Spring Boot使用Spring Security

最新推荐文章于 2023-06-23 18:56:14 发布
最新推荐文章于 2023-06-23 18:56:14 发布
阅读量231 收藏 1
点赞数 2
分类专栏: Spring Boot 学习笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_22310551/article/details/117261895
版权

1.数据库建立用户、角色表: users authorities

2.使用JPA完成数据库表到domain类的映射,并且扩展 UserDetails

package com.lagou.springbootdemo.security;

import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;

import javax.persistence.Entity;
import javax.persistence.Id;
import javax.persistence.Table;
import java.util.Arrays;
import java.util.Collections;
import java.util.List;

@Entity
@Table(name="`users`")
public class SpringCssUser implements UserDetails {

    private static  long serialVersionUID = 1L;
    private Long id;
    @Id
    private  String username;
    private  String password;
    private  String phoneNumber;

    public static long getSerialVersionUID() {
        return serialVersionUID;
    }

    public Long getId() {
        return id;
    }

    public void setId(Long id) {
        this.id = id;
    }

    public void setUsername(String username) {
        this.username = username;
    }

    public void setPassword(String password) {
        this.password = password;
    }

    public String getPhoneNumber() {
        return phoneNumber;
    }

    public void setPhoneNumber(String phoneNumber) {
        this.phoneNumber = phoneNumber;
    }
//省略getter/setter

    @Override
    public String getUsername() {
        return username;
    }

    @Override
    public String getPassword() {
        return password;
    }

    @Override
    public List<SimpleGrantedAuthority> getAuthorities() {
        return Collections.singletonList(new SimpleGrantedAuthority("ROLE_admin"));
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return true;
    }
}

显然,这里我们使用了一种更简单的方法满足 UserDetails 中各个接口的实现需求。一旦我们构建了一个 SpringCssUser 类,就可以创建对应的表结构存储类中所定义的字段。同时,我们也可以基于 Spring Data JPA 创建一个自定义的 Repository,如下代码所示:

package com.lagou.springbootdemo.security;

import org.springframework.data.repository.CrudRepository;
import org.springframework.stereotype.Repository;

@Repository("springCssUserRepository")
public interface SpringCssUserRepository extends CrudRepository<SpringCssUser, String> {
    SpringCssUser findByUsername(String username);
}

SpringCssUserRepository 扩展了 CrudRepository 接口,并提供了一个方法名衍生查询 findByUsername。

3.扩展 UserDetailsService

接着,我们来实现 UserDetailsService 接口,如下代码所示:

@Service

public class SpringCssUserDetailsService implements UserDetailsService {

 
  @Autowired
  private SpringCssUserRepository repository;

  @Override
  public UserDetails loadUserByUsername(String username)
      throws UsernameNotFoundException {
    SpringCssUser user = repository.findByUsername(username);
    if (user != null) {
      return user;
    }
    throw new UsernameNotFoundException(
                    "SpringCSS User '" + username + "' not found");
  }
}

在 UserDetailsService 接口中,我们只需要实现 loadUserByUsername 方法就行。因此,我们可以基于 SpringCssUserRepository 的 findByUsername 方法,再根据用户名从数据库中查询数据。

4.实现接口完成定制化配置

最后,我们再次回到 SpringCssSecurityConfig 类。

这次我们将使用自定义的 SpringCssUserDetailsService 完成用户信息的存储和查询,此时我们只需要对配置策略做一些调整,调整后的完整 SpringCssSecurityConfig 类如下代码所示:

@Configuration

public class SpringCssSecurityConfig extends WebSecurityConfigurerAdapter {


    @Autowired
    SpringCssUserDetailsService springCssUserDetailsService;

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
 
         auth.userDetailsService(springCssUserDetailsService);

}

}

这里我们注入了 SpringCssUserDetailsService,并将其添加到 AuthenticationManagerBuilder 中,这样 AuthenticationManagerBuilder 将基于自定义的 SpringCssUserDetailsService 完成 UserDetails 的创建和管理。

