springsecurity最基础的授权过程

最新推荐文章于 2024-06-23 11:39:51 发布
最新推荐文章于 2024-06-23 11:39:51 发布
阅读量212 收藏
点赞数
分类专栏: springsecurity 文章标签: java 数据库 redis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/please93/article/details/129082455
版权

在这里插入图片描述
​ 在SpringSecurity中,会使用默认的FilterSecurityInterceptor来进行权限校验。在FilterSecurityInterceptor中会从SecurityContextHolder获取其中的Authentication,然后获取其中的权限信息。当前用户是否拥有访问当前资源所需的权限。

​ 所以我们在项目中只需要把当前登录用户的权限信息也存Authentication,然后设置我们的资源所需要的权限即可。

想开启授权,首先SecurityConfig配置类上加上该条注释

@EnableGlobalMethodSecurity(prePostEnabled = true)

然后在需要控制的接口上加入注释

//参数就为自己像设置的权限
    @PreAuthorize("hasAuthority('test')")

我们靠最开始实现 UserDetailsLoginUser类中实现的方法返回权限

@Data
@NoArgsConstructor
public class LoginUser implements UserDetails {

   private User user;

   //重写的UserDetailsServiceImpl中不仅要返回用户基本信息,还要返回权限信息
   private List<String> permissions;

   @JSONField(serialize = false)  //SimpleGrantedAuthority是由spring管理,我们会把LoginUser存入redis中,则redis不会序列化SimpleGrantedAuthority
                                  //则我们不把该对象存入到redis中,则加入该注释
   private List<SimpleGrantedAuthority> authorities;

   public LoginUser(User user,List<String> permissions){
       this.user = user;
       this.permissions = permissions;
   }

   //springSecurity中权限信息是通过重写该方法传递出去
   @Override
   public Collection<? extends GrantedAuthority> getAuthorities() {
       //已进入就有权限信息,则不需要再去数据库访问一次了
       if(authorities!=null){
           return  authorities;
       }
       //把permission中String类型的权限信息封装成SimpleGrantedAuthority对象
       authorities = new ArrayList<>();
       for(String permission : permissions){
           SimpleGrantedAuthority authority = new SimpleGrantedAuthority(permission);
           authorities.add(authority);
       }
       return authorities;
   }

   @Override
   public String getPassword() {
       return user.getPassword();
   }

   @Override
   public String getUsername() {
       return user.getUserName();
   }

   @Override
   public boolean isAccountNonExpired() {
       return true;
   }

   @Override
   public boolean isAccountNonLocked() {
       return true;
   }

   @Override
   public boolean isCredentialsNonExpired() {
       return true;
   }

   @Override
   public boolean isEnabled() {
       return true;
   }
}

然后在从数据库那用户数据的地方再拿权限信息即可(该代码中只是随便给了一个list,没有从数据库中拿值)

@Service
public class UserDetailsServiceImpl implements UserDetailsService {
   @Autowired
   private UserMapper userMapper;

   @Override
   public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

       LambdaQueryWrapper<User> queryWrapper = new LambdaQueryWrapper<>();
       queryWrapper.eq(User::getUserName,username);
       User user =userMapper.selectOne(queryWrapper);
       if(Objects.isNull(user)){
           throw new RuntimeException("用户名或者密码错误");
       }

       //todo 封装权限信息
       List<String> list = new ArrayList<>(Arrays.asList("test","admin"));

       //数据返回UserDetails类型,把数据封装成UserDetails类型 但UserDetails是接口,则利用一个UserDetails的实现类,我们自己写一个实现类去实现该接口就行,重写里面的方法
       return new LoginUser(user,list);

