SpringBoot中Secuuity 权限管理

最新推荐文章于 2024-05-15 14:11:50 发布
最新推荐文章于 2024-05-15 14:11:50 发布
阅读量857 收藏 1
点赞数 1
分类专栏: java  Security SpringBoot 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40575510/article/details/107083652
版权
java  同时被 3 个专栏收录
1 篇文章 0 订阅
订阅专栏
Security
1 篇文章 0 订阅
订阅专栏
SpringBoot
1 篇文章 0 订阅
订阅专栏

security 主要涉及模块

 security 原生类               		    注释              (自定义类需)	  
AuthenticationFilter				身份验证筛选器   			继承类		UsernamePasswordAuthenticationFilter
AuthenticationManagerBuilder		身份验证管理器生成器 		实现接口		UserDetailsService / UserDetails(通过两个类实现接口) 

[FilterSecurityInterceptor]
	AccessDecisionManager			访问决策管理器 			实现接口		FilterInvocationSecurityMetadataSource
	SecurityMetadataSource			安全元数据源				实现接口		AccessDecisionManager

security

用户 UsernamePass UserDetailsService UserDetails FilterInvocation... AccessDecision user(请求) UsernamePasswordAuthenticationFilter UserDetailsService 检验(用户名,密码,验证码) username Authorities 设置用户权限 authorities.add(new SimpleGrantedAuthority (role.getName())) 登录失败信息(验证码,用户,密码错,过期等) request FilterInvocationSecurity MetadataSource 获取能访问该请求的 权限 return Collection<ConfigAttribute> authentication,configAttributes AccessDecis ionManager校 验用户是否携带(aut hentication )路径所需要(conf igAttribute s)的权限 fail:权限不足或别的错误提示 success: 渲染对应的页面 用户 UsernamePass UserDetailsService UserDetails FilterInvocation... AccessDecision Security

securityConfig

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    MyUserService myUserService;
    @Autowired
    CustomFilterInvocationSecurityMetadataSource customFilterInvocationSecurityMetadataSource;
    @Autowired
    CustomUrlDecisionManager customUrlDecisionManager;

    @Bean
    PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(myUserService);
    }

    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring().antMatchers("/css/**", "/js/**", "/index.html", "/img/**", "/fonts/**", "/favicon.ico", "/verifyCode","/verifyCode1");
    }

    @Bean
    LoginFilter loginFilter() throws Exception {
        LoginFilter loginFilter = new LoginFilter();
        loginFilter.setAuthenticationSuccessHandler((request, response, authentication) -> {
                    response.setContentType("application/json;charset=utf-8");
                    PrintWriter out = response.getWriter();
                    Hr hr = (Hr) authentication.getPrincipal();
                    hr.setPassword(null);
                    RespBean ok = RespBean.ok("登录成功!", hr);
                    String s = new ObjectMapper().writeValueAsString(ok);
                    out.write(s);
                    out.flush();
                    out.close();
                }
        );
        loginFilter.setAuthenticationFailureHandler((request, response, exception) -> {
                    response.setContentType("application/json;charset=utf-8");
                    PrintWriter out = response.getWriter();
                    RespBean respBean = RespBean.error(exception.getMessage());
                    if (exception instanceof LockedException) {
                        respBean.setMsg("账户被锁定,请联系管理员!");
                    } else if (exception instanceof CredentialsExpiredException) {
                        respBean.setMsg("密码过期,请联系管理员!");
                    } else if (exception instanceof AccountExpiredException) {
                        respBean.setMsg("账户过期,请联系管理员!");
                    } else if (exception instanceof DisabledException) {
                        respBean.setMsg("账户被禁用,请联系管理员!");
                    } else if (exception instanceof BadCredentialsException) {
                        respBean.setMsg("用户名或者密码输入错误,请重新输入!");
                    }
                    out.write(new ObjectMapper().writeValueAsString(respBean));
                    out.flush();
                    out.close();
                }
        );
        loginFilter.setAuthenticationManager(authenticationManagerBean());
        loginFilter.setFilterProcessesUrl("/doLogin");
        ConcurrentSessionControlAuthenticationStrategy sessionStrategy = new ConcurrentSessionControlAuthenticationStrategy(sessionRegistry());
        sessionStrategy.setMaximumSessions(1);
        loginFilter.setSessionAuthenticationStrategy(sessionStrategy);
        return loginFilter;
    }

