三、SpringSecurity+auth2.0系列(动态权限控制,基于数据库进行设计)

最新推荐文章于 2024-04-19 17:43:52 发布
最新推荐文章于 2024-04-19 17:43:52 发布
阅读量672 收藏 6
点赞数
分类专栏: SpringSecurity+auth 文章标签: big data spring boot spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38132995/article/details/120122450
版权

!!!!注意 ,本项目是在上一个项目的基础上循序渐进的,请移步本专栏上一个项目

Rbac权限表设计
sql表地址在这里,点击不需要积分即刻下载

RBAC(基于角色的权限控制)模型的核心是在用户和权限之间引入了角色的概念。取消了用户和权限的直接关联,改为通过用户关联角色、角色关联权限的方法来间接地赋予用户权限(如下图),从而达到用户和权限解耦的目的。
在这里插入图片描述
Maven依赖

        <!-- springboot 整合mybatis框架 -->
        <dependency>
        <groupId>org.mybatis.spring.boot</groupId>
        <artifactId>mybatis-spring-boot-starter</artifactId>
        <version>1.3.2</version>
        </dependency>
        <!-- alibaba的druid数据库连接池 -->
        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>druid-spring-boot-starter</artifactId>
            <version>1.1.9</version>
        </dependency>
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
        </dependency>
        <!-- https://mvnrepository.com/artifact/org.projectlombok/lombok -->
        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
            <version>1.18.12</version>
            <scope>provided</scope>
        </dependency>

配置文件

  datasource:
    url: jdbc:mysql://127.0.0.1:3306/orange_rbac?serverTimezone=Asia/Shanghai&allowMultiQueries=true&useUnicode=true&characterEncoding=utf-8
    username: root
    password: root
    type: com.alibaba.druid.pool.DruidDataSource
    driver-class-name: com.mysql.cj.jdbc.Driver

Mapper接口
导入Mapper接口
新建mapper包
新建接口与数据库交互
完整代码如下

权限mapper

package com.thunisoft.spring_security.mapper;

import com.thunisoft.spring_security.model.PermissionEntity;
import org.apache.ibatis.annotations.Mapper;
import org.apache.ibatis.annotations.Select;
import org.springframework.stereotype.Component;

import java.util.List;

@Mapper
public interface PermissionMapper {
    @Select(" SELECT * from sys_permission ")
    List<PermissionEntity> findAllPermission();
}

用户mapper

package com.thunisoft.spring_security.mapper;

import com.thunisoft.spring_security.model.PermissionEntity;
import com.thunisoft.spring_security.model.UserEntity;
import org.apache.ibatis.annotations.Mapper;
import org.apache.ibatis.annotations.Select;

import java.util.List;

@Mapper
public interface UserMapper {

    /**
     * 根据用户名查询用户
     * @param userName
     * @return
     */
    @Select(" SELECT * from sys_user where username = #{userName}")
    UserEntity findByUsername(String userName);

    /**
     * 查询用户的权限根据用户查询权限
     *
     * @param
     * @return
     */
    @Select(" select permission.* from sys_user user" + " inner join sys_user_role user_role"
            + " on user.id = user_role.user_id inner join "
            + "sys_role_permission role_permission on user_role.role_id = role_permission.role_id "
            + " inner join sys_permission permission on role_permission.perm_id = permission.id where user.username = #{userName};")
    List<PermissionEntity> findPermissionByUsername(String userName);
}

动态根据账户名称查询权限
使用UserDetailsService实现动态查询数据库验证账号
新建service包,在下面新建类
完整代码如下

package com.thunisoft.spring_security.service;

import com.thunisoft.spring_security.mapper.UserMapper;
import com.thunisoft.spring_security.model.PermissionEntity;
import com.thunisoft.spring_security.model.UserEntity;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Component;

import java.util.ArrayList;
import java.util.List;

@Component
public class MemberDetailsService implements UserDetailsService {

    @Autowired
    private UserMapper userMapper;

    @Override
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {

        //查询用户
        UserEntity userEntity = userMapper.findByUsername(s);
        if (userEntity==null){
            return null;
        }
        //查询用户权限
        List<PermissionEntity> permissionEntityList =  userMapper.findPermissionByUsername(s);
        ArrayList<GrantedAuthority> grantedAuthorities = new ArrayList<>();
        permissionEntityList.forEach((a)->{
            grantedAuthorities.add(new SimpleGrantedAuthority(a.getPermTag()));
        });

