SpringBoot集成Spring Security(5)——权限控制

最新推荐文章于 2024-05-22 16:49:19 发布
最新推荐文章于 2024-05-22 16:49:19 发布
阅读量431 收藏 1
点赞数
分类专栏: Spring Security Spring Boot 文章标签: spring spring boot
原文链接:https://blog.csdn.net/yuanlaijike/article/details/80327880
版权

SpringBoot集成Spring Security(5)——权限控制

  这里的权限只是对角色赋予权限,也就是说同一个角色的用户,权限是一样的。

1. 表结构

CREATE TABLE `sys_permission` (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `url` varchar(50) DEFAULT NULL,
  `role_id` int(11) DEFAULT NULL,
  `permission` varchar(20) DEFAULT NULL,
  PRIMARY KEY (`id`),
  KEY `fk_roleId` (`role_id`),
  CONSTRAINT `fk_roleId` FOREIGN KEY (`role_id`) REFERENCES `sys_role` (`id`) ON DELETE CASCADE ON UPDATE CASCADE
) ENGINE=InnoDB AUTO_INCREMENT=5 DEFAULT CHARSET=utf8;

  添加两条数据,url+role_id+permission 唯一标识了一个角色访问某一 url 时的权限,其中权限暂定为 c、r、u、d,即增删改查。

2. 三层结构

2.1 实体类(enity)

/**
 * 权限实体类
 */
@Data
@AllArgsConstructor
@NoArgsConstructor
public class SysPermission implements Serializable {
    static final long serialVersionUID = 1L;
    //id
    private int id;
    //具有权限的地址
    private String url;
    //角色
    private int roleId;
    //权限
    private String permission;
    //权限集
    private List permissions;

    public List getPermissions(){
        return Arrays.asList(this.permission.trim().split(","));
    }

    public void setPermissions(List permissions){
        this.permissions=permissions;
    }
}

  由于在数据库中直接设定有个角色对应了很多权限,我们需要单独地提取出这些权限放在一个集合中来获取,方便后面的使用。故多了一个 permissions 属性,该字段将 permission 按逗号分割为了 list
2.2 mapper
2.2.1 添加SysPermissionMapper接口

@Mapper
@Repository
public interface SysPermissionMapper {

    //根据用户查找出来权限
    @Select("select * from sys_permission where role_id=#{roleId}")
    List<SysPermission> listByRoleId(int roleId);
}

2.2.2 修改SysUserMapper
在这里插入图片描述
2.3 service
2.3.1 添加SysPermissionService类
  SysPermissionService 中有一个方法,根据 roleId 获取所有的 SysPermission

@Service
public class SysPermissionService {

    @Autowired
    private SysPermissionMapper sysPermission;

    /**
     * 获得角色的所有权限
     */
    public List<SysPermission> listByRoleId(int roleId){
        return sysPermission.listByRoleId(roleId);
    }
}

2.3.2 修改SysRoleService类
在这里插入图片描述
2.4 controller
  在LoginController中添加权限处理,但得把之前的认证处理注释掉,不然会报创建bean异常,因为有相同的RequestMapping

    //权限处理
    @RequestMapping("/admin")
    @ResponseBody
    @PreAuthorize("hasPermission('/admin','r')")
    public String printAdminR(){
        return "访问的/admin具有r权限";
    }

    @RequestMapping("/admin/c")
    @ResponseBody
    @PreAuthorize("hasPermission('/admin','c')")
    public String printAdminC(){
        return "访问的/admin具有c权限";
    }

  接着修改访问的接口,其中@PreAuthorize("hasPermission('/admin','r')")是关键,参数1(/admin)指明了访问该接口需要的url,参数2®指明了访问该接口需要的权限

3. PermissionEvaluator

  对 hasPermission() 方法的处理,就需要自定义 PermissionEvaluator,创建类 CustomPermissionEvaluator,实现 PermissionEvaluator 接口

/**
 * 自定义权限处理
 */
@Component
public class CustomPermissionEvaluator implements PermissionEvaluator {

    @Autowired
    private SysPermissionService permissionService;

    @Autowired
    private SysRoleService roleService;