    @Bean
    SessionRegistryImpl sessionRegistry() {
        return new SessionRegistryImpl();
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .withObjectPostProcessor(new ObjectPostProcessor<FilterSecurityInterceptor>() {
                    @Override
                    public <O extends FilterSecurityInterceptor> O postProcess(O object) {
                        object.setAccessDecisionManager(customUrlDecisionManager);
                        object.setSecurityMetadataSource(customFilterInvocationSecurityMetadataSource);
                        return object;
                    }
                })
                .and()
                .logout()
                .logoutSuccessHandler((req, resp, authentication) -> {
                            resp.setContentType("application/json;charset=utf-8");
                            PrintWriter out = resp.getWriter();
                            out.write(new ObjectMapper().writeValueAsString(RespBean.ok("注销成功!")));
                            out.flush();
                            out.close();
                        }
                )
                .permitAll()
                .and()
                .csrf().disable().exceptionHandling()
                //没有认证时,在这里处理结果,不要重定向
                .authenticationEntryPoint((req, resp, authException) -> {
                            resp.setContentType("application/json;charset=utf-8");
                            resp.setStatus(401);
                            PrintWriter out = resp.getWriter();
                            RespBean respBean = RespBean.error("访问失败!");
                            if (authException instanceof InsufficientAuthenticationException) {
                                respBean.setMsg("请求失败,请联系管理员!");
                            }
                            out.write(new ObjectMapper().writeValueAsString(respBean));
                            out.flush();
                            out.close();
                        }
                );
        http.addFilterAt(new ConcurrentSessionFilter(sessionRegistry(), event -> {
            HttpServletResponse resp = event.getResponse();
            resp.setContentType("application/json;charset=utf-8");
            resp.setStatus(401);
            PrintWriter out = resp.getWriter();
            out.write(new ObjectMapper().writeValueAsString(RespBean.error("您已在另一台设备登录,本次登录已下线!")));
            out.flush();
            out.close();
        }), ConcurrentSessionFilter.class);
        http.addFilterAt(loginFilter(), UsernamePasswordAuthenticationFilter.class);
    }
}

UsernamePasswordAuthenticationFilter

只在用户初次登录时访问一次;进行验证码的校验

public class LoginFilter extends UsernamePasswordAuthenticationFilter {
    @Autowired
    SessionRegistry sessionRegistry;
    @Override
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
            if (!request.getMethod().equals("POST")) {
            throw new AuthenticationServiceException(
                    "Authentication method not supported: " + request.getMethod());
        }
        String verify_code = (String) request.getSession().getAttribute("verify_code");
        if (request.getContentType().contains(MediaType.APPLICATION_JSON_VALUE) || request.getContentType().contains(MediaType.APPLICATION_JSON_UTF8_VALUE)) {
            Map<String, String> loginData = new HashMap<>();
            try {
                loginData = new ObjectMapper().readValue(request.getInputStream(), Map.class);
            } catch (IOException e) {
            }finally {
                String code = loginData.get("code");
                checkCode(response, code, verify_code);
            }
            String username = loginData.get(getUsernameParameter());
            String password = loginData.get(getPasswordParameter());
            if (username == null) {
                username = "";
            }
            if (password == null) {
                password = "";
            }
            username = username.trim();
            UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(
                    username, password);
            setDetails(request, authRequest);
            Hr principal = new Hr();
            principal.setUsername(username);
            sessionRegistry.registerNewSession(request.getSession(true).getId(), principal);
            return this.getAuthenticationManager().authenticate(authRequest);
        } else {
            checkCode(response, request.getParameter("code"), verify_code);
            return super.attemptAuthentication(request, response);
        }
    }

