使用Spring Security实现RBAC权限模型 - 详细代码示例及表设计

最新推荐文章于 2025-03-04 21:25:57 发布
最新推荐文章于 2025-03-04 21:25:57 发布
阅读量3.9k 收藏 14
点赞数 1
文章标签: spring java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_49151953/article/details/130051240
版权
文章介绍了如何利用SpringSecurity框架实现RBAC权限模型,包括设计相关数据库表结构,如user、role、permission等,以及配置SpringSecurity的拦截器链,通过@PreAuthorize注解进行权限控制,同时详细阐述了UserDetailsService的实现过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

RBAC(Role-Based Access Control)是一种常用的权限模型,它基于用户角色来控制系统中的资源访问。在实际应用中,我们通常会使用Spring Security框架来实现RBAC权限控制。本文将介绍如何使用Spring Security实现RBAC权限模型,并提供详细的代码示例以及相关表设计。

  1. 表设计

在实现RBAC权限模型之前,我们需要先设计相关的表结构。下面是一个简单的表设计:

  • user表:存储用户信息,包括用户名、密码等
  • role表:存储角色信息,包括角色名称、角色描述等
  • permission表:存储权限信息,包括权限名称、权限描述等
  • user_role表:存储用户角色关系,包括用户ID和角色ID
  • role_permission表:存储角色权限关系,包括角色ID和权限ID
  1. 配置Spring Security

在Spring Security中实现RBAC权限模型的关键在于配置安全拦截器链,即定义哪些URL需要哪些权限才能访问。下面是一个简单的配置示例:

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private UserDetailsService userDetailsService;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/admin/**").hasRole("ADMIN")
                .antMatchers("/user/**").hasRole("USER")
                .anyRequest().authenticated()
                .and()
            .formLogin()
                .loginPage("/login")
                .permitAll()
                .and()
            .logout()
                .permitAll();
    }

    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
        auth
            .userDetailsService(userDetailsService)
            .passwordEncoder(passwordEncoder());
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
}

在上面的配置中,我们使用了@EnableWebSecurity注解启用了Spring Security,并通过configure(HttpSecurity http)方法配置了安全拦截器链。其中:

  • antMatchers("/admin/**").hasRole("ADMIN")表示/admin/**路径下的请求需要ADMIN角色才能访问
  • antMatchers("/user/**").hasRole("USER")表示/user/**路径下的请求需要USER角色才能访问
  • anyRequest().authenticated()表示其他请求需要认证后才能访问

另外,我们还需要通过configureGlobal(AuthenticationManagerBuilder auth)方法配置认证信息。在这个方法中,我们使用了自定义的UserDetailsService来获取用户信息,并使用BCryptPasswordEncoder加密器来加密密码。

  1. 实现UserDetailsService

在上面的配置中,我们使用了自定义的UserDetailsService来获取用户信息。下面是一个简单的示例:

@Service
public class CustomUserDetailsService implements UserDetailsService {

    @Autowired
    private UserRepository userRepository;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        User user = userRepository.findByUsername(username);
        if (user == null) {
            throw new UsernameNotFoundException("User not found");
        }
        Set<GrantedAuthority> grantedAuthorities = new HashSet<>();
        for (Role role : user.getRoles()) {
            for (Permission permission : role.getPermissions()) {
                grantedAuthorities.add(new SimpleGrantedAuthority(permission.getName()));
            }
        }
        return new org.springframework.security.core.userdetails.User(user.getUsername(), user.getPassword(), grantedAuthorities);
    }
}

在上面的实现中,我们通过UserRepository获取了用户信息,并将其转换为UserDetails对象返回。在这个过程中,我们还使用了用户的角色和权限信息来构建GrantedAuthority对象,该对象表示用户拥有的权限。

  1. 实现RBAC权限控制

除了上面的配置和实现之外,我们还需要在业务代码中实现RBAC权限控制。下面是一个简单的示例:

@Controller
public class UserController {

    @PreAuthorize("hasRole('USER')")
    @GetMapping("/user")
    public String user() {
        return "user";
    }

    @PreAuthorize("hasRole('ADMIN')")
    @GetMapping("/admin")
    public String admin() {
        return "admin";
    }
}

在上面的示例中,我们通过@PreAuthorize注解来限制用户访问某些资源的权限。其中,hasRole('USER')表示当前用户需要USER角色才能访问,hasRole('ADMIN')表示当前用户需要ADMIN角色才能访问。

  1. 总结

本文介绍了如何使用Spring Security实现RBAC权限模型,包括表设计、配置Spring Security、实现UserDetailsService以及实现RBAC权限控制。希望本文对您有所帮助。

