基于security+oauth2权限模块搭建总结

最新推荐文章于 2024-09-30 09:27:29 发布
置顶 最新推荐文章于 2024-09-30 09:27:29 发布
阅读量1.1k 收藏 1
点赞数 2
分类专栏: 权限 文章标签: shiro oauth java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42872629/article/details/104902805
版权

说明: 本系统采用security+oauth2作为安全框架主要完成了登陆认证丶权限分配丶url的拦截。

一丶oauth2登陆及请求说明

系统测试登陆账号:admin
系统测试登陆密码:12345
登陆url: http://localhost:8120/oauth/token
指定参数:
username,
password,
grant_type,
scope,
client_id,
client_secret
参数说明: username丶password为登陆账号和密码,grant_type为验证类型,scope用于授权方给应用授权,client_id用于授权方标识应用程序,client_secret用于验证应用身份,后四个参数的值和配置文件保持一致即可。
完整url: http://localhost:8120/oauth/token?username=admin&password=12345&grant_type=password&scope=all&client_id=client_2&client_secret=huidu_erp_security
登陆系统时需要通过以上oauth2指定的登陆接口进行token的获取。
在这里插入图片描述

登陆成功后返回以上信息,在访问系统其它接口时需要在请求头中携带access_token对应的value,例:(注意bearer后面的空格不能省略)
在这里插入图片描述

二丶公共资源配置

在这里插入图片描述

如果有接口只需要登陆后就可以访问,那么此类接口我们将它定义为公共接口,再resource表中添加对应的资源信息后将is_common设置为1即可。
path字段说明: 资源路径包括请求方式和资源地址,若同一个接口有多个路径可以用;号隔开(注意资源路径不能为空)。

三丶url配置

本系统资源共分为4级且4级资源为末级单位(ps:编辑功能为4级权限,但编辑功能内还调用了其它接口,那么此时需要将编辑功能内调用的所有接口都和编辑功能配置到一起,多个url用“;”号隔开),为方便表资源的可读性每级资源依靠首位数字标识该资源。(ps:一级资源的id为100,101…100,1001,1002以此类推)
resource_label:资源标识,前端用。
resource_name:为资源名称。
annotation:资源备注,方便直接查看资源表时增加可读性。
parent_id:父级资源的id
resource_type:资源类型,分为MENU,BUTTON
is_common:设置公共资源(公共资源默认登陆后的用户都有权限访问)0:代表不是公共资源,1:代表是公共资源。
例:
在这里插入图片描述
在这里插入图片描述
多权限配置:如编辑账号功能,点击编辑时进入边界页面需要获取角色列表的信息,那么此时就需要将角色列表对应的url和账号编辑的url配到一起。
在这里插入图片描述

四丶权限变更主要事项

当修改了角色权限后需要重新登录,因为只有在登录的时候才会重新获取角色权限!
当数据库表增加了公共接口后,需要重启程序!

五丶拦截策略

登陆:用户输入账号密码后调用Security自带的“/oauth/token”认证接口,该接口自动调用loadUserByUsername()这个方法,该方法为实现UserDetailsService
接口后重写的方法,此接口功能为根据用户名将用户信息查询出来并返回给Security,然后Security会拿用户输入的用户名和密码去和loadUserByUsername()返回的用户信息进行比对,如果比对成功则返回token。
在这里插入图片描述

Url资源拦截:

在这里插入图片描述

configure()方法的功能是拦截校验url,当用户发送一个请求后首先会进入该方法,首先判断该资源是否为开放资源或登陆认证后的默认资源,如果该请求不属于以上资源类型那么系统判断该当前用户是否拥有本次请求资源的权限。
在这里插入图片描述
在这里插入图片描述
hasPermission()该方法的作用就是获取当前请求的url和当前用户所拥有的权限进行比较,如果用户包含请求资源那么返回true,如果不包含则返回false。

六丶特殊资源配置

当系统中存在不需要登陆且请求路径的请求头中不包含TENANT-ID时,我们可以在doFilter()方法中进行判断,当请求头中不包含TENANT-ID时,则判断本次请求的url地址是否匹配自己所期望的地址,如果符合给TENANT-ID默认赋值。
在这里插入图片描述

七丶补充说明

在这里插入图片描述
7.1关于系统权限只有4级问题的说明:
首先本系统将权限共分为四级,并不意味不能添加第5级6级菜单,将系统权限分为四级的原因是因为当时根据erp1.0的原型划分最多也就能分出四级。