    public void checkCode(HttpServletResponse resp, String code, String verify_code) {
        if (code == null || verify_code == null || "".equals(code) || !verify_code.toLowerCase().equals(code.toLowerCase())) {
            //验证码不正确
            throw new AuthenticationServiceException("验证码不正确");
        }
    }
}

MyUserService

只在用户初次登录时访问一次;进行检测用户存在否;同时给用户注入权限。

public class MyUserService implements UserDetailsService {
@Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        User user= UserMapper.loadUserByUsername(username);
        if (user== null) {
            throw new UsernameNotFoundException("用户名不存在!");
        }
        user.setRoles(userMapper.getHrRolesById(user.getId()));
        return user;
    }
}

User

只在用户初次登录时访问一次;将用户所具备的权限 注册到security中交由容器管理。

public class User implements UserDetails {
 @Override
    public boolean equals(Object o) {
        if (this == o) return true;
        if (o == null || getClass() != o.getClass()) return false;
        User user= (User ) o;
        return Objects.equals(username, user .username);
    }

    @Override
    public int hashCode() {
        return Objects.hash(username);
    }

    public List<Role> getRoles() {
        return roles;
    }

    public void setRoles(List<Role> roles) {
        this.roles = roles;
    }
    @Override
    @JsonIgnore
    public Collection<? extends GrantedAuthority> getAuthorities() {
        List<SimpleGrantedAuthority> authorities = new ArrayList<>(roles.size());
        for (Role role : roles) {
            authorities.add(new SimpleGrantedAuthority(role.getName()));
        }
        return authorities;
    }
}

FilterInvocationSecurityMetadataSource

每次各种请求都会进行拦截;检测出此次请求所需要的权限。

@Component
public class CustomFilterInvocationSecurityMetadataSource implements FilterInvocationSecurityMetadataSource {
    @Autowired
    MenuService menuService;
    AntPathMatcher antPathMatcher = new AntPathMatcher();
    @Override
    public Collection<ConfigAttribute> getAttributes(Object object) throws IllegalArgumentException {
        String requestUrl = ((FilterInvocation) object).getRequestUrl();
        List<Menu> menus = menuService.getAllMenusWithRole();
        for (Menu menu : menus) {
            if (antPathMatcher.match(menu.getUrl(), requestUrl)) {
                List<Role> roles = menu.getRoles();
                String[] str = new String[roles.size()];
                for (int i = 0; i < roles.size(); i++) {
                    str[i] = roles.get(i).getName();
                } //将可以访问这个路径的角色 封装
                return SecurityConfig.createList(str);
            }
        }
        return SecurityConfig.createList("ROLE_LOGIN");
    }

    @Override
    public Collection<ConfigAttribute> getAllConfigAttributes() {
        return null;
    }

    @Override
    public boolean supports(Class<?> clazz) {
        return true;
    }
}

AccessDecisionManager

当解析出此次请求所需要的条件后,根据所需的权限校验当前用户是否携带有此次请求所需要的权限
从而实现权限管理。

@Component
public class CustomUrlDecisionManager implements AccessDecisionManager {
    @Override
    public void decide(Authentication authentication, Object object, Collection<ConfigAttribute> configAttributes) throws AccessDeniedException, InsufficientAuthenticationException {
        for (ConfigAttribute configAttribute : configAttributes) {// 获取可以访问当前路径的权限
            String needRole = configAttribute.getAttribute();
            if ("ROLE_LOGIN".equals(needRole)) {
                if (authentication instanceof AnonymousAuthenticationToken) {
                    throw new AccessDeniedException("尚未登录,请登录!");
                }else {
                    return;
                }
            }
            Collection<? extends GrantedAuthority> authorities = authentication.getAuthorities();//获取当前用户携带的角色权限
            for (GrantedAuthority authority : authorities) {
                if (authority.getAuthority().equals(needRole)) {
                    return;
                }
            }
        }
        throw new AccessDeniedException("权限不足,请联系管理员!");
    }