5.对 HTTP 端点进行访问授权管理

在一个 Web 应用中,权限管理的对象是通过 Controller 层暴露的一个个 HTTP 端点,而这些 HTTP 端点就是需要授权访问的资源。

开发人员使用 Spring Security 中提供的一系列丰富技术组件,即可通过简单的设置对权限进行灵活管理。

 

使用配置方法

通过在 SpringCssSecurityConfig extends WebSecurityConfigurerAdapter类中重写方法实现。

实现访问授权的第一种方法是使用配置方法,关于配置方法的处理过程也是位于 WebSecurityConfigurerAdapter 类中,但使用的是 configure(HttpSecurity http) 方法,如下代码所示:

protected void configure(HttpSecurity http) throws Exception {
 http
            .authorizeRequests()
            .anyRequest()
            .hasRole("admin")
 .authenticated()
            .and()
            .formLogin()
 .and()
            .httpBasic();
}

注意:hasRole方法会在输入的参数基础上在前面加入前缀ROLE_,因此第四步赋值的role必须是ROLE_admin。hasAuthorities方法不会自动添加前缀,因此,赋予的权限名和方法的参数名必须一致。

上述代码就是 Spring Security 中作用于访问授权的默认实现方法,这里用到了多个常见的配置方法。

回想 18 课时中的内容,访问任何端点时,一旦在代码类路径中引入了 Spring Security 框架,就会弹出一个登录界面从而完成用户认证。因为认证是授权的前置流程,认证结束后就可以进入授权环节。

结合这些配置方法的名称,我们简单分析一下实现这种默认的授权效果的具体步骤。

首先,通过 HttpSecurity 类的 authorizeRequests() 方法,我们可以对所有访问 HTTP 端点的 HttpServletRequest 进行限制。

其次,anyRequest().authenticated() 语句指定了所有请求都需要执行认证,也就是说没有通过认证的用户无法访问任何端点。

然后,formLogin() 语句指定了用户需要使用表单进行登录,即会弹出一个登录界面。

最后, httpBasic() 语句使用 HTTP 协议中的 Basic Authentication 方法完成认证。

当然,Spring Security 中还提供了很多其他有用的配置方法供开发人员灵活使用,下表中我们进行了列举,一起来看下。

基于上表中的配置方法,我们就可以通过 HttpSecurity 实现自定义的授权策略。

比方说,我们希望针对“/orders”根路径下的所有端点进行访问控制,且只允许认证通过的用户访问,那么可以创建一个继承了 WebSecurityConfigurerAdapter 类的 SpringCssSecurityConfig,并覆写其中的 configure(HttpSecurity http) 方法来实现,如下代码所示:

@Configuration

public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    public void configure(HttpSecurity http) throws Exception {

        http.authorizeRequests()

            .antMatchers("/orders/**")

            .authenticated();

    }

}

请注意:虽然上表中的这些配置方法非常有用,但是由于我们无法基于一些来自环境和业务的参数灵活控制访问规则,也就存在一定的局限性。

为此,Spring Security 还提供了一个 access() 方法,该方法允许开发人员传入一个表达式进行更细粒度的权限控制,这里,我们将引入Spring 框架提供的一种动态表达式语言—— SpEL(Spring Expression Language 的简称)。

只要 SpEL 表达式的返回值为 true,access() 方法就允许用户访问,如下代码所示:

@Override

public void configure(HttpSecurity http) throws Exception {

 

        http.authorizeRequests()

            .antMatchers("/orders")

            .access("hasRole('ROLE_USER')");

}

 

上述代码中,假设访问“/orders”端点的请求必须具备“ROLE_USER”角色,通过 access 方法中的 hasRole 方法我们即可灵活地实现这个需求。当然,除了使用 hasRole 外,我们还可以使用 authentication、isAnonymous、isAuthenticated、permitAll 等表达式进行实现。因这些表达式的作用与前面介绍的配置方法一致,我们就不过多赘述。

