SpringSecurity动态加载用户角色权限实现登录及鉴权

最新推荐文章于 2023-10-24 09:00:00 发布
最新推荐文章于 2023-10-24 09:00:00 发布
阅读量1.4k 收藏 7
点赞数 1
分类专栏: 核心知识点 Spring Security 文章标签: 系统安全 web安全 安全架构 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31960623/article/details/120725204
版权

本文来说下SpringSecurity如何动态加载用户角色权限实现登录及鉴权

文章目录

概述

很多人觉得Spring Security实现登录验证很难,我最开始学习的时候也这样觉得。因为我好久都没看懂我该怎么样将自己写的用于接收用户名密码的Controller与Spring Security结合使用,这是一个先入为主的误区。后来我搞懂了:根本不用你自己去写Controller。你只需要告诉Spring Security用户信息、角色信息、权限信息、登录页是什么?登陆成功页是什么?或者其他有关登录的一切信息。具体的登录验证逻辑它来帮你实现。

在这里插入图片描述

动态数据登录验证的基础知识

在之前的文章中,已经介绍了Spring Security的formLogin登录认证模式,RBAC的权限控制管理模型,并且针对Spring Security的登录认证逻辑源码进行了解析等等。我们所有的用户、角色、权限信息都是在配置文件里面写死的,然而在实际的业务系统中,这些信息通常是存放在RBAC权限模型的数据库表中的。

下面我们来回顾一下其中的核心概念:

  • RBAC的权限模型可以从用户获取为用户分配的一个或多个角色,从用户的角色又可以获取该角色的多种权限。通过关联查询可以获取某个用户的角色信息和权限信息。
  • 在源码解析的文章中,我们知道如果我们不希望用户、角色、权限信息写死在配置里面。我们应该实现UserDetails与UserDetailsService接口,从而从数据库或者其他的存储上动态的加载这些信息。

以上是对一些核心的基础知识的总结,如果您对这些知识还不是很清晰,建议您先往下读本文。如果看完本文仍然理解困难,建议您翻看本号之前的文章。

UserDetails与UserDetailsService接口

UserDetails与UserDetailsService接口

  • UserDetailsService接口有一个方法叫做loadUserByUsername,我们实现动态加载用户、角色、权限信息就是通过实现该方法。函数见名知义:通过用户名加载用户。该方法的返回值就是UserDetails。
  • UserDetails就是用户信息,即:用户名、密码、该用户所具有的权限。

UserDetailsService接口

在这里插入图片描述

下面我们来看一下UserDetails接口都有哪些方法

 public interface UserDetails extends Serializable {
  
        //获取用户的权限集合
        Collection<? extends GrantedAuthority> getAuthorities();
        //获取密码
        String getPassword();
        //获取用户名
        String getUsername();
        //账号是否没过期
        boolean isAccountNonExpired();
        //账号是否没被锁定
        boolean isAccountNonLocked();
        //密码是否没过期
        boolean isCredentialsNonExpired();
        //账户是否可用
        boolean isEnabled();
  }

现在,我们明白了,只要我们把这些信息提供给Spring Security,Spring Security就知道怎么做登录验证了,根本不需要我们自己写Controller实现登录验证逻辑。

实现UserDetails 接口

实现UserDetails 接口

 public class SysUser implements UserDetails{
  
        String password;  //密码
        String username;  //用户名
        boolean accountNonExpired;   //是否没过期
        boolean accountNonLocked;   //是否没被锁定
        boolean credentialsNonExpired;  //是否没过期
        boolean enabled;  //账号是否可用
        Collection<? extends GrantedAuthority> authorities;  //用户的权限集合
        //省略构造方法
        //省略set方法
        //省略get方法(即接口UserDetails的方法)
  }

我们就是写了一个适应于UserDetails的java POJO类,所谓的 UserDetails接口实现就是一些get方法。get方法由Spring Security调用,我们通过set方法或构造函数为 Spring Security提供UserDetails数据。

