Spring Security 基于角色的访问控制

最新推荐文章于 2024-07-04 09:14:32 发布
最新推荐文章于 2024-07-04 09:14:32 发布
阅读量1.9k 收藏 9
点赞数 1
文章标签: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18208265/article/details/108524695
版权
本文介绍了如何在Spring Security框架中实现基于角色的访问控制。首先,文章涵盖了准备工作,包括创建Spring Security项目和数据库表结构。接着,创建了角色类并讨论了在登录时如何获取用户角色信息。通过自定义UserDetails和UserService,实现了在登录时将用户角色信息传递给Spring Security进行认证授权。最后,配置了角色的权限,展示了如何设置接口的访问控制。文章提供了配套的示例源码供读者实践。
摘要由CSDN通过智能技术生成

Spring Security 作为安全框架包含类两大核心的模块:认证与鉴权。在前两篇文章中展现了 Spring Security 中的认证模块一些内容,紧接着这篇文章会将目光放到 Spring Security 的鉴权模块中。介绍一下在 Spring Security 中如何使用鉴权功能。

那接下来就看一看在 Spring Security 中如何实现基于角色的访问控制吧!

本文配套的示例源码: https://github.com/lxiaocode/spring-security-examples

在我的博客阅读本文会有更好的阅读体验哦!博客: www.lxiaocode.com

本系列的其他文章,推荐按顺序阅读:

  1. Spring Security 使用 JSON 格式登陆
  2. Spring Security 接入数据库中的数据

你将会学到什么

  1. Spring Security 是如何获取用户角色信息的。
  2. Spring Security 的角色是以什么形式表示的。
  3. 在登录时如何获取用户角色并返回给 Spring Security 进行认证授权。
  4. 如何配置角色的访问权限。

1. 准备工作

1.1 创建 Spring Security 项目

在实现功能之前当然要先创建好项目啦。如果学习过我前两篇文章的话,创建一个 Spring Security 项目可以说是非常轻松了。因为这篇文章的示例是基于 {% post_link Spring-Security-接入数据库中的数据 %} 进行扩展的,所以推荐先学习一下这篇文章。

首先,这篇文章会在 {% post_link Spring-Security-接入数据库中的数据 %} 的基础上实现 Spring Security 基于角色的访问控制。所以需要先搭建一个已接入数据库用户的 Spring Security 项目。因为这涉及到了上一篇文章的内容,所以接下来会简单快速的创建项目,不再进行说明了。

1.1.1 导入依赖项
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-web</artifactId>
</dependency>

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

<!-- 本文使用 MyBatis-Plus 连接数据库 -->
<!-- 使用什么的方法都可以,只要从数据库查询到数据就行 -->
<dependency>
    <groupId>com.baomidou</groupId>
    <artifactId>mybatis-plus-boot-starter</artifactId>
    <version>3.3.0</version>
</dependency>
<!-- mysql -->
<dependency>
    <groupId>mysql</groupId>
    <artifactId>mysql-connector-java</artifactId>
</dependency>
1.1.2 创建用户类以及相关类
@TableName("user")
public class User implements UserDetails {
   
    private String id;
    private String username;
    private String password;

    /**
     * 表示该属性不为数据库表字段,但又是必须使用的。
     */
    @TableField(exist = false)
    private Set<? extends GrantedAuthority> authorities;

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
   
        return this.authorities;
    }

    @Override
    public String getPassword() {
   
        return this.password;
    }

    @Override
    public String getUsername() {
   
        return this.username;
    }

    public void setAuthorities(Set<? extends GrantedAuthority> authorities) {
   
        this.authorities = authorities;
    }

    //账号是否过期
    @Override
    public boolean isAccountNonExpired() {
   
        return true;
    }

    //账号是否锁定
    @Override
    public boolean isAccountNonLocked() {
   
        return true;
    }

    //账号凭证是否未过期
    @Override
    public boolean isCredentialsNonExpired() {
   
        return true;
    }

    @Override
    public boolean isEnabled() {
   
        return true;
    }
	// 省略 getter setter ...
}

public interface UserMapper extends BaseMapper<User> {
   
}

@Service
public class UserService implements UserDetailsService {
   
    @Autowired
    private UserMapper userMapper;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
   
        QueryWrapper<User> wrapper = new QueryWrapper<>();
        wrapper.eq("username", username);
        User user = userMapper.selectOne(wrapper);
        if (user == null){
   
            throw new UsernameNotFoundException("用户不存在");
        }
        return user;
    }
}

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
   
    @Autowired
    private UserService userService;

    @Bean
    public BCryptPasswordEncoder bCryptPasswordEncoder(){
   
        return new BCryptPasswordEncoder();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
   
        auth.userDetailsService(userService);
    }
}

好了,现在就完成 Spring Security 项目的创建并且接入了数据库中的数据了(当然,其中省略了数据库、扫描 Mapper 的相关配置 )。

1.2 数据库表

在基于角色的访问控制中,我们需要有与用户相绑定的角色信息。所以下面会给出本文示例中所用到的数据库表结构,以便参考。

-- spring_security.`user` definition

CREATE TABLE `user` (
  `id` varchar(32) CHARACTER SET utf8mb4 NOT NULL COMMENT '主键,ID',
  `username` varchar(100) CHARACTER SET utf8mb4 DEFAULT NULL COMMENT '用户名',
  `password` varchar(100) CHARACTER SET utf8mb4 DEFAULT NULL COMMENT '用户密码',
  PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_unicode_ci COMMENT='用户表';

