基于spring boot的spring security的权限系统的设计

最新推荐文章于 2024-07-08 18:16:19 发布
最新推荐文章于 2024-07-08 18:16:19 发布
阅读量924 收藏 8
点赞数 26
分类专栏: spring security 文章标签: spring spring boot 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_49726578/article/details/139920569
版权

权限系统

权限是在任何应用中都有的系统。例如用户,常见的有管理员,普通用户。管理员是可以操作普通用户的。那么这里就必定有操作用户的接口公开给前端访问。但是这个接口只有管理员才能访问。

security给我们提供了对应的解决方案使用@PreAuthorize()注解,传入一个字符串表达式。

这个注解需要在security的配置中标上@EnableGlobalMethodSecurity(prePostEnabled = true)注解开启权限认证。

这个注解会在方法执行之前去校验用户是否有权限。

@GetMapping("/userList")
// 这个接口只有拥有这个system:admin特殊字符串的用户才能访问
@PreAuthorize("hasAuthority('system:admin')") 
public List<User> selectUser() {
    return userService.selectUser();
}

问题1:security怎么知道这个用户是否拥有system:admin这个权限呢

这就需要编写一个类继承 security 提供的 UserDetails 类他提供了一个重写的方法 用于返回用户的权限。

这里主要关注:GrantedAuthority方法 返回了一个集合Collection<? extends GrantedAuthority>他的值就是一个字符串。@PreAuthorize("hasAuthority('system:admin')") 这个注解就会拿这个字符串去GrantedAuthority返回的集合中查找是否有这个字符串。

这里有两个局部变量:

// security 需要的类型

private List<SimpleGrantedAuthority> authorities;

// 我们传入的类型

private List<String> permissions;

所以我们就需要重写这个方法返回security需要的类型

问题2:permissions是我们传入的那么这个哪里来的呢。实际上这个就是我们在数据库中查询到的用户权限注入进来的。

package com.example.springbootsecurity.domain;

import com.alibaba.fastjson2.annotation.JSONField;
import com.example.springbootsecurity.pojo.User;
import com.fasterxml.jackson.annotation.JsonFilter;
import com.fasterxml.jackson.annotation.JsonIgnoreProperties;
import lombok.Data;
import lombok.NoArgsConstructor;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;

import java.util.ArrayList;
import java.util.Arrays;
import java.util.Collection;
import java.util.List;
import java.util.stream.Collectors;
import java.util.stream.Stream;

@Data
@NoArgsConstructor
public class LoginUser implements UserDetails {

    private User user;

    private List<SimpleGrantedAuthority> authorities;
    private List<String> permissions;

    public LoginUser(User user, List<String> permissions) {
        this.user = user;
        this.permissions = permissions;
    }

    /**
     * 获取权限信息
     *
     * @return
     */
    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        if (authorities != null) {
            return authorities;
        }
        authorities = permissions.stream()
                .map(SimpleGrantedAuthority::new)
                .collect(Collectors.toList());
        return authorities;
    }

    /**
     * 获取user的密码
     *
     * @return
     */
    @Override
    public String getPassword() {
        return user.getPassword();
    }

    /**
     * 获取user的用户名
     *
     * @return
     */
    @Override
    public String getUsername() {
        return user.getUser_name();
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return true;
    }
}

权限系统表的设计

注:本文内容仅限参考,属于在学习中做的笔记,如有不对的地方,提前感谢各位大佬的纠正。

这里设计到五张表(后台管理系统):

  • sys_user 用户表
  • sys_menu 菜单表
  • sys_role 权限表
  • sys_role_menu 权限菜单关联表 (表示 该权限能够 访问的 菜单)
  • sys_user_role 用户权限关联表

注:一个用户可以有多个权限。

将五张表用join关联起来 使用userid就可以查出当前用户的权限字段。

在用户登陆的时候查询出来保存到redis或者token中。这里保存到了redis。key为user:userid

@Override
public ServerResponse login(User user) {
UsernamePasswordAuthenticationToken authenticationToken =
new UsernamePasswordAuthenticationToken(user.getUser_name(), user.getPassword());
Authentication authenticate = authenticationManager.authenticate(authenticationToken);

LoginUser loginUser = (LoginUser) authenticate.getPrincipal();
// 将用户的权限保存到redis中
redisTemplate.opsForValue().set("user:" + loginUser.getUser().getUserId(),loginUser.getPermissions());

Map<String, Object> userToken = new HashMap();
userToken.put("userid",loginUser.getUser().getUserId());
String jwt = JwtUtil.createJWT(Const.TOKEN_KEY, 1000000l, userToken);

Map tokenMap = new HashMap<>();
tokenMap.put("token",jwt);
return ServerResponse.creatrBySuccess("登录成功",tokenMap);
}

