SpringSecurity动态配置权限

最新推荐文章于 2024-04-19 17:43:52 发布
最新推荐文章于 2024-04-19 17:43:52 发布
阅读量799 收藏
点赞数

SpringSecurity动态配置权限

自定义 UserDetailsService

UserDetailsService 的主要作用是,获取数据库里面的信息,然后封装成对象,我们既然需要从数据库中读取用户,那么我们就需要实现自己的 UserDetailsService ,按照我们的逻辑完成从数据库中获取信息;

/**
 * 主要是封装从数据库获取的用户信息
 *
 * @author yiaz
 * @date 2019年3月19日10:50:58
 */
@Component
public class UserDetailServiceImpl implements UserDetailsService {

    // demo  不想写 service层,直接 dao 层穿透到 controller 层
    @Autowired
    private LoginMapper loginMapper;

    @Override
    public UserDetails loadUserByUsername(String name) throws UsernameNotFoundException {
        // 根据用户名查询数据库,查到对应的用户
        MyUser myUser = loginMapper.loadUserByUsername(name);

        // ... 做一些异常处理,没有找到用户之类的
        if(myUser == null){
            throw new UsernameNotFoundException("用户不存在") ;
        }

        // 根据用户ID,查询用户的角色
        List<Role> roles = loginMapper.findRoleByUserId(myUser.getId());
        // 添加角色
        List<GrantedAuthority> authorities = new ArrayList<>();
        for (int i = 0; i < roles.size(); i++) {
            authorities.add(new SimpleGrantedAuthority(roles.get(i).getName()));
        }
        // 构建 Security 的 User 对象
        User user = new User(myUser.getName(), myUser.getPassword(), authorities);

        return user;
    }
}

自定义登陆校验器 AuthenticationProvider

我们既然不用 security 来帮我们检验,就要实现自己的校验逻辑,实现自己的 AuthenticationProvider 类,完成校验 ;

BCryptPasswordEncoder 是完成加盐MD5 的一个类,很棒,思路和笔者许久之前想到的差不多。不需要我们去管理盐值的问题,也不需要在数据库里面进行存储了;

/**
 * 完成校验工作
 */
@Component
public class MyAuthenticationProvider implements AuthenticationProvider {
    @Autowired
    private UserDetailServiceImpl userDetailService;

    /**
     * 进行身份认证
     *
     * @param authentication
     * @return
     * @throws AuthenticationException
     */
    @Override
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {

        // 获取用户输入的用户名和密码
        String username = authentication.getName();
        String password = authentication.getCredentials().toString();
        // 获取封装用户信息的对象
        UserDetails userDetails = userDetailService.loadUserByUsername(username);
        // 进行密码的比对
        BCryptPasswordEncoder bCryptPasswordEncoder = new BCryptPasswordEncoder();
        boolean flag = bCryptPasswordEncoder.matches(password, userDetails.getPassword());
        // 校验通过
        if (flag){
            // 将权限信息也封装进去
            return new UsernamePasswordAuthenticationToken(userDetails,password,userDetails.getAuthorities());
        }

        // 验证失败返回 null
        return null;
    }

    /**
     * 这个方法 确保返回 true 即可,
     *
     * @param aClass
     * @return
     */
    @Override
    public boolean supports(Class<?> aClass) {
        return true;
    }
}

配置 security

将之前的 WebSecurityConfig 类中的 WebSecurityConfigurerAdapter 做如下修改:

 /**
         * 配置对哪些路径进行拦截,如果方法里面什么都不写,则不拦截任何路径;
         * <p>
         * 如果,使用 super.configure(http),父类的方法:
         * ((HttpSecurity)((HttpSecurity)((AuthorizedUrl)http.authorizeRequests().anyRequest()).authenticated().and()).formLogin().and()).httpBasic();
         * <p>
         * 我们自定义下拦截规则,表单等一系列规则;
         */
        return new WebSecurityConfigurerAdapter() {
            @Override
            protected void configure(HttpSecurity http) throws Exception {
                http
                        .authorizeRequests()
                        // 放行登录
                        .antMatchers("/login/**").permitAll()
                        .anyRequest().authenticated()
                        .and()
                        // 开启表单认证
                        .formLogin()
                        // 地址写的是 映射的路径
                        .loginPage("/login.html")
                        // 必须添加
                        .loginProcessingUrl("/login")
                        .permitAll()
                        // 第二个参数,如果不写成true,则默认登录成功以后,访问之前被拦截的页面,而非去我们规定的页面
                        .defaultSuccessUrl("/index.html", true)
                        .and()