实现UserDetailsService接口

实现UserDetailsService接口

@Component
public class MyUserDetailsService implements UserDetailsService{
  
      @Override
      public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
      
           //这里从数据库sys_user表里面查询实体类对象。loadUser方法可使用Mybatis或JDBC或JPA自行实现。
           SysUser sysUser =  loadUser(username);   
            // 判断用户是否存在
           if(user == null)  {  
               throw  new  UsernameNotFoundException("用户名不存在");  
           }
           //从数据库该用户所有的角色信息,所有的权限标志
           //遍历所有的ROLE角色及所有的Authority权限(菜单、按钮)。
           //用逗号分隔他们的唯一标志,具体过程自行实现。
           sysUser.setAuthorities(
                   AuthorityUtils.commaSeparatedStringToAuthorityList("ROLE_AMIN , system:user:delete"));
            //sysUser.setAccountNonLocked(true或false);
            return sysUser;
        }
  }

通常数据库表sys_user字段要和SysUser属性一一对应,比如username、password、enabled。但是比如accountNonLocked字段用于登录多次错误锁定,但我们一般不会在表里存是否锁定,而是存一个锁定时间字段。通过锁定时间是否大于当前时间判断账号是否锁定,所以实现过程中可以灵活做判断并用好set方法,不必拘泥于一一对应的形式。

角色是一种特殊的权限,在Spring Security我们可以使用hasRole(角色标识)表达式判断用户是否具有某个角色,决定他是否可以做某个操作;通过hasAuthority(权限标识)表达式判断是否具有某个操作权限。

本文小结

至此,我们将系统里面的所有的用户、角色、权限信息都通过UserDetailsService和UserDetails告知了Spring Security。但是多数朋友可能仍然不知道该怎样实现登录的功能,其实剩下的事情很简单了:

  • 写一个登录界面,写一个登录表单,表单使用post方法提交到默认的/login路径
  • 表单的用户名、密码字段名称默认是username、password。
  • 写一个登录成功之后的跳转页面,比如index.html

