使用SpringSecurity进行权限访问控制的步骤(查询数据库的用户表)

最新推荐文章于 2024-03-25 17:06:26 发布
最新推荐文章于 2024-03-25 17:06:26 发布
阅读量1.0k 收藏
点赞数
分类专栏: Java学习 文章标签: java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41542638/article/details/105838725
版权

1、导入依赖

<dependencies>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-web</artifactId>
<version>5.0.1.RELEASE</version>
</dependency>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-config</artifactId>
<version>5.0.1.RELEASE</version>
</dependency>
</dependencies>

2、创建Spring-security配置文件,并在web.xml中设置读取配置文件

Spring-security配置文件约束

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:security="http://www.springframework.org/schema/security"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xsi:schemaLocation="http://www.springframework.org/schema/beans
http://www.springframework.org/schema/beans/spring-beans.xsd
http://www.springframework.org/schema/security
http://www.springframework.org/schema/security/spring-security.xsd">
</beans>

web.xml配置启动时读取Springsecurity配置文件:

	<!--context 的监听器-->
  <listener>
    <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
  </listener>

  <!--服务启动时,读取配置文件-->
  <context-param>
    <param-name>contextConfigLocation</param-name>
    <param-value>classpath:applicationContext.xml</param-value>
  </context-param>

3、用户认证类的编写

首先,我们需要创建一个继承了org.springframework.security.core.userdetails.UserDetailsService;的认证类,并实现public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException方法,该方法的返回值为UserDetails类(封装当前认证用户信息)。Springsecurity在进行认证时会传入用户名,如果找不到用户名(抛出异常)、或者密码错误,则跳转到失败页面
springsecurity的用户密码需要加密

package com.ZepngLin.service.imp;

import com.ZepngLin.dao.UserDao;
import com.ZepngLin.domain.Role;
import com.ZepngLin.domain.UserInfo;
import com.ZepngLin.service.UserService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.stereotype.Service;

import java.util.ArrayList;
import java.util.List;

@Service("userService")
public class UserServiceImp implements UserService{
    @Autowired
    UserDao dao;
    @Autowired
    private BCryptPasswordEncoder passwordEncoder;      //用于加密密码

    /**
     *
     * @param s 用户名
     * @return 认证对象的信息
     * @throws UsernameNotFoundException 未找到该用户
     */
    @Override
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
        List<SimpleGrantedAuthority> authorities = new ArrayList<>();   //存储权限列表
        UserInfo userInfo = dao.findByUsername(s);                  //获取用户信息
        for(Role role : userInfo.getRoles()){
            authorities.add(new SimpleGrantedAuthority(role.getRoleName()));    //取出用户拥有的角色
        }
        return new User(userInfo.getUsername(),userInfo.getPassword(),authorities);     //实现了UserDetails接口的实现类
    }

    @Override
    public List<UserInfo> findAll() {
        return dao.findAll();
    }

    @Override
    public void save(UserInfo user) {
        user.setPassword(passwordEncoder.encode(user.getPassword()));  //密码加密
        dao.save(user);
    }

    @Override
    public UserInfo findById(int id) {
        return dao.findById(id);
    }
    @Override
    public List<Role> findOtherRoles(int id) {

        return dao.findOtherRoles(id);
    }

    //添加角色
    @Override
    public void addRoleToUser(int id, Integer[] roleIds) {
        for (int roleId : roleIds) {
            dao.addRoleToUser(id,roleId);
        }
    }
}

4、Spring-security配置文件的编写

权限名需要加上ROLE前缀、配置完成后将只有拥有ROLE_GUEST角色的用户可以浏览页面

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:security="http://www.springframework.org/schema/security"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xsi:schemaLocation="http://www.springframework.org/schema/beans
http://www.springframework.org/schema/beans/spring-beans.xsd
http://www.springframework.org/schema/security
http://www.springframework.org/schema/security/spring-security.xsd">
    <!--开启权限控制的方法-->
    <!--<security:global-method-security jsr250-annotations="enabled"/>-->
    <!--<security:global-method-security pre-post-annotations="enabled"/>-->
    <security:global-method-security secured-annotations="enabled"/>


    <!-- 配置不过滤的资源(静态资源及登录相关) -->
    <security:http security="none" pattern="/pages/login.jsp" />
    <security:http security="none" pattern="/pages/failer.jsp" />
    <security:http pattern="/css/**" security="none"/>
    <security:http pattern="/img/**" security="none"/>
    <security:http pattern="/plugins/**" security="none"/>
    <security:http auto-config="true" use-expressions="false">

        <!-- 配置资料连接,表示任意路径都需要ROLE_GUEST权限 -->
        <security:intercept-url pattern="/**" access="ROLE_GUEST" />

        <!-- 自定义登陆页面,login-page 自定义登陆页面 authentication-failure-url 用户权限校验失败之
        后才会跳转到这个页面,如果数据库中没有这个用户则不会跳转到这个页面。
        default-target-url 登陆成功后跳转的页面。 注:登陆页面用户名固定 username,密码
        password,action:login -->

