SpringBoot Security 动态权限入门

最新推荐文章于 2024-08-07 02:58:56 发布
最新推荐文章于 2024-08-07 02:58:56 发布
阅读量952 收藏 6
点赞数 3
分类专栏: 后端 文章标签: spring boot security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33601179/article/details/120866622
版权

废话

本案例是以最简单最简单的方式实现动态权限配置,摒弃各种花里胡哨的代码。

动态权限主要需要实现两个功能:

1、Url访问权限的动态设置

2、用户本身具备的权限动态设置

基础逻辑主要就是用Security作为登录、权限校验,权限允许则访问,权限不允许则提示权限不足。

一、准备工作

1、一个简单的SpringBoot工程

2、引入

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-test</artifactId>
            <scope>test</scope>
        </dependency>

3、数据源

正常需要三张数据表,用户表、权限表、Url表,然后你就需要读取数据库、连Mybatis、JDBC、Redis巴拉巴拉的,这个跟主题无关,此处用三个写死的类替代就好。

(1)、权限管理类,枚举出来本系统的全部权限

@Service
public class RoseService {
    public final String ADMIN = "ADMIN";
    public final String USER = "USER";
}

(2)、Url管理类,指定那些Url需要哪些权限才能访问

@Service
public class UrlService {

    @Autowired
    RoseService roseService;

    public String[] getRose(String url) {
        if (url.equals("user")) {
            return new String[]{roseService.USER};
        }
        if (url.equals("admin")) {
            return new String[]{roseService.ADMIN, roseService.USER};
        }
        return new String[]{};
    }
}

(3)、用户对象,必须实现Security的UserDetails的6个方法。


@Component
public class UserEntity implements UserDetails {
    private String username;
    private String password;
    private String[] roses;

    /**
     * 获取当前用户对象所具有的角色信息
     */

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        List<SimpleGrantedAuthority> authorities = new ArrayList<>();
        for (String rose : roses) {
            authorities.add(new SimpleGrantedAuthority(rose));
        }
        return authorities;
    }

    /**
     * 获取当前用户对象的密码
     */

    @Override
    public String getPassword() {
        return password;
    }

    /**
     * 获取当前用户对象的用户名
     */

    @Override
    public String getUsername() {
        return username;
    }

    /**
     * 当前账户是否未过期
     */
    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    /**
     * 当前账户是否未锁定
     */

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    /**
     * 当前账户密码是否未过期
     */

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    /**
     * 当前账户是否可用
     */

    @Override
    public boolean isEnabled() {
        return true;
    }


    public void setUsername(String username) {
        this.username = username;
    }

    public void setPassword(String password) {
        this.password = password;
    }

    public void setRose(String[] roses) {
        this.roses = roses;
    }
}

(4)、用户管理类,必须实现Security的UserDatailsService的loadUserByUsername方法,用户登录的时候Security会自动调用该方法

@Service
public class UserService implements UserDetailsService {
    /**
     * UserDetailsService接口中的实现方法(用户登陆时自动调用)
     *
     */
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        UserEntity user = getUser(username);
        if (null == user) {
            throw new UsernameNotFoundException("账户不存在!");
        }
        return user;
    }


    public UserEntity getUser(String username) {
        UserEntity user = null;
        if (username.equals("admin")) {
            user = new UserEntity();
            user.setUsername("admin");
            user.setPassword(new BCryptPasswordEncoder().encode("123456"));
            user.setRose(new String[]{"ADMIN"});
        }
        if (username.equals("user")) {
            user = new UserEntity();
            user.setUsername("user");
            user.setPassword(new BCryptPasswordEncoder().encode("123456"));
            user.setRose(new String[]{"USER"});
        }
        return null;
    }
}

4、一个简单的Controller

设定是这样的,open-不需要权限,admin支持ADMIN权限,user支持ADMIN、USER权限。

@RestController
public class TestController {

    @RequestMapping(value = "open")
    public Object open() {
        return "open";
    }