 

使用注解

除了使用配置方法,Spring Security 还为我们提供了 @PreAuthorize 注解实现类似的效果,该注解定义如下代码所示:

@Target({ ElementType.METHOD, ElementType.TYPE })

@Retention(RetentionPolicy.RUNTIME)

@Inherited

@Documented

public @interface PreAuthorize {

 

    //通过 SpEL 表达式设置访问控制

    String value();

}

 

可以看到 @PreAuthorize 的原理与前面介绍的 access() 方法一样,即通过传入一个 SpEL 表达式设置访问控制,如下所示代码就是一个典型的使用示例:

@RestController

@RequestMapping(value="orders")

public class OrderController {

 

@PostMapping(value = "/")

@PreAuthorize("hasRole(ROLE_ADMIN)")

public void addOrder(@RequestBody Order order) {

    …

}

}

 

从这个示例中可以看到,在“/orders/”这个 HTTP 端点上,我们添加了一个 @PreAuthorize 注解用来限制只有角色为“ROLE_ADMIN”的用户才能访问该端点。

其实,Spring Security 中用于授权的注解还有 @PostAuthorize,它与 @PreAuthorize 注解是一组,主要用于请求结束之后检查权限。因这种情况比较少见,这里我们不再继续展开,你可以翻阅相关资料学习。

6.实现多种授权方案

 

使用用户级别保护服务访问

我们创建了一个 SpringCssSecurityConfig 类继承 WebSecurityConfigurerAdapter,如下代码所示:

@Configuration

public class SpringCssSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override

    public void configure(HttpSecurity http) throws Exception {

        http.authorizeRequests()

            .anyRequest()

            .authenticated();
    }
}

位于 configure() 方法中的 .anyRequest().authenticated() 语句指定了访问 customer-service 下的所有端点的任何请求都需要进行验证。因此,当我们使用普通的 HTTP 请求访问 CustomerController 中的任何 URL(例如http://localhost:8083/customers/1),将会得到如下图代码所示的错误信息,该错误信息明确指出资源的访问需要进行认证。

  1. {

  2.     "error": "access_denied",

  3.     "error_description": "Full authentication is required to access to this resource"

  4. }

 

使用用户+角色级别保护服务访问

对于某些安全性要求比较高的 HTTP 端点,我们通常需要限定访问的角色。

例如,customer-service 服务中涉及客户工单管理等核心业务,我们认为不应该给所有的认证用户开放资源访问入口,而应该限定只有角色为“ADMIN”的管理员才开放。这时,我们就可以使用认证用户+角色保护服务的访问控制机制,具体的示例代码如下所示:

@Configuration

public class SpringCssSecurityConfig extends WebSecurityConfigurerAdapter {

 

    @Override

    public void configure(HttpSecurity http) throws Exception {

        http.authorizeRequests()
            .antMatchers("/customers/**")
            .hasRole("ADMIN")
            .anyRequest()
            .authenticated();
    }
}

在上述代码中可以看到,我们使用了 HttpSecurity 类中的 antMatchers("/customer/") 和 hasRole("ADMIN") 方法为访问"/customers/"的请求限定了角色,只有"ADMIN"角色的认证用户才能访问以"/customers/"为根地址的所有 URL。

如果我们使用了认证用户+角色的方式保护服务访问,使用角色为“USER”的认证用户“springcss_user”访问 customer-service 时就会出现如下所示的“access_denied”错误信息:

  1. {

  2.     "error": "access_denied",

  3.     "error_description": "Access is denied"

  4. }

而我们使用具有“ADMIN”角色的“springcss_admin”用户访问 customer-service 时,将会得到正常的返回信息,关于这点你可以自己做一些尝试。

 