        <!--login-processing-url :配置表单提交路径-->
        <security:form-login login-page="/pages/login.jsp"
                             login-processing-url="/login.do"
                             username-parameter="username"
                             password-parameter="password"
                             <!--失败、成功、默认跳转页面-->
                             authentication-failure-url="/pages/failer.jsp"
                             authentication-success-forward-url="/pages/main.jsp"
                             default-target-url="/pages/main.jsp"
        />
        <!-- 登出, invalidate-session 是否删除session logout-url:登出处理链接 logout-successurl:
        登出成功页面
        注:登出操作 只需要链接到 logout.do即可登出当前用户 -->
        <security:logout invalidate-session="true" logout-url="/logout.do"
                         logout-success-url="/login.jsp" />
        <!-- 关闭CSRF,默认是开启的 -->
        <security:csrf disabled="true" />
    </security:http>

    <!--加密方式-->
    <bean id="passwordEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder"/>

    <security:authentication-manager>
        <!--提供认证的方式,useService为我们自定义配置的类,已在Spring配置文件中被扫描加入IOC容器-->
        <security:authentication-provider user-service-ref="userService">
            <!--配置加密方式-->
                <security:password-encoder ref="passwordEncoder"/>
        </security:authentication-provider>
    </security:authentication-manager>

 <!--配置使用SPEL表达式-->
    <bean id="webexpressionHandler" class="org.springframework.security.web.access.expression.DefaultWebSecurityExpressionHandler" />
</beans>

5、几种权限控制方法的总结:

(1)通过xml配置各个访问路径所需要的角色:
所有路径都需要ROLE_GUEST权限:<security:intercept-url pattern="/**" access=“ROLE_GUEST” />
(2)通过security 标签库对JSP组件进行可见控制
导入标签库:<%@ taglib prefix=“security” uri=“http://www.springframework.org/security/tags” %>
使用标签包含需要进行权限控制的代码块:

	<!-- 只有ROLE_ROOT角色的用户才可见 -->
<security:authorize access="hasRole('ROLE_ROOT')">
	<div>
		代码块
	</div>
</security:authorize>

