SpringBoot集成Spring Security(开启菜单权限验证)

已于 2023-03-29 21:19:48 修改
阅读量596 收藏
点赞数
分类专栏: springsecurity 学习总结 文章标签: spring spring boot java Powered by 金山文档
于 2023-03-16 17:23:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_59805036/article/details/129592693
版权

1.添加依赖

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

2.创建User以及UserService

创建实体类UserDetailDTO类,该类需要实现UserDetails接口

@Data
@Builder
publicclassUserDetailDTOimplementsUserDetails {
​
    /**
     * 用户账号id
     */
    privateIntegerid;
​
    /**
     * 用户信息id
     */
    privateIntegeruserInfoId;
​
    /**
     * 邮箱号
     */
    privateStringemail;
​
    /**
     * 登录方式
     */
    privateIntegerloginType;
​
    /**
     * 用户名
     */
    privateStringusername;
​
    /**
     * 密码
     */
    privateStringpassword;
​
    /**
     * 用户角色
     */
    privateList<String>roleList;
​
    /**
     * 用户昵称
     */
    privateStringnickname;
​
    /**
     * 用户头像
     */
    privateStringavatar;
​
    /**
     * 用户简介
     */
    privateStringintro;
​
    /**
     * 个人网站
     */
    privateStringwebSite;
​
    /**
     * 点赞文章集合
     */
    privateSet<Object>articleLikeSet;
​
    /**
     * 点赞评论集合
     */
    privateSet<Object>commentLikeSet;
​
    /**
     * 点赞说说集合
     */
    privateSet<Object>talkLikeSet;
​
    /**
     * 用户登录ip
     */
    privateStringipAddress;
​
    /**
     * ip来源
     */
    privateStringipSource;
​
    /**
     * 是否禁用
     */
    privateIntegerisDisable;
​
    /**
     * 浏览器
     */
    privateStringbrowser;
​
    /**
     * 操作系统
     */
    privateStringos;
​
    /**
     * 最近登录时间
     */
    privateLocalDateTimelastLoginTime;
​
​
    @Override
    publicCollection<?extendsGrantedAuthority>getAuthorities() {
        returnthis.roleList.stream()
                .map(SimpleGrantedAuthority::new)
                .collect(Collectors.toSet());
    }
​
    @Override
    publicStringgetPassword() {
        returnthis.password;
    }
​
    @Override
    publicStringgetUsername() {
        returnthis.username;
    }
​
    @Override
    publicbooleanisAccountNonExpired() {
        returntrue;
    }
​
    @Override
    publicbooleanisAccountNonLocked() {
        returnthis.isDisable==FALSE;
    }
​
    @Override
    publicbooleanisCredentialsNonExpired() {
        returntrue;
    }
​
    @Override
    publicbooleanisEnabled() {
        returntrue;
    }
}

UserDetails中有一个方法叫做getAuthorities,该方法用来获取当前用户所具有的角色,但是UserDetailDTO中有一个roleList属性用来描述当前用户的角色,因此getAuthorities方法的实现如上,直接从roleList中获取当前用户所具有的角色,构造SimpleGrantedAuthority然后返回即可

创建好UserDetailDTO之后,需要创建UserDetailsServiceImpl,用来执行登录等操作,UserDetailsServiceImpl需要实现UserDetailsService接口

