SpringSecurity----------基于数据库的授权流程

最新推荐文章于 2024-08-30 18:40:43 发布
最新推荐文章于 2024-08-30 18:40:43 发布
阅读量570 收藏 9
点赞数 11
文章标签: java 前端 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73179389/article/details/138046081
版权
本文介绍了基于角色的访问控制(RBAC)在SpringSecurity中的应用,重点讲解了如何通过UserDetailsService实现用户身份认证和权限管理,以及如何在自定义的UmsSysUser实体类中存储和获取权限信息。
摘要由CSDN通过智能技术生成

一. RABC介绍

        RBAC【Role-based access control】,增加了角色的概念,即基于角色的访问控制,将权限分配给角 色,再将角色分配给用户。简单来说,就是【用户关联角色,角色关联权限】。

RBAC遵循三条安全原则:

        最小权限原则:给角色配置最小但能满足使用需求的权限。

        责任分离原则:给比较重要或者敏感的事件设置不同的角色,不同的角色间是相互约束的,由其一 同参与完成。

        数据抽象原则:每个角色都只能访问其需要的数据,而不是全部数据,不同的角色能访问到的数据 也不同。

二、SpringSecurity 权限认证

        SpringSecurity要求将身份认证信息存到GrantedAuthority对象列表中。代表了当前用户的权限。 GrantedAuthority对象由AuthenticationManager插入到Authentication对象中,然后在做出授权决策 时由AccessDecisionManager实例读取。

        可以看到UserDetails中有个Collection<? extends GrantedAuthority> 方法,权限列表就是放在这个集合里面的;一个用户的权限是在用户登录的时候,获取用户的所有权限(具体逻辑代码可以通过自定义Service,实现UserDetailsService接口,并且实现loadUserByUsername方法,在这个方法里面通过查询数据库来获取用户的授权信息)。

        自定义的实体类应该是怎样的??

@Data
@TableName("ums_sys_user")
public class UmsSysUser implements Serializable, UserDetails {

    @TableId
    private Long id;
    private String username;
    private String nickname;
    private String email;
    private Integer sex;
    private String avatar;
    private String password;
    private Integer status;
    private Long creator;
    private Long updater;
    private LocalDateTime createTime;
    private LocalDateTime updateTime;
    @TableLogic
    private Integer deleted;
    private String remark;

    //角色信息
    private Set<UmsRole> roleSet = new HashSet<>();

    //授权信息
    private Set<String> perms = new HashSet<>();

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        //将权限告知给SpringSecurity.通过lambda表达式将String转成set<G>
        if(perms != null && perms.size() > 0){
            //返回权限信息 set类型
            return perms.stream().map(SimpleGrantedAuthority::new).collect(Collectors.toSet());
        }
        return null;
    }


    @Override
    public String getPassword() {
        return password;
    }

    @Override
    public String getUsername() {
        return username;
    }

    @Override
    public boolean isAccountNonExpired() {
        return status == 0;
    }

    @Override
    public boolean isAccountNonLocked() {
        return status == 0;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return status == 0;
    }

    @Override
    public boolean isEnabled() {
        return status == 0;
    }
}

实现UserDetails 接口,重写getAuthorities方法,可以加上一个属性,作为存放权限的容器,获取的时候直接返回这个集合即可,在loadUserByUsername中就可以这样写:

@Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

        log.info("loadUserByUsername ==== > {}",username);
        //1.查询角色信息
        UmsSysUser umsSysUser = umsSysUserMapper.selectUserByUsername(username);
        //2.查询权限信息
        if(umsSysUser != null){

            //角色集合
            Set<UmsRole> roleSet = umsSysUser.getRoleSet();

            //角色ID集合
            HashSet<Long> roleIdSet = new HashSet<>(roleSet.size());

            //获取用户的权限列表
            for (UmsRole umsRole : roleSet) {
                roleIdSet.add(umsRole.getRoleId());
            }

            // 用户权限列表
            Set<String> perms = umsSysUser.getPerms();

            //权限查询
            Set<UmsMenu> umsMenus = menuMapper.selectMenuByRoleId(roleIdSet);

            //把权限都放到perms集合中去。
            for (UmsMenu umsMenu : umsMenus) {
                perms.add(umsMenu.getPerms());
            }
            log.info("有权限 ========> {}",umsSysUser);
        }
        //返回一个用户信息,里面包括角色信息和权限信息。
        return umsSysUser;
    }

