SpringSecurity从0到1搭建详细教程二——添加权限

已于 2022-12-04 13:55:11 修改
阅读量469 收藏 4
点赞数
分类专栏: SpringSecurity 文章标签: java spring 开发语言
于 2022-11-24 20:23:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_47743175/article/details/128025789
版权

SpringSecurity为我们提供了基于注解的权限控制方案,实现限制访问资源所需权限。

首先开启权限,在 SecurityConfig 配置类上添加:

// 开启权限配置
@EnableGlobalMethodSecurity(prePostEnabled = true)

修改UserDetails的实现类LoginUser,让其能封装权限信息

package org.example.bean;

import com.alibaba.fastjson.annotation.JSONField;
import lombok.AllArgsConstructor;
import lombok.Data;
import lombok.NoArgsConstructor;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;

import java.io.Serializable;
import java.util.Collection;
import java.util.List;
import java.util.stream.Collectors;

/**
 * 因为UserDetailsService方法的返回值是UserDetails类型,
 * 所以需要定义一个类,实现该接口,把用户信息封在其中。1
 */
@Data
@NoArgsConstructor
public class LoginUser implements UserDetails {

    private User user;
    /**
     * permissions 存放权限集合
     */
    private List<String> permissions;
    /**
     * @JSONField(serialize = false) 不序列化
     * getAuthorities方法的返回值
     */
    @JSONField(serialize = false)
    private List<SimpleGrantedAuthority> authorities;

    public LoginUser(User user, List<String> permissions) {
        this.user = user;
        this.permissions = permissions;
    }

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        if(authorities!=null){
            return authorities;
        }
        //把permissions中String类型的权限信息封装成它的实现类SimpleGrantedAuthority对象
        /*authorities = new ArrayList<>();
        for (String permission : permissions) {
            SimpleGrantedAuthority authority = new SimpleGrantedAuthority(permission);
            newList.add(authority);
        }
        return newList;*/
        // 使用stream流操作
        authorities = permissions.stream().map(SimpleGrantedAuthority::new).collect(Collectors.toList());
        return authorities;
    }

    @Override
    public String getPassword() {
        return user.getPassword();
    }

    @Override
    public String getUsername() {
        return user.getUserName();
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return true;
    }
}

UserDetailsServiceImpl 中把权限信息封装到LoginUser中,这里先写死,模拟权限。

package org.example.service.impl;

import com.baomidou.mybatisplus.core.conditions.query.LambdaQueryWrapper;
import org.example.bean.LoginUser;
import org.example.bean.User;
import org.example.mapper.UserMapper;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;

import java.util.ArrayList;
import java.util.Arrays;
import java.util.Objects;

/**
 * 创建一个类实现UserDetailsService接口,加载用户特定数据的核心接口。
 * 重写其中的方法。更加用户名从数据库中查询用户信息
 * 里面定义了一个根据用户名查询用户信息的方法
 */
@Service
public class UserDetailsServiceImpl implements UserDetailsService {

    @Autowired
    private UserMapper userMapper;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

        //查询用户信息
        LambdaQueryWrapper<User> queryWrapper = new LambdaQueryWrapper<>();
        queryWrapper.eq(User::getUserName,username);
        User user = userMapper.selectOne(queryWrapper);
        //如果没有查询到用户,就抛出异常
        if(Objects.isNull(user)){
            throw new RuntimeException("用户名或者密码错误");
        }
        //把数据封装成userDetails返回,ArrayList为权限集合,此处作为模拟添加
        return new LoginUser(user,new ArrayList<>(Arrays.asList("test","admin")));
    }
}

在执行请求前,实现了 OncePerRequestFilter 接口的  JwtAuthenticationTokenFilter 过滤器里添加权限集合

package org.example.filter;

import io.jsonwebtoken.Claims;
import org.example.SecurityQuickstartApplication;
import org.example.bean.LoginUser;
import org.example.util.JwtUtil;
import org.example.util.RedisCache;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.stereotype.Component;
import org.springframework.util.StringUtils;
import org.springframework.web.filter.OncePerRequestFilter;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.Objects;

/**
 * OncePerRequestFilter
 * spirng自带的过滤器,可以保证一次请求只经过一次这个过滤器
 */
@Component
public class JwtAuthenticationTokenFilter extends OncePerRequestFilter {

    @Autowired
    private RedisCache redisCache;

    @Override
    protected void doFilterInternal(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, FilterChain filterChain) throws ServletException, IOException {
        // 获取token
        String token = httpServletRequest.getHeader("token");
            // 如果请求头不存在token,则放行并返回
        if(!StringUtils.hasText(token)){
                // 放行后,会去执行后面的filter链,执行完 filter链后,返回到放行这里,会继续往下执行,所以return;
            filterChain.doFilter(httpServletRequest,httpServletResponse);
            return;
        }
        // 解析token
        String userId;
        try {
            Claims claims = JwtUtil.parseJWT(token);
            // getSubject,此方法获取userId,即数据库表中的主键id
            userId = claims.getSubject();
        } catch (Exception e) {
            throw new RuntimeException("解析token失败!");
        }
        // 从redis获取用户信息
        // 拼接reidsKey,在LoginServiceImpl登录时,将完整的用户信息存入Redis,login:+userId作为key
        String redisKey = "login:"+userId;
        LoginUser loginUser = redisCache.getCacheObject(redisKey);
        if(Objects.isNull(loginUser)){
            throw new RuntimeException("用户未登录!");
        }
        // 存入SecurityContextHolder,将 loginUser.getAuthorities()中的权限集合放到 authenticationToken 中
        UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(loginUser,null,loginUser.getAuthorities());
        SecurityContextHolder.getContext().setAuthentication(authenticationToken);
        //放行
        filterChain.doFilter(httpServletRequest,httpServletResponse);
    }
}

