SpringSecurity授权

最新推荐文章于 2024-07-13 13:55:40 发布
最新推荐文章于 2024-07-13 13:55:40 发布
阅读量442 收藏 1
点赞数
文章标签: java mybatis spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30659573/article/details/129100033
版权

文章目录

工具类

import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

public class WebUtils {
    /**
     * 将字符串渲染到客户端
     *
     * @param response 渲染对象
     * @param string   待渲染的字符串
     * @return null
     */
    public static String renderString(HttpServletResponse response, String string) {
        try {
            response.setStatus (200);
            response.setContentType ("application/json");
            response.setCharacterEncoding ("utf-8");
            response.getWriter ().print (string);
        } catch (IOException e) {
            e.printStackTrace ();
        }
        return null;
    }
}

使用

启动类加注解**@EnableGlobalMethodSecurity(prePostEnabled = true)**

import org.mybatis.spring.annotation.MapperScan;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;

@SpringBootApplication
@EnableGlobalMethodSecurity(prePostEnabled = true)
@MapperScan("com.example.security.mapper")
public class SecurityApplication {

    public static void main(String[] args) {
        SpringApplication.run (SecurityApplication.class, args);
    }

}

接口前添加**@PreAuthorize**注解,需要xxx权限才可以执行

@RestController
public class HelloController {

    @RequestMapping("/hello")
    @PreAuthorize("hasAuthority('test')")
    public String hello(){
        return "hello";
    }
}

封装 权限信息

import com.alibaba.fastjson.annotation.JSONField;
import lombok.Data;
import lombok.NoArgsConstructor;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;

import java.util.Collection;
import java.util.List;
import java.util.stream.Collectors;

@Data
@NoArgsConstructor
public class LoginUser implements UserDetails {

    private User user;

    //存储权限信息
    private List<String> permissions;


    public LoginUser(User user, List<String> permissions) {
        this.user = user;
        this.permissions = permissions;
    }


    //存储SpringSecurity所需要的权限信息的集合
    @JSONField(serialize = false)
    // 不序列化到 redis
    private List<GrantedAuthority> authorities;

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        /**
         * 如果存在权限,直接返回
         */
        if (authorities != null) {
            return authorities;
        }
        // 把permissions中字符串类型的权限信息转换成GrantedAuthority对象存入authorities中
        authorities = permissions.stream ().
                map (SimpleGrantedAuthority::new)
                .collect (Collectors.toList ());
        return authorities;
    }

    @Override
    public String getPassword() {
        return user.getPassword ();
    }

    @Override
    public String getUsername() {
        return user.getUserName ();
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return true;
    }
}

修改UserDetailsServiceloadUserByUsername方法,封装授权信息

@Autowired
private UserMapper userMapper;

@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
    // 查询用户信息
    LambdaQueryWrapper<User> queryWrapper = new LambdaQueryWrapper<> ();
    queryWrapper.eq (User::getUserName, username);
    User user = userMapper.selectOne (queryWrapper);
    if (user == null) {
        // 用户不存在
        throw new RuntimeException ("用户不存在");
    }
    // TODO  根据用户查询权限信息 添加到 LoginUser中
    List<String> permissionKeyList = menuMapper.selectPermsByUserId (user.getId ());
    // 测试写法
    // List<String> list = new ArrayList<> (Arrays.asList("test"));
    return new LoginUser (user, permissionKeyList);
}

修改JwtAuthenticationTokenFilterdoFilterInternal方法,


 @Autowired
    private StringRedisTemplate redisTemplate;