@Service
publicclassUserDetailsServiceImplimplementsUserDetailsService {
    @Autowired
    privateUserAuthMapperuserAuthMapper;
    @Autowired
    privateUserInfoMapperuserInfoMapper;
    @Autowired
    privateRoleMapperroleMapper;
    @Autowired
    privateRedisServiceredisService;
    @Resource
    privateHttpServletRequestrequest;
    @Override
    publicUserDetailsloadUserByUsername(Stringusername) throwsUsernameNotFoundException {
        if(StringUtils.isBlank(username)){
            thrownewBizException("用户名不能为空");
        }
        //查询账号是否存在
        UserAuthuserAuth=userAuthMapper.selectOne(newLambdaQueryWrapper<UserAuth>()
                .select(UserAuth::getId, UserAuth::getUserInfoId, UserAuth::getUsername, UserAuth::getPassword, UserAuth::getLoginType)
                .eq(UserAuth::getUsername, username));
        if(Objects.isNull(userAuth)){
            thrownewBizException("账号不存在");
        }
        // 封装登录信息
        returnconvertUserDetail(userAuth, request);
    }
    /**
     * 封装用户登录信息
     *
     * @param userAuth    用户账号
     * @param request 请求
     * @return 用户登录信息
     */
    privateUserDetailsconvertUserDetail(UserAuthuserAuth, HttpServletRequestrequest) {
        // 查询账号信息
        UserInfouserInfo=userInfoMapper.selectById(userAuth.getUserInfoId());
        // 查询账号角色
        List<String>roleList=roleMapper.listRolesByUserInfoId(userInfo.getId());
        System.out.println(roleList);
        // 查询账号点赞信息
        Set<Object>articleLikeSet=redisService.sMembers(ARTICLE_USER_LIKE+userInfo.getId());
        Set<Object>commentLikeSet=redisService.sMembers(COMMENT_USER_LIKE+userInfo.getId());
        Set<Object>talkLikeSet=redisService.sMembers(TALK_USER_LIKE+userInfo.getId());
        // 获取设备信息
        StringipAddress=IpUtils.getIpAddress(request);
        StringipSource=IpUtils.getIpSource(ipAddress);
        UserAgentuserAgent=IpUtils.getUserAgent(request);
        // 封装权限集合
        returnUserDetailDTO.builder()
                .id(userAuth.getId())
                .loginType(userAuth.getLoginType())
                .userInfoId(userInfo.getId())
                .username(userAuth.getUsername())
                .password(userAuth.getPassword())
                .email(userInfo.getEmail())
                .roleList(roleList)
                .nickname(userInfo.getNickname())
                .avatar(userInfo.getAvatar())
                .intro(userInfo.getIntro())
                .webSite(userInfo.getWebSite())
                .articleLikeSet(articleLikeSet)
                .commentLikeSet(commentLikeSet)
                .talkLikeSet(talkLikeSet)
                .ipAddress(ipAddress)
                .ipSource(ipSource)
                .isDisable(userInfo.getIsDisable())
                .browser(userAgent.getBrowser().getName())
                .os(userAgent.getOperatingSystem().getName())
                .lastLoginTime(LocalDateTime.now(ZoneId.of(SHANGHAI.getZone())))
                .build(); 
    }
}

这里实现了UserDetailsService接口中的loadUserByUsername方法,在执行登录的过程中,这个方法将根据用户名去查找用户,如果用户名不存在,则抛出异常,用户名存在的话,需要封装用户登陆信息并返回。

3.自定义FilterInvocationSecurityMetadataSource

FilterInvocationSecurityMetadataSource有一个默认的实现类DefaultFilterInvocationSecurityMetadataSource,该类的主要功能就是通过当前的请求地址,获取该地址需要的用户角色。可以自己也定义一个FilterInvocationSecurityMetadataSource实现同样的功能

/**
* 接口拦截规则
*/
@Component
publicclassFilterInvocationSecurityMetadataSourceImplimplementsFilterInvocationSecurityMetadataSource {
​
    /**
     * 资源角色列表
     */
    privatestaticList<ResourceRoleDTO>resourceRoleList;
​
    @Autowired
    privateRoleMapperroleMapper;
​
    /**
     * 加载资源角色信息
     */
    @PostConstruct
    privatevoidloadDataSource() {
        resourceRoleList=roleMapper.listResourceRoles();
    }
​
    /**
     * 清空接口角色信息
     */
    publicvoidclearDataSource() {
        resourceRoleList=null;
    }
​
    @Override
    publicCollection<ConfigAttribute>getAttributes(Objectobject) throwsIllegalArgumentException {
        // 修改接口角色关系后重新加载
        if (CollectionUtils.isEmpty(resourceRoleList)) {
            this.loadDataSource();
        }
        FilterInvocationfi= (FilterInvocation) object;
        // 获取用户请求方式
        Stringmethod=fi.getRequest().getMethod();
        // 获取用户请求Url
        Stringurl=fi.getRequest().getRequestURI();
        AntPathMatcherantPathMatcher=newAntPathMatcher();
        // 获取接口角色信息,若为匿名接口则放行,若无对应角色则禁止
        for (ResourceRoleDTOresourceRoleDTO : resourceRoleList) {
            if (antPathMatcher.match(resourceRoleDTO.getUrl(), url) &&resourceRoleDTO.getRequestMethod().equals(method)) {
                List<String>roleList=resourceRoleDTO.getRoleList();
                if (CollectionUtils.isEmpty(roleList)) {
                    returnSecurityConfig.createList("disable");
                }
                returnSecurityConfig.createList(roleList.toArray(newString[]{}));
            }
        }
        returnnull;
    }
​
    @Override
    publicCollection<ConfigAttribute>getAllConfigAttributes() {
        returnnull;
    }
​
    @Override
    publicbooleansupports(Class<?>aClass) {
        returnFilterInvocation.class.isAssignableFrom(aClass);
    }
​
}
​

