spring boot 权限管理的几种方式

最新推荐文章于 2024-06-07 07:46:26 发布
最新推荐文章于 2024-06-07 07:46:26 发布
阅读量4.8k 收藏 23
点赞数 1
文章标签: spring boot java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/orton777/article/details/130906788
版权

Spring Boot 提供了多种权限管理方式,以下是几种常见的方法,以及相应的示例:

  1. 基于角色的访问控制(Role-Based Access Control,RBAC)

在基于角色的访问控制中,权限分配给角色,然后将角色分配给用户。这种方法简化了权限管理,因为您只需要管理角色和用户之间的关系。

示例:使用 Spring Security 实现 RBAC

1.1. 添加 Spring Security 依赖项到 pom.xml

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

1.2. 创建一个 SecurityConfig 类,继承 WebSecurityConfigurerAdapter,并配置角色和权限:

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
            .antMatchers("/admin/**").hasRole("ADMIN")
            .antMatchers("/user/**").hasAnyRole("ADMIN", "USER")
            .antMatchers("/").permitAll()
            .and().formLogin();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
            .withUser("admin").password(passwordEncoder().encode("admin123")).roles("ADMIN")
            .and()
            .withUser("user").password(passwordEncoder().encode("user123")).roles("USER");
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
}
  1. 基于属性的访问控制(Attribute-Based Access Control,ABAC)

在基于属性的访问控制中,权限是基于用户、资源和环境属性的。这种方法提供了更细粒度的权限控制,但可能更难管理。

示例:使用 Spring Security 的 @PreAuthorize 实现 ABAC

2.1. 在 SecurityConfig 类中启用方法安全性:

@EnableGlobalMethodSecurity(prePostEnabled = true)

2.2. 在需要保护的方法上添加 @PreAuthorize 注解:

@RestController
@RequestMapping("/api")
public class ApiController {

    @PreAuthorize("hasRole('ADMIN')")
    @GetMapping("/admin")
    public String admin() {
        return "Admin area";
    }

    @PreAuthorize("hasRole('USER')")
    @GetMapping("/user")
    public String user() {
        return "User area";
    }
}
  1. 基于访问控制列表(Access Control List,ACL)

在基于访问控制列表的权限管理中,为每个资源定义一个访问控制列表,指定哪些用户或角色可以访问该资源。这种方法适用于需要对每个资源进行细粒度控制的场景。

示例:使用 Spring Security 的 ACL 模块实现 ACL

3.1. 添加 Spring Security ACL 依赖项到 pom.xml

<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-acl</artifactId>
    <version>5.6.1</version>
</dependency>

3.2. 配置 ACL 数据源、服务和权限评估器:

@Configuration
public class AclConfig {

    @Autowired
    private DataSource dataSource;

    @Bean
    public JdbcMutableAclService aclService() {
        return new JdbcMutableAclService(dataSource, lookupStrategy(), aclCache());
    }

    @Bean
    public AclAuthorizationStrategy aclAuthorizationStrategy() {
        return new AclAuthorizationStrategyImpl(new SimpleGrantedAuthority("ROLE_ADMIN"));
    }

    @Bean
    public PermissionGrantingStrategy permissionGrantingStrategy() {
        return new DefaultPermissionGrantingStrategy(new ConsoleAuditLogger());
    }

    @Bean
    public EhCacheBasedAclCache aclCache() {
        return new EhCacheBasedAclCache(ehCacheFactoryBean().getObject(), permissionGrantingStrategy(), aclAuthorizationStrategy());
    }

    @Bean
    public EhCacheFactoryBean ehCacheFactoryBean() {
        EhCacheFactoryBean factoryBean = new EhCacheFactoryBean();
        factoryBean.setCacheManager(cacheManager().getObject());
        factoryBean.setCacheName("aclCache");
        return factoryBean;
    }

    @Bean
    public EhCacheManagerFactoryBean cacheManager() {
        return new EhCacheManagerFactoryBean();
    }

    @Bean
    public LookupStrategy lookupStrategy() {
        return new BasicLookupStrategy(dataSource, aclCache(), aclAuthorizationStrategy(), new ConsoleAuditLogger());
    }

    @Bean
    public AclPermissionEvaluator permissionEvaluator() {
        return new AclPermissionEvaluator(aclService());
    }
}

3.3. 在需要保护的方法上添加 @PreAuthorize 注解,使用 hasPermission 表达式:

@PreAuthorize("hasPermission(#resourceId, 'com.example.Resource', 'read')")
@GetMapping("/resource/{resourceId}")
public String getResource(@PathVariable Long resourceId) {
    return "Resource " + resourceId;
}