在非登陆请求过来时在认证token的过滤器中 取出 redis 中的 userid的权限 然后注入到 UsernamePasswordAuthenticationToken 中。然后在执行到controller时就会去校验当前用户的权限是否满足当前接口的权限。

package com.example.springbootsecurity.filter;

import com.example.springbootsecurity.config.Const;
import com.example.springbootsecurity.domain.LoginUser;
import com.example.springbootsecurity.pojo.User;
import com.example.springbootsecurity.utils.JwtUtil;
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.ExpiredJwtException;
import io.netty.util.internal.StringUtil;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.stereotype.Component;
import org.springframework.web.filter.OncePerRequestFilter;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.List;

/**
 * jwt的过滤器
 * 过滤器会在请求进来之前和响应回去之前执行
 */
@Component
public class JwtAuthenticationTokenFilter extends OncePerRequestFilter {

    @Autowired
    private RedisTemplate redisTemplate;
    /**
     * 校验tokne的过滤器
     *
     * @param httpServletRequest
     * @param httpServletResponse
     * @param filterChain
     * @throws ServletException
     * @throws IOException
     */
    @Override
    protected void doFilterInternal(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, FilterChain filterChain) throws ServletException, IOException {
        String token = httpServletRequest.getHeader("token");
        if (StringUtil.isNullOrEmpty(token)) {
            filterChain.doFilter(httpServletRequest, httpServletResponse);
            return;
        }
        // 解析tokena
        try {
            Claims currUser = JwtUtil.parseJWT(Const.TOKEN_KEY, token);

            LoginUser currentUser = new LoginUser();
            // 取出redis中用户的权限 注入到 currentUser 中
            currentUser.setPermissions((List<String>) redisTemplate.opsForValue().get("user:" + currUser.get("userid")));
            // UsernamePasswordAuthenticationToken的第三个参数就是传入权限信息的 所以这里把currentUser.getAuthorities()传入
            UsernamePasswordAuthenticationToken authenticationToken =
            new UsernamePasswordAuthenticationToken(currUser, null, currentUser.getAuthorities());
            SecurityContextHolder.getContext().setAuthentication(authenticationToken);
            filterChain.doFilter(httpServletRequest, httpServletResponse);
        } catch (Exception e) {
            System.out.println("token解析失败" + e.getMessage());
            throw new RuntimeException("用户未登录");
        }
    }