如果getAttributes(Object o)方法返回null的话,意味着当前这个请求不需要任何角色就能访问,甚至不需要登录。我这个项目中有匿名接口,匿名接口不需要任何角色,可以直接访问。

不是匿名接口的话,将访问接口需要的角色信息封装成Collection<ConfigAttribute>并返回,getAttributes(Object o)方法返回的集合最终会来到AccessDecisionManager类中,接下来我们再来看AccessDecisionManager类

4.自定义AccessDecisionManager

自定义AccessDecisionManagerImpl类实现AccessDecisionManager接口

/**
* 访问决策管理器
*/
@Component
publicclassAccessDecisionManagerImplimplementsAccessDecisionManager {
    @Override
    publicvoiddecide(Authenticationauthentication, Objecto, Collection<ConfigAttribute>collection) throwsAccessDeniedException, InsufficientAuthenticationException {
        // 获取当前登录用户权限列表
        List<String>permissionList=authentication.getAuthorities()
                .stream()
                .map(GrantedAuthority::getAuthority)
                .collect(Collectors.toList());
​
        for (ConfigAttributeitem : collection) {
            if (permissionList.contains(item.getAttribute())) {
                return;
            }
        }
        thrownewAccessDeniedException("没有操作权限");
    }
​
    @Override
    publicbooleansupports(ConfigAttributeconfigAttribute) {
        returntrue;
    }
​
    @Override
    publicbooleansupports(Class<?>aClass) {
        returntrue;
    }
}

这里涉及到一个all和any的问题:假设当前登录用户具备角色A、角色B,当前请求需要角色B、角色C,那么是要当前用户要包含所有请求角色才算授权成功,还是只要包含一个就算授权成功?这里采用了第二种方案,即只要包含一个即可。可根据自己的实际情况调整decide方法中的逻辑。

5.自定义AccessDeniedHandler

/**
* 用户权限处理
*
​
*/
@Component
publicclassAccessDeniedHandlerImplimplementsAccessDeniedHandler {
​
    @Override
    publicvoidhandle(HttpServletRequesthttpServletRequest, HttpServletResponsehttpServletResponse, AccessDeniedExceptione) throwsIOException {
        httpServletResponse.setContentType(APPLICATION_JSON);
        httpServletResponse.getWriter().write(JSON.toJSONString(Result.fail("权限不足")));
    }
​
}

6.配置WebSecurityConfig

/**
* securiy配置类
*
*/
@Configuration
@EnableWebSecurity
publicclassWebSecurityConfigextendsWebSecurityConfigurerAdapter {
​
    @Autowired
    privateAuthenticationSuccessHandlerImplauthenticationSuccessHandler;
    @Autowired
    privateAuthenticationFailHandlerImplauthenticationFailHandler;
    @Autowired
    privateLogoutSuccessHandlerImpllogoutSuccessHandler;
    @Autowired
    privateAuthenticationEntryPointImplauthenticationEntryPoint;
    @Autowired
    privateAccessDeniedHandleraccessDeniedHandler;
​
    @Bean
    publicFilterInvocationSecurityMetadataSourcesecurityMetadataSource(){
        returnnewFilterInvocationSecurityMetadataSourceImpl();
    }
    @Bean
    publicAccessDecisionManageraccessDecisionManager(){
        returnnewAccessDecisionManagerImpl();
    }
    @Bean
    publicSessionRegistrysessionRegistry() {
        returnnewSessionRegistryImpl();
    }
​
    //防止用户重复登录
    @Bean
    publicHttpSessionEventPublisherhttpSessionEventPublisher() {
        returnnewHttpSessionEventPublisher();
    }
    /**
     * 密码加密
     *
     * @return {@link PasswordEncoder} 加密方式
     */
    @Bean
    publicPasswordEncoderpasswordEncoder() {
        returnnewBCryptPasswordEncoder();
    }
​
    /**
     * 配置权限
     * @param http
     * @throws Exception
     */
    @Override
    protectedvoidconfigure(HttpSecurityhttp) throwsException {
        //配置登录注销的路径
        http.formLogin()
                .loginProcessingUrl("/login")
                .successHandler(authenticationSuccessHandler)
                .failureHandler(authenticationFailHandler)
                .and()
                .logout()
                .logoutUrl("/logout")
                .logoutSuccessHandler(logoutSuccessHandler);
​
        // 配置路由权限信息
        http.authorizeRequests()
        /*
        配置路由权限信息
        通过withObjectPostProcessor将刚刚创建的FilterInvocationSecurityMetadataSourceImpl
        和AccessDecisionManagerImpl注入进来。到时候,请求都会经过刚才的过滤器(
        除了configure(WebSecurity web)方法忽略的请求)
         */
                .withObjectPostProcessor(newObjectPostProcessor<FilterSecurityInterceptor>() {
                    @Override
                    public<OextendsFilterSecurityInterceptor>OpostProcess(Ofsi) {
                        fsi.setSecurityMetadataSource(securityMetadataSource());
                        fsi.setAccessDecisionManager(accessDecisionManager());
                        returnfsi;
                    }
                })
            
