(四)spring boot 整合 spring security简单的登录和用户角色权限控制

最新推荐文章于 2022-03-09 16:50:38 发布
最新推荐文章于 2022-03-09 16:50:38 发布
阅读量6.1k 收藏 1
点赞数 1
分类专栏: 敏捷开发管理系统 文章标签: spring boot spring security 用户登录 角色权限控制
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34596292/article/details/87859022
版权

首先添加spring security所用到的依赖:

<dependency>
       <groupId>org.springframework.boot</groupId>
       <artifactId>spring-boot-starter-security</artifactId>
</dependency>

开始配置 spring security
1、 配置权限
通过继承WebSecurityConfigurerAdapter,我们可以在这里配置security的功能,例如加决策器,拦截器之类的等等。这里注意跳转的登录页面中表单所提交的用户名和密码所使用的字段是username和password,表单提交的url为/user/login,method为post。

package per.san.common.config;

import com.google.common.collect.Lists;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import per.san.common.security.service.CustomUserDetailsService;
import per.san.sys.domain.SysPermission;
import per.san.sys.mapper.SysPermissionMapper;

import java.util.List;

/**
 * description:
 *
 * @author shencai.huang@hand-china.com
 * @date 12/29/2018 17:14
 * lastUpdateBy: shencai.huang@hand-china.com
 * lastUpdateDate: 12/29/2018
 */
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true) //启用方法级的权限认证
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private SysPermissionMapper sysPermissionMapper;

    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        AuthenticationManager manager = super.authenticationManagerBean();
        return manager;
    }

    @Bean
    UserDetailsService customUserService() { //注册UserDetailsService 的bean
        return new CustomUserDetailsService();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(customUserService()); //user Details Service验证

    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        List<SysPermission> permissionList = sysPermissionMapper.selectAllPublicPermission();
        List<String> urls = Lists.newArrayList("/public/**", "/login", "/register", "/find", "/swagger-ui.html",
                "/swagger-resources/**", "/images/**", "/webjars/**", "/v2/api-docs", "/configuration/ui",
                "/configuration/security");
        permissionList.forEach(item -> urls.add(item.getPath()));
        String[] antMatchers = new String[urls.size()];
        for (int i = 0; i < antMatchers.length; i++) {
            antMatchers[i] = urls.get(i);
        }
        http.authorizeRequests()        // 定义哪些URL需要被保护、哪些不需要被保护
                .antMatchers(antMatchers)
                .permitAll()         // 设置所有人都可以访问
//                .anyRequest()               // 任何请求,登录后可以访问
//                .permitAll()
                .and()
                // 设置登陆页
                .formLogin().loginPage("/login")
                .loginProcessingUrl("/user/login")
                // 设置登陆成功页
                .defaultSuccessUrl("/").permitAll()
                .and()
                .logout().permitAll()
                .and()
                .csrf().disable();          // 关闭csrf防护
    }

}

2、自定义CustomUserDetailsService继承UserDetailService
UserDetailService是spring security提供给我们的获取用户信息的Service,主要给security提供验证用户的信息,这里我们就可以自定义自己的需求了,我这个就是根据username从数据库获取该用户的信息,然后交给security进行后续比对和处理。

package per.san.common.security.service;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Component;
import per.san.sys.domain.SysPermission;
import per.san.sys.domain.SysUser;
import per.san.sys.mapper.SysPermissionMapper;
import per.san.sys.mapper.SysUserMapper;

import java.util.ArrayList;
import java.util.List;

/**
 * description:
 *
 * @author Sanchar
 * @date 2/16/2019 17:15
 * lastUpdateBy: Sanchar
 * lastUpdateDate: 2/16/2019 17:15
 */
@Component
public class CustomUserDetailsService implements UserDetailsService {

    @Autowired
    private SysUserMapper sysUserMapper;

    @Autowired
    private SysPermissionMapper sysPermissionMapper;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        SysUser sysUser = sysUserMapper.selectByUsername(username);
        if (sysUser != null) {
            sysUser = sysUserMapper.selectByPrimaryKey(sysUser.getId());
            List<GrantedAuthority> grantedAuthorities = new ArrayList<>();
            List<SysPermission> permissionList;
            if (sysUser.getIsAdmin()) {
                permissionList = sysPermissionMapper.selectAllProtectPermission();
                permissionList.forEach(item -> grantedAuthorities.add(new SimpleGrantedAuthority(item.getCode())));
            } else {
                permissionList = sysPermissionMapper.selectPermissionByUserId(sysUser.getId());
                permissionList.forEach(item -> grantedAuthorities.add(new SimpleGrantedAuthority(item.getCode())));
            }
            return new User(sysUser.getUserName(), sysUser.getPassword(), grantedAuthorities);
        } else {
            throw new UsernameNotFoundException("user: " + username + " do not exist!");
        }
    }
}