 最后在 controller 中添加 @PreAuthorize("hasAuthority('abc')") 注解,其中 abc、test 为权限名,即在 UserDetailsServiceImpl 默认写死的权限集合中的一个

/**
     * 测试没有abc权限是否可以登录
     * @return
     */
    @GetMapping("/getTest2")
    @PreAuthorize("hasAuthority('abc')")
    public String getTest2(){
        logger.info("测试没有abc权限是否可以登录");
        return "chenggong";
    }
    /**
     * 测试没有test权限是否可以登录
     * @return
     */
    @GetMapping("/getTest3")
    @PreAuthorize("hasAuthority('test')")
    public String getTest3(){
        logger.info("测试有test权限是否可以登录");
        return "chenggong";
    }

测试:getTest2 

getTest3

明湖起风了
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security 6.x 系列(1)—— 初识Spring Security
gmHappy
10-05 2万+
`Spring Security`作为一个功能完善的安全框架,具有以下特性: - **认证(Authentication)**:解决 "你是谁" 的问题,验证系统中是否有这个“用户”(用户/设备/系统),也就是我们常说的“登录”。 - **授权(Authorization)**:权限控制/鉴别,解决的是系统中某个用户能够访问哪些资源,即“你能干什么”的问题。`Spring Security` 支持基于 `URL` 的请求授权、方法访问授权、对象访问授权。
SpringBoot系列教程:集成MyBatis,SpringSecurity
程序员光剑
07-30 1104
Spring Boot是一种新的开源Java开发框架,它极大地简化了基于Java的应用配置,自动装配,消息处理等流程,并提供了运行时的健康检查、外部化配置等功能,因此在实际项目开发中扮演着越来越重要的角色。本系列教程详细介绍如何利用Spring Boot框架,整合Mybatis和Spring Security,实现对数据库的增删改查及安全管理。Spring Boot介绍MyBatis介绍Spring Security介绍如何整合Mybatis和Spring Security
数据表设计
weixin_47885311的博客
09-04 256
一、系统配置表 创建MySQL数据表 、创建代码自动生成 第一步.在项目pom.xml文件中添加相关依赖 <dependency> <groupId>org.projectlombok</groupId> <artifactId>lombok</artifactId> <version>1.18.12</version> </dependency> <dependency>
SpringSecurity用户授权
酷小亚
09-30 605
SpringSecurity用户授权 1、在配置类实现相关的配置 2、创建相关页面和controller 3、基于角色或权限进行访问控制 4、自定义403没有权限访问的页面
Spring Security-5:在 Spring Security添加权限控制
github_39436025的博客
11-27 990
更多内容欢迎访问我的个人 Java 站点:开坑组-Java站 前言 之前我们搭建了一个可以自己定义用户,包含验证码与持久化 Session 的登录模块,接下来我们开始再原有的基础上添加权限控制,让我们能够控制每一个接口的访问权限。 1. 添加 Mock 的权限 Map 添加一些 Mock 的权限数据,在你具体实现的时候,替换为数据库查询即可 package com.example.security.model; import org.apache.logging.log4j.util.Strings;
SpringBoot整合SpringSecurity详解,认证授权从未如此简单
Java鱼仔的博客
10-11 3358
对于一个Web项目来说,最重要的不是功能酷不酷炫,而是这个项目安不安全。 Spring Security主要做两个事情,认证、授权。
尚筹网 —— 9、权限控制(加入 Spring-Security)
Mr_zhangyj的博客
07-21 443
尚筹网 —— 9、权限控制(加入 Spring-Security)
非常珍贵的Spring Security企业级认证与授权全套视频(自鉴过后,良心推荐)
04-02
SpringSecurity 全套开发,设计源码解读,整个拦截器链分析,QQ登录,微信登录,短信验证,短信登录,在security基础上学习写一个自定义验证授权设计模式,整套视频讲解的分享细致认真,非常值得学习。不管小白还是...
第9章 Spring Security 的测试与维护 (2024 最新版)
江帅帅
03-02 775
在这个案例中,我们将演示如何测试一个自定义登录逻辑。自定义登录逻辑常见于需要超出标准认证流程的应用中,比如添加额外的安全检查或自定义认证响应。我们将通过 Spring SecuritySpring Boot 创建一个简单的自定义登录端点,并使用 JUnit 进行测试。场景概述假设我们有一个需求:在标准的用户名和密码认证基础上,我们想要实现一个额外的安全检查——验证用户是否已经通过电子邮件验证。只有电子邮件验证通过的用户才能成功登录。步骤 1:创建 Spring Boot 应用。