        // 设置权限
        userEntity.setAuthorities(grantedAuthorities);
        return userEntity;
    }
}

WebSecurity相关配置
完整配置如下

package com.thunisoft.spring_security.config;

import com.thunisoft.spring_security.mapper.PermissionMapper;
import com.thunisoft.spring_security.model.PermissionEntity;
import com.thunisoft.spring_security.service.MemberDetailsService;
import com.thunisoft.spring_security.utils.MD5Util;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.annotation.web.configurers.ExpressionUrlAuthorizationConfigurer;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.stereotype.Component;

import java.util.List;

@Component
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private MemberDetailsService memberDetailsService;

    @Autowired
    private PermissionMapper permissionMapper;


    @Override
    protected void configure(HttpSecurity http) throws Exception {
        /**
         * 新增 HttpSecurity基础配置配置
         */
        // http.authorizeRequests().antMatchers("/**").fullyAuthenticated().and().httpBasic();


        /**
         * 新增HttpSecurity formLogin模式
         */
        //http.authorizeRequests().antMatchers("/**").fullyAuthenticated().and().formLogin();
/*
        http.authorizeRequests().antMatchers("/addMember").hasAnyAuthority("addMember")
                .antMatchers("/delMember").hasAnyAuthority("delMember")
                .antMatchers("/showMember").hasAnyAuthority("showMember")
                .antMatchers("/editMember").hasAnyAuthority("editMember").
               // antMatchers("/**").fullyAuthenticated().and().formLogin()
                antMatchers("/login").permitAll().antMatchers("/**").fullyAuthenticated().and().formLogin()
                .loginPage("/login").and().csrf().disable();
*/
        List<PermissionEntity> allPermission = permissionMapper.findAllPermission();
        ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry authorizeRequests = http.authorizeRequests();
        allPermission.forEach((a)->{
            //地址绑定权限
            authorizeRequests.antMatchers(a.getUrl()).hasAnyAuthority(a.getPermTag());
        });
        authorizeRequests.antMatchers("/login").permitAll()
                // 设置自定义登录页面
                .antMatchers("/**").fullyAuthenticated().and().formLogin().loginPage("/login").and().csrf().disable();
    }


    /*
    * 新增授权账户
    * */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        //新增一个用户为orange,密码为chengyunpeng的用户可以访问是所有权限
  /*      auth.inMemoryAuthentication().withUser("admin").password("admin").authorities("addMember","delMember","editMember","showMember");
        auth.inMemoryAuthentication().withUser("orange").password("orange").authorities("showMember");
    */
    auth.userDetailsService(memberDetailsService).passwordEncoder(new PasswordEncoder() {
        @Override
        public String encode(CharSequence charSequence) {
            return MD5Util.encode((String)charSequence);
        }

        @Override
        public boolean matches(CharSequence charSequence, String s) {
            String rawPass = MD5Util.encode((String) charSequence);
            boolean result = rawPass.equals(s);
            return result;
        }
    });

    }


    /**
     * 密码不做任何处理
     * @return
     */
/*    @Bean
    public static NoOpPasswordEncoder passwordEncoder(){
        return (NoOpPasswordEncoder) NoOpPasswordEncoder.getInstance();
    }*/





}

MD5工具类如下

package com.thunisoft.spring_security.utils;

import java.security.MessageDigest;

public class MD5Util {

   private static final String SALT = "mayikt";

   public static String encode(String password) {
      password = password + SALT;
      MessageDigest md5 = null;
      try {
         md5 = MessageDigest.getInstance("MD5");
      } catch (Exception e) {
         throw new RuntimeException(e);
      }
      char[] charArray = password.toCharArray();
      byte[] byteArray = new byte[charArray.length];

      for (int i = 0; i < charArray.length; i++)
         byteArray[i] = (byte) charArray[i];
      byte[] md5Bytes = md5.digest(byteArray);
      StringBuffer hexValue = new StringBuffer();
      for (int i = 0; i < md5Bytes.length; i++) {
         int val = ((int) md5Bytes[i]) & 0xff;
         if (val < 16) {
            hexValue.append("0");
         }

         hexValue.append(Integer.toHexString(val));
      }
      return hexValue.toString();
   }

   public static void main(String[] args) {
      System.out.println(MD5Util.encode("orange"));