3、 新增自定义CustomAccessDecisionManager

package per.san.common.security.service;

import org.springframework.security.access.AccessDecisionManager;
import org.springframework.security.access.AccessDeniedException;
import org.springframework.security.access.ConfigAttribute;
import org.springframework.security.authentication.InsufficientAuthenticationException;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.stereotype.Service;

import java.util.Collection;
import java.util.Iterator;

/**
 * description:
 *
 * @author Sanchar
 * @date 2/19/2019 20:51
 * lastUpdateBy: Sanchar
 * lastUpdateDate: 2/19/2019 20:51
 */
@Service
public class CustomAccessDecisionManager implements AccessDecisionManager {

    // decide 方法是判定是否拥有权限的决策方法,
    //authentication 是释CustomUserDetailsService中循环添加到 GrantedAuthority 对象中的权限信息集合.
    //object 包含客户端发起的请求的requset信息,可转换为 HttpServletRequest request = ((FilterInvocation) object).getHttpRequest();
    //configAttributes 为MyInvocationSecurityMetadataSource的getAttributes(Object object)这个方法返回的结果,此方法是为了判定用户请求的url 是否在权限表中,如果在权限表中,则返回给 decide 方法,用来判定用户是否有此权限。如果不在权限表中则放行。
    @Override
    public void decide(Authentication authentication, Object object, Collection<ConfigAttribute> configAttributes) throws AccessDeniedException, InsufficientAuthenticationException {
        if (null == configAttributes || configAttributes.size() <= 0) {
            return;
        }
        ConfigAttribute c;
        String needRole;
        for (Iterator<ConfigAttribute> iterator = configAttributes.iterator(); iterator.hasNext(); ) {
            c = iterator.next();
            needRole = c.getAttribute();
            for (GrantedAuthority ga : authentication.getAuthorities()) {//authentication 为在注释1 中循环添加到 GrantedAuthority 对象中的权限信息集合
                if (needRole.trim().equals(ga.getAuthority())) {
                    return;
                }
            }
        }
        throw new AccessDeniedException("no right");
    }

    @Override
    public boolean supports(ConfigAttribute attribute) {
        return true;
    }

    @Override
    public boolean supports(Class<?> clazz) {
        return true;
    }
}

4、新增自定义CustomFilterSecurityInterceptor

package per.san.common.security.service;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.access.SecurityMetadataSource;
import org.springframework.security.access.intercept.AbstractSecurityInterceptor;
import org.springframework.security.access.intercept.InterceptorStatusToken;
import org.springframework.security.web.FilterInvocation;
import org.springframework.security.web.access.intercept.FilterInvocationSecurityMetadataSource;
import org.springframework.stereotype.Service;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import java.io.IOException;

/**
 * description:
 *
 * @author Sanchar
 * @date 2/19/2019 20:54
 * lastUpdateBy: Sanchar
 * lastUpdateDate: 2/19/2019 20:54
 */
@Service
public class CustomFilterSecurityInterceptor extends AbstractSecurityInterceptor implements Filter {


    @Autowired
    private FilterInvocationSecurityMetadataSource securityMetadataSource;

    @Autowired
    public void setMyAccessDecisionManager(CustomAccessDecisionManager customAccessDecisionManager) {
        super.setAccessDecisionManager(customAccessDecisionManager);
    }


    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {

        FilterInvocation fi = new FilterInvocation(request, response, chain);
        invoke(fi);
    }


    public void invoke(FilterInvocation fi) throws IOException, ServletException {
        //fi里面有一个被拦截的url
        //里面调用MyInvocationSecurityMetadataSource的getAttributes(Object object)这个方法获取fi对应的所有权限
        //再调用MyAccessDecisionManager的decide方法来校验用户的权限是否足够
        InterceptorStatusToken token = super.beforeInvocation(fi);
        try {
            //执行下一个拦截器
            fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
        } finally {
            super.afterInvocation(token, null);
        }
    }

    @Override
    public void destroy() {

    }

    @Override
    public Class<?> getSecureObjectClass() {
        return FilterInvocation.class;
    }

    @Override
    public SecurityMetadataSource obtainSecurityMetadataSource() {
        return this.securityMetadataSource;
    }
}

5、新增自定义CustomInvocationSecurityMetadataSourceService

package per.san.common.security.service;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.access.ConfigAttribute;
import org.springframework.security.access.SecurityConfig;
import org.springframework.security.web.FilterInvocation;
import org.springframework.security.web.access.intercept.FilterInvocationSecurityMetadataSource;
import org.springframework.security.web.util.matcher.AntPathRequestMatcher;
import org.springframework.stereotype.Service;
import per.san.sys.domain.SysPermission;
import per.san.sys.mapper.SysPermissionMapper;

import javax.servlet.http.HttpServletRequest;
import java.util.ArrayList;
import java.util.Collection;
import java.util.HashMap;
import java.util.Iterator;
import java.util.List;

