Spring Security——基于角色或权限访问控制

最新推荐文章于 2024-01-17 09:04:19 发布
最新推荐文章于 2024-01-17 09:04:19 发布
阅读量969 收藏 2
点赞数
分类专栏: Spring Security 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40857365/article/details/112857276
版权

基于角色或权限访问控制

  1. hasAuthority方法
    如果当前主体具有指定的权限,则返回true,否则返回false
    1. 在配置类设置当前访问地址有哪些权限
    //当前登录用户,只要具有admin权限才可以访问这个路径
.antMatchers("/test/index").hasAuthority("admin")
    1. 在UserDetailsService,把返回User对象设置权限
    List<GrantedAuthority> role = AuthorityUtils.commaSeparatedStringToAuthorityList("admin");
    1. type=Forbidden,status=403表示没有访问权限
  2. hasAnyAuthority方法
    如果当前主体有任何一个提供的角色的话,返回true
.antMatchers("/test/index").hasAnyAuthority("admin,manager")

List<GrantedAuthority> role = AuthorityUtils.commaSeparatedStringToAuthorityList("admin");
  1. hasRole方法
  • 赋予角色的时候需加上前缀"ROLE_"
.antMatchers("/test/index").hasRole("sale")
List<GrantedAuthority> role = AuthorityUtils.commaSeparatedStringToAuthorityList("admin,ROLE_sale");

private static String hasRole(String role) {
    Assert.notNull(role, "role cannot be null");
    Assert.isTrue(!role.startsWith("ROLE_"), () -> {
        return "role should not start with 'ROLE_' since it is automatically inserted. Got '" + role + "'";
    });
    return "hasRole('ROLE_" + role + "')";
}
  1. hasAnyRole方法
    用户具备任何一个都可以访问

自定义403页面

http.exceptionHandling().accessDeniedPage("/unauth.html");

认证授权注解使用

  1. @Secured注解,用户具有某个角色,可以访问方法
    1. 启动类(配置类)开启注解
    @EnableGlobalMethodSecurity(securedEnabled = true)
    1. 在Controller的方法上面使用注解,设置角色
    @GetMapping("/secured")
 @Secured({"ROLE_sale","ROLE_manager"})
 public String secured(){
     return "hello secured";
 }
    1. userDetailsService设置用户角色
    List<GrantedAuthority> role = AuthorityUtils.commaSeparatedStringToAuthorityList("admin,ROLE_sale");
  2. @PreAuthorize:在方法执行之前检验
    1. 开启注解
    @EnableGlobalMethodSecurity(prePostEnabled = true)
    1. 在controller的方法上面使用注解
     @GetMapping("/preAuthorize")
 @PreAuthorize("hasAnyAuthority('admin,manager')")
 public String preAuthorize(){
     return "hello PreAuthorize";
 }
  3. @PostAuthorize:在方法执行之后校验
  4. @PostFilter:对方法返回的数据进行过滤
@GetMapping("/testFilter")
@PreAuthorize("hasAnyAuthority('admin,manager')")
@PostFilter("filterObject.username == 'admin11'")
public List<User> testFilter(){
    ArrayList<User> list = new ArrayList<>();
    list.add(new User(11,"admin11","111"));
    list.add(new User(22,"admin22","222"));
    System.out.println(list);
    return list;
}

控制台输出

[User(id=11, username=admin11, password=111), User(id=22, username=admin22, password=222)]

前端输出

[
    {
        id: 11,
        username: "admin11",
        password: "111"
    }
]
  1. @PreFilter:进入控制器之前对数据进行过滤

用户注销

  1. 在配置类添加退出的配置
http.logout().logoutUrl("/logout")
                .logoutSuccessUrl("/test/hello").permitAll();
  1. 测试
    1. 修改配置类,登录成功后跳转到成功页面
    2. 在成功页面添加超链接,写退出路径
    3. 登录成功之后,在成功页面点击退出,再去访问其他controller不能进行访问

自动登录

  1. 实现原理

在这里插入图片描述

在这里插入图片描述

  1. 具体实现
    1. 创建数据库表
    2. 修改配置类,注入数据源
    //注入数据源
 @Autowired
 private DataSource dataSource;
 //配置对象
 @Bean
 public PersistentTokenRepository persistentTokenRepository(){
     JdbcTokenRepositoryImpl jdbcTokenRepository = new JdbcTokenRepositoryImpl();
     jdbcTokenRepository.setDataSource(dataSource);
     jdbcTokenRepository.setCreateTableOnStartup(true);
     return jdbcTokenRepository;
 }
    1. 配置类中配置自动登录
    .rememberMe().tokenRepository(persistentTokenRepository())
             .tokenValiditySeconds(60)
    1. 登录页面添加复选框
     <input type="checkbox" name="remember-me">自动登录
    1. 数据库中存储的信息
      请添加图片描述