这些示例仅用于演示 Spring Boot 中权限管理的几种方式。实际应用中,您可能需要根据项目需求进行更详细的配置和实现。

orton777
关注
  • 1
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
spring boot注解实现权限控制
大圣即大盗
12-25 3712
1、自定义注解 Target(ElementType.METHOD) @Retention(RetentionPolicy.RUNTIME) @Documented public @interface RoleCheck { String[] roles() default {}; } 2、注解的实现 @Service public class RoleCheckInterceptor ...
一个基于SpringBoot 2 的管理后台系统,包含了用户管理,组织机构管理,角色管理,功能点管理,菜单管理,权限分配,数据权
12-13
一个基于SpringBoot 2 的管理后台系统,包含了用户管理,组织机构管理,角色管理,功能点管理,菜单管理,权限分配,数据权限分配,代码生成等功能。前端采用了Layui2。数据库以MySQL为实例,理论上是跨数据库平台.
【系统权限管理SpringSecurity实现动态权限菜单控制
小马同学
03-18 2万+
目录 SpringSecurity实现完整的权限管理 使用技术 相关概念 数据库表设计 项目结构 相关依赖 功能部分 效果展示 案例代码下载 SpringSecurity实现完整动态权限菜单 在实际开发中,开发任何一套系统,基本都少不了权限管理这一块。这些足以说明权限管理的重要性。其实SpringSecurity去年就学了,一直没有时间整理,用了一年多时间了,给我的印象一直都...
SpringBoot整合系列】SpringBoot整合Shiro——权限控制
低调做人,低调编码,神码都是浮云
04-12 1198
SpringBoot整合Shiro权限控制
SpringBoot整合SpringScurity权限控制(菜单权限,按钮权限)以及加上SSH实现安全传输
最新发布
dzqxwzoe的博客
06-07 919
如果你在设计一个需要存储用户密码的系统,强烈建议使用 bcrypt、PBKDF2 或 Argon2 而不是MD5。这些现代算法提供了更高级别的安全保障,可以帮助你的系统抵御当前的威胁,如暴力破解和彩虹表攻击。选择正确的密码存储策略是保护用户数据安全的关键一步。
SpringBoot:SpEL让复杂权限控制变得很简单!
犬小哈
11-12 139
来源:juejin.cn/post/7226674759626571833???? 欢迎加入小哈的星球,你将获得:专属的项目实战/ Java 学习路线 / 一对一提问 / 学习打卡/赠书福利目前, 正在星球内部带小伙伴做第一个项目:全栈前后端分离博客,手摸手,后端 + 前端全栈开发,从 0 到 1 讲解每个功能点开发步骤,1v1 答疑,直到项目上线。目前已更新了141小节,累计21w+字,讲解图:9...
基于角色的权限管理系统(RBAC),采用Springboot开发
11-21
基于角色的权限管理系统(RBAC),采用Springboot开发。系统简单易懂,前端使用Vuejs、Quasarframework开发,页面简洁美观
spring boot 全套示例框架源码 几十套
06-24
Spring Boot项目中,Shiro 可以作为安全层,负责用户的登录验证、权限控制和会话管理,使得系统安全得到保障。 3. **Redis**:Redis 是一个高性能的键值存储系统,常被用来做缓存和消息中间件。在Spring Boot中,...
spring-boot-plus V1.4.0发布 集成用户角色权限部门管理(推荐)
08-25
Spring Boot Plus V1.4.0:集成用户角色权限及部门管理】 Spring Boot Plus V1.4.0 是一个基于 Spring Boot 的扩展框架,它着重于集成用户角色权限管理和部门管理功能,使得开发者能够更方便地构建具备权限控制的...
spring boot MVC
05-18
在"spring boot 携带token登录,token拦截器,增删改查功能"这个描述中,我们可以深入探讨几个关键知识点。 1. **JWT(JSON Web Tokens)登录**: JSON Web Tokens (JWT) 是一种轻量级的身份验证机制,用于在...
基于springboot+springSecurity+jwt实现的基于token的权限管理+源代码+文档
03-12
本项目基于Spring BootSpring Security和JWT(JSON Web Tokens)技术,提供了一种实现基于token的权限管理解决方案。下面将详细阐述这些技术及其在该项目中的应用。 首先,Spring BootSpring框架的一个扩展,它...
SpringBoot+Spring Security+JWT实现RESTful Api权限控制的方法
08-26
主要介绍了SpringBoot+Spring Security+JWT实现RESTful Api权限控制的方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Spring Boot中使用 Spring Security 构建权限系统的示例代码
08-29
Spring Boot中使用Spring Security构建权限系统的示例代码 在本篇文章中,我们将主要介绍如何使用Spring Security框架在Spring Boot项目中构建权限系统。权限控制是非常常见的功能,在各种后台管理系统中权限控制更...
Spring Boot实践:Web、数据访问与权限管理的深度整合
沐雨风栉
05-27 989
Java开发环境中,Spring Boot是一个领军的框架,特别是当我们讨论创建快速、可读和生产级别的应用程序时。下面,我们会深入研究Spring Boot如何与Web开发,数据访问以及权限控制进行整合。
【业务功能篇59】Springboot + Spring Security 权限管理 【下篇】
studyday1的博客
07-29 1127
我们需要自定义一个登陆接口,并让SpringSecurity不要对该接口进行登录验证,以允许未登录用户访问。在该接口中,我们使用AuthenticationManager的authenticate方法进行用户认证,需要在SecurityConfig中配置将AuthenticationManager注入到容器中。如果认证成功,则需要生成一个jwt并将其放入响应中返回。为了让用户在下次请求时能够通过jwt识别出具体的用户,我们需要将用户信息存储在redis中,可以将用户id作为key。
SpringBoot权限校验AOP
m0_54028344的博客
05-30 383
aop权限校验
Spring Boot实现简单的用户权限管理(超详细版)
热门推荐
Veggie的博客
08-06 6万+
为了避免浪费时间进行不必要的阅读,这里先对项目进行简单的介绍。在实际应用场景中,每个用户都有对应的角色,而每个角色又有对应的一些角色。因为一个用户可以有多个角色,一个角色也可以被多个用户所拥有,角色和权限的关系也同理,这里主要利用多对多的映射关系将他们联系起来,对他们进行管理。 ...
SpringBoot 整合 Shiro 权限框架
qq_54429571的博客
11-23 878
SpringBoot 整合 Shiro 权限框架:Shiro概述、功能及架构、环境搭建登录、退出、授权、角色认证实现、多个 realm 的认证策略设置、会话管理等。
大家心心念念的权限管理功能,这次安排上了!
macrozheng的专栏
02-18 6657
mall项目的权限管理功能发布啦!权限管理作为后台管理系统的必要功能,mall项目之前的权限管理并不完善。最近我对原先的权限管理进行了重新设计,打造了一套切实可用的权限管理功能。功能清单...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值