/**
 * description:
 *
 * @author Sanchar
 * @date 2/19/2019 20:56
 * lastUpdateBy: Sanchar
 * lastUpdateDate: 2/19/2019 20:56
 */
@Service
public class CustomInvocationSecurityMetadataSourceService  implements
        FilterInvocationSecurityMetadataSource {

    @Autowired
    private SysPermissionMapper sysPermissionMapper;

    private HashMap<String, Collection<ConfigAttribute>> map = null;

    private HashMap<String, SysPermission> permissionHashMap = null;

    /**
     * 加载权限表中所有权限
     */
    public void loadResourceDefine(){
        map = new HashMap<>();
        permissionHashMap = new HashMap<>();
        Collection<ConfigAttribute> array;
        ConfigAttribute cfg;
        List<SysPermission> permissionList = sysPermissionMapper.selectAllProtectPermission();
        for(SysPermission permission : permissionList) {
            array = new ArrayList<>();
            cfg = new SecurityConfig(permission.getCode());
            //此处只添加了用户的名字,其实还可以添加更多权限的信息,例如请求方法到ConfigAttribute的集合中去。此处添加的信息将会作为MyAccessDecisionManager类的decide的第三个参数。
            array.add(cfg);
            //用权限的getUrl() 作为map的key,用ConfigAttribute的集合作为 value,
            map.put(permission.getCode(), array);
            permissionHashMap.put(permission.getCode(), permission);
        }

    }

    //此方法是为了判定用户请求的url 是否在权限表中,如果在权限表中,则返回给 decide 方法,用来判定用户是否有此权限。如果不在权限表中则放行。
    @Override
    public Collection<ConfigAttribute> getAttributes(Object object) throws IllegalArgumentException {
        if(map == null || permissionHashMap == null) loadResourceDefine();
        //object 中包含用户请求的request 信息
        HttpServletRequest request = ((FilterInvocation) object).getHttpRequest();
        AntPathRequestMatcher matcher;
        String code;
        for(Iterator<String> iterator = map.keySet().iterator(); iterator.hasNext(); ) {
            code = iterator.next();
            SysPermission permission = permissionHashMap.get(code);
            matcher = new AntPathRequestMatcher(permission.getPath(), permission.getMethod().toUpperCase());
            if(matcher.matches(request)) {
                return map.get(code);
            }
        }
        return null;
    }

    @Override
    public Collection<ConfigAttribute> getAllConfigAttributes() {
        return null;
    }

    @Override
    public boolean supports(Class<?> clazz) {
        return true;
    }
}

源码已更新到githup:你个大猪蹄子.