鱼虾一整碗•
关注
  • 11
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
spring-security-demo.zip
08-10
- 可以配置Spring Security显示自定义的未授权(403)和未找到(404)页面,以提供更好的用户体验。 8. **OAuth2整合**: - Spring Security也支持OAuth2,可以用来实现社交登录(如Facebook、Google)或其他服务...
security-enterprise-FrontBackSplit_2.3.0.zip
04-12
3. **库和依赖**:包括各种安全相关的库和依赖,如Spring Security、OAuth2、JWT(JSON Web Tokens)等,用于实现身份验证和授权。 4. **文档**:提供详细的安装指南、API参考、使用示例等,帮助开发者理解和使用这...
Spring Security——07,授权_从数据库查询权限信息
weixin_42858422的博客
04-07 531
RBAC权限模型(Role-Based Access Control)即:基于角色的权限控制。有一个插件,插件的名称叫做MybatisX,它可以在我们写完MenuMapper后,帮我们生产对应的XML文件,还有方法所对应的标签。因为redis存放的是旧的,不是最新的。便于理解,前面的权限都是写死的,从这里开始是查询数据库的。登录成功之后,访问hello接口,返回的是403。sys_role_menu 角色权限关联表。sys_user_role用户角色表。sys_role 角色表。sys_user用户表。
Spring security授权
ChatYU的博客
12-23 3066
基于角色的授权:以用户所属角色为基础进行授权,如管理员、普通用户等,通过为用户分配角色来控制其对资源的访问权限。基于资源的授权:以资源为基础进行授权,如 URL、方法等,通过定义资源所需的权限,来控制对该资源的访问权限Spring Security 提供了多种实现授权的机制,最常用的是使用基于注解的方式,建立起访问资源和权限之间的映射关系。其中最常用的两个注解是@Secured和。@Secured注解是更早的注解,基于角色的授权比较适用,基于SpEL。
AOP+JWT+RABC快速实现权限认证
`or 1 or 不正经の泡泡
03-24 1017
权限验证,是我们一个系统设计当中,经常会遇到的问题,常见的框架当然有Shiro,SpringSecurity 等等。但是有个问题,不论是那个框架都有一定的学习成本,同时在当前Result Api 风格的加持之下,这些框架虽然很优秀,但是我们使用到的功能往往只是其中冰山一角。尤其是当我们需要为我们的服务做更加个性化的操作,定制的时候,往往涉及到的改动就比较大。所以,今天咱们就来直接使用到我们的Spring AOP 来快速实现我们的权限认证操作。当然也是一个月没有水文章了,在这里冒个泡泡~
SpringSecurity权限管理
weixin_73412838的博客
01-07 1312
这个拓展点是整个SpringSecurity的核心部分;在实际开发过程中,最常规的方式是通过覆盖WebSecurityConfigurerAdapter中的protected void configure(HttpSecurity http)方法;通过Http来配置自定义的拦截规则,包含访问控制、界面及逻辑、退出页面及逻辑等;自定义登录http.loginPage()方法配置登录页,http.loginProcesingUrl()方法定制登录逻辑;
springsecurity权限验证的时候 出现了 SimpleGrantedAuthority无法序列化报空指针的问题
weixin_45699541的博客
07-30 1477
在做springsecurity权限验证的时候出现了SimpleGrantedAuthority无法序列化报空指针的问题。但从redis中取出authorityList的时候无法取出里面的数据。我的工具是Stringredistemplate。
spring-boot-2.4.0.zip
04-21
10. **安全**:SpringBoot 提供了 "spring-boot-starter-security",使得添加基本的安全性变得简单,如身份验证和授权。 在描述中提到的“如果不能免费下载”,意味着 SpringBoot 的资源通常是公开且免费提供的,但...
camunda-bpm-spring-boot-starter:Camunda BPM已启动!
01-30
8. **安全性**:Spring Security可以与Camunda集成,以保护流程操作,确保只有授权用户才能访问和修改流程实例。 9. **测试**:Camunda提供了测试框架,可以帮助开发者编写单元测试和集成测试,确保流程的正确执行...
spring-security-web-extensions:Spring Security Web的扩展
04-29
1. **配置扩展**:这个项目可能包含定制的Spring Security配置,如`WebSecurityConfigurerAdapter`的子类,用于配置OAuth2或JWT的认证和授权流程。开发者可能会定义自己的`TokenEndpoint`,处理令牌的请求和刷新。 ...