   }
}

主要是websecrity的设置
运行项目进行测试
不懂的可以骚扰我

@我不是大鹏
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
理论篇(一) Spring Security+OAuth2 权限服务
qq_42668337的博客
09-26 646
目录 首先什么是OAuth2 SpringSecurity又是什么 为什么用OAuth2 整个流程图 交互过程 第方接入 Access Token令牌刷新 Refresh Token 客户端授权模式 概述 简化模式 授权码模式 密码模式 客户端模式 总结 声明 首先什么是OAuth2 oAuth2是一种协议,可以理解为是一种标准 特点在与不会让第...
SpringBoot2.0 + Oauth2 实现RESTful API身份验证
wangsdsdfds的博客
05-22 2274
REST全称是Representational State Transfer; REST指的是一组架构约束条件和原则。有兴趣了解的朋友参考RESTful 架构详解; OAuth2 网页翻译后截图 配置授权服务oauth @EnableAuthorizationServer: 用于激活OAuth 2.0授权服务器。 主要配置: 客户端信息, 管理令牌, 授权类型。 实现接...
Spring Security之自定义数据库
来啊 快活啊
06-14 1233
[org.springframework.security.core.userdetails.jdbc.JdbcDaoImpl]类中定义了条sql语句和个相关的方法:public static final String DEF_USERS_BY_USERNAME_QUERY = "select username,password,enabled " + "from use
java spring security oauth2 动态 修改当前登录用户的基础信息以及权限2.0(无需重新登录)
最新发布
ycg的博客
04-19 372
两年前写过一篇动态修改角色和权限当时表述的不是很全面比如如何修改其他用户权限修改用户信息没有效果等再写一篇。
OAuth2.0 - 使用数据库存储客户端信息 及 授权码
小毕超博客
01-18 6687
一、OAuth2.0 上篇文章我们介绍了使用JWT替换Token使得认证服务的压力减小,但是向客户端信息,和授权码都是存储在了内存中,一旦认证服务宕机,那客户端的认证信息也随之消失,而且客户端信息是在程序中写死的,维护起来及不方便,每次修改都需要重启服务,如果向上述信息都存于数据库中便可以解决上面的问题,其中数据我们可以自定义存到noSql或其他数据库中,SpringOauth2也为我们提供了数据库的解决方案。 下面是上篇文章的地址: https://blog.csdn.net/qq_43692950/a
权限控制-spring security方登录与数据库配置方案详解
weixin_30871905的博客
06-20 181
详情参考:https://springcloud.cc/spring-security-zhcn.html Spring security 提供了接口,依据这些接口可以自定义自己的校验规则。 AccessDecisionManager权限校验 FilterInvocationSecurityMetadataSource权限配置数据库加载 AbstractSecurityIntercep...
struts2.0+spring2.0+hibernate3.1+web应用
12-27
【Struts2.0+Spring2.0+Hibernate3.1+Web应用】是一个经典的Java企业级应用架构组合,主要用于构建高效、灵活且易于维护的Web应用程序。这个组合集成了Struts2作为MVC框架,Spring作为依赖注入(DI)和面向切面编程...
spring-boot-security.zip
08-01
Spring Boot Security是一个强大的工具,用于在Spring Boot应用中轻松实现安全控制。它简化了安全配置,使得开发者可以快速地为应用程序添加认证和授权功能。在本文中,我们将深入探讨Spring Boot 2.0与Security的...
学成在线 - Spring Security Oauth2 JWT 资料.zip
07-30
Spring Security框架中,你可以定义访问控制规则,处理登录和注销请求,以及管理用户权限。通过配置Spring Security,开发者可以轻松地实现基于角色的访问控制(RBAC)。 OAuth2则是解决服务提供商与第方应用...
springboot OAuth2.0-demo
12-17
- `SecurityConfig`:整体的安全配置,结合OAuth2.0和Spring Security。 - `ClientDetails`:客户端信息,包括ID、密钥和授权范围。 - `UserController`和`ResourceController`:模拟用户和资源操作的控制器,其中的...
security.zip
08-31
此外,Spring Security还提供了基于注解的权限控制,如`@PreAuthorize`和`@Secured`,可以在控制器方法上声明访问权限。 至此,我们已经构建了一个基本的权限控制和认证系统。用户登录后,Spring Security会自动...
