是添加用户、查看用户列表,李四的权限是查看用户列表用户-角色-权限-资源:例如 张三是角色是管理员、李四的角色是普通用户,管理员能做所有操作,普通用户只能查看信息“Auth” 表示 “授权” Authorization“O” 是 Open 的简称,表示 “开放”连在一起就表示。
Vue 动态路由的实现及 Springsecurity 按钮级别的权限控制
10-16
主要介绍了Vue 动态路由的实现以及 Springsecurity 按钮级别的权限控制的相关知识,本文通过实例代码给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
spring security3动态权限
06-15
struts2 + spring3 + hibernate3 + spring security3 + mysql + tomcat sys_users;sys_roles;sys_authorities;sys_resources;sys_users_roles;sys_roles_authorities;sys_authorities_resources; PS:此项目运行不起来的,请参考代码,呵呵!
java实现数字权限实例,Spring Security 实战干货:动态权限控制(下)实现
weixin_33459498的博客
03-22 225
1. 前言Spring Security 实战干货:内置 Filter 全解析 中提到的第 32 个 Filter 不知道你是否有印象。它决定了访问特定路径应该具备的权限,访问的用户的角色,权限是什么?访问的路径需要什么样的角色和权限? 它就是 FilterSecurityInterceptor ,正是我们需要的那个轮子。2.FilterSecurityInterceptor过滤器排行榜第 32...
Spring Security 实现动态权限菜单方案
明平姚的博客
02-16 604
Spring Security 实现动态权限菜单方案
Spring security权限管理
weixin_47072986的博客
04-02 3737
Spring Security是一个高度自定义的安全框架。利用Spring IoC/DI和AOP功能,为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。​ 使用Spring Secruity的原因有很多,但大部分都是发现了javaEE的Servlet规范或EJB规范中的安全功能缺乏典型企业应用场景。同时认识到他们在WAR或EAR级别无法移植。因此如果你更换服务器环境,还有大量工作去重新配置你的应用程序。
手把手教你搞定权限管理,结合Spring Security实现接口的动态权限控制
macrozheng的专栏
02-25 1万+
权限控管理作为后台管理系统中必要的功能,mall项目中结合Spring Security实现了基于路径的动态权限控制,可以对后台接口访问进行细粒度的控制,今天我们来讲下它的后端实现原理。...
Spring Security实现动态路由权限控制
SampsonKong的博客
02-13 1379
Spring Security实现动态路由权限控制
Spring Security 学习笔记-授权控制过滤器
weixin_33775582的博客
05-12 148
FilterSecurityInterceptor 是比较核心的过滤器,主要负责授权工作。SecurityMetadataSource 需要安全授权的元数据资源 AuthenticationManager 认证管理器,决策访问资源的时候是否需要再次认证。AccessDesisionManager 访问决策管理器,决策是否有权限访问。 下图说明之间的调用关系: 转载于:ht...
springsecurity-6 权限管理
09-05
Spring Security是一个强大的安全框架,可以实现RBAC(Role-Based Access Control)权限管理系统。它是Spring家族的成员之一,与其他成员(如Spring Boot、Spring Cloud)进行整合时具有无可比拟的优势。 在企业应用中,权限管理是非常重要的一部分内容。Spring Security提供了丰富的功能,包括认证(Authentication)和授权(Authorization)。通过Spring Security,开发人员可以轻松地实现用户的身份认证和访问控制Spring Security支持多种认证方式,包括基于表单的认证、基于HTTP Basic的认证、基于LDAP的认证等。它还提供了强大的授权机制,可以通过角色(Role)和权限(Permission)对用户进行控制。开发人员可以根据<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [spring-security-rbac:Spring Security实现RBAC权限管理](https://download.csdn.net/download/weixin_42164931/18754156)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [SpringSecurity权限管理](https://blog.csdn.net/z318913/article/details/122832600)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

射手座的程序媛

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值