    @RequestMapping(value = "admin")
    public Object admin() {
        return "admin";
    }

    @RequestMapping(value = "user")
    public Object user() {
        return "user";
    }
}

二、开搞

需要准备最少三个类。

1、WebSecurityFilterInvocationSecurityMetadataSource

用于根据Url获取到该Url需要什么样的权限才能访问

@Component
public class WebSecurityFilterInvocationSecurityMetadataSource implements FilterInvocationSecurityMetadataSource {

    @Autowired
    UrlService urlService;

    private static Map<String, String[]> roseMap;

    /**
     * 将所有的url的权限信息都拿出来,当数据有变化时,记得再更新一次
     * <p>
     * 在getAttributes()方法内不可直接使用Mapper,因为Security先于Spring加载,此时还没有注入,会报空指针异常
     * 被@PostConstruct修饰的方法会在服务器加载Servlet的时候运行,并且只会被服务器执行一次,依赖注入初始化后会自动执行该方法
     */
    @PostConstruct
    private List<String> getRoses() {
        System.out.println("Url权限数据已加载");
        roseMap = new HashMap<>();
        roseMap.put("/admin", urlService.getRose("admin"));
        roseMap.put("/user", urlService.getRose("user"));
        return null;
    }

    /**
     * 通过当前请求的URL获取所需要的权限信息
     *
     * @param o(FilterInvocation) 用于获取当前请求的url
     * @return 当前请求url所需的角色
     */
    @Override
    public Collection<ConfigAttribute> getAttributes(Object o) throws IllegalArgumentException {
        String url = ((FilterInvocation) o).getRequestUrl();
        System.out.println("当前请求的Url:" + url);
        String[] roses = roseMap.get(url);
        return SecurityConfig.createList(roses);
    }

    /**
     * 返回所有定义好的权限资源
     * Spring Security在启动时会校验相关配置是否正确,如果不需要校验,直接返回null
     */
    @Override
    public Collection<ConfigAttribute> getAllConfigAttributes() {
        System.out.println("返回所有定义好的权限资源");
        return null;
    }

    /**
     * 是否支持校验
     */
    @Override
    public boolean supports(Class<?> aClass) {
        System.out.println("是否支持校验");
        return true;
    }
}

2、WebSecurityAccessDecisionManger

用于权限校验,对比传过来的Url需要的权限和当前用户拥有的权限去判定当前用户对当前Url是否有权访问

@Component
public class WebSecurityAccessDecisionManger implements AccessDecisionManager {


    @Override
    public void decide(Authentication authentication, Object o, Collection<ConfigAttribute> collection) throws AccessDeniedException, InsufficientAuthenticationException {

        //如果authentication是UsernamePasswordAuthenticationToken实例,说明当前用户已登录。
        if (!(authentication instanceof UsernamePasswordAuthenticationToken)) {
            System.out.println("----------------> 请先登录!");
            throw new AccessDeniedException("请先登录");
        }
        Collection<? extends GrantedAuthority> auths = authentication.getAuthorities();

        System.out.println("Url需要的权限:" + collection.toString());
        System.out.println("用户当前的权限:" + auths.toString());

        for (ConfigAttribute configAttribute : collection) {
            //循环校验,有权限满足就证明是可以访问的
            for (GrantedAuthority authority : auths) {
                if (configAttribute.getAttribute().equals(authority.getAuthority())) {
                    return;
                }
            }
        }
        System.out.println("----------------> 权限不足!");
        throw new AccessDeniedException("权限不足!");
    }

    /**
     * 是否支持校验
     */
    @Override
    public boolean supports(ConfigAttribute configAttribute) {
        System.out.println("configAttribute是否支持校验");
        return true;

    }

    /**
     * 是否支持校验
     */
    @Override
    public boolean supports(Class<?> aClass) {
        System.out.println("aClass是否支持校验");
        return true;