                //这里permitAll一定要加,否则启动会报错
                .anyRequest().permitAll()
                .and()
                .csrf().disable().exceptionHandling()
                //未登录处理
                .authenticationEntryPoint(authenticationEntryPoint)
                //权限不足处理
                .accessDeniedHandler(accessDeniedHandler)
                .and()
                .sessionManagement()
                .maximumSessions(20)
                .sessionRegistry(sessionRegistry());
    }
}

你的朋友圈y
关注
专栏目录
SpringBoot整合框架——集成SpringSecurity、shiro
m0_61506558的博客
11-04 699
Spring Security 是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型,他可以实现强大的Web安全控制,对于安全控制,我们仅需要引入spring-boot-starter-security 模块,进行少量的配置,即可实现强大的安全管理WebSecurityConfigurerAdapter:自定义Security策略AuthenticationManagerBuilder:自定义认证策略。
【全网最细致】SpringBoot整合Spring Security + JWT实现用户认证
m0_67392182的博客
07-29 1467
token是无状态的,后端不需要记录信息,每次请求过来进行解密就能得到对应信息。session是有状态的,需要后端每次去检索id的有效性。不同的session都需要进行保存,但也可以设置单点登录,减少保存的数据。session与token的选择是空间与时间博弈,为什么这么说呢,是因为token不需要保存,不占存储空间,但每次访问都需要进行解密,消耗了一定的时间。在一般的前后端分离项目中,token展现出了它的优势,成为了比session更好的选择userlist')")});}...
springBoot中实现权限管理分配菜单
weixin_48122970的博客
08-13 696
在开发过程中根据不同的角色会分配不同的功能,比如管理者有编辑其他用户的功能,而普通用户没有。用于描述role中的id与permission表中的id,有对应的即有该功能。角色表,用户名角色名称以及对应的id ,其中flag为唯一。主要要有role字段用于描述用户角色。
SpringBoot 权限控制(菜单控制,页面元素控制,url控制)
04-13
基于RBAC思想的权限控制,可先建立完整的库,也可以使用使用代码生成,包中提供两种方式, 代码先后顺序 菜单控制----》元素控制-------》url控制
java+springboot权限的设计(用户、角色、权限)和前端如何渲染用户所对应的权限菜单
最新发布
skarv的博客
09-03 1098
帮助理解权限(用户、角色、权限菜单)的设计和前端如何渲染对应的权限菜单
SpringBoot整合SpringSecurity实现权限控制(六):菜单管理
我的博客
10-22 8079
系列文章目录 《SpringBoot整合SpringSecurity实现权限控制(一):实现原理》 《SpringBoot整合SpringSecurity实现权限控制(二):权限数据基本模型设计》 《SpringBoot整合SpringSecurity实现权限控制(三):前端动态装载路由与菜单》 《SpringBoot整合SpringSecurity实现权限控制(四):角色管理》 《SpringBoot整合SpringSecurity实现权限控制(五):用户管理》 本文目录一、前言二、需求分析三、后端
springboot 菜单权限控制 入门级 -2
m0_48917083的博客
01-03 638
菜单→前端的路由、菜单、按钮等目的:不同角色要不同的路由和菜单菜单表menu_idmenu_nameparent_id 父级idiconpath_namecomponentpathmenu_type整个映射表 menu_id role_id根据用户-角色查询菜单就完成了sql怎么写:文心一言我就知道。
微服务springBoot,AOP实现菜单管理权限(附表结构)