例:根据上图所示首先系统分为6大模块,“销售管理”属于其中之一也就是一级资源, “销售管理”下有“客户管理”丶“收货地址”丶“客户合同”这些属于二级资源,“客户管理”下有“客户资料”为三级资源(ps:因为用户再点击客户资料时,页面会跳到客户资料展示页同时会请求客户资料查询接口,所以我们需要将客户资料查询接口配到这个资源下),“客户资料”下又包含具体的编辑丶新建丶详情功能这些均属于四级资源,比如客户编辑页面中包含选择角色的功能,那么为什么没有继续分出第五级资源呢?原因是因为当用户拥有了编辑功能时,就会默认用户拥有在编辑时需要用到的所有权限,(ps:假设我作为一个用户我勾选了编辑功能那么我在编辑客户的时候却不能给客户选择角色这就会显得很奇怪。)这也是系统设计之初就与产品经理约定好的规则。
7.2关于系统如何设置5级资源甚至更加细分的资源?
如果系统中遇到了必须要设置的5级资源,那么我们只用在resource表中添加id为5开头的资源然后指定父级资源为四级资源即可。(ps:之所以要将id开头设为5没有其它含义只是为了查看resource时增加可读性)同理我们要设置六级资源时,那么我们就在resource表中设置id为6开头并将父级id指定为五级资源即可。