    }
}

3、WebSecurityConfig

最核心的Security配置类

@Component
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private UserService userService;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/500").permitAll()//不过滤
                .antMatchers("/403").permitAll()//不过滤
                .antMatchers("/404").permitAll()//不过滤
                //其他不过滤的Url,略
                .anyRequest() //任何其它请求
                .authenticated() //都需要身份认证
                .withObjectPostProcessor(new ObjectPostProcessor<FilterSecurityInterceptor>() {
                    @Override
                    public <O extends FilterSecurityInterceptor> O postProcess(O object) {
                        //自定义权限校验
                        object.setSecurityMetadataSource(new WebSecurityFilterInvocationSecurityMetadataSource());
                        object.setAccessDecisionManager(new WebSecurityAccessDecisionManger());
                        return object;
                    }
                })
                .and()
                // 开启表单登录,即登录页
                .formLogin()
                // 自定义登录页,未配置下启用默认登录页
                // .loginPage("/login_page")
                // 登录成功之后跳转的页面
                .loginProcessingUrl("/index")
                // 登录参数-用户名
                .usernameParameter("username")
                // 登录参数-密码
                .passwordParameter("password")
//                 登录成功回调函数-返回登陆成功的JSON信息
                .successHandler((request, response, authentication) -> {
                    System.out.println("-----登录成功-----> ");
                })
//                 登录失败回调函数-返回登陆失败的JSON信息
                .failureHandler((request, response, e) -> {

                    System.out.println("-----登录失败-----> ");
                })
                // 和登录相关的接口都不需要认证即可访问
                .permitAll()
                .and()
                // 开启注销登录配置
                .logout()
                // 配置注销登录请求URL,默认为 "/logout"
                .logoutUrl("/logout")
                // 是否清除身份认证信息,默认为true,表示清除
                .clearAuthentication(true)
                // 是否使session失效,默认为true
                .invalidateHttpSession(true)
                // 删除指定的Cookie信息,可以传入多个key
                .deleteCookies("JSESSIONID")
                // 注销回调函数,可以处理数据清除工作
                .addLogoutHandler((request, response, authentication) -> {
                    System.out.println("-----注销回调----->");
                    this.getCookieMsg(request);
                })
                // 注销成功回调函数
                .logoutSuccessHandler((request, response, authentication) -> {
                    System.out.println("-----注销成功----->");
                    // 注销成功后重定向到登录页
                    response.sendRedirect("/login");
                })
                .and()
                .csrf().disable();

//        http.addFilterBefore(authorizationSecurityInterceptor, FilterSecurityInterceptor.class);
    }

    /**
     * 自定义方法,获取Cookie信息
     */
    private void getCookieMsg(HttpServletRequest request) {
        Cookie[] cookies = request.getCookies();
        if (null == cookies || cookies.length < 1) {
            System.out.println("------> Cookie已全部清除!");
        } else {
            System.out.println("---Cookie---> ");
        }
    }

    //解决静态资源被拦截的问题
    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring().antMatchers("/css/**");
        web.ignoring().antMatchers("/img/**");
        web.ignoring().antMatchers("/plugins/**");
    }

    /**
     * 密码加密方式,必须指定一种
     * 本例使用官方推荐的BCrypt强哈希函数,密钥迭代次数为2^strength,strength取值在4~31之间,默认为10
     */
    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder(15);
    }

    /**
     * 认证设置(配置用户信息:登录名、登录密码、所属角色)
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userService);
    }