使用用户+角色+操作级别保护服务访问

最后一种保护服务访问的策略粒度划分最细,在认证用户+角色的基础上,我们需要再对具体的 HTTP 操作进行限制。

在 customer-service 中,我们认为所有对客服工单的删除操作都很危险,因此可以使用 http.antMatchers(HttpMethod.DELETE, "/customers/**") 方法对删除操作进行保护,示例代码如下:

@Configuration

public class SpringCssSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    public void configure(HttpSecurity http) throws Exception{
        http.authorizeRequests()
                .antMatchers(HttpMethod.DELETE, "/customers/**")
                .hasRole("ADMIN")
                .anyRequest()
                .authenticated();
    }

}

 

上述代码的效果在于对“/customers”端点执行删除操作时,我们需要使用具有“ADMIN”角色的“springcss_admin”用户,执行其他操作时不需要。因为如果我们使用“springcss_user”账户执行删除操作,还是会出现“access_denied”错误信息。

 

fang·up·ad
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
详解Spring Boot 使用Spring security 集成CAS
08-30
本篇文章主要介绍了详解Spring Boot 使用Spring security 集成CAS,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
Spring Security 4 中的 hasRole 和 hasAuthority 差异引发的思考
Specif1c的博客
05-14 2667
前言: 在使用 Spring Security 的时候我们必然会使用到如下两种访问权限配置中的一种: 第一种: http.authorizeRequests() .antMatchers("/root/**").hasAuthority("root") .antMatchers("/admin/**").hasAuthority("admin") .anyRequest().authenticated() 第二种: http.authorizeReq
spring-security踩坑之旅hasRole
搬砖青年
08-12 1582
spring-boot在集成spring-security后通过@EnableGlobalMethodSecurity开启相应注解注解 在controller的具体方法上可以通过添加注解@PreAuthorize来控制权限 PreAuthorize通常使用hasRole和hasAuthority来控制访问权限,但是hasRole会有一个比较坑的地方 源码如下: public final b...
Spring Security 表达式(Expressions) - hasRole示例
weixin_30772105的博客
05-19 913
1.概述 Spring Security使用强大的Spring Expression Language(SpEL)提供各种各样的表达式。大多数这些Security表达式是针对上下文对象(当前经过身份验证的主体)进行工作的. 这些表达式的评估由SecurityExpressionRoot执行 - 它提供了Web安全性和方法级安全性的基础。 Spring Security 3.0中引入了使用SpEL表...
Spring Security - hasRole and hasAuthority
A_bad_horse的专栏
06-14 335
Spring Security - hasRole and hasAuthority
SpringSecurity给用户授权,一个用户能同时拥有多种身份Role,及权限鉴权注解方法hasRole及hasAuthority的使用区别
质量不太好的博客
03-13 9211
SpringSecurity给用户授权,一个用户能同时拥有多种身份Role
Spring Boot2.0使用Spring Security的示例代码
08-27
主要介绍了Spring Boot2.0使用Spring Security的示例代码,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
spring boot jpa security
05-08
#boot-jpa-security-dmdb-freemark spring boot spring security 达梦数据库 ftl assembly 打包
Spring BootSpring Security应用例子
最新发布
08-12
当构建一个安全的Web应用程序时,使用Spring BootSpring Security可以大大简化开发过程。以下是一个示例项目,展示了如何使用这些框架来实现基本的安全功能。 构建安全的Web应用程序:一个示例项目 1. 项目准备 ...
