SpringSecurity - 基于角色的访问控制RBAC

最新推荐文章于 2024-01-17 09:04:19 发布
最新推荐文章于 2024-01-17 09:04:19 发布
阅读量915 收藏 1
点赞数 1
分类专栏: 安全框架 文章标签: SpringSecurity 权限控制 RBAC
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40885085/article/details/104439938
版权

为什么要进行访问控制

为了屏蔽无关人员操作系统的某个功能,防止误操作产生的垃圾数据或数据丢失。以电商后台为例,负责商品相关的工作人员,不允许他去操作订单相关的内容。同时,负责订单相关的工作人员,也不允许他去操作商品相关的内容。如果不进行权限控制,如果某一次,负责订单的工作人员去尝试操作商品相关的内容,就可能会造成垃圾数据产生(如发布一个错误的商品信息)或是数据丢失(删除了某个商品信息)的问题。

为了不产生这样的错误,让不同职责的工作人员各司其职,就需要进行访问控制。负责商品的账户,无法在页面看到以及操作订单相关的内容。负责订单的账户,无法在页面看到以及操作商品相关的内容。

 

RBAC(基于角色的访问控制)

角色就是权限的集合,某个角色就是某些权限的集合,目的是为了简化授权和鉴权的过程。

 

企业开发RBAC表结构

企业开发中的RBAC模型一般设置为7张表,4张基础表,3张关系中间表。

用户和角色

用户和角色之间是多对多关系,一个用户可以有多个角色,一个角色也可以属于多个用户,通过用户角色中间表进行关联。

用户表通常有这几个字段:id、账号、密码等

角色表通常有这几个字段:id、角色名等

角色和权限

角色和权限之间是多对多关系,一个角色可以拥有很多个权限,一个权限也可以被很多个角色拥有,通过角色权限中间表进行关联。

权限表(资源表)通常由这几个字段:id、资源Key(系统定义好的权限标识)、资源名称、上级资源id等、

权限和菜单

权限和菜单是多对多关系,一个权限可以访问多个菜单,一个菜单也可以被多个权限所访问,通过权限菜单中间表进行关联。

菜单表通常由这几个字段:id、菜单名、上级菜单id等

 

用户权限控制

当用户执行一个不存在的权限的url的时候,需要拦截请求。比如管理商品的用户,通过浏览器地址栏或是其他方式去执行订单管理的操作,这个是不允许的,需要拦截。

SpringSecurity权限控制

①基于URL的访问控制

在处理登录认证的时候,认证成功,根据id去查询对应角色的权限,加入权限列表。

// 创建权限列表
List<GrantedAuthority> grantedAuths = new ArrayList<GrantedAuthority>();
// 添加权限
grantedAuths.add(new SimpleGrantedAuthority("goods_add"));
grantedAuths.add(new SimpleGrantedAuthority("goods_edit"));
grantedAuths.add(new SimpleGrantedAuthority("goods_delete"));

// ......

// 最后通过User返回
User user = new User(username,password,grantedAuths);

在配置文件中根据权限进行拦截

<!--
	hasAnyAuthority():拥有任意权限都可以访问
	hasAuthority('brand'):拥有brand的权限可以访问
	hasAnyAuthority('goods_add','goods_edit'):拥有goods_add、goods_edit权限的可以访问
-->
<intercept‐url pattern="/*/find*.do" access="hasAnyAuthority()" />
<intercept‐url pattern="/goods/save.do"  access="hasAnyAuthority('goods_add','goods_edit')" />
<intercept‐url pattern="/brand/*.do" access="hasAuthority('brand')" />

②基于方法的访问控制

需要配置启用注解配置

<global‐method‐security pre‐post‐annotations="enabled" />

然后在对应的权限控制的方法添加注解

@PreAuthorize("hasAuthority('goods')")

 