    /**
     * 对于需要登录的接口进行拦截
     * 看看用户信息是否存在
     *
     * @param request
     * @param response
     * @param filterChain
     * @throws ServletException
     * @throws IOException
     */
    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        // 获取 token
        String token = request.getHeader ("token");
        if (!StringUtils.hasText (token)) {
            // 不携带token,放行
            filterChain.doFilter (request, response);
            return;
        }
        //解析token
        String userId;
        try {
            Claims claims = JwtUtil.parseJWT (token);
            userId = claims.getSubject ();
        } catch (Exception e) {
            e.printStackTrace ();
            throw new RuntimeException ("token非法");
        }
        //从redis中获取用户信息
        String redisKey = "login:" + userId;
        LoginUser loginUser = JSONObject.parseObject (redisTemplate.opsForValue ().get (redisKey), LoginUser.class);
        if (Objects.isNull (loginUser)) {
            // 没有token,就是未登录
            throw new RuntimeException ("用户未登录");
        }
        //存入SecurityContextHolder
        //TODO 获取权限信息封装到Authentication中
        UsernamePasswordAuthenticationToken authenticationToken =
                new UsernamePasswordAuthenticationToken (loginUser, null, loginUser.getAuthorities ());
        SecurityContextHolder.getContext ().setAuthentication (authenticationToken);
        // 放行
        filterChain.doFilter (request, response);
    }

自定义失败处理

代码

认证过程中出现的异常会被封装成AuthenticationException然后调用AuthenticationEntryPoint对象的方法去进行异常处理
授权过程中出现的异常会被封装成AccessDeniedException然后调用AccessDeniedHandler对象的方法去进行异常处理

​所以如果我们需要自定义异常处理,我们只需要自定义AuthenticationEntryPoint和AccessDeniedHandler然后配置给SpringSecurity即可


/**
 * 授权失败
 */
@Component
public class AccessDeniedHandlerImpl implements AccessDeniedHandler {
    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) throws IOException, ServletException {
        ResponseResult result = new ResponseResult (HttpStatus.FORBIDDEN.value (), "权限不足");
        String json = JSON.toJSONString (result);
        WebUtils.renderString (response, json);

    }
}

/**
 * 认证失败
 */
@Component
public class AuthenticationEntryPointImpl implements AuthenticationEntryPoint {
    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException, ServletException {
        ResponseResult result = new ResponseResult (HttpStatus.UNAUTHORIZED.value (), "认证失败请重新登录");
        String json = JSON.toJSONString (result);
        WebUtils.renderString (response, json);
    }
}

配置

public class SecurityConfig extends WebSecurityConfigurerAdapter

@Autowired
private AuthenticationEntryPoint authenticationEntryPoint;

@Autowired
private AccessDeniedHandler accessDeniedHandler;

http.exceptionHandling()
		.authenticationEntryPoint(authenticationEntryPoint)
		.accessDeniedHandler(accessDeniedHandler);

跨域

①先对SpringBoot配置,运行跨域请求

import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class CorsConfig implements WebMvcConfigurer {

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        // 设置允许跨域的路径
        registry.addMapping ("/**")
                // 设置允许跨域请求的域名
                .allowedOriginPatterns ("*")
                // 是否允许cookie
                .allowCredentials (true)
                // 设置允许的请求方式
                .allowedMethods ("GET", "POST", "DELETE", "PUT")
                // 设置允许的header属性
                .allowedHeaders ("*")
                // 跨域允许时间
                .maxAge (3600);
    }
}

②开启SpringSecurity的跨域访问

//允许跨域
http.cors();

其他权限授权

hasAnyAuthority

// hasAnyAuthority 有其中的任何一个权限
@PreAuthorize("hasAnyAuthority('admin','test','system:dept:list')")
public String hello(){
    return "hello";
}

自定义权限校验方法

import com.example.security.vo.LoginUser;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.stereotype.Component;

import java.util.List;

@Component("ex")
public class XDExpressionRoot {

    public boolean hasAuthority(String authority) {
        // 获取当前用户的权限
        Authentication authentication = SecurityContextHolder.getContext ().getAuthentication ();
        LoginUser loginUser = (LoginUser) authentication.getPrincipal ();
        List<String> permissions = loginUser.getPermissions ();
        // 判断用户权限集合中 是否存在authority
        return permissions.contains (authority);
    }
}

@ex代表这个Bean对象

@PostMapping("/user/login")
@PreAuthorize("@ex.hasAuthority('xd')")
public ResponseResult login(@RequestBody User user) {
    return loginServcie.login (user);
}

