权限管理之Spring Security(二)

最新推荐文章于 2024-03-31 01:12:44 发布
最新推荐文章于 2024-03-31 01:12:44 发布
阅读量971 收藏 4
点赞数 2
分类专栏: springboot security 文章标签: 动态权限 security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_28726483/article/details/85935446
版权

权限管理之Spring Security(一)中,可以说完成了一个最简单的可以使用的demo,但是在实际情况中,我们通常希望权限是存储在数据库中的而不是在代码中以注解的方式写死。本文来探讨security基于数据库的动态权限。

首先我们来理解一下如何做到权限控制,在我看来,其实就是判断当前用户是否可以访问这个url,如何来判断呢,实际上就是看用户所谓的权限列表中有没有当前这个url。最根本的权限管理如何做,数据库存储用户能访问的url,当访问链接时,判断当前url是否在用户可访问的列表中,是则允许访问,否则无权限。

security实际上已经帮我们完成了判断的过程,我们只需要提供用户的权限即可,但是security是根据所谓的权限标识来进行判断的(即ROLE),所以我们需要获取所有的url,并为每个url指定一个权限标识,配置代码如下(延用之前的demo):

@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(new MyUserDetailsService());
    }

    @Data
    class Permission{
        private String url;
        private String ROLE;
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //构造权限
        Set<Permission> set = new HashSet<>();
        Permission permission  = new Permission();
        permission.setUrl("/admin/**");
        permission.setROLE("ADMIN");
        set.add(permission);
        Permission permission1 = new Permission();
        permission1.setUrl("/role");
        permission1.setROLE("USER");
        set.add(permission1);

        ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry urlRegistry = http.formLogin().permitAll()
                .and()
                .authorizeRequests()
                .antMatchers("/test/**").permitAll();
        set.forEach(permission2 -> {
                    urlRegistry.antMatchers(permission2.getUrl()).hasRole(permission2.getROLE());
            });
            urlRegistry.anyRequest().authenticated();

    }


    class MyUserDetailsService implements UserDetailsService {

        private Map<String, User> userRepository = new HashMap<String, User>();

        public MyUserDetailsService() {
            List<SimpleGrantedAuthority> authorities = new ArrayList<>();
            authorities.add(new SimpleGrantedAuthority("ROLE_USER"));
            User user1 = new User("user1", "password1", authorities);
            userRepository.put("user1", user1);
            User user2 = new User("user2", "password2", authorities);
            userRepository.put("user2", user2);
        }

        @Override
        public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
            User user = userRepository.get(s);
            return user;
        }
    }

    @Bean
    public static NoOpPasswordEncoder passwordEncoder() {
        return (NoOpPasswordEncoder) NoOpPasswordEncoder.getInstance();
    }

}

在上面的代码中,我构造了两个url的权限,在实际开发中,这里应该从数据库查出所有的接口权限,同时此处也可以额外添加其他的配置,如限制ip,以及过滤接口等。详见官方文档

security的授权核心是 AccessDecisionManager以及AccessDecisionVoter,但是我并不推荐去自己实现这两个对象来达到数据库动态权限配置的目的,因为那样很麻烦并且存在一定的问题。我写的这种方式是我认为比较合理的,而且不用过多的配置即可完成一整套的功能。当然,可能是我对它的认识还不够准确,有不对的地方敬请指正。最后附上基于AccessDecisionManager以及AccessDecisionVoter实现动态权限配置的链接。

