微服务技术系列教程(39)- SpringBoot -RBAC权限模型

最新推荐文章于 2024-04-12 13:23:07 发布
最新推荐文章于 2024-04-12 13:23:07 发布
阅读量920 收藏 5
点赞数 2
分类专栏: # 微服务技术
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_20042935/article/details/103579813
版权

1. 引言

代码和相关的sql脚本已提交至Github,有兴趣的同学可以下载看看:https://github.com/ylw-github/SpringBoot-Security-Demo

SQL脚本执行完成后,会生成5张表,相当于把上一篇博客《微服务技术系列教程(38)- SpringBoot -整合SpringSecurity》的权限配置内容全部配置到数据库了,从数据库中读取:
在这里插入图片描述

2. RBAC权限模型

RBAC权限模型 : 基于角色的权限访问控制(Role-Based Access Control)作为传统访问控制(自主访问,强制访问)的有前景的代替受到广泛的关注。

在RBAC中,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限。这就极大地简化了权限的管理。在一个组织中,角色是为了完成各种工作而创造,用户则依据它的责任和资格来被指派相应的角色,用户可以很容易地从一个角色被指派到另一个角色。

角色可依新的需求和系统的合并而赋予新的权限,而权限也可根据需要而从某角色中回收。角色与角色的关系可以建立起来以囊括更广泛的客观情况。

本文基于上一篇《微服务技术系列教程(38)- SpringBoot -整合SpringSecurity》的基础上来进行代码整合。

3. 代码整合

1.添加Maven依赖:

<!-->spring-boot 整合security -->
<dependency>
	<groupId>org.springframework.boot</groupId>
	<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<!-- springboot 整合mybatis框架 -->
<dependency>
	<groupId>org.mybatis.spring.boot</groupId>
	<artifactId>mybatis-spring-boot-starter</artifactId>
	<version>1.3.2</version>
</dependency>
<!-- alibaba的druid数据库连接池 -->
<dependency>
	<groupId>com.alibaba</groupId>
	<artifactId>druid-spring-boot-starter</artifactId>
	<version>1.1.9</version>
</dependency>
<dependency>
	<groupId>mysql</groupId>
	<artifactId>mysql-connector-java</artifactId>
</dependency>

2.application.yml配置:

# 配置freemarker
spring:
  freemarker:
    # 设置模板后缀名
    suffix: .ftl
    # 设置文档类型
    content-type: text/html
    # 设置页面编码格式
    charset: UTF-8
    # 设置页面缓存
    cache: false
    # 设置ftl文件路径
    template-loader-path:
      - classpath:/templates
  # 设置静态文件路径,js,css等
  mvc:
    static-path-pattern: /static/**
  ####整合数据库层
  datasource:
    name: test
    url: jdbc:mysql://127.0.0.1:3306/rbac_db
    username: root
    password: 123456
    # druid 连接池
    type: com.alibaba.druid.pool.DruidDataSource
    driver-class-name: com.mysql.jdbc.Driver

3.添加mapper:

public interface UserMapper {
	// 查询用户信息
	@Select(" select * from sys_user where username = #{userName}")
	User findByUsername(@Param("userName") String userName);

	// 查询用户的权限
	@Select(" select permission.* from sys_user user" + " inner join sys_user_role user_role"
			+ " on user.id = user_role.user_id inner join "
			+ "sys_role_permission role_permission on user_role.role_id = role_permission.role_id "
			+ " inner join sys_permission permission on role_permission.perm_id = permission.id where user.username = #{userName};")
	List<Permission> findPermissionByUsername(@Param("userName") String userName);
}

4.动态查询账号

// 设置动态用户信息
@Service
public class MyUserDetailsService implements UserDetailsService {
    @Autowired
    private UserMapper userMapper;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

        // 1.根据用户名称查询数据用户信息
        User user = userMapper.findByUsername(username);
        // 2.底层会根据数据库查询用户信息,判断密码是否正确
        // 3. 给用户设置权限
        List<Permission> listPermission = userMapper.findPermissionByUsername(username);
        System.out.println("username:" + username + ",对应权限:" + listPermission.toString());
        if (listPermission != null && listPermission.size() > 0) {
            // 定义用户权限
            List<GrantedAuthority> authorities = new ArrayList<GrantedAuthority>();
            for (Permission permission : listPermission) {
                authorities.add(new SimpleGrantedAuthority(permission.getPermTag()));
            }
            user.setAuthorities(authorities);
        }
        return user;
    }