    @Override
    public boolean supports(ConfigAttribute attribute) {
        return true;
    }

    @Override
    public boolean supports(Class<?> clazz) {
        return true;
    }
}
彳亍独行
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java实现登录功能(二)
追风_CJJ的博客
04-09 2119
Java实现登录功能(二) 文章目录Java实现登录功能(二)前言一、Spring Security二、JWT三、Java基于JWT实现登录功能1.引入pom依赖2.编写JWT工具类3.编写登录接口4.Java后端校验Token测试5.Vue登录页面的存储Token方法6.Vue前端每次请求资源携带Token方法总结 前言 上一篇博客 Java实现登录功能(一)介绍一种现在流行的基于JWT的Token认证方式实现的登录功能,本文将继续介绍在基于JWT的Token认证方式下搭配安全框架Spring Se
个人总结 Security权限控制总结 持续跟新
azto的博客
06-10 501
权限控制总结Security配置类第一 Security配置第二 自定义类第三 Security配置 Security配置类 第一 Security配置 1)需要继承WebSecurityConfigurerAdapter 2)WebSecurityConfigurerAdapter 有以下三个configure //配置身份认证来源,也就是用户及其角色。 来源的自定义类一定要实现UserDetails @Override protected void configure(Authe
SpringSecurity访问多人在线Session管理的实现原理
最新发布
JavaMyDream的博客
05-15 132
【代码】SpringSecurity访问多人在线Session管理的实现原理。
微人事项目学习之权限管理
人生错觉
03-05 710
权限管理
020-云E办_权限管理RBAC.用户、角色、菜单对应的关系
weixin_43989347的博客
01-29 4025
020-云E办_权限管理题前言:一、权限管理RBAC基本概念二、RBAC表结构设计1、实体对应关系2、表结构设计三、根据请求的url判断角色1.思路2.根据访问的URL判断角色具体实现:1.POJO类、Menu2.server: IMenusServer3.mapper: MenuMapper4.过滤器四、判断用户的角色1、修改管理员类 前言: 前面,只是在表查询当,关联了一下权限表。并没有做其他的处理,这是正常登录。 问题:如果用户直接在地址上输入本身权限没有的URL,我们也应该对其控制。这样就设计到权
Springboot + shiro权限管理
11-17
**SpringBoot + Shiro 权限管理详解** 在现代企业级应用开发权限管理是不可或缺的一部分,它确保用户只能访问他们被授权的资源。SpringBoot 和 Apache Shiro 是两个非常流行的 Java 开发框架,它们结合可以构建...
基于springBoot权限管理系统
01-07
mysiteforme权限管理系统是学习springBoot时基于springBoot开发的一套轻量级的系统脚手架,可以以此形成一套属于自己的系统后台 ,自动生成前后台基本代码;使用Spring Boot、Shiro、MyBatis、Layui等框架,包含:...
基于SpringBoot的MSFM权限管理系统设计源码
04-04
本设计源码提供了一个基于SpringBoot的MSFM权限管理系统。项目包含842个文件,主要使用Java编程语言,并包含了HTML、JavaScript和CSS。文件类型包括327个HTML页面文件、157个Java源代码文件、87个GIF图片文件、60个...
基于SpringBoot的RuoYi权限管理系统设计源码
04-14
本项目是基于SpringBoot的RuoYi权限管理系统设计源码,共有673个文件,包括271个Java文件、144个HTML文件等。系统采用Spring、MyBatis、Shiro等核心技术,没有其他重度依赖,直接运行即可使用。系统设计注重易读性和...
springboot+vue3 权限管理系统demo源码
03-22
2.yaken_AuthorizationManagementDemo_vue - 前台程序,导入IDE后先运行npm install,下载必要依赖,在执行npm run serve启动程序,启动程序前,请修改“权限管理Demo\yaken_AuthorizationManagementDemo_vue\src\...