基于配置的权限控制

在配置类中使用配置的方式 对资源进行权限控制

@Override
protected void configure(HttpSecurity http) throws Exception {
    http
            //关闭csrf
            .csrf().disable()
            //不通过Session获取SecurityContext
         .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
            .and()
            .authorizeRequests()
            // 对于登录接口 允许匿名访问
            .antMatchers("/user/login").anonymous()
            .antMatchers("/testCors").hasAuthority("system:dept:list")
            // 除上面外的所有请求全部需要鉴权认证
            .anyRequest().authenticated();

    // 添加过滤器
    http.addFilterBefore(jwtAuthenticationTokenFilter, UsernamePasswordAuthenticationFilter.class);

    // 配置异常处理器
    http.exceptionHandling()
            // 配置认证失败处理器
            .authenticationEntryPoint(authenticationEntryPoint)
        	// 配置授权失败处理器
            .accessDeniedHandler(accessDeniedHandler);

    // 允许跨域
    http.cors();
}
Forever Nore
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security OAuth2 自定义GrantedAuthority授权接口
OceanSky的专栏
07-30 9819
使用security oatuh2的时候需要返回给前端用户的角色或者权限,框架提供了GrantedAuthority接口,有一个默认的实现SimpleGrantedAuthority,但是它只能返回简单 的字符串,如果我们想灵活的使用很难控制;所以我这边通过实现GrantedAuthority接口,自定义实现权限控制; 1.自定义授权接口如下 package com.yaomy.security....
springsecurity权限验证的时候 出现了 SimpleGrantedAuthority无法序列化报空指针的问题
weixin_45699541的博客
07-30 1431
在做springsecurity权限验证的时候出现了SimpleGrantedAuthority无法序列化报空指针的问题。但从redis中取出authorityList的时候无法取出里面的数据。我的工具是Stringredistemplate。
Spring Security:授权GrantedAuthority介绍
kaven
01-06 6959
在之前的博客中,已经介绍了Spring Security的用户UserDetails、用户服务UserDetailsService和密码编码器PasswordEncoder,它们都是用于验证用户的身份,而GrantedAuthority则表示用户验证通过后被授予的权限(可能授予多种权限),本篇博客介绍GrantedAuthority接口及其实现类。 Spring Security:用户UserDetails源码与Debug分析 Spring Security:用户服务UserDetailsService源
SpringSecurity注意点
A121212789的博客
03-23 118
A3:利用UserDetails类,接受和验证前台输入信息和后台数据库信息,接受信息利用UserDetails中的User类,User类的结构为(用户名(String),密码(加密),权限)A2:SpringSecurity强制性要求必须使用密码加密器(PasswordEncoder),如果不利用加密方式会导致。括号中前面写每个元素的分割符号,随后写的是要拼接的集合或数组,这两个变量要用逗号隔开。另外,加密后的密码需要注入进IOC容器中,否则也会报错。A4:建立三张表,即用户表、用户-权限表、权限表。
(翻译)Spring Security-2.0.x参考文档“通用授权概念”
xyz20003的专栏
08-11 126
通用授权概念 22.1. 授权 在认证部分简略提过了,所有的Authentication实现需要保存在一个GrantedAuthority对象数组中。 这就是赋予给主体的权限。 GrantedAuthority对象通过AuthenticationManager保存到 Authentication对象里,然后从AccessDecisionManager读出来,进行授权判断。 Grant...
Spring security认证授权
11-30
在这个例子中,我们将深入探讨如何使用Spring Security进行认证和授权,并结合数据库操作进行动态配置。 首先,Spring Security的核心概念包括认证(Authentication)和授权(Authorization)。认证是确认用户身份...
Spring Security 控制授权的方法
08-27