CSRF:跨站请求伪造

  1. 原理
    在这里插入图片描述

  2. 默认开启

  3. 针对PATCH、POST、PUT、DELETE

<input type="hidden" th:name="${_csrf.parameterName}" th:value="${_csrf.token}"/>
  1. GET、HEAD、TRACE、OPTIONS不做保护
一大岐
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
word源码java-rbac-security:基于角色权限访问控制(Role-BasedAccessControl)
06-05
Control的缩写,意思就是基于角色权限访问控制。 基本思想: 对系统的各种权限不是直接授予具体的用户,而是在用户集合与权限集合之间建立一个角色集合。每一种角色对应一组相应的权限。一旦用户被分配了适当的...
SpringSecurity实现角色权限控制SpringBoot+SpringSecurity+JWT)
lans_g的博客
05-14 5768
通过springboot整合jwt和security,以用户名/密码的方式进行认证和授权。认证通过jwt+数据库的,授权这里使用了两种方式,分别是SpringSecurity自带的hasRole方法+SecurityConfig和 我们自定义的permission+@PreAuthorize注解。用来存储和获取当前线程关联的 SecurityContext 对象的类。
SpringSecurity自定义用户登录
weixin_33895695的博客
07-16 193
SpringSecurity自定义用户登录 根据上一节的配置,默认在服务开启的时候会被要求自动的进行表单登陆。用到的用户名只能是一个固定的用户名user,它的密码是每次启动的时候服务器自动生成的。最常见的场景是我们的用户是从数据库中获取的。 1.处理用户信息获取逻辑 import org.slf4j.Log...
Spring Security 基于角色访问控制
qq_18208265的博客
09-10 1860
Spring Security 作为安全框架包含类两大核心的模块:认证与鉴权。在前两篇文章中展现了 Spring Security 中的认证模块一些内容,紧接着这篇文章会将目光放到 Spring Security 的鉴权模块中。介绍一下在 Spring Security 中如何使用鉴权功能。 那接下来就看一看在 Spring Security 中如何实现基于角色访问控制吧! 本文配套的示例源码: https://github.com/lxiaocode/spring-security-examples
SpringSecurity - 基于角色访问控制RBAC
江南烟雨却痴缠丶
02-22 919
为什么要进行访问控制 为了屏蔽无关人员操作系统的某个功能,防止误操作产生的垃圾数据或数据丢失。以电商后台为例,负责商品相关的工作人员,不允许他去操作订单相关的内容。同时,负责订单相关的工作人员,也不允许他去操作商品相关的内容。如果不进行权限控制,如果某一次,负责订单的工作人员去尝试操作商品相关的内容,就可能会造成垃圾数据产生(如发布一个错误的商品信息)或是数据丢失(删除了某个商品信息)的问题。 ...
权限控制——SpringSecurity应用
m0_50916733的博客
02-04 254
权限控制——SpringSecurity应用 认证:系统提供的用于识别用户身份的功能,通常提供用户名和密码进行登录其实就是在进行认证,认证的目的是让系统知道你是谁。 授权:用户认证成功后,需要为用户授权,其实就是指定当前用户可以操作哪些功能。 本文章内容即对后台系统进行权限控制,其本质就是对用户进行认证和授权。
SpringBoot 返回 Json 数据格式
360°顺滑
12-09 8962
一、@RestController 注解二、Jackson1、对象、List、Map 转换为Json格式2、Jackson 的配置类三、Fastjson1、Fastjson 配置类四、封装返回的数据格式 一、@RestController 注解 在 Spring Boot 中的 Controller 中使用 @RestController 注解即可返回 JSON 格式的数据。 @RestController 注解包含了 @Controller 和 @ResponseBody 注解。@ResponseB.
SpringSecurity 3.0.1.RELEASE.CHM
03-21
5.5. Spring Security中的访问控制(验证) 5.5.1. 安全和AOP建议 5.5.2. 安全对象和AbstractSecurityInterceptor 5.5.2.1. 配置属性是什么? 5.5.2.2. RunAsManager 5.5.2.3. AfterInvocationManager 5.5.2.4...
Spring Security 中文教程.pdf
12-06
5.5. Spring Security中的访问控制(验证) 5.5.1. 安全和AOP建议 5.5.2. 安全对象和AbstractSecurityInterceptor 5.5.2.1. 配置属性是什么? 5.5.2.2. RunAsManager 5.5.2.3. AfterInvocationManager ...
Spring Security-3.0.1中文官方文档(翻译版)
03-08
5.5. Spring Security 中的访问控制(验证) 5.5.1. 安全和AOP 建议 5.5.2. 安全对象和AbstractSecurityInterceptor 5.5.2.1. 配置属性是什么? 5.5.2.2. RunAsManager 5.5.2.3. AfterInvocationManager ...
简单高效的后台权限管理系统.zip
03-31
安全框架采用Spring Security 5.0.7,可实现对按钮级别的权限控制,并集成了社交账户登录(QQ和微信)以及手机验证码登录;前端页面使用Bootstrap构建,主题风格为时下Google最新设计语言Material Design,并提供多...