万字长文,SpringSecurity
mySoul
06-30 1234
思维导图如下 RBAC权限分析 RBAC 全称为基于角色的权限控制,本段将会从什么是RBAC模型分类,什么是权限,用户组的使用,实例分析等几个方面阐述RBAC 思维导图 绘制思维导图如下 什么是RBAC RBAC 全称为用户角色权限控制,通过角色关联用户,角色关联权限,这种方式,间阶的赋予用户的权限,如下图所示 对于通常的系统而言,存在多个用户具有相同的权限,在分配的时候,要为指定的用户分配相关的权限,修改的时候也要依次的对这几个用户的权限进行修改,有了角色这个权限,在修改权限的时候,只需要对角色进
spring-security-project.zip- Spring Security实现RBAC权限模型demo
02-09
Spring Security 是一个强大...总结来说,"spring-security-project.zip"提供了一个使用Spring Security实现RBAC权限模型的实例,涵盖了认证、授权、角色和权限的管理,是学习和理解Spring Security安全框架的好材料。
Spring Security 框架篇-深入了解 Spring Security 的授权核心功能(RBAC 权限模型、自定义异常处理器、校验权限方法)
小扳手
11-05 6698
如果其他类频繁的调用 getAuthorities() 方法来获取权限信息,就会重复的进行封装 GrantedAuthority 实体类,因此,当 authorities 不为 Null,说明之前已经被调用 getAuthorities() 方法来获取权限信息,现在直接可以从 authorities 实体获取权限信息即可。Spring Security 为我们提供了基于注解的权限控制方案,可以使用注解去指定访问对应的资源所需的权限,需要手动开启,在 SecurityConfig 配置类上开启预授权功能。
权限系统设计方案实践(Spring Security + RBAC 模型
最新发布
_Djhhh` blog
03-04 1287
本文将介绍中大型项目中常用的一套权限系统设计方案,通过 SpringSecurity 安全管理框架,并结合 RBAC 模型进行数据模型设计,可以完成一个较为完整的权限系统
OA系统七:数据库表设计RBAC(基于角色的访问控制)介绍与核心表;
热门推荐
小枯林的博客
05-18 1万+
0.RBAC简述: RBAC(Role-Based Access Control:基于角色的访问控制):通过RBAC这种全新设计,可以帮助我们在多用户的环境下实现权限的有效控制; 说明: (1)不同的角色拥有不同的权限。 (2)这里的资源的定义比较宽泛、包括:系统的功能可以看成一种资源,公司中不同的文件可以看成一种资源,系统的url网址也可以看成是资源。不同的角色就拥有了对不同资源的访问控制权限。所有的资源都是和角色绑定的。 (3)一个用户过来了,如何给这个用户分配一个角色嘞???需要设.
Spring Security实现RBAC权限模型练习
pikcacho_pkq的博客
02-09 3119
Spring Security的核心功能就是认证、授权、攻击防护,Spring Boot项目启动之后会自动进行配置,其核心就是一组链式过滤器。如下图所示,对于一个用户请求,Username Password Authentication Filter验证用户名和密码是否正确,通过就放行,然后Basic Authentication Filter就实现了去验证请求中是否包含有权限认证的basic信息。FilterSecurityInterceptor验证请求是否能够访问REST API,如果不能够访问即被拒绝
springSecurity权限表设计
m0_63040701的博客
03-22 765
权限表设计和数据库创建
Spring Security 实战干货: RBAC权限控制概念的理解
码农小胖哥
11-11 4094
1. 前言 欢迎阅读 Spring Security 实战干货系列文章 。截止到上一篇我们已经能够简单做到用户主体认证到接口的访问控制了,但是依然满足不了实际生产的需要。 如果我们需要一个完整的权限管理系统就必须了解一下 RBAC (Role-Based Access Control 基于角色的访问控制) 的权限控制模型。 2. 为什么需要 RBAC? 在正式讨论 RBAC 模型之前,我们要思考...
基于 spring-security 实现 RBAC 权限模型-hello-security.zip
01-30
本项目 "基于 spring-security 实现 RBAC 权限模型-hello-security.zip" 提供了一个基础示例,帮助开发者了解如何在 Spring 应用程序中实施基于角色的访问控制(Role-Based Access Control,简称 RBAC模型。...
Spring SecurityRBAC模型完整实现示例
资源摘要信息: "Spring Security实现RBAC权限模型demo" Spring SecurityJava企业级应用程序中广泛使用的安全框架,它提供了一套全面的安全性解决方案。RBAC(基于角色的访问控制)是一种广泛采用的访问控制模型,...