}

5.Security权限控制:

@Component
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
	@Autowired
	private MyAuthenticationFailureHandler failureHandler;
	@Autowired
	private MyAuthenticationSuccessHandler successHandler;
	@Autowired
	private MyUserDetailsService myUserDetailsService;
	@Autowired
	private PermissionMapper permissionMapper;

	// 配置认证用户信息和权限
	protected void configure(AuthenticationManagerBuilder auth) throws Exception {
		// // 添加admin账号
		// auth.inMemoryAuthentication().withUser("admin").password("123456").
		// authorities("showOrder","addOrder","updateOrder","deleteOrder");
		// // 添加userAdd账号
		// auth.inMemoryAuthentication().withUser("userAdd").password("123456").authorities("showOrder","addOrder");
		// 如果想实现动态账号与数据库关联 在该地方改为查询数据库
		auth.userDetailsService(myUserDetailsService).passwordEncoder(new PasswordEncoder() {

			// 加密的密码与数据库密码进行比对CharSequence rawPassword 表单字段 encodedPassword
			// 数据库加密字段
			public boolean matches(CharSequence rawPassword, String encodedPassword) {
				System.out.println("rawPassword:" + rawPassword + ",encodedPassword:" + encodedPassword);
				// 返回true 表示认证成功 返回fasle 认证失败
				return MD5Util.encode((String) rawPassword).equals(encodedPassword);
			}

			// 对表单密码进行加密
			public String encode(CharSequence rawPassword) {
				System.out.println("rawPassword:" + rawPassword);
				return MD5Util.encode((String) rawPassword);
			}
		});
	}

	// 配置拦截请求资源
	protected void configure(HttpSecurity http) throws Exception {
		ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry authorizeRequests = http
				.authorizeRequests();
		// 1.读取数据库权限列表
		List<Permission> listPermission = permissionMapper.findAllPermission();
		for (Permission permission : listPermission) {
			// 设置权限
			authorizeRequests.antMatchers(permission.getUrl()).hasAnyAuthority(permission.getPermTag());
		}
		authorizeRequests.antMatchers("/login").permitAll().antMatchers("/**").fullyAuthenticated().and().formLogin()
				.loginPage("/login").successHandler(successHandler).and().csrf().disable();

	}

	@Bean
	public static NoOpPasswordEncoder passwordEncoder() {
		return (NoOpPasswordEncoder) NoOpPasswordEncoder.getInstance();
	}

}

5.密码使用MD5加密

public class MD5Util {

	// 加盐
	private static final String SALT = "ylw";

	public static String encode(String password) {
		password = password + SALT;
		MessageDigest md5 = null;
		try {
			md5 = MessageDigest.getInstance("MD5");
		} catch (Exception e) {
			throw new RuntimeException(e);
		}
		char[] charArray = password.toCharArray();
		byte[] byteArray = new byte[charArray.length];

		for (int i = 0; i < charArray.length; i++)
			byteArray[i] = (byte) charArray[i];
		byte[] md5Bytes = md5.digest(byteArray);
		StringBuffer hexValue = new StringBuffer();
		for (int i = 0; i < md5Bytes.length; i++) {
			int val = ((int) md5Bytes[i]) & 0xff;
			if (val < 16) {
				hexValue.append("0");
			}

			hexValue.append(Integer.toHexString(val));
		}
		return hexValue.toString();
	}

	public static void main(String[] args) {
		System.out.println(MD5Util.encode("123456"));

	}
}

4. 测试

有两个账号已经保存到数据库:

  • 账号:admin 密码:123456
  • 账号:userAdd 密码:123456

测试结果与上一篇博客《微服务技术系列教程(38)- SpringBoot -整合SpringSecurity》结果一样,区别在于可以动态配置权限。

比如:userAdd 不能删除或者修改订单,现在要求userAdd可以修改订单,那么,修改数据库的sys_role_permission
在这里插入图片描述
userAdd新增一条修改权限:

INSERT INTO `sys_role_permission` VALUES ('2', '3');

在这里插入图片描述
再使用userAdd账号重新登录,发现userAdd有修改功能了。
在这里插入图片描述
代码和相关的sql脚本已提交至Github,有兴趣的同学可以下载看看:https://github.com/ylw-github/SpringBoot-Security-Demo

本文完!