java怎么实现踢掉在线用户_Spring Boot + Vue 前后端分离项目如何踢掉已登录用户...
weixin_29116603的博客
02-25 680
上篇文章,我们讲了在 Spring Security 如何踢掉前一个登录用户,或者禁止用户二次登录,通过一个简单的案例,实现了我们想要的效果。但是有一个不太完美的地方,就是我们的用户是配置在内存的用户,我们没有将用户放到数据库去。正常情况下,松哥在 Spring Security 系列讲的其他配置,大家只需要参考Spring Security+Spring Data Jpa 强强联手,安...
SpringBoot实战》读书笔记
山河已无恙
02-26 1138
我来不及认真地年轻,待明白过来时,只能选择认真地老去。——三毛
Spring Security 动态加载URL权限
shanchahua123456的博客
04-01 2767
https://www.jb51.net/article/141682.htm https://blog.csdn.net/weixin_43184769/article/details/84937685#t0 动态加载URL权限 动态实际测试项目:https://gitee.com/sw008/springbootdemo_source_code 项目目的是实现Spring Securi...
spring security 各个filter的主要功能
qq_29415357的博客
03-21 1010
spring security 各个filter的主要功能 spring security是一个安全框架,主要实现登录认证、权限鉴定、session管理等工作。其把工作委托给springsecurityFilterChain来操作,大约有14个Filter。 1、WebAsyncManagerIntegrationFilter: 提供了对securityContext和WebAsyncManager的集成,使其支持把SecurityContext设置基于ThreadLocal的SecurityContext
vc怎么把password格式还原_前后端分离,使用 JSON 格式登录原来这么简单!
weixin_39901558的博客
12-01 73
https://www.zhihu.com/video/1228261360409780224本视频节选自松哥自制的 Spring Boot+Vue+微人事系列视频,如果小伙伴们觉得松哥的视频风格还能接受,也可以看看这里 Spring Boot + Vue 系列视频教程以下是视频笔记。做微人事的小伙伴(https://github.com/lenve/vhr),应该都发现了在微人事有一个极为特殊...
spring security3教程系列--如何踢出用户
pan-zy的专栏
09-18 912
本文章摘编、转载需要注明来源 http://write.blog.csdn.net/postedit/8572467   对于spring security我个人是比较喜欢的一个安全框架,我们的系统一般需要提供强制将用户踢出的功能,这个功能security也有提供, 首先我们要操作需要获取sessionRegistry认证用户的所有SessionInformation,然后逐个
springboot + security 自定义session过期处理方式
热门推荐
mushuntaosama的博客
12-27 2万+
security校验session校验是在ConcurrentSessionFilter,在doFilter方法里可以看到如果session过期会执行方法this.doLogout(request, response); this.sessionInformationExpiredStrategy.onExpiredSessionDetected(new SessionInformationExpi
SpringBoot整合Security图文教程(基于idea)
Code皮皮虾的博客
08-11 879
文章目录1、基本环境搭建2、登录&认证&授权3、权限控制&注销3.1、添加注销功能3.2、完善登录用户信息3.3、根据不同角色显示不同信息5、记住我功能5、定制登录页 1、基本环境搭建 项目整体结构 2、登录&认证&授权 导入Serurity依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-star
springbootrbac权限管理
09-15
springboot,我们可以使用Spring Security框架来实现RBAC权限管理。Spring Security是一个功能强大的、灵活的框架,可以帮助我们在应用程序实现身份验证、授权和其他安全功能。 要在springboot使用RBAC权限...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值