spring security

最新推荐文章于 2023-07-04 21:51:53 发布
最新推荐文章于 2023-07-04 21:51:53 发布
阅读量619 收藏 1
点赞数
分类专栏: spring boot 文章标签: spring security spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_27720567/article/details/77509452
版权

本文讲述spring Boot整合Spring Security在方法上使用注解实现权限控制,使用自定义UserDetailService,从MySQL中加载用户信息。使用Security自带的MD5加密,对用户密码进行加密。

spring security 的验证流程:

  1. 用户发出请求
  2. 过滤器拦截(OauthAuthenticationFilter:doFilter)
  3. 取得请求资源所需权限(UserDetailService.loadUserByUsername)
  4. 匹配用户拥有权限和请求权限(AuthenticationProvider authenticate()),如果用户没有相应的权限,
    执行第5步,否则执行第6步。
  5. 登录
  6. 验证并授权(MyUserDetailServiceImpl:loadUserByUsername)

1、配置类 Spring Security

  • 通过 @EnableWebSecurity 注解开启Spring Security的功能
  • 继承 WebSecurityConfigurerAdapter ,并重写它的方法来设置一些web安全的细节
  • configure(HttpSecurity http) 方法
  • 自定义成功/失败的 handle
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Resource
    private FindByIndexNameSessionRepository<ExpiringSession> sessionRepository;
    @Resource
    private AdminUserDetailsService adminUserDetailsService;
    @Resource
    private DaoAuthenticationProvider daoAuthenticationProvider;


    @Override
    protected void configure(HttpSecurity http) throws Exception {
        SessionManagementConfigurer<HttpSecurity> sessionManagement = http.sessionManagement();
        sessionManagement.sessionCreationPolicy(SessionCreationPolicy.ALWAYS);
        sessionManagement.sessionFixation().migrateSession();

        http.csrf().disable();
        http.authorizeRequests().antMatchers("/*").permitAll()
                .requestMatchers(CorsUtils::isPreFlightRequest).permitAll();
        http.exceptionHandling().accessDeniedHandler(new JsonAccessDeniedHandler(BaseExceptionEnum.ACCESS_DENIED.getMessage(), BaseExceptionEnum.ACCESS_DENIED.getCode()));

        http.logout().logoutUrl("/api/adminUser/logout").logoutSuccessHandler(new JsonLogoutSuccessHandler(BaseExceptionEnum.SUCCESS.getMessage(), BaseExceptionEnum.SUCCESS.getCode()));

        http.formLogin().loginPage("/api/adminUser/login").usernameParameter("phone")
                .successHandler(new JsonAuthenticationSuccessHandler(BaseExceptionEnum.SUCCESS.getMessage(), BaseExceptionEnum.SUCCESS.getCode()))
                .failureHandler(new JsonAuthenticationFailureHandler(BaseExceptionEnum.INVALID_ACCOUNT_PASSWORD.getMessage(), BaseExceptionEnum.INVALID_ACCOUNT_PASSWORD.getCode()));

    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.authenticationProvider(daoAuthenticationProvider());
    }

    /**
     * 配置数据库校验逻辑:手机号码+密码
     *
     * @return
     */
    @Bean
    public DaoAuthenticationProvider daoAuthenticationProvider() {
        DaoAuthenticationProvider daoAuthenticationProvider = new DaoAuthenticationProvider();

        // 设置用户查询处理逻辑的类
        daoAuthenticationProvider.setUserDetailsService(adminUserDetailsService);

        // 设置密码加密的盐值
        // ReflectionSaltSource saltSource = new ReflectionSaltSource();
        // saltSource.setUserPropertyToUse("username");
        // daoAuthenticationProvider.setSaltSource(saltSource);

        // 设置密码加密算法
        ShaPasswordEncoder shaPasswordEncoder = new ShaPasswordEncoder(512);
        daoAuthenticationProvider.setPasswordEncoder(shaPasswordEncoder);

        return daoAuthenticationProvider;
    }

    @Bean
    @Autowired
    public SpringSessionBackedSessionRegistry springSessionBackedSessionRegistry(FindByIndexNameSessionRepository sessionRepository) {
        return new SpringSessionBackedSessionRegistry(sessionRepository);
    }
}