杨林伟
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security之RBAC模型
yinyin_xiao的博客
08-23 1753
Spring Security基于RBAC模型实现权限管理
springcloud gateway集成RBAC模型——实现用户权限判断
tang_seven的博客
10-26 1459
springcloud gateway集成jwt token后,基于RBAC模型实现用户权限管理及判断
SpringBoot整合系列】SpringBoot整合Shiro——权限控制
最新发布
低调做人,低调编码,神码都是浮云
04-12 814
SpringBoot整合Shiro权限控制
SpringSecurity实现角色权限控制(SpringBoot+SpringSecurity+JWT)
lans_g的博客
05-14 6250
通过springboot整合jwt和security,以用户名/密码的方式进行认证和授权。认证通过jwt+数据库的,授权这里使用了两种方式,分别是SpringSecurity自带的hasRole方法+SecurityConfig和 我们自定义的permission+@PreAuthorize注解。用来存储和获取当前线程关联的 SecurityContext 对象的类。
Springboot权限管理
zkk的博客
09-05 1452
现在鉴权模块已经非常成熟,以上仅为个人心得和实践,还有很多改进的地方欢迎评论,后续还会补充通过Shiro框架实现的鉴权这一模块。
springboot 整合 Spring Security 中篇(RBAC权限控制)
qq_30519365的博客
12-04 1416
主要在这个方法loadUserByUsername 从数据库读取用户的登录信息和权限信息import comthrow new UsernameNotFoundException("用户名不存在");} }throw new UsernameNotFoundException("用户名不存在");} }
基于SpringBoot+Layui+Easyweb的Snowy-Layui Java全新RBAC权限管理系统设计源码
04-12
系统实现了Java全新RBAC权限管理的功能,是一个单体项目,注释丰富,代码简洁。系统适配国产数据库、主流数据库Mysql、Oracle、Mssql、PostgreSQL,界面友好,功能完善,适合用于企业级权限管理。
pig-ui_RBAC权限管理系统_Avue_pig-ui_微服务_pigui_
09-29
基于 Spring Cloud Hoxton 、Spring Boot 2.3、 OAuth2 的RBAC权限管理系统基于数据驱动视图的理念封装 element-ui,即使没有 vue 的使用经验也能快速上手提供对常见容器化支持 Docker、Kubernetes、Rancher2 支持...
spring-security-project.zip- Spring Security实现RBAC权限模型demo
02-09
spring-security-project.zip- Spring Security实现RBAC权限模型demo
jcasbin-springboot-plugin:此仓库已弃用,请改为查看此仓库
05-17
jcasbin-springboot-plugin jcasbin-springboot-plugin是的授权中间件,它基于 。 它是在最新的Spring Boot 2.0.1和Java 8 。安装 git clone https://github.com/jcasbin/jcasbin-springboot-plugin简单的例子这个...
e-admin-react:一个使用 react + antd + create-react-app 构建的 rbac 权限模型
05-06
一个使用 react + antd + mobx + create-react-app 构建的 rbac 权限模型 账号: admin 密码: 123456 npm 脚本 安装依赖 yarn 运行项目 yarn start 构建项目 // 默认打包路由为 history 模式 yarn run build:alpha ...
Spring Boot实现简单的用户权限管理(超详细版)
热门推荐
Veggie的博客
08-06 6万+
为了避免浪费时间进行不必要的阅读,这里先对项目进行简单的介绍。在实际应用场景中,每个用户都有对应的角色,而每个角色又有对应的一些角色。因为一个用户可以有多个角色,一个角色也可以被多个用户所拥有,角色和权限的关系也同理,这里主要利用多对多的映射关系将他们联系起来,对他们进行管理。 ...
springboot 实现权限管理(一)
iijik55的博客