SpringBootSpringSecurity 快速入门
✈ 正在努力 の 寒江(StudiousTiger) ✌ 呐 ✈
08-17 458
文章目录一、简介二、使用SpringSecurity1、导入依赖2、基础环境搭建3、编写SecurityConfig配置类①、重写configure(HttpSecurity http)方法②、重写configure(AuthenticationManagerBuilder auth)方法 一、简介 Spring Security 是一个功能强大且高度可定制的身份验证和访问控制框架。它是保护基于 Spring 的应用程序的事实上的标准。 Spring Security 是一个专注于为 Java 应用程序
OAuth2.0 社交登录-Gitee springboot项目整合(微服务分布式)完整代码包括 数据库、前、后端
想去很远地方
08-01 1743
完成这个踩了很多坑,包括第一时间忘了浏览器缓存这回事以及微博一些平台申请社交登录很复杂,所以写这篇博客,主要记录一些前后端代码,方便以后偷个懒,可以直接复制粘贴。这里是模拟分布式完成了一个远程调用的OAuth登录,分为auth(认证模块)和member(会员用户模块)在gitee的官方api中,可以通过token获取用户数据。token的过期时间是一天,可以通过下面的方式重写获取token。在postman中填入参数获取token。放进来,同时放好对应的logo。.........
Spring BootSpring Security基于数据库的认证
探索er的博客
05-08 1549
Spring Security基于数据库的认证
Auth2.0原理
热门推荐
沈荣荣的博客
06-15 1万+
OAuth是一个关于授权(authorization)的开放网络标准,在全世界得到广泛应用,目前的版本是2.0版。目前Auth2.0已经得到了广泛应用,比如微信登录、微博、QQ等。一、为什么要使用OAuth为了理解OAuth的适用场合,让我举一个假设的例子。有一个"云冲印"的网站,可以将用户储存在Google的照片,冲印出来。用户为了使用该服务,必须让"云冲印"读取自己储存在Google上的照片。...
Spring Security教程(4)---- 数据库表结构的创建
mark's technic world
09-23 1157
PD建模图 建模语句 [sql] view plaincopy alter table SYS_AUTHORITIES_RESOURCES      drop constraint FK_SYS_AUTH_REFERENCE_SYS_AUTH;      alter table SYS_AUTHORIT
Spring Security系列教程10--基于自定义数据库模型实现授权
一一哥
09-17 1300
前言 在上一个章节中,一一哥 给大家讲解了如何基于默认的数据库模型来实现认证授权,在这种模型里,用户的信息虽然是保存在数据库中的,但是有很多的限制!因为我们必须按照源码规定的方式去建库建表,存在灵活性不足的问题。而我们真正开发时,用户角色等表肯定要根据自己的项目需求来单独设计,所以我们有必要进行用户及角色表的自定义设计。 那么在本篇文章中,壹哥 就带各位,结合自己的实际项目需求,进行数据库和表的自定义设计,然后在这个自定义的数据库中实现用户信息的认证与授权工作。 一. 核心API源码介绍 1. Us
03-SpringSecurity数据库用户登录
空夜's Blog
06-04 1564
这一节来看一下如何从数据库引入user到我们的spring-security中。 统一用户登录 首先来实现一个不包含角色、权限的demo吧! 建表: DROP TABLE IF EXISTS `user`; CREATE TABLE `user` ( `id` int(11) NOT NULL AUTO_INCREMENT, `name` varchar(255) NOT NULL, ...
SpringSecurity 基于数据库的验证
抛弃幻想,准备斗争
04-25 3336
之前给出的用户名和密码的信息都是由用户固定填写的,这种做法并不适合实际的开发,所以在所有项目系统中,用户名和密码都应该交由数据库进行管理,包括密码也应该使用MD5进行加密处理。 一、基于标准数据库的保存 如果要想实现基于标准的数据库保存操作,那么首先要根据Spring安全框架的定义要求,创建相关的数据表。 一个用户具备多个角色,所以属于一对多的关系。 如果现在要想使用MD5的加...
auth2.0+jwt+spring security
08-29
在使用Spring Security进行认证时,可以将Auth2.0作为认证提供者。用户通过提供有效的令牌进行认证,Spring Security会验证令牌的真实性和有效性。 当用户成功认证后,Spring Security可以使用JWT来授权访问应用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

@我不是大鹏

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值