INSERT INTO spring_security.`user` (id,username,password) VALUES 
('a4ff5fa9eb9593d335a7e5455de98031','admin','$2a$10$4KL3EiD.TGgcer2l6hSQ1uzuz6kyj6FeqpRR5hhagyNE8f75/FL1S')
,('a4ff5fa9eb9593d335a7e5455de98032','superadmin','$2a$10$lsrIhZQv9HKRFePBBKXFruIM5Yc/YHHNIQL9yy83YBMX9zUf4amCm')
,('a4ff5fa9eb9593d335a7e5455de9803d','user','$2a$10$XZXK3uQw6m0mYAvH5TyyuOxbbEaXICIu1DFv/WJD4v718duRdKGqm')
;

-- spring_security.`role` definition

CREATE TABLE `role` (
  `id` int(11) NOT NULL COMMENT '主键,ID',
  `role` varchar(100) CHARACTER SET utf8mb4 NOT NULL COMMENT '角色的字符串表示',
  `role_name` varchar(100) CHARACTER SET utf8mb4 DEFAULT NULL
最低0.47元/天 解锁文章
lixiaofeng101
关注
Spring Security 3 基于角色访问控制过程详解
深蓝传说
12-02 1万+
访问控制: 由于我们配置了访问控制(授权)的默认拦截器org.springframework.security.web.access.intercept.FilterSecurityInterceptor。其主要业务方法是InterceptorStatusToken beforeInvocation(Object object) 该方法会将URL传给SecurityMetadata
基于springsecurity的用户角色权限
08-24
适合初学者使用,代码简单,未连接数据库,全部集成在.xml中。有注释,注释全面。可以进行二次开发。
Spring Security- 基于角色访问控制
射手座的程序媛的专栏
01-17 1253
spring security 基于角色访问控制
使用 Spring Security 实现角色和权限管理
最新发布
FireFox1997
07-04 484
Spring Security 提供了一套强大且灵活的机制来实现角色和权限的管理。本文将详细介绍如何使用 Spring Security 实现角色和权限管理,从基本概念到具体实现步骤,并提供示例代码来帮助你理解和应用这些概念。Spring Security 提供了强大的功能来处理复杂的权限控制需求,包括角色、权限的定义和分配,以及在应用程序中的细粒度访问控制。配置 Spring Security 以使用自定义的用户详细信息服务,并定义角色和权限。通常,权限是更细粒度的控制,而角色是权限的组合。
Spring Security——基于角色或权限访问控制
qq_40857365的博客
01-20 1042
基于角色或权限访问控制 hasAuthority方法 如果当前主体具有指定的权限,则返回true,否则返回false 在配置类设置当前访问地址有哪些权限 //当前登录用户,只要具有admin权限才可以访问这个路径 .antMatchers("/test/index").hasAuthority("admin") 在UserDetailsService,把返回User对象设置权限 List<GrantedAuthority> role = AuthorityUtils.commaSep
Spring Security 实战干货:基于配置的接口角色访问控制
码农小胖哥
11-14 4384
1. 前言 欢迎阅读 Spring Security 实战干货 系列文章 。对于受限的访问资源,并不是对所有认证通过的用户开放的。比如 A 用户的角色是会计,那么他就可以访问财务相关的资源。B 用户是人事,那么他只能访问人事相关的资源。我们在 一文中也对基于角色访问控制的相关概念进行了探讨。在实际开发中我们如何对资源进行角色粒度的管控呢?今天我来告诉你 Spring Security 是如何来...
Spring Security 实战内容:基于配置的接口角色访问控制
m0_66876551的博客
04-14 366
1. 前言 对于受限的访问资源,并不是对所有认证通过的用户开放的。比如 A 用户的角色是会计,那么他就可以访问财务相关的资源。B 用户是人事,那么他只能访问人事相关的资源。我们在 一文中也对基于角色访问控制的相关概念进行了探讨。在实际开发中我们如何对资源进行角色粒度的管控呢?今天我来告诉你 Spring Security 是如何来解决这个问题的。 2. 将角色写入 UserDetails 我们使用 UserDetailsService 加载 UserDetails 时也会把用户的 GrantedAuth.
SpringSecurity - 基于角色访问控制RBAC
江南烟雨却痴缠丶
02-22 982
为什么要进行访问控制 为了屏蔽无关人员操作系统的某个功能,防止误操作产生的垃圾数据或数据丢失。以电商后台为例,负责商品相关的工作人员,不允许他去操作订单相关的内容。同时,负责订单相关的工作人员,也不允许他去操作商品相关的内容。如果不进行权限控制,如果某一次,负责订单的工作人员去尝试操作商品相关的内容,就可能会造成垃圾数据产生(如发布一个错误的商品信息)或是数据丢失(删除了某个商品信息)的问题。 ...
SpringSecurity-用户授权-基于权限或角色进行访问控制
qq_43297569的博客
03-09 317
SpringSecurity-用户授权-基于权限或角色进行访问控制
SpringSecurity_基于角色权限进行访问控制