九月清晨柳成荫
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
基于SpringBoot+SpringSecurityRBAC管理系统源码+数据库+项目说明.zip
12-20
基于SpringBoot+SpringSecurityRBAC管理系统源码+数据库+项目说明.zip 这是一款基于SpringBoot+SpringSecurityRBAC权限管理系统。原本只想着做成基于SpringSecurity权限管理系统,但随着功能的增加感觉有些刹不住车了,之后可能会往后台管理系统方向发展。无任何重度依赖,非常适合新手练习上手,项目文档从零开始,十分详细。 【系统功能】 用户管理:提供用户的相关配置 角色管理:对权限与菜单进行分配 菜单管理:已实现菜单动态路由 系统日志:记录用户操作日志与异常日志 SQL监控:采用druid 监控数据库访问性能 接口管理:方便统一查看管理接口 部门管理:配置系统用户所属部门组织 岗位管理:配置系统用户所属担任职务 字典管理:配置维护系统中较为固定的数据 【技术栈】 1、SpringBoot 2、MyBatis 3、SpringSecurity 4、MySql 5、Druid 6、Swagger 8、Redis 9、JWT 10、Pear Admin Layui 主要针对计算机相关专业的正在做毕设的学生和需要项目实战的Jav
spring-security-rbac:Spring Security实现RBAC权限管理
05-15
Spring Security实现RBAC权限管理 一简介 在企业应用中,认证和授权是非常重要的一部分内容,业界最出名的两个框架就是大名鼎鼎的 Shiro和Spring Security。由于Spring Boot非常的流行,选择Spring Security做认证和授权的 人越来越多,今天我们就来看看用SpringSpring Security如何实现基于RBAC权限管理。 二、基础概念RBAC RBAC是Role Based Access Control的缩写,是基于角色访问控制。一般都是分为用户(user), 角色(role),权限(permission)三个实体,角色(role)和权限(permission)是多对多的 关系,用户(user)和角色(role)也是多对多的关系。用户(user)和权限(permission) 之间没有直接的关系,都是通过角色作为代理,才能获
rbac:一个实现基于角色访问控制的认证和授权库
06-03
基于角色访问控制库 这是一个实现基于角色访问控制的身份验证和授权库,它将被插入到 Spring Security Framework 中。 特征 基于角色的授权。 可以使用 SPEL 表达式进行配置。 本地身份验证提供程序。 密码使用 HMAC-SHA256 编码。 可以使用 w/wo 1)。 Active Directory 身份验证提供程序。 只能与 4) 一起使用 复合身份验证提供程序。 在单个应用程序中支持混合身份验证机制。 可以使用 w/wo 1)。 Restful 身份验证过滤器。 支持通过 JSON 格式的 REST 请求进行身份验证。 可以使用 w/wo 首先。 用法 将 rbac-lib 添加到您的 Maven 依赖项中 <dependency> <groupId>org.binyu</groupId> <artifactId>rbac-lib</arti
基于SpringBoot+SpringSecurityRBAC管理系统,适合新手练习,做毕业设计,课程设计
06-15
这是一款基于SpringBoot+SpringSecurityRBAC权限管理系统。 项目经过严格测试,确保可以运行! 系统功能 用户管理:提供用户的相关配置 角色管理:对权限与菜单进行分配 菜单管理:已实现菜单动态路由 系统日志:记录用户操作日志与异常日志 SQL监控:采用druid 监控数据库访问性能 接口管理:方便统一查看管理接口 部门管理:配置系统用户所属部门组织 岗位管理:配置系统用户所属担任职务 字典管理:配置维护系统中较为固定的数据 技术选型 1、SpringBoot 2、MyBatis 3、SpringSecurity 4、MySql 5、Druid 6、Swagger 8、Redis 9、JWT 10、Pear Admin Layui 快速使用 下载项目 导入idea 导入docs文件夹下sql文件到数据库 修改数据库配置文件的路径,用户名等信息 在settings--plugins中搜索并安装lombok插件(Lombok 是一个编译时库,在Idea上有支持的插件,可用来帮助开发人员消除冗长的Java代码,例如实体中的setters和getters),否则编译不过
word源码java-rbac-security:基于角色权限访问控制(Role-BasedAccessControl)