基于SpringBoot+SpringSecurity+JWT+RSA加密算法签名 Auth权限认证搭建教程
m0_47224541的博客
11-19 1892
基于SpringBoot+SpringSecurity+JWT+RSA加密算法签名 Auth权限认证 搭建教程 一名本科在读软件工程大三学生 —— Liujian 微笑面对生活,生活也会微笑面对你。 目录(文章过长 使用 Ctrl+F 搜索): 1、导入jar包(maven构件项目导入其坐标) 2、创建数据库、数据表及数据库连接URL(JDBC - MySQL) 3、创建实体类User、JwtUser及Dao层 4、实现UserDetailsService接口 5、编写RSA工具类 6、Token工具
spring security 登录、权限管理配置
08-13
登录流程 1)容器启动(MySecurityMetadataSource:loadResourceDefine加载系统资源与权限列表) 2)用户发出请求 3)过滤器拦截(MySecurityFilter:doFilter) 4)取得请求资源所需权限(MySecurityMetadataSource:getAttributes) 5)匹配用户拥有权限和请求权限(MyAccessDecisionManager:decide),如果用户没有相应的权限, 执行第6步,否则执行第7步。 6)登录 7)验证并授权(MyUserDetailServiceImpl:loadUserByUsername) 内附完整数据库
Spring Security】| 从0到1编写一个权限认证 | 学会了吗?
狮子也疯狂的博客
04-10 7612
在项目中,认证逻辑一般是通过自定义实现的,将实现了接口的实现类放入Spring容器中,即可实现自定义逻辑认证。实现接口必须重写方法,该方法定义了具体的认证逻辑,参数 username 是前端传来的用户名,我们需要根据传来的用户名查询到该用户(一般是从数据库查询),并将查询到的用户封装成一个对象,该对象是提供的用户对象,包含用户名、密码、权限Spring Security会根据UserDetails对象中的密码和客户端提供密码进行比较。
springsecurity的学习(四):实现授权
最新发布
weixin_45037073的博客
08-13 964
springsecurity的授权,自定义授权失败的处理,跨域的处理和自定义权限校验方法的介绍
SpringSecurity安全框架 ——认证与授权
让优秀成为一种习惯!
12-23 5870
Security是一个基于Spring框架的安全性框架,可用于对Java应用程序进行身份验证、授权和其他安全性功能的添加。它不仅可以对Web应用程序进行保护,还可以保护非Web环境下的应用程序,如远程服务和命令行应用程序等。提供了一系列可插拔的安全性特性,如基于标记的身份验证、权限控制、会话管理、密码加密等。它还支持多种安全性协议和标准,如OAuthSAMLOpenID等,可与各种身份提供商集成。
基于SpringBoot整合SpringSecurity的认证授权(角色+权限)
weixin_45795349的博客
07-18 1272
之前一直是使用的Shiro,最近因为公司使用若依的前后端分离版本中,认证授权模块是使用的SpringSecurity,所以就打算写一遍这个教程了。嗯在这之前一直是使用Shiro做授权和认证的。嗯后面会讲的,在这之前读者需要具有SpringBoot基础、以及能够使用SpringBoot连接数据库进行操作
Spring Security 中,想在权限中使用通配符,怎么做?
Java777i的博客
07-05 206
小伙伴们知道,在 Shiro 中,默认是支持权限通配符的,例如系统用户有如下一些权限:现在给用户授权的时候,我们可以像上面这样,一个权限一个权限的配置,也可以直接用通配符:这个通配符就表示拥有针对用户的所有权限。当然这是 Shiro 里边的,对 Shiro 不熟悉的小伙伴,可以在公众号后台回复 shiro,查看松哥之前录的视频教程。今天我们来聊聊 Spring Security 中对此如何处理,也顺便来看看 TienChin 项目中,这块该如何改进。要搞明白基于注解的权限管理,那么得首先理解 SpEL,不需
Redis 反序列化异常
weixin_43535259的博客
05-30 3250
背景 整合SpringSecurity过程中 ,对User类进行了更改,导致Redis在反序列化时出现了问题,Google或者StackOverflow网速较慢,所以就把解决方案放在这,作为记录。 package com.how2j.copy.pojo; import com.fasterxml.jackson.annotation.JsonIgnore; import com.fasterxm...
(四)springboot
weixin_51431465的博客
09-17 316
JSONField(serialize = false)是为了防止将PermissionList序列化到Redis中发生错误@Override}*/if(!
SpringSecurity中 LoginUser implements UserDetails
weixin_46256404的博客
11-16 113
SpringSecurity中 LoginUser implements UserDetails
Spring Security权限管理详解:从入门到实战
- **第1章**:从配置过滤器入手,演示如何在Spring Security中设置基本的请求拦截,逐步引入命名空间配置的便利性。 - **第2-4章**:深入到数据库管理,涉及用户权限的存储、自定义表结构设计,以及如何处理用户登录...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值