你个大猪蹄子
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Spring Security用户认证流程
qq_36316125的博客
11-15 213
用户认证流程 在这里使用用户名密码的登录方式。 登录流程 通过UsernamePasswordAuthenticationFilter获取用户名和密码,并封装成UsernamePasswordAuthenticationToken。如下图: 再通过getAuthenticationManager()方法获取AuthenticationManager进行验证。如下图: authenticate()...
基于springsecurity+springmvc+spring+hibernate的权限管理系统(免积分)
01-16
基于springsecurity+springmvc+spring+hibernate的权限管理系统,实现资源、用户权限角色的增删改查,角色-资源管理,用户-角色管理等基础功能,可以作为springmvc+spring+hibernate的增删改查入门项目,也可以对spring-security简单了解,界面使用bootstrap3,非常简洁,免积分
Spring security 用户验证 与授权
wahaha
10-04 179
配置文件 登录验证 用户授权(注册). @Insert("insert into users_role(userId,RoleId) values(#{userId},#{RoleId})") void addRoleUser(@Param("userId") String userid, @Param("RoleId")Stri...
spring boot+shiro+mybatis实现不同用户登录显示不同的权限菜单
06-28
spring boot+shiro+mybatis实现不同用户登录显示不同的权限菜单
SpringBoot + SpringSecurity + JPA 实现用户角色权限登录认证
09-10
IDEA + SpringBoot + SpringSecurity + JPA 实现用户角色权限登录认证,security过滤请求资源,用户登录获取用户角色权限,过滤用户非法请求
Spring Boot 结合 Security 实现用户登录权限控制
04-02
在本文中,我们将深入探讨如何使用Spring BootSpring Security整合,以实现在Web应用程序中的用户登录功能以及基于角色权限控制Spring Boot以其简洁的配置和开箱即用的特性,使得开发人员能够快速构建应用,而...
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
总的来说,将Spring Cloud Gateway与Spring Security相结合,可以构建出一套高效、安全的微服务认证系统,提高整体系统的稳定性和用户体验。这种整合不仅简化了微服务之间的交互,还增强了系统的安全性,是现代...
Springboot+SpringSecurity+JWT实现用户登录权限认证示例
08-19
总的来说,Spring Boot + Spring Security + JWT的组合提供了一个强大且可扩展的用户认证和权限管理系统,适用于各种现代Web应用。在实际开发中,根据项目需求,可能还需要考虑如密码加密、刷新令牌、多因素认证等...
spring boot + security + jwt 制作用户登录角色鉴权
最新发布
07-03
通过以上步骤,我们已经创建了一个基于Spring BootSpring Security和JWT的用户登录与鉴权系统,实现了自定义登录接口、开放接口、接口访问权限控制以及用户角色的灵活关联。这个系统确保了应用程序的安全性和可...
Spring MVC+Mybatis整合实现用户登录以及增删改查功能
03-31
SpringMVC和Extjs一起使用,为以后做一个好看的页面做铺垫
spring boot 实现用户登录认证
11-07
1.架构: spring boot + jpa + thyemleaf, mysql数据库 2.功能实现: 1)使用Logback进行日志记录; 2)使用HandlerInterceptor接口实现登陆认证 3)登陆验证码的生成
Springsecurity登录后根据角色进入不同主页
weixin_45848992的博客
06-03 330
SecurityConfig类的configure方法中添加如下 @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .formLogin() .loginPage("/login") .successHandler(new LoginSuc
spring-boot 整合 spring-security用户管理,角色管理,权限管理,验证码,注册功能实现)
ligousheng的博客
12-27 1584
本人第一次写博客,代码如有错误之处,烦请指出,十分感谢!话不多说,进入正题: 1.开发环境:spring-boot + mybatis + mysql,开发工具:idea。 2.首先想要整合spring-security登录管理就要明白我们做什么,用户角色权限三者之间的关系,参考以下文章做了解。 扩展RBAC用户角色权限设计方案 3.数据库表建立 角色表(sys_user) CREATE...
Spring Security系列 自定义决策管理器(动态权限码)
weixin_34051201的博客
10-25 251
2019独角兽企业重金招聘Python工程师标准>>> ...
SpringSecurity实现动态菜单访问权限管理
qq_63815371的博客
03-09 3952
目录 1. 首先实现用户实体 1.1.重点讲解 2. 自定义UserDetailsService 2.1 重点讲解 3.自定义 FilterInvocationSecurityMetadataSource 3.1重点讲解 4.自定义 AccessDecisionManager 4.1 重点讲解 5.配置WebSecurityConfigurerAdapter 5.1.重点讲解 6.效果展示
CustomFilterSecurityMetadataSourceCustomAccessDecisionManager中的代码不执行
过于丰富,无法简介
03-18 1260
问题描述: 使用springsecurity中,对用户进行权限验证,自定义权限控制管理器始终无法执行decide(Authentication authentication, Object object, Collection<ConfigAttribute> configAttributes)方法和getAttributes(Object object)方法。 一开始以为是两个实现类...
SpringBoot整合Springsecurity实现数据库登录以及权限控制
热门推荐
qq_39620552的博客
10-16 4万+
我们今天使用SpringBoot整合SpringSecurity,来吧,不多BB 首先呢,是一个SpringBoot 项目,连接数据库,这里我使用的是mybaties.mysql, 下面是数据库的表 DROP TABLE IF EXISTS `xy_role`; CREATE TABLE `xy_role` ( `xyr_id` int(11) NOT NULL AUTO_INCRE...
Spring Security 可以同时对接多个用户表?
江南一点雨的专栏
07-14 8457
文章目录1.原理1.1 Authentication1.2 AuthenticationManager1.3 ProviderManager1.4 AuthenticationProvider2.案例3.小结 这个问题也是来自小伙伴的提问: 其实这个问题有好几位小伙伴问过我,但是这个需求比较冷门,我一直没写文章。 其实只要看懂了松哥前面的文章,这个需求是可以做出来的。因为一个核心点就是 ProviderManager,搞懂了这个,其他的就很容易了。 今天松哥花一点时间,来和大家分析一下这个问题的核心,同时
SpringBoot整合SpringSecurity() 登录根据用户角色跳转到不同的页面
lyy的博客
01-12 1万+
pring security 做的登录程序,不同角色用户登录之后,可能会跳转到不同的页面,在默认情况下的配置,都是跳转到同一个页面,因为在 form-login 中设置的 default-target-url 就是登录后应该跳转到的页面。如何使得不同角色用户登录后跳转到不同的页面呢? 至少有两种方法: 1. 方法一, 就在 form-login 的 default-target-url 上做处...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值