然后把这些信息通过配置方式告知Spring Security ,以上的配置信息名称都可以灵活修改。

wh柒八九
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
jQuery ajax调用后台aspx后台文件的两种常见方法(不是ashx)
11-22
在asp.net webForm开发中,用Jquery ajax调用aspx页面的方法常用的有两种:下面我来简单介绍一下。 (1)通过aspx.cs的静态方法+WebMethod进行处理 简单的介绍下WebMethod方法的用法 1.修饰符主要用public static修饰 2.方法前面加上[WebMethod]属性表明这是WebMethod方法 3.前台html页面(Client端)访问时要使用post方法,和后台.cs文件进行数据交互,否则会返回整个html页面。 4.当后台页面返回数据后,前台html页面需要用data.d接收返回的json字符串。 5.访问url:htt
Springsecurity的认证流程及鉴权流程(流程绝对清晰)
最新发布
qq_60264381的博客
06-14 1290
我们知道在SpringSecurity中,usernamePassword会拦截登录请求,同时调用ProviderManager。ProviderManager内部管理了多个AuthenticationProvider(接口)来实现灵活的认证机制内部管理了多个AuthenticationProvider(接口)来实现灵活的认证机制也就是说,ProviderManager会决定调用具体AuthenticationProvider实现类来进行认证。
Asp.net ashx判断是否合法请求(如未登录返回错误)
taolinsen的专栏
12-24 2133
因为ashx少了页面元素,所以在效率上比aspx页面要稍微好一些,所以我们经常都当作AJAX提交页来处理程序。 大家都知道,在ashx里面使用Session需要实现IRequiresSessionState接口。有时候我们需要判断此页面处理的请求是否是合法请求,比如说是登陆后的用户才可以请求,通常情况下都是通过Session来判断。但是每个界面写一个Session判断未免有显得太过于麻烦,所
Spring Security
qq_47949604的博客
07-23 497
Spring Security是一个能够为基于Spring的企业应用系统提供声明式()的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IOC、DI和AOP功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全访问控制编写大量重复代码的工作。
Springboot整合SpringSecurity实现登录认证和鉴权
weixin_44068320的博客
08-12 9782
springboot整合springsecurity实现用户登录认证和鉴权
SpringSecurity动态加载用户角色权限实现登录鉴权功能
08-25
Spring Security 动态加载用户角色权限实现登录鉴权功能 在 Spring Security 中,动态加载用户角色权限实现登录鉴权功能的关键步骤。本文将详细介绍如何使用 Spring Security 实现动态加载用户角色权限,并...
springboot springsecurity动态权限控制
09-18
在这个“springboot springsecurity动态权限控制”的主题中,我们将深入探讨如何在Spring Boot项目中集成Spring Security实现动态权限控制,让菜单权限的管理更加灵活和高效。 首先,我们需要理解Spring Security...
SpringBoot集成SpringSecurity和JWT做登陆鉴权实现
08-19
在本文中,我们将深入探讨如何使用SpringBoot与SpringSecurity及JWT(JSON Web Token)结合,以实现登录鉴权功能。SpringBoot因其简化配置和与其他框架的无缝集成,成为了开发小型应用的理想选择。前后端分离的架构...
spring security http接口鉴权使用示范项目
03-01
在本项目"spring security http接口鉴权使用示范项目"中,我们将深入探讨如何利用Spring Security实现HTTP接口的鉴权功能。这个项目旨在提供一个实践示例,帮助开发者理解并掌握Spring Security的核心概念和配置。...
SpringSecurity之JWT实现token认证和授权.zip
08-09
如果验证成功,过滤器会解析JWT,创建一个代表当前用户的Authentication对象,并将其放入Spring SecuritySecurityContextHolder中,从而实现对资源的访问控制。 为了控制资源的访问权限Spring Security提供了一...
SpringSecurity实现登录和自定义权限认证
qq_49721447的博客
12-07 4023
springboot整合SpringSecurity实现登录和自定义权限认证
SpringSecurity登录验证和鉴权粗解
javaFrom0To100的博客
09-13 1044
SpringSecuritySpring家族中的一个安全管理框架,它的底层是一系列的拦截器和拦截规则,相当于一个拦截器链。
Java个人总结系列-JavaWeb基础
10-26 722
Java个人总结 Java 个人总结是一个持续更新的系列,工作多年,抽个空对Java 做一个总结归纳,温故而知新,也希望能帮助到正在学习Java EE的同学们,本系列目录: Java是什么 面向对象的编程思想 Java基础语法 JavaWeb基础 Java常用框架介绍 本次是第三次修改,会随着JDK更新而修改,增删一些东西,目前已至JDK8。 Java Web是什么 Web翻译过来就是网页的意思,而Java Web是使用Java技术来解决网页相关领域的技术栈。 Web程序一般分为客户端,服务器端即我们常
微服务商城系统(十一)权限控制、OAuth 动态加载数据
weixin_41750142的博客
04-12 1129
文章目录一、资源服务器授权配置 一、资源服务器授权配置     基本上所有微服务都是资源服务。     首先,认证服务使用私钥,采用非对称加密算法 生成令牌,资源服务使用公钥 来校验令牌的合法性。 需要配置公钥,并将公钥拷贝到 public.key 文件中,将此文件拷贝到每一个需要的资源服务工程的 classpath 下 ,比如 用户微服务: 解析令牌需要添加依赖: <dependency> <gr
使用SpringSecurity实现登录鉴权
qq_50376377的博客
06-14 777
前一段时间公司要求登录鉴权使用SpringSecurity,看了很多都感觉不太适合企业开发,于是自己整理了一下,基于@PreAuthorize注解鉴权,大大的方便的权限控制。
springSecurity+jwt实现分布式鉴权和认证
qq_37824570的博客
03-09 3463
springSecurity+jwt实现分布式鉴权和认证