}

注入权限信息应该在认证的过滤器中注入。这里省略。本文在学习中记录的,有不对的地方感谢大佬多指导指导。

常年游走在bug的边缘
关注
  • 26
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
基于Spring Security实现权限管理系统
要坚持,要认真。
11-06 7万+
基于Spring Security实现权限管理系统 稍微复杂一点的后台系统都会涉及到用户权限管理。何谓用户权限?我的理解就是,权限就是对数据(系统的实体类)和数据可进行的操作(增删查改)的集中管理。要构建一个可用的权限管理系统,涉及到三个核心类:一个是用户User,一个是角色Role,最后是权限Permission。接下来本文将介绍如何基于Spring Security 4.0一步一步构建起一个接...
spring boot整合spring security实现基于rbac的权限控制
轻描淡写
12-09 1万+
1.spring security基于rabc权限控制 1.1 引入依赖 <dependency> <groupId>org.projectlombok</groupId> <artifactId>lombok</artifactId> </dependency>...
基于Spring Boot 3 + Spring Security6 + JWT + Redis实现登录、token身份认证
程序员雅痞的博客
03-28 5588
基于Spring Boot3实现Spring Security6 + JWT + Redis实现登录、token身份认证。
Spring Security 详解
热门推荐
qq_22075913的博客
06-06 11万+
Spring SecuritySpring家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用SpringSecurity来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。​ 一般Web应用的需要进行认证和授权。​ 而认证和授权也是SpringSecurity作为安全框架的核心功能。视频地址:​ 我们先要搭建一个简单的SpringBoot工程① 设置父工
Spring Boot+Spring Security+JWT实现系统认证与授权
Cloud-Future的博客
08-03 2944
Spring Boot+Spring Security+JWT实现系统认证与授权 Spring Boot整合Spring Security实现JWT认证 Spring Boot项目使用JWT认证 JWT认证 OAuth2 JWT认证
spring boot HttpSecurity 基于内存配置
Zllvincent的博客
11-06 3231
一、简介 开发者可以自定义类继承WebSecurityConfigurerAdapter 实现对Spring Security 更多的自定义配置。 二、流程 1.新建Spring Boot Web 项目,pom.xml 添加spring-boot-starter-security 依赖 <dependency> <groupId>org.springframework.b...
Spring Boot 引入 Spring Security
qq_43011496的博客
04-20 1945
关于 spring security 官网链接, 本次示例使用的版本为5.6.3:https://docs.spring.io/spring-security/reference/index.html spring boot 项目中引入 spring security, maven坐标如下: <dependency> <groupId>org.springframework.boot</groupId> <a.
Spring实战】26 使用Spring Security 保护 Spring Boot Admin
好久不见的流星
01-08 1656
Spring Boot Admin 是一个用于监控和管理 Spring Boot 应用程序的工具,而 Spring Security 是一个用于提供身份验证和授权的强大框架。本文们将探讨如何将 Spring Boot Admin 与 Spring Security 集成,以确保管理端的安全性。
Spring BootSpring Security
暗星涌动
06-05 2675
Spring Security是一个基于Spring框架的安全框架,它提供了一套完整的安全解决方案,包括认证、授权、攻击防护等功能,可以轻松地集成到Spring应用程序中,保护应用程序的安全性。Spring Security的主要作用是保护Web应用程序的安全性,包括用户身份验证、授权、防止跨站请求伪造(CSRF)、防止会话固定攻击等。在使用Spring Security时,我们可以配置安全策略、用户角色、访问控制等,从而实现对Web应用程序的安全保护。
Spring Boot中使用 Spring Security 构建权限系统的示例代码
08-29
Spring Boot中使用Spring Security构建权限系统的示例代码 在本篇文章中,我们将主要介绍如何使用Spring Security框架在Spring Boot项目中构建权限系统权限控制是非常常见的功能,在各种后台管理系统权限控制更...
基于spring bootspring security的媒资编目系统源码.zip
06-10
《深入剖析基于Spring BootSpring Security的媒资编目系统》 在当今信息化时代,媒资管理系统对于媒体行业的运营至关重要。而Spring BootSpring Security作为Java领域的两大热门框架,为构建高效、安全的媒资...
毕业设计基于spring boot+spring security轻量化架构实现的会议管理系统源码+数据库
12-21
毕业设计基于spring boot+spring security轻量化架构实现的会议管理系统源码+数据库 安装教程 maven版本为3.6.0 jdk版本为1.8.241 文件编码改为utf-8 刚进入登录页面css会出现不加载的情况,登陆后恢复正常 使用说明...
基于Spring Boot的健身房管理系统
01-31
系统设计中,分为管理员和会员两个角色,各有不同的权限和功能: 1. **管理员功能**: - **查找功能**:管理员可以快速搜索和定位会员、员工、器材或课程等信息,方便进行数据分析和决策。 - **会员管理**:包括...
youlai-boot: Spring Boot 3 + Spring Security + Vue3 权限管理系统
05-04
youlai-boot 是【有来开源组织】基于Spring Boot 3 + Spring Security 6 + JWT + Mybatis-Plus + Redis + XXL-Job + Vue3 等主流技术栈搭建的前后端分离权限管理系统。 在线预览地址:http://vue3.youlai.tech 后端...
Spring Security的Filter
weixin_44263023的博客
07-08 494
如果你需要实现一些 Spring Security 没有提供的特定安全功能,你可以通过实现 javax.servlet.Filter 接口来创建自定义的过滤器,并使用 Spring Security 的 FilterRegistrationBean 或通过 Spring Security 的配置类将其添加到过滤器链中。
学习springMVC
weixin_45621552的博客
07-03 503
JSR全称为 Java Specification Requests,表示 Java 规范提案。JSR-303是 Java 为 Java Bean 数据合法性校验提供的标准框架,它定义了一套可标注在成员变量,属性方法上的校验注解。Hibernate Validatior提供了这套标准的实现。-- 最新7.0.1.Final --> </ dependency >-- 最新7.0.1.Final --> </ dependency ></
Springboot 配置 log4j 时的注意事项
rainyspring4540的专栏
07-08 217
因此,在使用 log4j2 日志时,必须要在依赖中把 logback 给 exclude 掉。并且,使用 log4j2 日志还需要适配器 log4j-slf4j-impl,它跟 SpringBoot 的 starter 自带的 log4j-to-slf4j 是相互冲突的,因此还需要将 log4j-to-slf4j 也 exclude 掉。logback 日志和 log4j2 日志都是对 slf4j 门面的实现,只能存在一个,且必须存在一个,不存在或者存在多个都会出错。
SpringBoot3】结合 gRpc 实现远程服务调用
最新发布
不积跬步无以至千里,不积小流无以成江海。一个喜欢学习分享的程序员
07-08 432
gRPC(Google Remote Procedure Call,Google远程过程调用)是一个现代开源高性能远程过程调用(RPC)框架,可以在任何环境中运行。它由Google开发,旨在帮助开发人员更轻松地构建分布式应用,特别是当代码可能在不同地方运行的时候。 gRPC是一个高性能、开源和通用的RPC框架,它基于HTTP/2设计,并支持多种编程语言和平台。 随着其开源和广泛应用,gRPC已成为云原生计算基金会(CNCF)的一个孵化项目,被大量组织和企业采用。
eladmin说明文档1
08-03
1项目简介EL-ADMIN 基于 Spring Boot 2.1.0 、 Spring Boot Jpa、 JWT、Spring Security、Redis、

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值