   }
}
小嘚
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security OAuth2 授权码模式的实现
08-18
Spring Security OAuth2 授权码模式的基本结构主要由三个部分组成:authorization-code-authorization-server、authorization-code-resource-server 和 authorization-code-client。authorization-code-...
SpringSecurity整合Jwt过程图解
08-25
其中,spring-boot-starter-security提供了SpringSecurity的基本功能,spring-boot-starter-web提供了Web应用程序的基本功能,而jjwt提供了Jwt的生成和验证功能。 二、相关配置和代码 2.1)实现Jwt的关键是两个...
3.spring security授权流程
weixin_45974277的博客
02-26 3742
Spring Security授权流程如下: 分析授权流程: 1. 拦截请求,已认证用户访问受保护的web资源将被SecurityFilterChain中的 FilterSecurityInterceptor 的子类拦截。 2. 获取资源访问策略,FilterSecurityInterceptor会从 SecurityMetadataSource 的子类 DefaultFilterInvocationSecurityMetadataSource 获取要访问当前资源所需要的权限 Collection.
Spring security授权过程
weixin_42588555的博客
02-14 268
Spring Security 授权过程包括以下步骤: 身份验证:验证用户是否已经登录,并且提供了有效的凭证。 授权决策:确定用户是否具有执行某个操作的权限。 访问控制:根据授权决策的结果,允许或拒绝用户的请求。 在这个过程中,Spring Security 会使用各种不同的技术,包括身份验证机制(如基于用户名和密码的身份验证)、访问控制策略(如基于角色的访问控制)等。 ...
(新)Spring Security如何实现授权(实战篇)
最新发布
weixin_55772633的博客
06-23 1073
例如一个学校图书馆的管理系统,如果是普通学生登录就能看到借书还书相关的功能,不可能让他看到并且去使用添加书籍信息,删除书籍信息等功能。但是如果是一个图书馆管理员的账号登录了,应该就能看到并使用添加书籍信息,删除书籍信息等功能。总结起来就是。这就是权限系统要去实现的效果。我们不能只依赖前端去判断用户的权限来选择显示哪些菜单哪些按钮。因为如果只是这样,如果有人知道了对应功能的接口地址就可以不通过前端,直接去发送请求来实现相关功能操作。
SpringSecurity授权
Littewood的博客
07-24 3371
SpringSecurity授权介绍
SpringSecurity的基本认证,授权流程,原理方法
qq_14930709的博客
06-18 5537
Spring SecuritySpring家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。 ​ 一般来说中大型的项目都是使用SpringSecurity来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。 ​ 一般Web应用的需要进行认证和授权。 ​ **认证**:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户......
Spring Security 认证与授权
快乐的小三菊的博客
12-15 2064
springSecurity 的认证和授权
Spring Security基于数据库实现认证过程解析
08-18
Spring Security基于数据库实现认证过程解析 Spring Security是一个功能强大且灵活的安全框架,提供了基于数据库的认证机制。本文将通过示例代码详细介绍Spring Security基于数据库实现认证过程的详细解析。 一、...
Spring Security in Action
11-22
Spring Security 是一个基于 Java 的安全框架,旨在提供身份验证、授权和访问控制等功能。下面是 Spring Security 的主要知识点: 一、身份验证(Authentication) 身份验证是指对用户身份的验证,以确保用户的...
基于spring security实现登录注销功能过程解析
08-25
基于Spring Security实现登录注销功能过程解析 基于Spring Security实现登录注销功能过程解析是指使用Spring Security框架来实现登录和注销功能的过程。该过程主要涉及到security配置、登录页面、登录成功和失败...
非常珍贵的Spring Security企业级认证与授权全套视频(自鉴过后,良心推荐)
04-02
Maven构建多项目,如何前后端,B/S A/S分离,代码结构清晰。 SpringSecurity 全套开发,设计源码解读,整个拦截器链分析,QQ登录,微信登录,短信验证,短信登录,在security基础上学习写一个自定义验证授权设计模式,整套视频讲解的分享细致认真,非常值得学习。不管小白还是老鸟,觉得能得到收获
SpringSecurity学习(七)授权
Huathy的博客
03-15 2086
SpringSecurity:认证与授权,基于URL的权限管理、基于方法的权限管理。权限表达式、授权原理分析。授权实战——权限模型
SpringSecurity授权
chenxingxingxing的博客
07-15 697
RBAC(RoleBasedAccessControl)中文全称是基于角色的访问控制。在RBAC模型中,权限与角色相关联,不同的角色有不同的权限,用户通过被分配为不同的角色从而获得不同角色的权限,从而简化用户的权限管理。用户与角色关联后,同能进行自主授权和权限专营,必须通过角色来控制授权信息,实现访问控制。...
SpringSecurity授权流程分析+动态授权实现
张氏小毛驴的博客
08-12 1929
代码运行到这里后,我们拿到了系统配置的URL权限attributes,认证用户对象Authentication也拿到了,还有当前请求相关的信息FilterInvocation ,也就是这个方法的参数object,接下来授权肯定是拿着三部分的信息去实现的。之前说过,SpringSecurity过滤器链,图中绿色的是认证相关的,蓝色部分是异常相关的,而橙色部分是授权相关,今天我们就是要理清橙色部分授权相关的流程,以及实现动态授权。通过上面的分析,我们大体能了解到整个授权流程是这样的:(网上找的图)......
SpringSecurity授权功能快速上手
qq_53324833的博客
01-08 568
我们还希望在认证失败或者是授权失败的情况下security也能和我们的接口一样返回相同结构的json(即统一返回前端的json格式,code和msg还有data的那个类),这样可以让前端能对响应进行统一的处理。要实现这个功能我们需要知道SpringSecurity的异常处理机制。​在SpringSecurity中,如果我们在认证或者授权过程中出现了异常会被ExceptionTranslationFilter捕获到。
Spring Security 认证的三种方式及简单的授权
我的博客
04-07 421
SecurityConfig配置类内重写configue(HttpSecurity http)方法,如果用户没有访问某页面的权限,会出现403页面错误,该错误页面提示可以根据自己的项目进行修改。在pom.xml文件映入SpringSecutrity依赖启动器,启动项目,访问文章列表页面时,出现默认的登录页,需要用默认用户名:user,密码源于控制台输出,也就是最基础的登录。在做好了认证方式后,想要指定不同的权限访问不同的页面,即自定义访问控制,则需要再进行一些设置。测试,登录时用数据库内存储的用户信息。
springsecurity 认证&授权
weixin_42223524的博客
03-16 43
security中权限控制方式很灵活,可以是。(配置类里面设置权限),可以使用。注解进行权限控制(接口方法上),还可以根据数据库的变化进行。基于Ant的用户权限控制。使用postman测试。
SpringSecurity的自定义授权
qq_58137891的博客
05-10 381
1.在LoginUser类中新增一个List属性一个List属性,包含着权限信息2.重写getAuthorities()方法(因为权限信息需要从该方法中取得),将List封装到List中对应getAuthorities方法的返回值。3.对List属性取消JSON序列化,否则反序列化会出错。
学习Spring Security最好的资料就是官网PDF
Spring Security是一个功能强大且灵活的框架,用于在Java应用程序中提供身份验证和授权。它提供了一些基本的安全特性,例如身份验证,授权和保护会话管理等。Spring Security不仅可以轻松地与Spring框架集成,而且...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值