springSecurity整合jwt做系统权限控制

已于 2023-04-14 11:39:45 修改
阅读量951 收藏
点赞数 1
分类专栏: springSecurity 文章标签: java maven spring cloud mybatis
于 2023-01-16 15:23:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41988229/article/details/128704446
版权

注:基于url做动态权限校验(同时不重写FilterInvocationSecurityMetadataSource以及

AccessDecisionManager重写会导致springSecurity原有的校验流程失效)

1,SecurityConfig.java

基于url做动态权限校验最重要的点就是将权限与uri一一对应查询出来初始化

@Configuration
@EnableWebSecurity(debug = true)
@RequiredArgsConstructor
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {
   @Resource
   private MenuFacade menuFacade;
   @Resource
   private RestAuthenticationEntryPoint restAuthenticationEntryPoint;
   @Resource
   private PasswordEncoder passwordEncoder;
   @Resource
   private JwtAuthenticationTokenFilter jwtAuthenticationTokenFilter;
   @Resource
   private DataEncryptWrapperFilter dataEncryptWrapperFilter;

   @Override
   protected void configure(HttpSecurity httpSecurity) throws Exception {
      ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry registry = httpSecurity
            .authorizeRequests();
      // 白名单
      for (String url : ignoreUrlsConfig()) {
         registry.antMatchers(url).permitAll();
      }
      // 允许跨域请求的OPTIONS请求
      registry.antMatchers(HttpMethod.OPTIONS, "/**")
            .permitAll();