她叫我小渝
关注
专栏目录
springboot+springsecurity入门
12-06
在这个"springboot+springsecurity入门"项目中,我们将关注如何将这两个框架结合使用,实现一个自定义表单登录的功能。自定义表单登录意味着我们可以根据应用需求设计登录界面,并且处理用户提交的登录信息。 1. ...
Spring BootSpring Security高级配置(权限和资源的关系)
探索er的博客
05-11 1101
Spring Security高级配置(权限和资源的关系)
spring security动态更新用户的权限
qq_40127376的博客
10-27 5227
业务背景: 管理员更改其他用户权限,正好用户在登陆状态下,无法刷新管理员刚赋值的权限,只能退出登录,重新登录才能拥有新权限. 业务需求:管理员更改权限,其他用户不退出登录,可以拥有新权限,动态刷新session 感谢这位博客提供的线索 前提条件需要拥有 @Autowired SessionRegistry sessionRegistry; 如果找不到SessionRegistrybean...
Spring Boot中实现动态权限管理
最新发布
weixin_40461430的博客
08-07 193
Spring Boot中实现动态权限管理大家好,我是微赚淘客系统3.0的小编,是个冬天不穿秋裤,天冷也要风度的程序猿!在现代Web应用中,权限管理是确保系统安全性的重要组成部分。传统的权限管理通常是基于静态配置的,无法灵活应对权限动态变化。本文将介绍如何在Spring Boot中实现动态权限管理,以满足应用中灵活的权限...
java spring security oauth2 动态 修改当前登录用户的 角色以及权限(无需重新登录)
ycg的博客
08-31 3751
/** * 动态修改自身权限,无需重新登录 * @return */ @PostMapping("/oneselfUpdateAuth") public R oneselfUpdateAuth() { //获取当前用户信息 BaseUser users = SecurityUtils.getUser(); //token存放的地方 RedisTokenStore tokenStore = new RedisTokenStore(redisConnectionFac
spring security oauth2 动态切换角色或者岗位,更新redis缓存
技术二哥
12-31 2630
1、切换角色或者岗位后更新缓存token,获取token,并更新token,特别要注意token中的内容 accessToken.getAdditionalInformation().put(SecurityConstants.DETAILS_POST_ID,postId); String key = authenticationKeyGenerator.extractKey(originalOAuth2Authentication); byte[] ser
Spring Security系列四 自定义决策管理器(动态权限码)
程序猿开发日志【学习永无止境】
01-13 3343
前言 前面我们已经实现了用户的自定义登录及密码的加密,接下来就是动态权限验证了,也就是实现Spring Security的决策管理器AccessDecisionManager。 权限资源 SecurityMetadataSource 要实现动态权限验证,当然要先有对应的访问权限资源了。Spring Security是通过SecurityMetadataSource来加载访
SpringBoot集成Spring Security入门程序并实现自动登录【完整源码+数据库】
02-16
在这个入门程序中,我们将深入理解如何将SpringBootSpring Security整合,以实现用户身份验证和授权功能,并通过自动登录功能提升用户体验。 首先,Spring Security的核心功能包括身份验证(Authentication)和...
SpringBoot入门基础.ppt
11-17
5. 安全管理:`spring-boot-starter-security`模块提供了基本的安全认证和授权功能,可以快速实现用户登录和权限控制。 四、SpringBoot的发布 SpringBoot应用可以被打包成可执行的JAR或WAR文件。JAR文件内嵌了...
基于springboot+springSecurity+jwt实现的基于token的权限管理的一个demo,适合新手
02-25
本教程将探讨如何利用Spring BootSpring Security以及JSON Web Tokens(JWT)来创建一个基于token的权限管理系统,非常适合初学者入门。 首先,让我们了解这三个核心技术: 1. **Spring Boot**:这是一个基于...
SpringBoot + SpringSecurity + Thymeleaf 入门案例的源代码
09-22