2、自定义 UserDetailService

  • 检索使用自己选择的持久化策略的认证信息
  • 在 loadUserByUsername() 获取数据库用户信息,并添加相应的权限到 UserDetails
@Service
public class AdminUserDetailsService implements UserDetailsService {

    @Resource private AdminUserMapper adminUserMapper;
    @Resource private CustomAdminUserMapper customAdminUserMapper;

    @Resource private AdminManagementService adminManagementService;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        AdminUserExample example = new AdminUserExample();
        example.createCriteria().andPhoneEqualTo(username);
        List<AdminUser> list = adminUserMapper.selectByExampleWithBLOBs(example);

        if (list == null || list.size() == 0) {
            throw new JrdException(JrdExceptionEnum.ADMIN_NOT_FOUND);
        }
        AdminUser adminUser = list.get(0);

        Set<GrantedAuthority> adminAuthorities = adminManagementService.getAdminAuthorities(adminUser);

        Boolean accountNonLocked = true;

        if (adminUser.getUserStatus() != null)
            accountNonLocked = UserStatusEnum.isUserAccountEnabled(adminUser.getUserStatus());

        if (adminUser == null) {
            throw new UsernameNotFoundException(AdminUserExceptionEnum.ADMIN_USER_NOT_FOUND.getMessage());
        }

        return new AdminUserDetails(adminUser,adminAuthorities);
    }
}

3、用声明式注解 @PreAuthorize 修饰 Controller 方法

  这里有两种用法:
  • @PreAuthorize(“hasAuthority(‘authorized’,’ROLE_XXX)”)
  • @PreAuthorize(“hasPermission(‘authorized’, ”)”)
例如:
    @RequestMapping(value = "/saveAccount", method = RequestMethod.POST)
    @PreAuthorize("hasPermission('authorized', '')")
    public String saveAccount(@Validated(Save.class) User user) {
        logger.info(user.getUsername() + " " + user.getCompanyName());

        userService.saveUser(user);

        return ApiJsonSerializeUtil.jsonResponse(user);
    }

第一种 hasAuthority : spring security 会从 UserDetail 里面 getAuthorities() 里拿出该用户对应的权限,然后再自动帮我们校验;

第二种 hasPermission : 需要配置PermissionEvaluator 、GlobalMethodSecurityConfiguration 两个类。在 PermissionEvaluator 中的 hasPrivilege() 方法中进行权限校验。

@Component
public class AdminPermissionEvaluator implements PermissionEvaluator {
    public static final String AUTHORIZED = "AUTHORIZED";   // 要求登录

    @Override
    public boolean hasPermission(Authentication authentication, Object targetDomainObject, Object permission) {
        if (authentication == null || !(permission instanceof String)) {
            return false;
        }

        return hasPrivilege(authentication, targetDomainObject.toString(), permission.toString().toUpperCase());
    }

    @Override
    public boolean hasPermission(Authentication authentication, Serializable targetId, String targetType, Object permission) {
        return hasPermission(authentication, null, permission);
    }

    private Boolean hasPrivilege(Authentication authentication, String targetType, String permission) {


        if (authentication instanceof AnonymousAuthenticationToken) {
            return false;
        }

        AdminUserDetails principal = (AdminUserDetails) authentication.getPrincipal();
        Set<GrantedAuthority> authorities = (Set<GrantedAuthority>) principal.getAuthorities();
        if (!permission.equals("")){
            for (GrantedAuthority authoritie : authorities){
                if (authoritie.getAuthority().equals(permission)){
                    return true;
                }
            }
            return false;
        }

        if (authentication.getPrincipal() != null && authentication.getPrincipal() instanceof AdminUserDetails) {
            return true;
        } else {
            return false;
        }
    }
}

@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class AdminSecurityMethodConfig extends GlobalMethodSecurityConfiguration {

    @Resource private AdminPermissionEvaluator adminPermissionEvaluator;