06-05
word源码java rbac-security 这是一个基于简单的RBAC模型,结合Spring Security开发的权限管理模块。 一、RBAC模型介绍 RBAC是Role-Based Access Control的缩写,意思就是基于角色权限访问控制。 基本思想: 对系统的各种权限不是直接授予具体的用户,而是在用户集合与权限集合之间建立一个角色集合。每一种角色对应一组相应的权限。一旦用户被分配了适当的角色后,该用户就拥有此角色的所有操作权限。 同样用户被分配了多个适当的角色,那么该用户就拥有了被分配多个角色的所有权限。 优点: 不必在每次创建用户时都进行分配权限的操作,只要分配用户相应的角色即可,而且角色权限变更比用户的权限变更要少得多,这样将简化用户的权限管理,减少系统的开销。 该系统的RBAC模型—— 二、项目思想 本项目将对用户、角色权限三者之间的关联状态概念交给系统管理员与数据库,对外依然具有RBAC的概念。但是在项目的权限管理中,项目只维护用户与权限的关系。 当用户登录成功后立即在数据库查询该用户所具有的角色,再根据所拥有的角色查询对应的权限——然后将这些权限赋予
Spring Security 基于角色访问控制
qq_18208265的博客
09-10 1855
Spring Security 作为安全框架包含类两大核心的模块:认证与鉴权。在前两篇文章中展现了 Spring Security 中的认证模块一些内容,紧接着这篇文章会将目光放到 Spring Security 的鉴权模块中。介绍一下在 Spring Security 中如何使用鉴权功能。 那接下来就看一看在 Spring Security 中如何实现基于角色访问控制吧! 本文配套的示例源码: https://github.com/lxiaocode/spring-security-examples
Spring Security- 基于角色访问控制
最新发布
射手座的程序媛的专栏
01-17 1065
spring security 基于角色访问控制
Spring Security——基于角色权限访问控制
qq_40857365的博客
01-20 965
基于角色权限访问控制 hasAuthority方法 如果当前主体具有指定的权限,则返回true,否则返回false 在配置类设置当前访问地址有哪些权限 //当前登录用户,只要具有admin权限才可以访问这个路径 .antMatchers("/test/index").hasAuthority("admin") 在UserDetailsService,把返回User对象设置权限 List<GrantedAuthority> role = AuthorityUtils.commaSep
SpringSecurity-用户授权-基于权限角色进行访问控制
qq_43297569的博客
03-09 255
SpringSecurity-用户授权-基于权限角色进行访问控制
spring securoty 给予数据库的权限配置
daohe113的博客
06-19 393
[url]http://www.iteye.com/topic/259816[/url] Spring Security优劣之我见 拜读了Spring Security相关帖子和Spring Security参考文档。现将我理解的Spring Security写下来和大家共享。 本文目的是从Spring Security能够提供的功能、以及基本原理角度分析,并...
Spring Security实现RBAC权限模型练习
pikcacho_pkq的博客
02-09 2517
Spring Security的核心功能就是认证、授权、攻击防护,Spring Boot项目启动之后会自动进行配置,其核心就是一组链式过滤器。如下图所示,对于一个用户请求,Username Password Authentication Filter验证用户名和密码是否正确,通过就放行,然后Basic Authentication Filter就实现了去验证请求中是否包含有权限认证的basic信息。FilterSecurityInterceptor验证请求是否能够访问REST API,如果不能够访问即被拒绝
使用Spring Security实现RBAC权限模型 - 详细代码示例及表设计
m0_49151953的博客
04-10 2051
RBAC(Role-Based Access Control)是一种常用的权限模型,它基于用户角色控制系统中的资源访问。本文介绍了如何使用Spring Security实现RBAC权限模型,包括表设计、配置Spring Security、实现UserDetailsService以及实现RBAC权限控制。在Spring Security中实现RBAC权限模型的关键在于配置安全拦截器链,即定义哪些URL需要哪些权限才能访问。除了上面的配置和实现之外,我们还需要在业务代码中实现RBAC权限控制