weixin_44814258的博客
06-04 475
1. hasAuthority方法(只针对某一个权限) 如果当前的主题具有指定的权限,则返回true,否则返回false 在配置类设置当前访问地址有哪些权限 @Override protected void configure(HttpSecurity http) throws Exception { //自定义自己编写的登录页面 http.formLogin() .loginPage("/login.html")//登录页面设置
spring security入门--基于角色实现用户登录访问
xiaoheihai666的博客
08-31 494
接上篇,我们搭建好了基本框架之后,怎么实现自定义用户及角色来登录不同的系统呢?一、首先创建一个自定义的配置类,继承WebSecurityConfigurerAdapter类。使用zhangsan账号登录 helloUser 方法成功。二、在controller类中编写不同角色登录的代码。三、运行启动类进行测试。...
Spring Security基于角色的权限管理
紫芝的博客
04-07 1113
1.Spring Security 1.1核心领域概念 认证(Authentication):认证是建立主体(principal)的过程。 主体通常是指在应用程序中执行操作的用户、设备或其他系统 授权(authorization):或称为访问控制(access-control) 授权是指决定是否允许在应用程序中执行操作 1.2基于角色的权限管理 代表一系列行为或责任的实体 限定能做什么、不能...
Spring Security---角色授权
MAKEJAVAMAN的博客
10-27 499
之前已经配置好了两个用户java和cpp,不知道如何配置的可以看一下前面的文章。 Spring Security—简介及初体验 Spring Security—表单登陆配置介绍 角色的分配大致是: jerry:admin角色,拥有所有权限(sys、data) tom:user角色,拥有查看数据(data)的权限 先写一个简单的controller @RestController public class HelloController { @GetMapping("/hello") pu
springsecurity角色管理
健康平安的活着的专栏
09-11 679
一 查询角色和权限 角色权限表:
SpringSecurity创建角色和设置权限
JayVergil的博客
12-06 6418
一.创建角色在之前创建完项目后,可以在SpringSecurityConfig类中重写configure方法并进行自定义创建角色 public class SpringSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(AuthenticationM...
Spring安全的角色和权限源码与教程
m0_67645544的博客
04-06 754
在本文中,我们将研究Spring安全角色和特权以及如何使用此功能来构建您的应用程序。 企业应用程序包含多个部分,它不允许所有用户访问整个应用程序。我们可能会提出一些要求,即我们希望根据用户角色和特权提供对应用程序的访问。让我们以管理电子商务商店的简单后端应用程序为例。 具有ADMIN角色的用户将具有执行任何操作的完全权限。 客户服务代理可以读取客户和订单信息,但看不到其他选项。 产品经理只能看到更新/创建产品的选项。 Spring安全性使使用角色和特权来构建这些类型的规则变得更加容易。我们可以在注册
Spring (37)如何实现基于角色访问控制
qq_43012298的博客
06-04 569
基于角色访问控制(Role-Based Access Control,RBAC)是一种广泛应用于现代web应用中的安全机制。它通过分配给用户的角色来控制对系统资源的访问权限。在Spring Security框架中,可以通过配置角色和权限来实现细粒度的访问控制
Spring Security 基于角色的授权示例
allway2的博客
02-04 599
本指南向您展示如何在Spring Security中配置基于角色的授权。要使用 Spring Security 授权,我们必须根据登录的用户角色覆盖并授权每个请求的方法。configure(HttpSecurityhttp)WebSecurityConfigurerAdapter 我们将建造什么 在此示例中,我们将创建一个 Spring Boot 应用程序并根据登录的用户角色授权每个请求。为此,我们需要以下内容: 1. 分配给用户授权访问 URL/页面的用户的角色: private static.
Spring security访问控制
05-09
Spring SecuritySpring框架中用于安全认证和授权的模块。它可以帮助我们实现访问控制,保护应用程序的资源,确保只有授权的用户才能访问受限资源。 在Spring Security中,访问控制的实现主要有两种方式: 1. 基于URL的访问控制:这种方式是通过配置URL的访问规则来实现访问控制。我们可以使用Spring Security提供的HttpSecurity对象配置URL的访问规则,例如限制某些URL只能被特定的角色或用户访问。 2. 基于方法的访问控制:这种方式是通过在方法上添加注解来实现访问控制。我们可以使用Spring Security提供的注解,例如@PreAuthorize和@PostAuthorize,在方法上添加访问规则,限制只有满足访问规则的用户才能调用该方法。 在实现访问控制时,我们还需要定义用户角色和权限。Spring Security提供了UserDetailsService接口和UserDetails实现类,用于定义用户角色和权限,同时可以使用数据库、LDAP等外部认证机制进行认证和授权。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值