                        .logout()
                        .logoutUrl("/logout")
                        .and()
                        .csrf()
                        .disable()
                        .httpBasic();

            }

            /**
             * 配置自定义校验规则,密码编码,使用我们自定义的校验器
             * @param auth
             * @throws Exception
             */
            @Override
            protected void configure(AuthenticationManagerBuilder auth) throws Exception {
                auth.authenticationProvider(myAuthenticationProvider);
            }


        };
    }

 

其中 loginProcessingUrl("/login") 必须写上,否则会报 405 错误 ,其中后面的参数值,写成,你自定义表单的提交地址;

 

这里做一下记录,建议直接查看原文。

 

https://www.cnblogs.com/young-youth/p/11665574.html

小夢書亭
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Security 中的四种权限控制方式
2401_84048542的博客
04-04 812
Spring Security 支持在 URL 和方法权限控制时使用 SpEL 表达式,如果表达式返回值为 true 则表示需要对应的权限,否则表示不需要对应的权限。可以看到,SecurityExpressionRoot 有两个实现类,表示在应对 URL 权限控制和应对方法权限控制时,分别对 SpEL 所做的拓展,例如在基于 URL 路径做权限控制时,增加了 hasIpAddress 选项。| authentication | 从 SecurityContext 中提取出来的用户对象 |
SpringSecurity个性化配置
JavaMan_chen的专栏
04-02 4388
应用场景 现有的数据库中包含以下几张表格用于权限管理 要求在此基础上集成SpringSecurity,将表格的数据作为数据源来完成登录和权限校验逻辑 SpringSecurity配置可通过两种方式呈现,基于自身的namespace配置和传统的基于Bean的配置。通过namespace来配置Security非常简洁,隐藏了很多繁琐的实现细节,但也不便于初学者进行理解,而如果要想对Se
spring security 登录、权限管理配置
08-13
登录流程 1)容器启动(MySecurityMetadataSource:loadResourceDefine加载系统资源与权限列表) 2)用户发出请求 3)过滤器拦截(MySecurityFilter:doFilter) 4)取得请求资源所需权限(MySecurityMetadataSource:getAttributes) 5)匹配用户拥有权限和请求权限(MyAccessDecisionManager:decide),如果用户没有相应的权限, 执行第6步,否则执行第7步。 6)登录 7)验证并授权(MyUserDetailServiceImpl:loadUserByUsername) 内附完整数据库
spring security动态配置url权限的2种实现方法
08-27
对于使用spring security来说,存在一种需求,就是动态配置url的权限,即在运行时去配置url对应的访问角色。下面这篇文章主要给大家介绍了关于spring security动态配置url权限的2种实现方法,需要的朋友可以参考下
tomcat httpHeaderSecurity.jar
04-09
X-Frame-Options标头不包含在HTTP响应中以防止'ClickJacking'攻击 缺少X-Frame-Options头 缺少X-Content-Type-Options Header 未启用Web浏览器XSS保护 等的解决办法 在tomcat下的conf里的web.xml中增加以下过滤器 httpHeaderSecurity org.apache.catalina.filters.HttpHeaderSecurityFilter true antiClickJackingEnabled true antiClickJackingOption SAMEORIGIN httpHeaderSecurity /* 注意:tomcat8以下版本需要下载httpHeaderSecurity.jar这个包
java学习之SpringSecurity配置了登录链接无权限
06-16
问题背景 我们在使用SpringSecurity作为后台权限框架的时候,框架给我们提供了配置登录请求的接口,供我们配置登录链接,当我们配置了登录链接地址后,前端访问登陆请求的时候显示无权限。 异常分析 由于SpringSecurity的异常处理和mvc的异常处理是不一样的,认证类异常和权限异常了,并不会被全局异常捕获,而是SpringSecurity内部自己做了处理逻辑。 思路分析 我已经将本次请求的url添加到忽略名单里面了,起始这些过滤器没有被执行,这就是问题原因所在,我们忽略的url没有生效。 先定位过滤器忽略指定URL得逻辑代码,是否存在问题 制定了正确的忽略URL,内置的过滤器不走,但是我们自己定义的,实现了OncePerRequestFilter的过滤器还是会走的。 配置方法 通过先这段代码便完成了我们登录路径的配置
Vue 动态路由的实现及 Springsecurity 按钮级别的权限控制
10-16
主要介绍了Vue 动态路由的实现以及 Springsecurity 按钮级别的权限控制的相关知识,本文通过实例代码给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