08-02 4816
若token失效则返回失效,token未失效进行权限查看(token及权限信息等常用个人信息采用Redis进行缓存),有权限放行,无权限拦截;(2)用户访问登录URL,则无需拦截,判断用户、密码,进行缓存个人信息(查询关系数据库的用户角色、权限信息后进行缓存),并返回token给用户作为下次登录凭证;(2)分类资源(对应相应的权限),一般可以有数据权限、操作权限、访问权限等,表现为对URL(URI)的访问控制;在关系数据库中,由于原子性(第一规范),因此需要两张关联表进行管理用户和角色,角色和权限。...
Springboot权限控制 RBAC
如切如磋,如琢如磨,臻于至善。
01-31 848
Role-Base Access Control 基于角色的访问控制。所谓角色,其实就是权限的集合,某个角色就是某几个权限的结合。其目的是为了简化授权和鉴权的过程。RBAC模型的核心是在用户和权限之间引入了角色的概念。取消了用户和权限的直接关联,改为通过用户关联角色、角色关联权限的方法来间接地赋予用户权限(如下图),从而达到用户和权限解耦的目的。简单地说,一个用户拥有若干角色,每一个角色拥有若干个菜单,菜单中存在菜单权限与按钮权限, 这样,就构造成“用户-角色-菜单” 的授权模型
springboot权限系统
ABC_efg123456的博客
03-02 2852
springboot权限管理系统详细思路
springboot整合shiro实现基础的用户角色权限管理
begefefsef的博客
04-26 1119
文章目录 1. 用户角色权限需要解决的问题及shiro的解决方案 2. 过滤器 3. 登录并获取菜单权限 4. shiro授权 5. 总结 项目地址 1. 用户角色权限需要解决的问题及shiro的解决方案 灵活配置需要和不需要拦截的页面 shiro提供了过滤器可以灵活配置需要和不需要拦截的页面 实现用户认证 shiro整合了HttpSession(web应用)可以保存用户登录的信息。 根据当前认证用户加载不同的菜单权限 这个和shiro无关,直接展示用户具有的菜单权
10.spring-boot基于角色的权限管理页面实现
dayuyu1992的博客
02-28 2865
10.spring-boot基于角色的权限管理页面实现 转载于:https://www.cnblogs.com/alexliuzw/p/10448060.html
spring boot + shiro 实现角色权限控制
幕峰的博客
06-16 2272
spring boot + shiro 实现角色权限控制 简介 Apache Shiro 是一个强大并且易于使用的java安全框架,可以用与身份验证、授权、加密和会话管理。同样的框架还有spring security,spring security有很好的平台支持,和活跃的社区氛围,并且对spring完美兼容,但是使用难度上,远远超过shiro。 身份认证:用户身份识别。 授权:用户权限控制。知道来的人有没有资格进来。 加密:加密敏感数据,防止偷窥。比如密码md5两次加密。 会话管理:用户的时间敏感的状态
springboot中rbac权限管理
09-15
RBAC权限管理系统是基于角色的用户权限控制系统。在springboot中,我们可以使用Spring Security框架来实现RBAC权限管理。Spring Security是一个功能强大的、灵活的框架,可以帮助我们在应用程序中实现身份验证、授权和其他安全功能。 要在springboot中使用RBAC权限管理系统,可以按照以下步骤进行操作: 1. 导入Spring Security依赖:在pom.xml文件中添加Spring Security相关的依赖项。 2. 配置Spring Security:在应用程序的配置文件中,设置Spring Security的基本参数,例如认证方式、登录页面等。 3. 创建用户和角色实体:使用实体类表示用户和角色,并建立它们之间的关系。 4. 实现用户认证和授权:通过自定义的用户认证和授权逻辑,实现用户登录验证和权限控制。可以使用注解或配置文件的方式进行权限配置。 5. 创建页面和接口:根据系统需求,创建相应的页面和接口,并为每个角色分配不同的权限。 6. 完善系统功能:根据实际需求,完善RBAC权限管理系统的其他功能,例如日志记录、异常处理等。 需要注意的是,以上步骤仅为概括性的指导,实际操作可能会因具体需求而有所不同。可以根据具体的项目情况进行适当的调整和扩展。 总结起来,springboot中的RBAC权限管理是通过使用Spring Security框架来实现的,需要进行依赖导入、配置、实体创建、认证和授权逻辑实现、页面和接口创建等步骤。通过这些步骤,可以构建一个完善的RBAC权限管理系统。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值