    @Override
    protected MethodSecurityExpressionHandler createExpressionHandler() {
        DefaultMethodSecurityExpressionHandler expressionHandler = new DefaultMethodSecurityExpressionHandler();
        expressionHandler.setPermissionEvaluator(adminPermissionEvaluator);

        return expressionHandler;
    }
}
GGFGGzz
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springsecurity
07-23
Spring Security 是一个强大的且高度可定制的身份验证和访问控制框架,专为Java应用程序设计。它为Web应用和企业级应用提供了全面的安全解决方案,包括登录、权限管理、会话管理、跨站请求伪造(CSRF)防护等核心...
SpringSecurity笔记,编程不良人笔记
10-28
SpringSecurity是Java领域中一款强大的安全框架,主要用于Web应用程序的安全管理。它提供了全面的身份验证、授权、会话管理以及安全相关的功能,可以帮助开发者构建安全的Web应用。在本笔记中,我们将深入探讨Spring...
Spring Security(16)——基于表达式的权限控制
dotedy的博客
10-16 1884
EL表达式hasPermissionPreFilterPreAuthorizeSpring Security  基于表达式的权限控制 目录 1.1      通过表达式控制URL权限 1.2      通过表达式控制方法权限 1.2.1     使用@PreAuthorize和@PostAuthorize进行访问控制 1.2.2     使用@PreFilter和@Post
Spring security 方法级权限控制
山鬼谣的专栏
07-07 2333
环境 springboot:1.5 Intellij IDEA:2021.1 序言 以前只是用到架构师搭好的环境,具体怎么配置,怎么用并不是很清楚; 最近因为项目的原因,研究了下,虽然最终没有用上,但是研究的成果,我得记录下来; 步骤 这里假设已经是springboot项目 依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-st
基于SpringSecurity自定义权限表达式
CNchangan的博客
07-04 356
基于SpringSecurity自定义权限表达式
spingsecurity中haspermission用法以及配置自定义PermissionEvaluator
xmj_0422的博客
08-13 1万+
一、原理剖析 先看一段官方文档对haspermission的描述(文档链接:https://docs.spring.io/spring-security/site/docs/5.2.7.BUILD-SNAPSHOT/reference/htmlsingle/#el-permission-evaluator) 开头的意思是haspermission的注解会委托给PermissionEvaluator接口,而这个接口默认实现是DenyAllPermissionEvaluator(源码如下) 这个类的两个
Spring Security 初识(五)--保护方法应用
只有变秃 才能变强
12-30 2078
Spring Security 初识(五)–保护方法应用在Spring Securoty实现方法级别的安全性最常见的方法是使用特定的注解.将这些注解应用到需要保护的方法上.Spring Security 提供了三种不同方式的安全注解. Spring 自带的 @Security 注解. JSR-250 的 @RolesAllow 注解. 表达式驱动的注解: @PreAythorize , @PostA
Spring Security in Action
11-22
Spring Security 实践指南 Spring Security 是一个基于 Java 的安全框架,旨在提供身份验证、授权和访问控制等功能。下面是 Spring Security 的主要知识点: 一、身份验证(Authentication) 身份验证是指对用户...
SpringSecurity.zip
06-08
Spring Securityspring家族一员。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转...
springSecurity
最新发布
10-14
springSecurity
spring-security实现复杂的权限管理
09-11
spring-security3.17复杂的权限管理实现,包括数据库等,能直接运行!
初学spring security(四)-----角色权限控制
m0_48631806的博客
03-25 1355
在配置类中通过hasAuthority(“admin”)设置具有admin权限时才能访问。2.hasAnyAuthority(String ...) 如果用户具备给定权限中某一个,就允许访问。// 如果用户没有"adMin","admiN"这两个权限,将被拒绝访问(区分大小写)3.hasRole(String) 如果用户具备给定角色就允许访问。否则出现403。参数取值来源于自定义登录逻辑UserDetailsService实现类中创建User对象时给User赋予的授权。