https://www.cnblogs.com/softidea/p/7068149.html

https://www.cnblogs.com/xiaoqi/p/spring-security-rabc.html

寻找的人丶
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
Spring security实现登陆和权限角色控制
09-09
主要介绍了Spring security实现登陆和权限角色控制,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
权限管理Spring Security(一)
生如夏花的博客
01-06 2346
本文只是我对security的一些简单看法,如有错误,敬请指正。 从最简单的demo说起 一个最简单的springboot+security的demo到底可以简单到什么程度?请看以下代码: null   如果说maven引入jar包不算代码的话,那么最简单的启用security没有任何代码!首先创建一个springboot项目,引入security以及web即可 当我们引入spri...
Spring Security 中的四种权限控制方式
2401_83330354的博客
03-31 445
三个工作日收到了offer,头条面试体验还是很棒的,这次的头条面试好像每面技术都问了我算法,然后就是中间件、MySQL、Redis、Kafka、网络等等。第一个是算法关于算法,我觉得最好的是刷题,作死的刷的,多做多练习,加上自己的理解,还是比较容易拿下的。而且,我貌似是将《算法刷题LeetCode中文版》、《算法的乐趣》大概都过了一遍,尤其是这本。
Spring Security 详解
热门推荐
qq_22075913的博客
06-06 11万+
Spring SecuritySpring家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用SpringSecurity来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。​ 一般Web应用的需要进行认证和授权。​ 而认证和授权也是SpringSecurity作为安全框架的核心功能。视频地址:​ 我们先要搭建一个简单的SpringBoot工程① 设置父工
Spring Security对用户权限进行管理
theVicTory的博客
11-03 2333
基于角色的访问控制 隐式访问控制:根据用户的角色判断是否具有某项操作 显示访问控制:为用户分配某种权限,根据权限判断是否可以进行某种操作。与具体角色无关,权限控制更加灵活 认证( authentication ):是建立主体( principal) 的过程。"主体"不仅指用户,还可以是其他执行操作的系统或设备。 授权(authorization ):或称为"访问控制(access-control), 是指决定是否允许主体在应用程序中执行操作 Spring SecuritySpring中常用的安全服务框架,
SpringSecurity授权管理介绍
波波烤鸭的博客
12-05 4640
  权限管理的两大核心是:认证和授权,前面我们已经介绍完了认证的内容,本文就给大家来介绍下SpringSecurity的授权管理 一、注解操作   我们在控制器或者service中实现授权操作比较理想的方式就是通过相应的注解来实现。SpringSecurity可以通过注解的方式来控制类或者方法的访问权限。注解需要对应的注解支持,若注解放在controller类中,对应注解支持应该放在mvc配置文件...
SpringSecurity授权
小钟不想敲代码
05-28 5400
SpringSecurity授权
Spring security实现权限管理示例
08-31
主要介绍了Spring security实现权限管理示例,这里整理了详细的代码,具有一定的参考价值,感兴趣的小伙伴们可以参考一下。
java学习之SpringSecurity配置了登录链接无权限
06-16
我们在使用SpringSecurity作为后台权限框架的时候,框架给我们提供了配置登录请求的接口,供我们配置登录链接,当我们配置了登录链接地址后,前端访问登陆请求的时候显示无权限。 异常分析 由于SpringSecurity的...
Spring security认证授权
11-30
Spring security认证授权例子,自动创建数据库,在SysUser类增加字段,即可动态增加数据库对应表sys_user字段(前提是要删除原表,启动应用时才会重建表)
Java课程实验 Spring Security 实现用户认证和授权管理
07-07
要在Spring Boot中实现用户认证和授权管理,你可以使用Spring Security框架。Spring Security提供了一套强大的功能来处理用户身份验证和授权,以下是一些常见的步骤: 1.添加Spring Security依赖: 在项目的 pom.xml...
idea 启动springboot的三种方式以及热部署
生如夏花的博客
04-14 2万+