Spring Security 控制授权的方法 Spring Security 控制授权的方法是指在 Spring Security 框架中对访问控制的实现方法,该方法通过使用授权表达式来控制访问权限。下面将详细介绍 Spring Security 控制授权的方法。...
spring security 认证授权实现
10-14
**Spring Security 认证授权实现** Spring Security 是一个强大的、高度可配置的安全框架,用于Java应用程序,它提供了全面的身份验证和授权服务。在本项目中,我们关注的是如何利用Spring Security来实现用户认证...
Spring Security in Action
11-22
Spring Security 是一个基于 Java 的安全框架,旨在提供身份验证、授权和访问控制等功能。下面是 Spring Security 的主要知识点: 一、身份验证(Authentication) 身份验证是指对用户身份的验证,以确保用户的...
Spring Security Oauth2.0认证授权专题
06-19
Spring boot+Spring Security Oauth2.0,Sprint cloud+Spring Security Oauth2集成。四种认证方式。附带有代码,和案例,案例,还有视频链接。我保证看完就回,如果视频链接失效,评论回复我,我单独再给你一份。
SpringSecurity实现角色权限控制(SpringBoot+SpringSecurity+JWT)
lans_g的博客
05-14 6674
通过springboot整合jwt和security,以用户名/密码的方式进行认证和授权。认证通过jwt+数据库的,授权这里使用了两种方式,分别是SpringSecurity自带的hasRole方法+SecurityConfig和 我们自定义的permission+@PreAuthorize注解。用来存储和获取当前线程关联的 SecurityContext 对象的类。
SpringSecurity 基本使用方法(JWT以及基本表单验证)
BaiYZ的Blog
04-15 1294
SpringSecurity实现权限验证以及JWT校验方法的使用,通过Redis存储Token实现分布式登陆
自定义GrantedAuthority
热门推荐
qq_37205911的博客
07-04 1万+
自定义GrantedAuthority1.工作时需要返回角色的id,这是需要重写GrantedAuthority接口2.常用SimpleGrantedAuthority类public final class SimpleGrantedAuthority implements GrantedAuthority { private static final long serialVersion...
不使用GrantedAuthority
心如止水
04-06 574
我在Spring 启动的时候将受保护的资源加载到servletContext中, 以map&lt;string,GrantedAuthority[]&gt;的形式。 string 为受保护的URL资源,GrantedAuthority[]为可访问该资源的角色数组。 但在实现FilterInvocationDefinitionSource接口的时候,又要为ConfigAttrEditor转换为...
【详解】Spring Security的GrantedAuthority(已授予的权限)
蔡小波的博客
06-10 1万+
转自:https://www.cnblogs.com/longfurcat/p/9417422.html 感谢大佬 前言   这篇是很久之前学习Spring Security整理的博客,发现浏览量都1000多了,一个赞都没有,那说明写得确实不怎么样,哈哈。应该很多初学者对这个接口存在疑问,特别是如果学习这个框架之前还了解过Shiro,可能会因为这两个框架角色、权限的表示方式,产生困惑。现在重新整理一下。 GrantedAuthority接口 我们知道UserDeitails接口里面有一...
Elsaticsearch java基本操作
最新发布
qq_62383709的博客
07-13 479
索引 基本操作 package com.orchids.elasticsearch.web.controller; import cn.hutool.core.collection.CollUtil; import cn.hutool.json.JSONUtil; import com.orchids.elasticsearch.web.po.User; import io.swagger.annotations.Api; import io.swagger.annotations.ApiOperatio
配置Java开发环境
Broken_x的博客
07-10 1513
Java开发环境配置
java版的上门家政系统和PHP版的上门家政有什么区别?
baina666的博客
07-12 491
综上所述,Java版和PHP版的上门家政系统各有优缺点,选择哪种语言主要取决于项目的具体需求、预算、开发团队的技术栈以及未来的扩展计划等因素。同时,由于Java生态系统的复杂性和多样性,也可能需要投入更多的时间和资源来学习和掌握相关的技术和工具。Java版:Java拥有庞大的生态系统和丰富的第三方库,这为家政系统的开发和扩展提供了强大的支持。Java版:由于Java的编译执行机制和高效的垃圾回收算法,Java版家政系统通常具有更高的运行效率和更好的性能表现,尤其是在处理高并发、大数据量等复杂场景时。
springsecurity授权
09-01
- *3* [SpringSecurity授权](https://blog.csdn.net/chenxingxingxing/article/details/125813649)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值