SpringBoot + SpringSecurity + Thymeleaf 入门案例,适合快速整合权限管理框架的同学,可以快速进行修改源代码实现权限控制的效果。代码是入门案例,较为简单。能够使整合更加迅速。其中搭配了前端页面进行效果显示...
Spring security(五)-完美权限管理系统(授权过程分析)
Ccww_的博客
10-04 1334
1. 权限管理相关概念   权限管理是一个几乎所有后台系统的都会涉及的一个重要组成部分,主要目的是对整个后台管理系统进行权限的控制。常见的基于角色的访问控制,其授权模型为“用户-角色-权限”,简明的说,一个用户拥有多个角色,一个角色拥有多个权限。其中, 用户: 不用多讲,大家也知道了; 角色: 一个集合的概念,角色管理是确定角色具备哪些权限的一个过程 ; 权限: 1).页面权限,控制你可以看到哪...
spring security四种实现方式
热门推荐
不学习就淘汰
09-18 12万+
spring security实现方式大致可以分为这几种: 1.配置文件实现,只需要在配置文件中指定拦截的url所需要权限、配置userDetailsService指定用户名、密码、对应权限,就可以实现。 2.实现UserDetailsService,loadUserByUsername(String userName)方法,根据userName来实现自己的业务逻辑返回User...
Spring Security实现动态配置权限
qq_60458298的博客
03-25 960
需要注意的是,如果我们需要根据数据库或其他外部数据源动态配置权限,可以在 MyVoter 中进行相关的查询操作,以动态获取资源的 ConfigAttribute,然后再进行决策。在上面的代码中,我们通过实现 vote() 方法,根据当前用户的 Authentication 对象和资源的 ConfigAttribute 对象,决策当前用户是否有权限访问该资源。
springboot2.0--结合spring security5.0进行权限控制,从数据库中取权限信息及增加验证码
fycghy0803的专栏
06-01 1万+
1.在pom.xml中增加spring security jar的引用:     &lt;!--引入spring security--&gt; &lt;dependency&gt; &lt;groupId&gt;org.springframework.boot&lt;/groupId&gt; &lt;artifactId&gt;spring-boot-starter-security&...
Spring Security真正的实时更新权限方法!无需拦截器、踢出用户,直接修改Redis的内容
Tan_LC的博客
01-23 299
相信很多用了Spring Security的小伙伴在日常开发中,总会遇到需要实时更新权限的问题,比如,对一个新调入某个部门的员工,我们希望在管理员设置他的权限之后,这位员工立刻就能使用了,而不需要先退出登录然后再重新登录,以达到更好的用户体验。那么,我们能不能在后台悄悄地就把权限更新,而不需要用户自己访问呢?以上2、3都有一个问题,就是更新权限并不是经常发生的事情,可能用户用了几个月,管理员才会修改一次权限,如果只是为了确认权限有没有更新,就多一个步骤,那属实是有点浪费性能。首先,我们的项目采用的是。
Spring Security 使用、实现权限访问控制
猫吻鱼的博客
10-18 3399
文章目录一、简介:二、简单搭建1. 前期准备2. 通过配置类方式配置 `DelegatingFilterProxy`:3. 配置Security配置类 -> 继承 WebSecurityConfigurerAdapter:注:三、用户认证方式 : configure(AuthenticationManagerBuilder auth) 详解四、configure(HttpSecurity h...
SpringSecurity之Web权限方案
xiaoyixiao_的博客
05-07 600
目录springsecurity之Web权限方案-用户认证查询数据库实现用户认证自定义用户登录页面springsecurity之Web权限方案-用户授权基于权限访问控制基于角色访问控制自定义403页面使用注解进行认证授权用户注销自动登录CSRF功能 springsecurity之Web权限方案-用户认证 用户认证即设置登录用户名和密码 第一种方式:通过配置文件application.properties spring.security.user.name=user spring.security.user.
Spring Security 认证授权(一)
12-13 1407
Spring Security
SpringBoot安全实践:SpringSecurity入门权限管理
"SpringSecuritySpring Boot中用于安全管理的框架,能有效地实现用户权限控制和访问控制,常用于大型项目的身份验证和授权。本资源提供了一篇SpringSecurity入门代码示例,适合初学者理解并实践。配合参考博客,...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值