设计实战——基于RBAC的功能权限设计思考
学海无涯,行者无疆
01-09 1614
关于功能权限的控制,使用RBAC可以很好地解决,网上有大量的理论性介绍,但落地过程中,仍然有一些具体的问题,需要结合自己平台或系统的规模、面向场景选择最合适的方案,从而形成最优的设计。下面我结合自己研发平台的经验,具体说一说。
RBAC基础理解
osillto的博客
07-13 544
RABC简单来说就是角色来进行的权限控制,首先基本的RBAC模型要分为用户、角色和权限,关系如下: 因为角色和用户是多对多关系,所以用户和角色通过关联表关联,角色和权限也是多对多的关系,所以角色和权限也用关联表关联。这样就形成了一个基础模型:用户拥有角色,角色拥有权限。 整体的运行流程大致分为以下几步,第一步用户登陆账号,后台查询角色情况。第二步用户选择账号角色登陆,后台根据权限列表回显用户的权限并生成菜单。第三步,当用户访问后台方法时,先根据权限字符串对其是否拥有这个权限进行判断,如果有则继续执.
搭建 rabc 后台系列教程(三)—— rbac 详细操作 [ 2.0 版本 ]
薛其海的博客
04-27 1862
Toggle navigation lulublog YiiPHPMysqlHtmlJSOther关于我 注册登录 搭建 rbac 后台系列教程(三)—— rbac 详细操作 2016-07-25鲁鲁槟 1 1、下载 left.php 覆盖 backend/views/layouts/left.php
SpringBoot整合Springsecurity实现数据库登录以及权限控制
热门推荐
qq_39620552的博客
10-16 4万+
我们今天使用SpringBoot来整合SpringSecurity,来吧,不多BB 首先呢,是一个SpringBoot 项目,连接数据库,这里我使用的是mybaties.mysql, 下面是数据库的表 DROP TABLE IF EXISTS `xy_role`; CREATE TABLE `xy_role` ( `xyr_id` int(11) NOT NULL AUTO_INCRE...
spring security (三) 数据库认证,获取用户权限和url地址
mylove10086
05-14 1万+
通过一和二已经完成了用户的认证和授权,但是用户权限和url都是写在配置类SecurityConfig.java中的。这次我们把这些内容到放在数据库中,在系统启动时从数据库中获取。配置自定义的用户服务    spring security大体上是由一堆Filter(所以才能在spring mvc前拦截请求)实现的,Filter有几个,登出Filter(LogoutFilter),用户名密码验证Fil...
rabc java 程序实例_RBAC权限管理系统
weixin_36104484的博客
02-21 351
系统采用当今流行的JSP技术,采用MVC三层架构模式,使用Mysql数据库,使用Eclipse工具、Myeclipse插件进行开发。主要实现了应用系统的用户管理,角色管理,模块管理,功能管理,角色控制,功能控制和权限控制访问等功能,基本上满足了基于角色的权限管理的所有要求。不同的用户拥有不同的角色,不同的模块也拥有不同的功能,当每个用户以自己的用户名和密码登陆到系统中时,系统首先会判断本个用户拥有...
Java基础(6)- Java代码笔记3
最新发布
weixin_47062560的博客
08-30 477
数据类型[][] 数组名 = new 数据类型[m][n]数据类型 数组名[][] = new 数据类型[m][n]数据类型[] 数组名[] = new 数据类型[m][n]m:代表二维数组长度n:代表二维数组中每个一维数组的长度。
启动Application 报错:no mapping for GET /(已解决)
qq_3512323979的博客
08-26 5855
no mapping for GET /因为我使用的是框架嘛,然后生成了一个SpringBoot项目后,resources下面就会有一个static的类,用于存放静态资源类,后面我把静态资源放在里面,但是启动启动类后,报错一直匹配不到。: 正常的话,我们使用SpringBoot框架,他会给我们提供许多便利,包括静态资源的自动服务,默认的话,他会去。报这个错可能还有其他原因,我的是因为这个,大家可以根据日志信息一步步检查,肯定可以解决的!类并覆盖其方法时,就会失去静态资源的自动服务
[C++规范] 访问类成员变量的方式:直接访问还是通过成员函数访问
Loewen丶的小窝
08-26 6165
在面向对象编程(OOP)中,通过成员函数(如`ME_HardwareTypeEnum Type() const;` 和 `int Id() const;`)来访问类的私有或受保护成员(如`m_hardwareType` 和 `m_id`),而不是直接通过公共成员访问,是一种更好的做法。
AG-Admin:Spring Cloud微服务框架实战指南
- **统一认证与授权**:基于Spring Security或Oauth2实现用户身份验证和权限控制。 - **API网关管理**:通过Zuul或Spring Cloud Gateway对所有服务请求进行集中路由、过滤和安全控制。 - **资源权限管理**:对...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值