SpringBoot2.0实战 | 第三十章:整合SpringSecurity之基于SpEL表达式实现动态方法鉴权
死牛胖子的技术随笔
03-23 873
在前面的文章中,我们已经实现了对登录操作,实现数据库鉴权,对当前登录用户登录状态实现权限控制。 第二十四章:整合SpringSecurity之最简登录及方法鉴权 第二十五章:整合SpringSecurity之使用数据库实现登录鉴权 用户登录成功后,会加载当前用户角色至内存,至于哪个角色可以访问哪些方法,则是通过 SpringSecurity 提供的方法鉴权实现。 通过 @EnableG...
Spring Security实现接口基于路径的动态权限控制
荔枝当大佬的博客
10-24 1625
在荔枝之前的一篇博客中,已经对Spring Security的鉴证授权的相关知识进行了梳理,弄清楚了为什么使用JWT以及用户登录后台执行的相关的鉴证授权的逻辑。在下面的文章中荔枝主要是补充梳理一下在真实的项目中如何使用Spring Security实现接口动态权限控制的功能。
springboot整合spring security 实现用户登录注册与鉴权全记录
03-30
1. 引入依赖 在pom.xml文件中引入Spring Security依赖: ``` <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> ``` 2. 添加配置类 在项目中添加一个配置类SecurityConfig,继承自WebSecurityConfigurerAdapter。 ``` @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/login", "/register").permitAll() // 登录注册页面不需要验证 .anyRequest().authenticated() // 其他页面需要验证 .and() .formLogin() .loginPage("/login") // 登录页面 .defaultSuccessUrl("/index") // 登录成功后的默认跳转页面 .and() .logout() .logoutUrl("/logout") // 退出登录的URL .logoutSuccessUrl("/login") // 退出登录后跳转到的页面 .invalidateHttpSession(true) .deleteCookies("JSESSIONID"); } @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.inMemoryAuthentication() // 在内存中存储用户信息 .withUser("admin").password("{noop}admin").roles("ADMIN") .and() .withUser("user").password("{noop}user").roles("USER"); } } ``` 3. 实现登录与注册功能 创建登录页面login.html和注册页面register.html,使用Thymeleaf模板引擎渲染页面。 在Controller中添加登录和注册的请求处理方法。 ``` @Controller public class UserController { @GetMapping("/login") public String login() { return "login"; } @PostMapping("/login") public String loginSuccess() { return "redirect:/index"; } @GetMapping("/register") public String register() { return "register"; } @PostMapping("/register") public String registerSuccess() { return "redirect:/login"; } } ``` 4. 实现用户鉴权功能 在SecurityConfig中重写configure(AuthenticationManagerBuilder auth)方法,实现用户信息的认证。 这里使用inMemoryAuthentication()方法在内存中存储用户信息,实际应用中可以使用数据库存储。 ``` @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.inMemoryAuthentication() // 在内存中存储用户信息 .withUser("admin").password("{noop}admin").roles("ADMIN") .and() .withUser("user").password("{noop}user").roles("USER"); } ``` 在Controller中添加需要鉴权的请求处理方法,并在方法上添加@PreAuthorize注解指定需要的权限。 ``` @Controller public class UserController { @GetMapping("/admin") @PreAuthorize("hasRole('ADMIN')") public String admin() { return "admin"; } @GetMapping("/user") @PreAuthorize("hasRole('USER')") public String user() { return "user"; } } ``` 5. 配置登录认证 在SecurityConfig中重写configure(HttpSecurity http)方法,配置登录认证信息。 ``` @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/login", "/register").permitAll() // 登录注册页面不需要验证 .anyRequest().authenticated() // 其他页面需要验证 .and() .formLogin() .loginPage("/login") // 登录页面 .defaultSuccessUrl("/index") // 登录成功后的默认跳转页面 .and() .logout() .logoutUrl("/logout") // 退出登录的URL .logoutSuccessUrl("/login") // 退出登录后跳转到的页面 .invalidateHttpSession(true) .deleteCookies("JSESSIONID"); } ``` 6. 测试 启动应用,在浏览器中访问http://localhost:8080/login,输入用户名和密码进行登录登录成功后跳转到首页。 访问http://localhost:8080/admin和http://localhost:8080/user,根据用户角色的不同,页面会有不同的显示。如果访问没有权限的页面,会自动跳转到登录页面。在登录状态下访问/logout可以退出登录
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值