Spring Security- 基于角色访问控制
最新发布
射手座的程序媛的专栏
01-17 1073
spring security 基于角色访问控制
SpringSecurity-用户授权-基于权限角色进行访问控制
qq_43297569的博客
03-09 260
SpringSecurity-用户授权-基于权限角色进行访问控制
SpringSecurity安全框架通俗详解与使用示例
某位奇思妙想的IT人员
05-28 1761
有关Spring Security的原理介绍和使用详解,结合相关实例进行解释,通俗易懂。
Spring Security 中分离角色权限
allway2的博客
09-21 1187
但是 Spring Security 参考文档中的示例倾向于将授予的权限视为角色,甚至 hasRole() 和 hasAnyRole() 谓词也引导我们直接使用角色,由于已经给出的原因,这充其量是一个值得怀疑的做法。该规则并不完美——我们可能会决定不存在“一般论坛的阅读权限”之类的东西(也就是说,访问权限存在于逐个论坛的基础上)——但显然它更加灵活,尤其是如果我们可以在代码本身之外建立角色权限之间的关系。因此,作为一般规则,与基于角色的规则相比,更喜欢基于权限的规则。图 1 将角色权限分开的用户模式。
SpringSecurity web权限方案-基于角色权限访问控制
Leon_Jinhai_Sun的博客
05-23 146
SpringSecurity的学习,用户认证及自定义登录表单
m0_59165993的博客
09-10 290
SpringSecurity: 这是一种基于 Spring AOP 和 Servlet 过滤器的安全框架。底层实现为一条过滤器链,就是用 户请求进来,判断有没有请求的权限,抛出异常,重定向跳转。 SpringSecurity的基础学习,从数据库中获取用户名和密码进行判断登录,以及自定义登录表单 创建项目,引入需要使用的依赖 <dependencies> <dependency> <groupId>org...
SpringSecurity
weixin_45701868的博客
07-08 1287
SpringSecurity
SpringBoot第 15 讲:SpringSecurity
分享日常工作技术
08-03 363
SpringSecurity用户认证和用户授权
spring boot整合spring security实现基于rbac的权限控制
07-27
对于基于 RBAC(Role-Based Access Control)的权限控制,可以使用 Spring Boot 和 Spring Security实现。下面是一个简单的步骤指南: 1. 添加依赖:在你的 Spring Boot 项目的 pom.xml 文件中,添加以下依赖: ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> ``` 2. 创建用户和角色实体:创建用户(User)和角色(Role)的实体类,可以使用 JPA 或者其他持久化框架来进行数据库操作。 3. 实现 UserDetailsService:创建一个实现Spring Security 的 UserDetailsService 接口的类,用于加载用户信息。这个类需要重写 loadUserByUsername 方法,根据用户名从数据库中查询用户信息并返回一个 UserDetails 对象。 4. 创建权限访问控制配置类:创建一个配置类,继承自 WebSecurityConfigurerAdapter,并重写 configure 方法。在这个方法中,你可以配置哪些 URL 需要哪些角色权限才能访问。 ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/admin/**").hasRole("ADMIN") .antMatchers("/user/**").hasAnyRole("ADMIN", "USER") .anyRequest().authenticated() .and().formLogin().permitAll() .and().logout().permitAll(); } @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userDetailsService()).passwordEncoder(passwordEncoder()); } @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } @Override @Bean public UserDetailsService userDetailsService() { // 返回自定义的 UserDetailsService 实现类 // 在这个实现类中通过 JPA 或其他方式查询用户信息 return new CustomUserDetailsService(); } } ``` 5. 配置密码加密:在上面的配置类中,我们使用了 BCryptPasswordEncoder 作为密码加密方式。确保你的用户表中保存的密码是经过 BCrypt 加密的。 6. 创建登录页面:创建一个登录页面,可以是一个简单的 HTML 页面或者使用模板引擎进行渲染。 7. 配置登录页面:在 application.properties 或 application.yml 文件中,配置登录页面的路径和其他相关属性。 ```properties spring.security.login-page=/login spring.security.logout-success-url=/login?logout ``` 以上步骤完成后,你的 Spring Boot 应用程序就可以基于 RBAC 实现简单的权限控制了。根据实际需求,你可以进一步扩展和定制 Spring Security 的功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

一大岐

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值