Spring Security中的用户授权

最新推荐文章于 2023-05-28 17:03:19 发布
最新推荐文章于 2023-05-28 17:03:19 发布
阅读量122 收藏
点赞数
分类专栏: spring security 文章标签: spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41242680/article/details/115628724
版权

基于权限访问控制

hasAuthority

hasAuthority方法:如果当前主体具有指定的权限,则返回true,否则返回false,适用于单个权限。

示例,基于Spring Security中的自定义用户登录页面

SecurityConfig.java

package com.rixin.springsecuritydemo1.config;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    UserDetailsService userDetailsService;

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder());
    }

    @Bean
    PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //自定义用户登录页面
        http.formLogin()
                .loginPage("/login.html") //登录页面设置
                .loginProcessingUrl("/user/login") //登录访问路径
                .defaultSuccessUrl("/test/index").permitAll() //登录成功后的跳转路径
                .and().authorizeRequests() //定义哪些url被保护,哪些不被保护
                    .antMatchers("/","/test/hello","/user/login").permitAll() //访问这些路径不需要认证
                    .antMatchers("/test/index").hasAuthority("admins") //当前登录用户,只有具有admins权限才可以访问这个路径
                .anyRequest().authenticated()
                .and().csrf().disable(); //关闭csrf防护

    }
}

MyUserDetailsService.java

package com.rixin.springsecuritydemo1.service;

import com.baomidou.mybatisplus.core.conditions.query.QueryWrapper;
import com.rixin.springsecuritydemo1.mapper.UserMapper;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.stereotype.Service;

import java.util.List;


@Service("userDetailsService")
public class MyUserDetailsService implements UserDetailsService {

    @Autowired
    UserMapper userMapper;

    @Override
    //s是表单传入的用户名
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {

        //查询数据库
        QueryWrapper<com.rixin.springsecuritydemo1.entity.User> wrapper = new QueryWrapper<>();
        wrapper.eq("username",s);
        com.rixin.springsecuritydemo1.entity.User user = userMapper.selectOne(wrapper);
        //判断
        if (user == null) {
            //认证失败
            throw new UsernameNotFoundException("用户名不存在!");
        }
        //授予用户权限
        List<GrantedAuthority> auths = AuthorityUtils.commaSeparatedStringToAuthorityList("admins");
        return new User(user.getUsername(), new BCryptPasswordEncoder().encode(user.getPassword()),auths);
    }
}

hasAnyAuthority

hasAnyAuthority方法:如果当前主体有任何提供的角色(给定的作为一个逗号分隔符的字符串列表)的话,返回true。

示例:
SecurityConfig.java

package com.rixin.springsecuritydemo1.config;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    UserDetailsService userDetailsService;

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder());
    }

    @Bean
    PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //自定义用户登录页面
        http.formLogin()
                .loginPage("/login.html") //登录页面设置
                .loginProcessingUrl("/user/login") //登录访问路径
                .defaultSuccessUrl("/test/index").permitAll() //登录成功后的跳转路径
                .and().authorizeRequests() //定义哪些url被保护,哪些不被保护
                    .antMatchers("/","/test/hello","/user/login").permitAll() //访问这些路径不需要认证
                    //.antMatchers("/test/index").hasAuthority("admins") //当前登录用户,只有具有admins权限才可以访问这个路径
                    .antMatchers("/test/index").hasAnyAuthority("admins,manager")
                .anyRequest().authenticated()
                .and().csrf().disable(); //关闭csrf防护

    }
}

基于角色访问控制

hasRole

hasRole方法:如果用户具备给定角色就允许访问,否则出现403。如果当前主体具有指定的角色,就返回true。

示例:
SecurityConfig.java

package com.rixin.springsecuritydemo1.config;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    UserDetailsService userDetailsService;

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder());
    }

    @Bean
    PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //自定义用户登录页面
        http.formLogin()
                .loginPage("/login.html") //登录页面设置
                .loginProcessingUrl("/user/login") //登录访问路径
                .defaultSuccessUrl("/test/index").permitAll() //登录成功后的跳转路径
                .and().authorizeRequests() //定义哪些url被保护,哪些不被保护
                    .antMatchers("/","/test/hello","/user/login").permitAll() //访问这些路径不需要认证
                    //.antMatchers("/test/index").hasAuthority("admins") //当前登录用户,只有具有admins权限才可以访问这个路径
                    //.antMatchers("/test/index").hasAnyAuthority("admins,manager")
                    .antMatchers("/test/hello").hasRole("sale")
                .anyRequest().authenticated()
                .and().csrf().disable(); //关闭csrf防护

    }
}

MyUserDetailsService.java

package com.rixin.springsecuritydemo1.service;

import com.baomidou.mybatisplus.core.conditions.query.QueryWrapper;
import com.rixin.springsecuritydemo1.mapper.UserMapper;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.stereotype.Service;

import java.util.List;


@Service("userDetailsService")
public class MyUserDetailsService implements UserDetailsService {

    @Autowired
    UserMapper userMapper;

    @Override
    //s是表单传入的用户名
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {

        //查询数据库
        QueryWrapper<com.rixin.springsecuritydemo1.entity.User> wrapper = new QueryWrapper<>();
        wrapper.eq("username",s);
        com.rixin.springsecuritydemo1.entity.User user = userMapper.selectOne(wrapper);
        //判断
        if (user == null) {
            //认证失败
            throw new UsernameNotFoundException("用户名不存在!");
        }
        //授予用户权限
        List<GrantedAuthority> auths = AuthorityUtils.commaSeparatedStringToAuthorityList("manager,ROLE_sale");
        return new User(user.getUsername(), new BCryptPasswordEncoder().encode(user.getPassword()),auths);
    }
}

hasAnyRole

hasRoleAnyRole方法:表示用户具备任何一个角色就可以访问。

RB_VER
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
如何基于spring security实现在线用户统计
08-19
在本文,我们将详细介绍如何基于 Spring Security 实现在线用户统计。在线用户统计是指在系统实时统计当前活跃用户的数量,以便更好地监控和管理系统的使用情况。 Spring Security 概述 Spring Security 是一...
Spring Security 强制退出指定用户的方法
08-27
在本篇文章,我们将介绍如何使用 Spring Security 强制退出指定用户。 首先,让我们来看看应用场景。假设我们有一个社区,最近有人发文章带上小广告,严重影响社区氛围。这时,我们需要对这些用户采取措施,例如...
spring security 身份认证代码入门
swadian2008的博客
08-27 540
默认情况下,UserDetailsServiceAutoConfiguration.class 自动化配置类会创建一个内存级别的InMemoryUserDetailsManager对象,提供认证的用户信息。 添加 spring.security.user 配置项,UserDetailsServiceAutoConfiguration 会基于配置的信息在内存创建一个用户User。 未添加 spring.security.user 配置项,UserDetailsServiceAutoC
SpringSecurity安全框架通俗详解与使用示例
最新发布
某位奇思妙想的IT人员
05-28 3087
有关Spring Security的原理介绍和使用详解,结合相关实例进行解释,通俗易懂。
SpringSecurity学习笔记(四)注销登录、获取用户数据
怕什么真理无穷,进一寸有一寸的欢喜。即使开了一辆老掉牙的破车,只要在前行就好,偶尔吹点小风,这就是幸
10-03 905
SpringSecurity注销登录、获取用户数据
Spring Security 解析(一) —— 授权过程
hopelgl的博客
04-20 739
Spring Security 解析(一) —— 授权过程 在学习Spring Cloud 时,遇到了授权服务oauth 相关内容时,总是一知半解,因此决定先把Spring SecuritySpring Security Oauth2 等权限、认证相关的内容、原理及设计学习并整理一遍。本系列文章就是在学习的过程加强印象和理解所撰写的,如有侵权请告知。 项目环境: JDK1.8 Spr...
SpringSecurity-用户注销
qq_43297569的博客
03-10 189
SpringSecurity-用户注销
Spring security用户URL权限FilterSecurityInterceptor使用解析
08-25
总的来说,`FilterSecurityInterceptor`是Spring Security控制URL权限的核心组件,它与`FilterInvocationSecurityMetadataSource`协作,确保了应用程序的资源只能被授权用户访问。同时,`...
Spring security自定义用户认证流程详解
08-24
在本文,我们将详细介绍 Spring Security 自定义用户认证流程,并提供了一个完整的示例代码,帮助读者更好地理解和掌握 Spring Security 的使用。 自定义登录页面 在 Spring Security ,默认的登录页面可以...
springboot springsecurity动态权限控制
09-18
在这个“springboot springsecurity动态权限控制”的主题,我们将深入探讨如何在Spring Boot项目集成Spring Security,实现动态权限控制,让菜单权限的管理更加灵活和高效。 首先,我们需要理解Spring Security...
Spring Security实现用户身份验证及权限管理
个人学习笔记库,一篇一篇记录成长的足迹
03-26 5892
Spring SecuritySpring生态的一个成员,提供了一套Web应用安全性的完整解决方案。Spring Security 旨在以一种自包含的方式进行操作,因此你不需要在 Java 运行时环境放置任何特殊的配置文件。这种设计使部署极为方便,因为可以将目标工件(无论是 JAR还是WAR)从一个系统复制到另一个系统,并且它可以立即工作。spring Security,这是一种基于 Spring AOP 和 Servlet 过滤器的安全框架。
Spring Security框架(一)
m0_60413225的博客
11-08 789
快速了解Spring Security
SpringSecurity设置角色和权限的注意点
小汤圆
08-16 371
在UserDetailsService的loadUserByUsername方法里去构建当前登陆的用户时,你可以选择两种授权方法,即角色授权和权限授权,对应使用的代码是hasRole和hasAuthority,而这两种方式在设置时也有不同,下面介绍一下: 角色授权授权代码需要加ROLE_前缀,controller上使用时不要加前缀 权限授权:设置和使用时,名称保持一至即可 使用,mock代码 @Component public class MyUserDetailService implements Us
SpringSecurity授权
Littewood的博客
07-24 3390
SpringSecurity授权介绍
Spring Security用户注销
花&败
07-18 910
实现过程: 登录成功后进入一个页面,点击退出后,无法访问需要权限的页面。 pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apac
spring-security获取用户信息
wdcuww的博客
01-10 339
spring-security获取用户信息
SpringBoot第 15 讲:SpringSecurity
分享日常工作技术
08-03 374
SpringSecurity用户认证和用户授权
Spring Security——基于角色或权限访问控制
qq_40857365的博客
01-20 1026
基于角色或权限访问控制 hasAuthority方法 如果当前主体具有指定的权限,则返回true,否则返回false 在配置类设置当前访问地址有哪些权限 //当前登录用户,只要具有admin权限才可以访问这个路径 .antMatchers("/test/index").hasAuthority("admin") 在UserDetailsService,把返回User对象设置权限 List<GrantedAuthority> role = AuthorityUtils.commaSep
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值