      //初始化所有地址与权限
      for (MenuCodeUriResDTO urlAuth : authUrl()) {
         registry.antMatchers(urlAuth.getRequestUri()).hasAuthority(urlAuth.getAuthorityCode());
      }
      registry
            //所有请求必须认证,除了白名单
            .anyRequest().authenticated()
            // 关闭跨站请求防护及不使用session
            .and()
            .csrf()
            .disable()
            .sessionManagement()
            .sessionCreationPolicy(SessionCreationPolicy.STATELESS)
            // 自定义权限拒绝处理类
            .and()
            .exceptionHandling()
            //未登录或登录过期
            .authenticationEntryPoint(restAuthenticationEntryPoint)
            .and()
            // 自定义权限拦截器JWT过滤器  before在什么之前加。。
            .addFilterBefore(jwtAuthenticationTokenFilter, UsernamePasswordAuthentic
最低0.47元/天 解锁文章
zzx旭
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
商城系统开发从0到1(集成SpringSecurity,实现自己的权限控制
qq_28406419的博客
04-30 698
商城系统开发从0到1(集成SpringSecurity,实现自己的权限控制) 敬请期待
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证
08-26
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证,可根据注解的格式不同,到角色权限控制,角色加资源权限控制等,粒度比较细化。 @PreAuthorize("hasAnyRole('ADMIN','USER')"):具有admin或...
springSecurityjwt机制及应用详解(1)
2401_83329402的博客
05-03 751
现在正是金三银四的春招高潮,前阵子小编一直在搭建自己的网站,并整理了全套的**【一线互联网大厂Java核心面试题库+解析】:包括Java基础、异常、集合、并发编程、JVM、Spring全家桶、MyBatis、Redis、数据库、中间件MQ、Dubbo、Linux、Tomcat、ZooKeeper、Netty等等**《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》点击传送门,即可获取!
Spring Security 超详细整合 JWT,能否拿下看你自己!
08-31 6628
文章目录1.JWT 入门1.1 JWT 概念1.2 JWT 应用场景1.3 为何选择 JWT基于 Session 的传统认证基于 JWT 的认证1.4 JWT 的结构标头(Header)载荷(Payload)签名(Signature)1.5 RBAC (Role-Based Access Control)1.6 JWT 基本使用添加依赖生成 Token解析 Token2.Security 整合 JWT2.1 单独抽离 Security 模块添加相关依赖JWT 工具类JWT 相关配置JWT 登录授权过滤器自定
Spring Security系列】Spring Security整合JWT:构建安全的Web应用
最新发布
qq_44005305的博客
05-31 780
前面两个章节介绍过了Spring Security,这里就不再赘述了!!!JWT是一种轻量级的身份验证和授权机制,通过发送包含用户信息的加密令牌来实现身份验证。这个工具我们在前面的文章中也提起过。
Spring Security --- authorizeRequests配置
汤键的博客
04-13 2655
Spring Security --- authorizeRequests配置
springBoot 的jwt实现权限认证
qq_45515347的博客
08-27 2901
jwt原理以及使用springboot实现一个简单实例
Spring Security白名单失效问题
PinelliaLogic的博客
05-04 1709
Security核心配置SecurityConfig 中的 SecurityFilterChain 下的拦截规则哪里添加。SpringBoot版本:2.7.5。白名单中也要有需要放行路径。
SpringBoot2.6整合SpringSecurity+JWT
01-11
**三、SpringBoot 2.6与Spring Security整合** 1. **添加依赖**:首先,在`pom.xml`文件中引入Spring SecurityJWT的相关依赖,如`spring-security-oauth2-jose`和`jjwt`库。 2. **配置Spring Security**:创建一...
springboot整合springsecurityjwt权限验证
08-10
该资源包整合基于springboot整合springsecurity结合jwt权限验证、配置完善,可以直接作为项目的基础框架集成使用使用mybatis作为持久层框架,基础框架搭建完成,只需要写业务代码集合,便于快捷开发。
SpringSecurity 整合 JWT.docx
06-27
为了在Spring Security整合JWT,首先需要引入JWT的相关库,如jjwt。然后,可以创建JWT的生成和解析方法。以下是一个简单的示例: ```java import io.jsonwebtoken.Jwts; import java.util.Date; public class ...
SpringBoot2.7整合SpringSecurity+Jwt+Redis+MySQL+MyBatis完整项目代码
10-30
在本项目中,我们主要关注的是SpringBoot 2.7版本与多个技术的深度整合,包括Spring SecurityJWT(JSON Web Token)、Redis缓存以及MySQL数据库,并利用MyBatis作为持久层框架。以下是对这些技术及其整合应用的...
实战篇:Security+JWT组合拳 | 附源码
程序IT圈
07-03 469
之前我们已经说过用Shiro和JWT来实现身份认证和用户授权,今天我们再来说一下「SecurityJWT」的组合拳。简介先赘述一下身份认证和用户授权:用户认证(Authenticatio...
SpringSecurity Oauth2 - 10 自定义SpEL权限表达式配置白名单url不需要token认证和鉴权
你今天真好看呀
11-10 4243
*** MethodSecurityExpressionOperations 接口方法的属性/*** SecurityExpressionRoot 类中的属性/*** 判断是否是白名单WhiteUrl,不校验权限,不需要token// 白名单url,直接返回true return true;} /*** 修改 SecurityExpressionRoot 类中的该方法** 登录请求url是否是白名单WhiteUrl,如果是则不需要校验权限,直接返回true。
spring security实现IP动态添加白名单
L_zsen的博客
07-06 5835
最近有个小需求:实现一个IP白名单的功能;指定ip可以无需登录认证即可访问指定的接口,非指定ip需要登录认证才能访问; 安全框架用spring security+jwt,安全配置securityConfig继承WebSecurityConfigurerAdapter中可以配置hasIpaddress白名单; 但这个只能在初始化项目时通过字符串拼接access参数,没有达到ip动态添加删除的效果; 随后在百度了N篇文章后,参考动态url权限配置,自定义了一个决策器实现了功能,代码如下: import co
厉害,我带的实习生仅用四步就整合SpringSecurity+JWT实现登录认证
沉默王二
04-07 2万+
小二是新来的实习生,作为技术 leader,我还是很负责任的,有什么锅都想甩给他,啊,不,一不小心怎么把心里话全说出来了呢?重来! 小二是新来的实习生,作为技术 leader,我还是很负责任的,有什么好事都想着他,这不,我就安排了一个整合SpringSecurity+JWT实现登录认证的小任务交,没想到,他仅用四步就搞定了,这让我感觉倍有面。 一、关于 SpringSecuritySpring Boot 出现之前,SpringSecurity使用场景是被另外一个安全管理框架 Shiro 牢牢霸占
spring实战-Spring-security权限认证白名单
乔布斯基的博客
08-21 2万+
第九篇:spring实战-Spring-security权限认证白名单 当我们为程序设置权限认证时,主要是希望能够保护需要保护的功能,并不是说所有的功能都需要被保护起来,比如说系统主页,帮助中心等等 此时我们可以通过白名单的方式,让某些功能对未登录用户公开,Spring-security提供了对固定路径,或者模糊匹配路径的保护 com.halfworlders.idat.config
Spring Security整合JWT实现前后端分离认证和权限管理(超详细)
mengxianglong123的博客
01-11 1万+
核心步骤 创建项目 配置pom.xml 在配置文件中写入jwt相关配置,并创建JWT配置类,使用@ConfigurationProperties(prefix = “jwt”)与配置文件关联起来 创建自己的用户类 创建自己的认证失败类 创建自己的权限不足类 创建自己的认证成功处理类 创建自己的UserDetailsService 创建JWT工具类 创建自定义的Token过滤器 创建自己的Spring Secrity配置类(将之前的自定义的配置全部设置进去) 一、创建项目 默认创建Spring B
请求授权(Authorize Requests)
热门推荐
苏美尔人的天空
08-23 3万+
我们的案例目前使用的是WebSecurityConfigurerAdapter中默认的HttpSecurity对象的配置,该配置是要求应用中所有url的访问都需要进行验证。我们也可以自定义哪些URL需要权限验证,哪些不需要。只需要在我们的SecurityConfig类中覆写configure(HttpSecurity http)方法即可。 protected void configure(H
写一个springsecurity整合jwt权限管理认证
03-29
但我可以为你提供一个基本的Spring Security整合JWT权限管理认证的思路: 1. 添加依赖:在pom.xml文件中添加Spring SecurityJWT的依赖。 2. 配置Spring Security:创建一个配置类,实现...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值