管理系统系列--Pre基于Spring Boot 、Spring SecurityRBAC权限管理系统, 做更简洁.zip
02-25
标题中的“管理系统系列--Pre基于Spring Boot 、Spring SecurityRBAC权限管理系统, 做更简洁.zip”表明这是一个关于构建权限管理系统的教程或代码示例,它利用了Spring Boot和Spring Security这两个核心的Java技术...
spring-security-rbac:Spring Security实现RBAC权限管理
05-15
Spring Security实现RBAC权限管理 一简介 在企业应用中,认证和授权是非常重要的一部分内容,业界最出名的两个框架就是大名鼎鼎的 Shiro和Spring Security。由于Spring Boot非常的流行,选择Spring Security做认证和授权的 人越来越多,今天我们就来看看用SpringSpring Security如何实现基于RBAC权限管理。 二、基础概念RBAC RBAC是Role Based Access Control的缩写,是基于角色的访问控制。一般都是分为用户(user), 角色(role),权限(permission)三个实体,角色(role)和权限(permission)是多对多的 关系,用户(user)和角色(role)也是多对多的关系。用户(user)和权限(permission) 之间没有直接的关系,都是通过角色作为代理,才能获
SpringSecurity动态加载用户角色权限实现登录及鉴权功能
08-25
Spring Security 中,用户、角色、权限信息通常存放在 RBAC 权限模型的数据库表中,而不是写死在配置文件中。为了动态加载这些信息,我们需要实现 UserDetails 和 UserDetailsService 接口。 UserDetails 接口...
SpringSecurity - 实战 RBAC(二)
业精于勤荒于嬉
08-24 698
SpringSecurity - 实战 RBAC(二)-后端联调
基于SecurityRBAC权限控制数据库模型设计
hq.zheng的博客
04-19 613
基于角色的权限访问控制(Role-Based Access Control)作为传统访问控制(自主访问,强制访问)的有前景的代替受到广泛的关注。在RBAC中,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限。在一个组织中,角色是为了完成各种工作而创造,用户则依据它的责任和资格来被指派相应的角色,用户可以很容易地从一个角色被指派到另一个角色。角色可依新的需求和系统的合并而赋予新的权限,而权限也可根据需要而从某角色中回收。角色与角色的关系可以建立起来以囊括更广泛的客观情况。
SpringSecurity实现RBAC权限验证
weixin_45881125的博客
03-20 2662
基于角色的访问控制(RBAC)是一种访问控制策略,用于管理系统、应用程序或网络中的用户对资源的访问权限RBAC 将用户分配给角色,然后将权限分配给角色,而不是直接将权限分配给个别用户。这种方式简化了权限管理,特别是在大型组织或系统中,可以更轻松地管理权限。角色(Roles):角色是一组具有相似职责或权限需求的用户集合。例如,一个企业应用可能有角色如“管理员”、“普通用户”、“审计员”等。
springsecurity权限控制_Spring Security 实战干货:RBAC权限控制概念的理解
weixin_39653481的博客
11-24 368
1. 前言欢迎阅读 Spring Security 干货系列文章 。截止到上一篇我们已经能够简单做到用户主体认证到接口的访问控制了,但是依然满足不了实际生产的需要。 如果我们需要一个完整的权限管理系统就必须了解一下 RBAC (Role-Based Access Control 基于角色的访问控制) 的权限控制模型。2. 为什么需要 RBAC?在正式讨论 RBAC 模型之前,我们要思考一个问题,为...
RBAC(基于角色的访问控制权限)表结构
aituochang1886的博客
10-12 325
Rbac 支持两种类,PhpManager(基于文件的) 和 DbManager(基于数据库的) 权限:就是指用户是否可以执行哪些操作 角色:就是上面说的一组操作的集合,角色还可以继承 在Yii2.0中 yii\rbac: Item为角色或者权限的基类,其中用字段type来标识 yii\rbac: Role为代表角色的类 yii\rbac: Permission...
Spring Security实现类似shiro权限表达式的RBAC权限控制
码农小胖哥
04-19 899
昨天有个粉丝加了我,问我如何实现类似shiro的资源权限表达式的访问控制。我以前有一个小框架用的就是shiro,权限控制就用了资源权限表达式,所以这个东西对我不陌生,但是在Spring Security中我并没有使用过它,不过我认为Spring Security可以实现这一点。是的,我找到了实现它的方法。再看、点赞、转发、关注来一波!资源权限表达式说了这么多,我觉得应该解...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值