Springboot学习中的一个坑。       在不配置的情况下,将自己新建的controller包放在了与springbootApplication所在的包同级的目录下会扫描不到路径,导致访问时报404.正确的做法是将新建的包全部放在与springbootApplication同级的目录下即可。★Springboot的三种启动方式1.直接run SpringbootApplication类的m...
理解 maven 多模块项目依赖关系
生如夏花的博客
04-17 7070
语言功底差,直接上代码。然后再解释1。父pom&lt;?xml version="1.0" encoding="UTF-8"?&gt; &lt;project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:sc...
@ControllerAdvice+@ExceptionHandler 无法处理自定义异常问题
生如夏花的博客
04-25 5076
今天在学习springboot整合shiro以及统一异常处理时遇到了无法处理自定义异常问题。代码如上图,找了半边没有发现原因。在控制台打印的确实是自定义的异常信息,然后在这里就是无效。通过debug模式发现shiro抛出的并不是MyException这个自定义异常,而是AuthenticationException这个异常。这个异常是shiro框架的异常,我在写的方法中并没有抛出这个异常,最后发现...
mysql生成markdown格式的数据库文档
生如夏花的博客
06-01 2913
mysql生成MD格式的数据库文档 用法: 1.配置数据库连接(目前只支持mysql) 2.直接启动即可 配置项: exclude.table:排除的表名,多个以","(英文逗号)隔开 appoint.table:指定要生产的表名,多个以","(英文逗号)隔开 exclude.field:排除要生成的字段,多个以","(英文逗号)隔开 目前支持字段:fieldName(字段名),fieldExplain(字段说明),fieldType(字段类型),defaultValue(默认值),isEmpty(是否为
IDEA clear操作后springboot启动失败
生如夏花的博客
07-23 1937
在idea开发springboot项目的时候,当clear项目后,会导致启动失败,初步猜测原因是idea无法加载配置文件。解决方法是随便改一下配置文件就可以了。加点注释····等等操作就OK。 so  不建议clear,完全没啥用。。。...
springboot 日志相关规约
生如夏花的博客
08-01 345
1. 除非很必要的情况,否则不得使用自定义日志配置文件 1)springboot 默认的日志输出是很美观的,不必要重写 2)基本上很多需要重写的部分都可以用配置来解决 2. 不得采用自带的打印方法输出日志,日志文件是无法记录的,所有输出必须采用日志门面的输出方式 3. springboot admin client需要用到在线日志查看功能时,务必配置日志文件地址 1)springboot 2.1.x以及之前,logging.file 2)springboot 2.2.x,logging.file.pa
微信小程序-番茄时钟源码
最新发布
05-13
微信小程序番茄时钟的源码,支持进一步的修改。番茄钟,指的是把工作任务分解成半小时左右,集中精力工作25分钟后休息5分钟,如此视作种一个“番茄”,而“番茄工作法”的流程能使下一个30分钟更有动力。
权限管理springsecurity自定义登录授权
10-15
Spring Security是一个用于在Java应用程序中实现身份验证和授权的框架。它提供了一种可靠和灵活的方法来管理应用程序中的权限。通过使用Spring Security,可以轻松地自定义登录授权过程。 首先,我们需要创建一个实现`UserDetailsService`接口的类来处理用户的身份验证。在这个类中,我们可以自定义用户的登录逻辑,例如验证用户名和密码。我们可以使用Spring Security提供的各种验证方法来验证用户的身份。 接下来,我们需要配置Spring Security来处理用户的授权。可以使用`WebSecurityConfigurerAdapter`类扩展一个配置类,并覆盖其中的`configure`方法。在这个方法中,我们可以指定哪些URL需要受到保护,哪些URL可以公开访问。例如,我们可以使用`antMatchers`方法来指定URL模式,然后使用`hasAuthority`或`hasRole`方法来指定用户需要具备的权限或角色。 另外,我们还可以使用`@PreAuthorize`注解来在方法级别上进行授权。可以在需要进行授权的方法上添加该注解,并指定用户需要具备的权限或角色。 最后,我们还可以通过自定义`AuthenticationProvider`来实现更复杂的授权逻辑。可以创建一个实现该接口的类,并在其中实现自定义的身份验证和授权逻辑。然后可以将这个自定义的`AuthenticationProvider`添加到Spring Security的配置中。 通过以上的方法,我们可以灵活地自定义登录授权过程。Spring Security提供了丰富的配置选项和接口来满足各种不同的授权需求。使用Spring Security,我们可以有效地管理应用程序中的权限,并确保只有具备合适权限的用户可以访问受保护的资源。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值