SpringSecurity认证流程和授权流程源码详解
贺明香的博客
05-27 2126
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 SpringSecurity认证流程详解 一、关键类总结 ) 一、关键类 DaoAuthenticationProvider 继承 AbstractUserDetailsAuthenticationProvider 总结 ...
Spring-Security@PreAuthorize("hasAuthority('')")源码分析
cloud的博客
07-02 4万+
Spring-Security@PreAuthorize(“hasAuthority(’’)”)源码分析 @PreAuthorize(“hasAuthority(‘xxx’)”)用来鉴别当前登录用户所拥有的角色是否有xxx权限访问该接口。 点进去看看security是如何来鉴权的。 这里authority即为我们传入的权限,比如prod:create,接下来再看this.hasAnyAutho...
SpringBoot集成Spring Security(5)——权限控制
Jitwxs
05-15 3万+
在第一篇中,我们说过,用户&amp;amp;lt;–&amp;amp;gt;角色&amp;amp;lt;–&amp;amp;gt;权限三层中,暂时不考虑权限,在这一篇,是时候把它完成了。 为了方便演示,这里的权限只是对角色赋予权限,也就是说同一个角色的用户,权限是一样的。当然了,你也可以精细化到为每一个用户设置权限,但是这不在本篇的探讨范围,有兴趣可以自己实验,原理都是一样的。 源码地址:https://github.com/jitwxs/blog_...
Spring Security 简介
热门推荐
xlecho的博客
04-21 6万+
xl_echo编辑整理,欢迎转载,转载请声明文章来源。更多IT、编程案例、资料请联系QQ:1280023003 百战不败,依不自称常胜,百败不颓,依能奋力前行。——这才是真正的堪称强大!! 本文转载自:https://blog.csdn.net/u012517198/article/details/51648074 在 Web 应用开发中,安全一直是非常重要的一个方面。安全虽然属于应用...
Java Spring Security 安全框架:(十二)基于表达式的访问控制
地球村
10-12 361
基于表达式的访问控制1.access()方法使用1.1 以 hasRole 和 permitAll 举例2.使用自定义方法2.1 新建接口及实现类2.2 修改配置类 1.access()方法使用 之前的登录用户权限判断实际上底层实现都是调用 access(表达式) 可以通过 access()实现和之前学习的权限控制完成相同的功能 1.1 以 hasRole 和 permitAll 举例 下面代码和直接使用 permitAll()和 hasRole()是等效的。 2.使用自定义方法 虽然这里面已
Spring boot 中 Spring Security 使用改造5部曲
weixin_30919235的博客
11-17 1381
文章的内容有点长,也是自己学习Spring security的一个总结。如果你从头看到尾,我想你对Spring Security的使用和基本原理应该会有一个比较清晰的认识。 如果有什么理解不对的地方,请留言,谢谢。 一、Spring security 是什么? Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。 它提供...
Spring Security+Spring Boot 实现对用户权限控制访问特定权限内容(基于实战项目)
Alber_yang的博客
03-08 1308
我重写了hasPermission并用此方法在控制器上校验用户权限 原创实战代码,如有问题和错误留言一起交流学习 话不多说 public class MyPermissionEvaluator implements PermissionEvaluator { @Resource private UsersServiceImpl usersService; @Override...
Spring Security
09-13
Spring SecuritySpring家族中的一个安全管理框架。与另外一个安全框架Shiro相比,Spring Security提供了更丰富的功能,并且拥有更丰富的社区资源。一般来说,中大型的项目更倾向于使用Spring Security作为安全框架,而小项目则更多地选择Shiro,因为Shiro相对于Spring Security来说更容易上手。 在Spring Boot项目中使用Spring Security非常简单,我们只需要引入相应的依赖即可实现入门案例。具体来说,我们可以在项目的pom.xml文件中添加以下依赖: ``` <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> ``` 引入这个依赖后,Spring Boot会自动配置Spring Security,我们可以在项目中通过配置文件或代码来进行进一步的安全配置。Spring Security提供了一系列的功能和特性,包括身份认证、授权、表单登录、基于角色的访问控制等,可以帮助我们保护应用程序的安全。 总结起来,Spring Security是一个功能丰富且广泛使用的安全管理框架,适用于中大型项目。在Spring Boot项目中使用Spring Security非常简单,只需引入相应的依赖即可实现入门案例。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值