    //参数 1 代表用户的权限身份,参数 2 参数 3 分别和 @PreAuthorize("hasPermission('/admin','r')") 中的参数对应,即访问 url 和权限。
    @Override
    public boolean hasPermission(Authentication authentication, Object targetUrl, Object targetPermission) {
        //获得loadUserByUsername()方法的结果
        User user= (User) authentication.getPrincipal();
        //获得loadUserByUsername()中注入的角色
        Collection<GrantedAuthority> authorities=user.getAuthorities();

        //遍历所有角色
        for(GrantedAuthority authority:authorities){
            String roleName=authority.getAuthority();
            int roleId=roleService.selectByRole(roleName).getId();
            //得到角色的所有权限
            List<SysPermission> permissionList=permissionService.listByRoleId(roleId);

            //遍历所有权限,即遍历permissionList
            for(SysPermission permission:permissionList){
                //获取权限集
                List permissions=permission.getPermissions();
                // 如果访问的Url和权限用户符合的话,返回true
                if(targetUrl.equals(permission.getUrl())
                        &&  permissions.contains(targetPermission)){
                    return true;
                }
            }
        }
        return false;
    }

    @Override
    public boolean hasPermission(Authentication authentication, Serializable serializable, String s, Object o) {
        return false;
    }
}

  其中方法 hasPermission(Authentication authentication, Object targetUrl, Object targetPermission),第一个参数authentication(用户的权限身份),第二个参数Object targetUrl(访问的url,即/admin),第三个参数Object targetPermission(这个url需要的权限)
  思路如下:

  • 通过 Authentication 取出登录用户的所有 role
  • 遍历每一个 role,获取到每个role的所有 permission
  • 遍历每一个 permission,只要有一个 permission 的 url 和传入的url相同,且该 permission 中包含传入的权限,返回 true
  • 如果遍历都结束,还没有找到,返回false

  在WebSecurityConfig 中注册添加 CustomPermissionEvaluator

 /**
     * 自定义注入权限PermissionEvaluator
     */
    @Bean
    public DefaultWebSecurityExpressionHandler webSecurityExpressionHandler(){
        DefaultWebSecurityExpressionHandler handler=new DefaultWebSecurityExpressionHandler();
        handler.setPermissionEvaluator(new CustomPermissionEvaluator());
        return handler;
    }

  在配置文件application.properties中添加:

spring.main.allow-bean-definition-overriding=true

不然编译会报错

4. 程序运行

在这里插入图片描述

啊啊啊啊~~~~
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
权限实现Security--@PreAuthorize
Mrs_DongDong的博客
07-20 989
@PreAuthorize,security权限,菜单
关于@PreAuthorize注解的使用场景
weixin_45822542的博客
02-17 1974
PreAuthorize注解使用场景
springboot整合security实现权限控制
最新发布
Amour恋空的博客
05-22 1209
Spring Security 的前身是 Acegi Security ,是。Spring Security 为基于J2EE企业应用软件提供了全面安全服务。特别是使用领先的J2EE解决方案-Spring框架开发的企业软件项目。人们使用Spring Security有很多种原因,不过通常吸引他们的是在J2EE Servlet规范或EJB规范中找不到典型企业应用场景的解决方案。特别要指出的是他们不能再WAR 或 EAR 级别进行移植。
Spring Boot整合Spring Security(五)登出与未认证(授权)处理
时雨吹雪的博客
02-01 1159
Spring Security中登出处理与访问拒绝处理
SpringBoot集成SpringSecurity5和OAuth2 总结
Mr_XiMu的博客
10-29 2054
SpringBoot集成SpringSecurity5和OAuth2 总结
SpringBoot整合SpringSecurity权限控制(动态拦截url+单点登录)
jiaoqi6132的博客
04-04 2341
Slf4j@Component@Resource@Override//获取身份验证详细信息//用于校验mac地址白名单(这里只是打个比方,登录验证中增加的额外字段)//表单输入的用户名//表单输入的密码//校验用户名密码if (!matches) {!");@Override@Component@Resource@Override//任意登录用户名!");//从数据库获取密码//用户拥有的角色// }
SpringBoot集成Spring Security登录管理 添加 session 共享【完整源码+数据库】
02-16
以上就是关于"SpringBoot集成Spring Security登录管理 添加 session 共享"的详细讲解。通过这个过程,我们可以创建一个安全且具有session共享功能的SpringBoot应用,为用户提供一致的登录体验。实际操作时,应根据...
基于SpringBoot+SpringSecurity的RBAC管理系统.zip
05-18
【标题】:“基于SpringBoot+SpringSecurity的RBAC管理系统”是一个使用Java开发的现代Web应用程序,它利用了SpringBoot框架的便利性和SpringSecurity的安全管理功能...RBAC模型是一种常见的权限分配策略,...
基于SpringBoot+SpringSecurity+Thymeleaf新冠疫情管理系统设计源码案例设计.zip
04-20
本系统设计案例采用的是现代Web开发的主流技术栈——SpringBootSpringSecurity和Thymeleaf,旨在构建一个新冠疫情的管理平台,实现数据的高效存储、安全访问以及用户友好的界面展示。以下将对这三个核心组件进行...
springboot+mybatis+gradle+thymeleaf+springsecurity
01-03
综上所述,"springboot+mybatis+gradle+thymeleaf+springsecurity"的项目组合,构建了一个功能完善的、安全的Web应用,涵盖了从数据存储、业务处理到用户界面呈现和安全防护的各个层面。开发者可以根据实际需求...
springboot项目——基于springSecurity实现的前后端分离的企业级人事管理系统
10-03
本文将深入探讨如何在SpringBoot项目中集成SpringSecurity,构建一个前后端分离的企业级人事管理系统。 首先,SpringBoot简化了Spring应用的初始化和配置过程,使得开发者可以快速搭建项目结构。在这个案例中,...
Spring Boot:整合Spring Security
shehuinikaige的博客
12-05 167
Spring SecuritySpring 社区的一个顶级项目,也是 Spring Boot 官方推荐使用的安全框架。除了常规的认证(Authentication)和授权(Authorization)之外,Spring Security还提供了诸如ACLs,LDAP,JAAS,CAS等高级特性以满足复杂场景下的安全需求。另外,就目前而言,Spring Security和Shiro也是当前广大应用使用比较广泛的两个安全框架。
springboot整合security5自定义处理认证、权限管理
wjs040的博客
07-25 738
首先引入security jar 包 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <!---...
SpringBoot集成SpringSecurity(五)授权控制
xinshengdelei的专栏
03-31 727
授权控制 授权包括web授权、方法注解授权。 web授权 SpringSecurity通过http.authorizeRequests()对web请求(URL访问)进行授权保护。 一、请求匹配 1、antMatchers("/login","/getver"):匹配到的请求。此时实际上访问这些路径的用户为匿名用户anonymousUser,其权限列表为[ROLE_ANONYMOUS]。 antMatchers中可以添加多个字符串,每个字符串支持?(单个字符)、*(0或任意个字符)、**(0或更多
Spring Security源码分析十五:Spring Security 页面权限控制
weixin_34250709的博客
03-06 253
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了...
spring security权限标签记录
SunErlei的博客
09-19 1312
spring security权限标签记录 #转:原文链接http://blog.csdn.net/shadowsick/article/details/8868863 当我们自定义了spring security3 的过滤链的时候发现页面权限控制标签&lt;sec:authorize之类的已经不能起效了,这是因为我们缺少一个必须的实例 所以找了下源码看到需要一个DefaultWebInvocat...
五分钟带你玩转SpringSecurity(四)配置全解析,带你掌握security核心要点
小鲍侃java
02-04 856
1认证 认证:辨别用户是否本系统用户。 优势:1 提供多样式的加密方法 2 提供多样式的用户存储方式 3 使用者无需关注验证封装业务 只需要提供查询方法即可 4 多样式的认证方式 5 提供用户信息获取方式 可扩展的功能 1 记住我 2 邮箱验证 3 手机验证 4 验证码验证 配置详解 spring security统一实现WebSecurityCo...
Springboot集成SpringSecurity实现登录和权限管理代码
06-07
好的,下面是 SpringBoot 集成 SpringSecurity 实现登录和权限管理的示例代码: 首先,我们需要在 pom.xml 中添加 SpringSecurity 的依赖: ```xml <groupId>org.springframework.boot <artifactId>spring-boot...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值