SpringSecurityRBAC角色权限控制
user__kk的博客
09-12 628
RBAC 全称为用户角色权限控制,通过角色关联用户,角色关联权限,这种方式,间阶的赋予用户的权限。对于通常的系统而言,存在多个用户具有相同的权限,在分配的时候,要为指定的用户分配相关的权限,修改的时候也要依次的对这几个用户的权限进行修改,有了角色这个权限,在修改权限的时候,只需要对角色进行修改,就可以实现相关的权限的修改。这样做增加了效率,减少了权限漏洞的发生。权限是资源的集合,这里的资源指的是软件中的所有的内容,即,对页面的操作权限,对页面的访问权限,对数据的增删查改的权限
SpringSecurity从入门到放弃之RBAC权限认证(二)
qq_33479841的博客
06-06 3298
上文写到了SpringSecurity从入门到放弃之JWT认证登陆(一),该文章介绍了spring security的登陆原理以及整合JWT的登陆案例,本文将基于上文,介绍spring securtity整合RBAC权限模型,实现按权访问接口。
简书好垃圾呀,复制还加一堆垃圾信息 Spring Security 和 jwt权限认证,放弃吧, 垃圾框架。
weixin_39521850的博客
03-15 1090
在这里跟新的朋友们说下,其实吧,将这个Security学的来了,自己都写的一个认证受权来了。其实也没有什么,经过了解,很多人说这个框架基本就是因为这个Security名=安全。。确实是这样,尼玛,谁要加个角色还要加个ROLE_?这设计的明显是脑子进水的设计,那个角色不是自己定的。一堆的方法,接口什么什么的。弄明白了,基本能自己写出来了,还不是一些角色的授权分配嘛。。从了解到最后放弃,花了近三天时间...
Spring Security即将弃用WebSecurityConfigurerAdapter配置类
qq_39652397的博客
02-22 9033
用过WebSecurityConfigurerAdapter的都知道对Spring Security十分重要,总管Spring Security的配置体系。但是马上这个类要废了,你没有看错,这个类将在5.7版本被@Deprecated所标记了,未来这个类将被移除。 对此对此网友大呼“学着学着就被弃用了”。既然马上要弃用了,总要有个过渡方案或者新玩法吧。 早在2021年3月份胖哥就写了一篇文章,把新玩法给明明白白说清楚了,如果你看了的话,肯定不会学废弃技术。这里把整套的替代方案再搞一遍,可别再学过时技
SpringSecurity动态实现拦截url请求(不需要理解太多SpringSecurity源码)
baidu_40492134的博客
02-04 6330
项目背景:最近自己再封装搭建一个简单的框架,里面用到了SpringSecurity,所以也就有了前面两篇文章,这期文章是要说在搭建的过程中,每次写Controller的时候,假如这个接口不需要登录就可以访问,是不是还要在配置文件中配置一下,这种方式如果在url比较多的时候是比较麻烦的。这里给大家一个实现的思路。也不需要懂源码,是比较好理解的一种方式。 这里主要是解决这种下图这种繁重的配置方式。如果太多需要放行的url,下面就会有一长串。 思路:刚开始也看了一阵源码。网上看到的一篇文章,他说Filt..
Spring SecurityRBAC模型
yinyin_xiao的博客
08-23 1726
Spring Security基于RBAC模型实现权限管理
基于RBAC模型的SpringSecurity权限控制能力
FirstMrRight的博客
12-20 1270
RBAC权限模型 全名为:Role-Based Access Control 译为基于角色访问控制RBAC权限框架基于角色进行鉴权,在该框架中具有三大模块:角色(Role)、用户(User)、权限(Permissions), RBAC使用最小特权原则,当前请求访问的用户具备那些角色,该角色具备那些权限,所具备的权限中是否包含本次访问所需的权限?若具有,正常访问返回,若不具有,给予用户提示,所以,RBAC可以把权限粒度做到方法级。 SpringSecurity是基于RBAC模型轻量级权限控框架,与之对等
spring boot整合spring security实现基于rbac权限控制
07-27
对于基于 RBAC(Role-Based Access Control)的权限控制,可以使用 Spring Boot 和 Spring Security 来实现。下面是一个简单的步骤指南: 1. 添加依赖:在你的 Spring Boot 项目的 pom.xml 文件中,添加以下依赖: ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值