(3)通过注解的方式

ZepngLin
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security 基于数据库的权限管理配置
11-21
Spring Security 基于数据库的权限管理配置
Spring Security教程(二):通过数据库获得用户权限信息
dichengyan0013的博客
11-19 439
上一篇博客中,Spring Security教程(一):初识Spring Security,我把用户信息和权限信息放到了xml文件中,这是为了演示如何使用最小的配置就可以使用Spring Security,而实际开发中,用户信息和权限信息通常是被保存在数据库中的,为此Spring Security也提供了通过数据库获得用户权限信息的方式。本教程将讲解使用数据库管理用户权限。 一、引入相...
6-SpringSecurity:数据库存储用户信息
最新发布
2401_83642079的博客
03-25 742
我还为大家准备了一套体系化的架构师学习资料包以及BAT面试资料,供大家参考及学习已经将知识体系整理好(源码,笔记,PPT,学习视频)” />我还为大家准备了一套体系化的架构师学习资料包以及BAT面试资料,供大家参考及学习已经将知识体系整理好(源码,笔记,PPT,学习视频)[外链图片转存中…(img-4UYf05s2-1711357578433)][外链图片转存中…(img-iyCiDIeY-1711357578433)]
如何在SpringBoot项目中引入SpringSecurity进行权限控制
向心行者
03-25 1643
1、前言   为了方便进行项目开发,自己搭建了一套简单的基于RBAC模型的权限管理系统,其中涉及到的用户、角色、资源(菜单)等模块已经实现了,现在需要引入SpringSecurity来实现认证和授权。 2、引入依赖   这里使用SpringSecurity的版本是:5.0.8.RELEASE,SpringBoot版本是:2.0.5.RELEASE。 <dependency> <groupId>org.springframework.boot</groupId> &l
Spring Security对接多用户
qq_43354702的博客
12-14 2978
起因 项目需要对两个用户进行配置,于是上网看到了这样的代码 @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Bean @Primary UserDetailsService us1() { return new InMemoryUserDetailsManager(User.builder().username("javaboy").password
循序渐进学spring security 第七篇,如何基于用户权限配置权限?越学越简单了
huangxuanheng的专栏
07-28 1708
回顾 前面我们介绍了如何通过配置的方式自定义页面,如何配置用户,如何从数据库读取用户并配置到spring security进行登录登录验证,如果你不熟悉,请回去看我的前几篇文章,这样有助于您对本文的理解 面试不要在说不熟悉spring security了,一个demo让你使劲忽悠面试官 循序渐进学习spring security 第二篇,如何修改默认用户? 循序渐进学习spring security 第三篇,如何自定义登录页面?登录回调? 循序渐进雪spring security 第四篇,登录流程是怎样
Java基于springboot+SpringSecurity的一款权限认证系统(源码+数据库).zip
01-15
开发基于Spring Boot和Spring Security权限认证系统可以按照以下步骤进行: 1. 确定需求:明确权限认证系统的功能和特性,比如用户管理、角色管理、权限管理等。 2. 数据库设计:设计数据库结构,包括用户、...
spring security项目示例下载
07-05
spring security配置项目下载,里面前台使用了easyui。 我的项目是用maven搭建的,如果你配置了maven,那么就会可以很轻松的运行起项目来了, 步骤: 1、在我的项目下找到database文件夹,把里面的union_ssh.sql文件...
Spring Security 中文教程.pdf
12-06
5.5. Spring Security中的访问控制(验证) 5.5.1. 安全和AOP建议 5.5.2. 安全对象和AbstractSecurityInterceptor 5.5.2.1. 配置属性是什么? 5.5.2.2. RunAsManager 5.5.2.3. AfterInvocationManager ...
Spring Security-3.0.1中文官方文档(翻译版)
03-08
5.5. Spring Security 中的访问控制(验证) 5.5.1. 安全和AOP 建议 5.5.2. 安全对象和AbstractSecurityInterceptor 5.5.2.1. 配置属性是什么? 5.5.2.2. RunAsManager 5.5.2.3. AfterInvocationManager ...
医疗器械软件网络安全风险分析报告.pdf
10-20
* 前端访问控制使用Spring Security + JWT的方式进行控制。 * 前后端通讯数:前后端数据传输采用HTTPS协议。 * 数据泄露防范:恶意代码前端提交数据过滤校验,确保恶意代码不被执行。 * DDOS网络攻击防范:依托...
Spring Security中检索用户信息
allway2的博客
11-18 497
这是一个基于 Eclipse 的项目,因此应该很容易导入和按原样运行。当然,像这样的静态调用也有缺点,代码的可测试性降低是更明显的缺点之一。本文展示了如何在 Spring 应用程序中获取用户信息,从常见的静态访问机制开始,然后是几种更好的注入主体的方法。当前经过身份验证的用户可以通过 Spring 中的多种不同机制使用。让我们看看如何使用 Thymeleaf 引擎在页面中访问当前经过身份验证的主体。在使用 Spring 安全性构建的应用程序中跟踪登录用户的快速指南。是一个现代化的服务器端Web模板引擎,
SpringBoot-Security-用户权限分配-查找用户的菜单权限 ...
测试0901-1
02-22 3734
本章实现的功能是,某个用户登录时,如何查找该用户的菜单权限 Spring security认证过程 1、用户使用用户名和密码进行登录。2、Spring Security将获取到的用户名和密码封装成一个实现了Authentication接口的UsernamePasswordAuthenticationToken。3、将上述产生的token对象传递给Auth...
activiti+springBoot+springSecurity 权限管理
u012186491的专栏
03-01 2967
1、整合activitimodeler 时,为了方便调试页面,我们一般屏蔽登录功能。 @EnableAutoConfiguration(exclude = { org.springframework.boot.autoconfigure.security.SecurityAutoConfiguration.class, org.activiti.spring.boot...
SpringSecurity从数据库获取用户信息
程序员劝退师的博客
04-10 1162
前言 在学习SpringSecurity这个框架是,做单登录的时候为了方便测试,一般都会在代码中将用户登录使用用户名和密码写死,但是在实际开发中肯定是需要连接数据库查询用户信息的,之前写过一篇将用户名密码写死的文章SpringSecurity单认证,前期学习的时候完全是可以通过写死的这种方式的! 补充另一种写死的方式 这种写死的方式比上篇文章更加方便,都不需要实现UserDetailsService 接口。 @Autowired public void globalUserDetails(A
Spring Security关键之5张数据与7张 !!!
qq_64847107的博客
01-29 490
(角色按钮关联)role_permission(role_id,permission_id)(角色菜单关联)role_menu:(role_id,menu_id)(用户角色关联)user_role(user_id,role_id)(按钮)permission(name,keyword):删除按钮,添加按钮。(角色)role(name,keyword):院长,主任,护士。(用户)user(name,pwd):小王,小李。(角色)role(name):院长,主任,护士。
初识Spring Security
weixin_52258854的博客
04-28 92
Spring Security 是什么呢,在官网里时这样描述的Spring Security是一个框架,提供 认证(authentication)、授权(authorization) 和 保护,以抵御常见的攻击。它对保护命令式和响应式应用程序有一流的支持,是保护基于Spring的应用程序的事实标准。简而言之就是一个安全框架,能够很好的保护我们的 Spring 应用。
Spring Security 可以同时对接多个用户
江南一点雨的专栏
07-14 8410
文章目录1.原理1.1 Authentication1.2 AuthenticationManager1.3 ProviderManager1.4 AuthenticationProvider2.案例3.小结 这个问题也是来自小伙伴的提问: 其实这个问题有好几位小伙伴问过我,但是这个需求比较冷门,我一直没写文章。 其实只要看懂了松哥前面的文章,这个需求是可以做出来的。因为一个核心点就是 ProviderManager,搞懂了这个,其他的就很容易了。 今天松哥花一点时间,来和大家分析一下这个问题的核心,同时
springsecurity怎么进行权限控制
07-17
Spring Security 是一个功能强大的安全框架,可以用于实现权限控制。下面是一些基本的步骤来...当然,Spring Security 还提供了很多其他功能,如记住我功能、注解权限控制等,你可以根据需要进行进一步的配置和使用

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值