详解Spring Boot Security
08-26
Spring Security,这是一种基于 Spring AOP 和 Servlet 。这篇文章主要介绍了Spring Boot Security的相关知识,需要的朋友可以参考下
初学spring security(四)-----角色权限控制
m0_48631806的博客
03-25 1188
在配置类中通过hasAuthority(“admin”)设置具有admin权限时才能访问。2.hasAnyAuthority(String ...) 如果用户具备给定权限中某一个,就允许访问。// 如果用户没有"adMin","admiN"这两个权限,将被拒绝访问(区分大小写)3.hasRole(String) 如果用户具备给定角色就允许访问。否则出现403。参数取值来源于自定义登录逻辑UserDetailsService实现类中创建User对象时给User赋予的授权。
Spring GateWay OAuth2ResourceServer 配置ServerHttpSecurity中的hasRole 无效的问题
Sober的博客
03-25 1万+
文章目录问题解决方案JwtGrantedAuthoritiesConverter源码 问题 原因来自于ServerHttpSecurity.OAuth2ResourceServerSpec.JwtSpec中默认的ReactiveAuthenticationManager没有将jwt中authorities 的负载部分当做Authentication的权限。 简而言之,我们需要把jwt 的Claim...
如何在 Spring Security 中自定义权限表达式
江南一点雨的专栏
07-11 2081
在前面的文章中,松哥已经和小伙伴们聊了 Spring Security 中的权限表达式了,还没看过的小伙伴们可以先看下,本文将在前文的基础上继续完善:经过上篇文章的学习,小伙伴们已经知道了,在 Spring Security 中,@PreAuthorize、@PostAuthorize 等注解都是支持 SpEL 表达式的。在 SpEL 表达式中,如果上来就直接写要执行的方法名,那么就说明这个方法是 RootObject 对象中的方法,如果要执行其他对象的方法,那么还需要写上对象的名字,例如如下两个例子: 上
SpringBootSpring Security使用
CSH__的博客
07-27 2191
SpringBootSpring Security使用
SpringSecurity设置角色和权限的注意点
weixin_34404393的博客
02-18 2935
概念 在UserDetailsService的loadUserByUsername方法里去构建当前登陆的用户时,你可以选择两种授权方法,即角色授权和权限授权,对应使用的代码是hasRole和hasAuthority,而这两种方式在设置时也有不同,下面介绍一下: 角色授权:授权代码需要加ROLE_前缀,controller上使用时不要加前缀 权限授权:设置和使用时,名称保持一至即可 使用,moc...
SpringSecurity权限命名ROLE_问题
热门推荐
08-11 3万+
SpringSecurity权限命名ROLE_问题 最近在整理知识点的时候,对于SpringSecurity中的那个ROLE_真的感觉很奇怪,今天查了不少,找到一点点东西,可以丰富一些杂识哈。???? 喜欢的话,一起坚持啦!!! 一、前言: 先讲一下我的好奇点: 最近在使用Security做安全权限控制,可以看到下图,这个方法可以通过的角色是USER,但是我的表中的数据是这样的。 我就对于这个前缀ROLE_非常的好奇。(因为是许久之前的代码了,就忘记的差不多啦????狗头保命) 我做过测试如果使用@
SpringSecurity详解
m0_71012114的博客
10-19 4924
本文详解介绍了security原理、多种方式配置登录、角色和权限访问控制、常用注解、用户注销。
Spring Boot 如何使用 Spring Security 进行认证和授权
it_xushixiong的博客
06-23 4555
在 Web 应用程序中,认证和授权是非常重要的功能。Spring Security 是一个基于 Spring 框架的强大的安全框架,它提供了完整的认证和授权解决方案,并且可以轻松地集成到 Spring Boot 应用程序中。本文将介绍如何在 Spring Boot使用 Spring Security 进行认证和授权,并提供示例代码。
Springboot+SpringSecurity一篇看会
普通人一枚
03-06 8340
SpringSecurity总结
Spring Boot 使用Spring security 集成CAS, 禁用
05-31
如果你想在Spring Boot中集成CAS和Spring Security,但是又想禁用CAS,你可以按照以下步骤进行操作: 1. 在Spring Security配置文件中禁用CAS: ```java @Configuration @EnableWebSecurity public class Security...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

fang·up·ad

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值