DDDM456的博客
08-23 528
重点:菜单权限管理这里作者使用的是五张表:用户表,角色表,菜单表,用户角色表,角色菜单表,每个用户必须有角色,每个角色必须有菜单权限
SpringBoot 集成 Spring Security
JavaShark的博客
07-08 3275
正在上传…重新上传取消Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它实际上是保护基于spring的应用程序的标准。Spring Security是一个框架,侧重于为Java应用程序提供身份验证和授权。与所有Spring项目一样,Spring安全性的真正强大之处在于它可以轻松地扩展以满足定制需求从官网的介绍中可以知道这是一个权限框架。想我们之前做项目是没有使用框架是怎么控制权限的?对于权限 一般会细分为功能权限,访问权限,和菜单权限。代码会写的非常的繁琐,冗余。怎么解决之
springboot+spring security+JWT+mybatisplus
10-08
本项目以"springboot+spring security+JWT+mybatisplus"为核心技术栈,旨在提供一个完整的解决方案,涵盖了用户认证、权限管理、日志记录以及数据库操作等多个重要环节。下面将详细阐述这些技术及其在项目中的应用。...
一个炫酷的 springboot 后台模板,有菜单权限,用户 管理的基本功能
09-21
一个后台管理系统,包含有菜单管理,比如新增、删除、修改菜单,同理有权限,用户多角色管理,多样报表,饼图,线形图,柱形图等 ,还有登录校验,当天登录次数过多限制,ip登录过多限制。等基本功能。后续可根据业务需求扩展。
springboot+权限管理系统 shiro + ssm实现 实现菜单,自用
07-09
权限管理系统 shiro + ssm实现,实现菜单,有学习的可以下载哦!项目基于jdk1.8整合了springboot+mvc+mybatis(通用mapper)+druid+jsp+bootstrap等技术,springboot+Listener(监听器),Filter(过滤器),Interceptor(拦截器),Servlet,springmvc静态资源,文件上传下载,多数据源切换,缓存,quartz定时任务(没有具体业务实现)等技术点都在项目中实现了,可谓是麻雀虽小五脏俱全!项目也整合了redis做缓存,把pom.xml中spring-boot-starter-data-redis和com.xe.demo.common.support.redis包下的注释去掉,
springboot+springmvc+mybatis+layui实现登录用户菜单权限管理好例子
08-25
作为中小项目的框架或脚手架非常好用的,有后台用户菜单管理权限认证等基本功能,都、齐全。
Spring Boot权限管理(最终)
08-17
Spring Boot权限管理
基于springboot的后台权限管理系统
05-25
该后台管理系统,基于springboot开发,使用freemarker模板引擎,页面使用easyUI,bootstrap等前段框架,数据库使用mysql
【系统权限管理】SpringSecurity实现动态权限菜单控制
热门推荐
小马同学
03-18 2万+
目录 SpringSecurity实现完整的权限管理 使用技术 相关概念 数据库表设计 项目结构 相关依赖 功能部分 效果展示 案例代码下载 SpringSecurity实现完整动态权限菜单 在实际开发中,开发任何一套系统,基本都少不了权限管理这一块。这些足以说明权限管理的重要性。其实SpringSecurity去年就学了,一直没有时间整理,用了一年多时间了,给我的印象一直都...
Spring-Security笔记4 用户和权限
杨毅的专栏
03-01 877
建立好了spring-security中提供的数据库表,就可以基于这些表进行用户和权限的管理。目前主要用到了5张表SYS_USERS  用户管理表SYS_ROLES  角色管理表SYS_AUTHORITIES权限管理表SYS_USERS_ROLES用户角色表SYS_ROLES_AUTHORITIES角色权限表要实现使用数据库管理用户,需要自定义用户登录功能Spring已经为我们提供了接口UserD...
SpringBoot+VUE前后端分离项目学习笔记 - 【23 权限菜单 续】
一只菜鸟夹
01-16 885
修复了前端几个BUG; 新增了用户修改密码功能【后端新加UserPasswordDTO实体类,在UserController编写接口,储存新旧密码到UserPasswordDTO,同时修改UserDTO记录的密码】
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值