详解spring security之httpSecurity使用示例
08-27
主要介绍了详解spring security之httpSecurity使用示例,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
HttpSecurity初步理解
热门推荐
骑着蜗牛向前跑的博客
06-19 2万+
关于用户身份验证的相关知识请参看这个链接,本文只对HttpSecurity做以简单介绍。 Spring Security是一个强大的、可根据需求高度自定义的用户认证和访问控制框架。Spring Security怎么保证所有向Spring application发送请求的用户必须先通过认证;怎么保证它自己支持用户通过表单的方式进行认证。解决的办法是Spring Security中有个WebSec...
【第五篇】深入理解HttpSecurity的设计
波波烤鸭的博客
04-28 3744
深入理解HttpSecurity的设计 一、HttpSecurity的应用   在前章节的介绍中我们讲解了基于配置文件的使用方式,也就是如下的使用。   也就是在配置文件中通过 security:http 等标签来定义了认证需要的相关信息,但是在SpringBoot项目中,我们慢慢脱离了xml配置文件的方式,在SpringSecurity中提供了HttpSecurity等工具类,这里HttpSecurity就等同于我们在配置文件中定义的http标签。要使用的话方式如下。   通过代码结果来看和配置文件.
HttpSecurity常用方法详解
qq_30641461的博客
10-11 1万+
requestMatchers() 取得RequestMatcherConfigurer对象并配置允许过滤的路由; 如requestMatchers().anyRequest()等同于http.authorizeRequests().anyRequest().access(“permitAll”); 如下面两个例子: @Override public void configure(HttpSecurity http) throws Exception { //只允许路由由test开头的需要
01_SpringSecurity学习之配置HttpSecurity
ShiJunzhiCome的博客
08-06 7974
Spring Security 学习之配置 HttpSecurity
SpringSecurity中web权限方案
xiomarazark的博客
03-15 1139
SpringSecurity在web权限中的使用
SpringBoot+SpringSecurity整合(实现了登录认证和权限验证)完整案例,基于IDEA项目
02-16
SpringBoot+SpringSecurity整合示例代码,实现了从数据库中获取信息进行登录认证和权限认证。 本项目为idea工程,请用idea2019导入(老版应该也可以)。 本项目用户信息所需sql文件,在工程的resources文件夹下,请自行导入mysql中。 运行SpringBootMainClass启动后,请在地址栏访问http://ip:port,在页面中登录,成功后会跳转至下一个页面,此时需要后退到刚才的页面,点击各个超链接来试验用户的授权情况。未登录时点击任何链接都会跳回首页。 一共提供了4个用户: 1.admin:可以访问所有请求 2.user1:只能访问user1Call请求 3.user2:只能访问user2Call请求 4.user3:只能访问user3Call请求 具体代码配置逻辑和说明,详见代码的注释
SpringSecurity动态加载用户角色权限实现登录及鉴权功能
08-25
Spring Security 中,用户、角色、权限信息通常存放在 RBAC 权限模型的数据库表中,而不是写死在配置文件中。为了动态加载这些信息,我们需要实现 UserDetails 和 UserDetailsService 接口。 UserDetails 接口...
Spring security实现登陆和权限角色控制
09-09
通过以上步骤,你已经配置Spring Security来处理登录、权限和角色控制。当用户尝试访问受保护的资源时,Spring Security会自动重定向到登录页面。登录成功后,它会根据用户的角色决定是否允许访问请求的资源。同时...
SpringSecurity权限控制实现原理解析
08-24
配置文件是指在 SpringSecurity 中使用的配置文件,例如 spring-security.xml,用于配置安全域、权限等信息。 SpringSecurity 中的权限控制机制包括以下几个方面: 1. 身份验证:身份验证是指确认用户的身份,...
【https】 1 HTTP Security (bb102-1)
qfzhangwei的专栏
06-01 3249
A secure system shall provide the following assurances: 安全系统应提供以下保证: Authentication:"The person is who he says he is."This is usually carried out via "username and password".Other techniques in...
java spring security oauth2 动态 修改当前登录用户的基础信息以及权限2.0(无需重新登录)
最新发布
ycg的博客
04-19 322
两年前写过一篇动态修改角色和权限当时表述的不是很全面比如如何修改其他用户权限修改用户信息没有效果等再写一篇。
Spring Security 动态url权限控制
09-12
对于Spring Security动态URL权限控制,你可以使用以下步骤来实现: 1. 配置安全配置类:创建一个类并继承`WebSecurityConfigurerAdapter`,然后覆盖`configure(HttpSecurity http)`方法。 2. 定义权限表达式:在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值