旅人mfy
关注
专栏目录
SpringSecurity + oauth2 + jwt
记录自己的学习,有不对的地方欢迎指正!
02-09 360
SpringSecurity + oauth2 + jwt的基本搭建 包括环境搭建,认、证模块、资源模块
SpringBoot+SpringSecurity OAuth2 认证服务搭建实战 (一)
06-19 1273
配置:Maven,SpringBoot3.3.0,Spring-Security-oauth2-authorization-server 1.3.0(这个在pom中是用starter代替掉了),最后是JDK17,当然jdk版本不是必须的,其它版本也是可以的,只要别太低。作者当前用的SpringBoot是3.3.0的,算是比较新的版本,在这个版本的依赖列表中,Spring Authorization Server的版本是1.3.0。这里非常确定的告诉大家,资源服务器的代码和授权服务代码是写在一个项目中的。
spring security oauth2整合
07-27
spring security oauth2整合的详细说明文档,demo下载地址在文档中已经给出。其中demo中包含了详细的代码注释。
Security+Oauth2权限认证(案例 源码)
白大锅的博客,毕设WangLoveBai_999
06-25 1万+
1.1 Oauth2认证流程: 1.2 Token携带相关参数注释: 首先讲下资源与授权服务配置注解: 请求优先@EnableAuthorizationServer,@EnableResourceServer处理,剩下的无法匹配的由SpringSecurity处理 2.1资源服务器配置: 2.2其他属性: accessDeniedHandler 授权失败且主叫方已要求特定的内容类型响应 resourceTokenServices加载 OAuth2Authentication 和 OAuth2Acces
小白也能看懂的OAuth2讲解
最新发布
wendao76的专栏
09-30 2831
OAuth 2是一个重要的授权框架,它通过颁发令牌的方式实现了第三方应用对用户资源的访问控制,提高了系统的安全性和用户隐私保护。然而,使用OAuth 2也需要注意其对接流程的复杂性、安全漏洞的风险以及兼容性问题。在实际应用中,应根据具体场景选择合适的授权模式,并加强令牌管理和授权控制,以确保系统的安全性和稳定性。在OAuth2中,访问令牌(access token)具有时效性,即它们会在一段时间后过期。
security-oauth2(一)
qq_36200932的博客
04-25 473
前提:在security基础上,不会的可以参考我的另一篇文章 OAuth2 协议一共支持 4 种不同的授权模式: 授权码模式:常见的第三方平台登录功能基本都是使用这种模式。 简化模式:简化模式是不需要客户端服务器参与,直接在浏览器中向授权服务器申请令牌(token),一般如果网站是纯静态页面则可以采用这种方式。 密码模式:密码模式是用户把用户名密码直接告诉客户端,客户端使用说这些信息向授权服务器申请令牌(token)。这需要用户对客户端高度信任,例如客户端应用和服务提供商就是同一家公司,我们自己做前
oauth2整合security
weixin_42654295的博客
10-22 2893
什么是oauth2 OAuth 2.0 是一个授权协议,它允许软件应用代表(而不是充当)资源拥有者去访问资源拥有者的资源。应用向资源拥有者请求授权,然后取得令牌(token),并用它来访问资源,并且资源拥有者不用向应用提供用户名和密码等敏感数据。 当前有一个开放接口 该接口 会被非常多的商户端来调用 管理商户端 开放接口平台设计 第三方支付接口 或者 第三方知名平台接口 微信 支付宝 等。 流程 1.申请一个appid 和 秘钥 Appid=QQ账户—终生无法变化 Apppwd改===QQ密码 2.appi
Spring SecurityOAuth2的完美结合
m0_49151953的博客
04-13 1858
资源所有者是指拥有资源的人或实体,客户端是指需要访问资源的应用程序,授权服务器是指负责授权的服务器,资源服务器是指存储资源的服务器。Spring Security OAuth2模块提供了一系列的类和接口,用于实现OAuth2授权服务器和资源服务器。在上面的代码中,我们配置了OAuth2授权服务器的客户端信息存储在数据库中,使用了Spring Security的身份验证管理器和用户详细信息服务。在上面的代码中,我们配置了OAuth2资源服务器的安全性,只有经过身份验证的用户才能访问受保护的API。
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
04-22
本教程将探讨如何使用Spring Boot结合Spring SecurityOAuth2和JWT(JSON Web Token)来搭建一个认证服务器、API网关以及微服务之间的权限认证和授权机制。 首先,Spring Security是Spring框架的一个模块,专门...
基于springcloud+security+oauth2.0实现的权限管理系统.zip
10-08
总结,基于SpringCloud+Security+OAuth2.0的权限管理系统,通过微服务架构实现了服务解耦,利用Spring Security提供了强大的安全保护,而OAuth2.0则为第三方应用的接入提供了安全的授权机制。这样的系统设计既保证了...
【Spring Security + OAuth2】OAuth2
weixin_43676950的博客
05-22 1150
Auth”表示“授权”Authorization"O"是Open的简称,表示“开放”连在一起就表示“开发授权”,OAuth2是一种开放授权协议在实际流程中,颁发Token前先要征询用户同意。
springBoot+security+oauth2 资源和认证分离的密码模式
08-09
springBoot+security+oauth2 资源和认证分离的密码模式
基于Springboot集成securityoauth2实现认证鉴权、资源管理源码
04-22
基于Springboot集成securityoauth2实现认证鉴权、资源管理源码,具体相关博文我发表在https://www.cnblogs.com/xiaofengxzzf/p/10733955.html
Spring SecurityOAuth2:构建安全Web应用的强大组合
热门推荐
聚焦于深度解析最新的编程语言特性、框架升级、架构设计、开发工具和最佳实践,涵盖Web前端(如Vue3, React, Angular等)、后端开发(如Node.js, Java, Python等)、移动端开发(iOS, Android原生及跨平台开发)
03-11 3万+
通过深入学习并实践Spring SecurityOAuth2的整合技术,开发者能够有效应对复杂的业务场景,为应用程序提供严密的身份验证和授权机制。持续关注最新的安全研究和技术动态,并在实际项目中不断调整和完善安全策略,才能确保系统始终处于一个高效、稳定且安全的状态。同时,也鼓励读者将这些原则应用于微服务架构、多租户环境以及其他复杂系统的设计与实施过程中。
微服务鉴权中心之SpringSecurity+oauth2
u010753376的专栏
12-30 434
3.实现密码校验接口PasswordEncoder。4.身份认证之UserDetailsService。2.WebSecurityConfig配置。
spring security + Oauth2密码模式授权:签发令牌、校验令牌、刷新令牌
学亮编程手记
08-03 502
密码模式(Resource Owner Password Credentials)与授权码模式的区别是申请令牌不再使用授权码,而是直接通过用户名和密码即可申请令牌。测试如下:grant_type:密码模式授权填写passwordusername:账号password:密码并且此链接需要使用 http Basic认证。上边参数使用x-www-form-urlencoded方式传输,使用postman测试如下:注意:当令牌没有过期时同一个用户再次申请令牌则不再颁发新令牌。
Spring Cloud 完整整合 Security + Oauth2 + jwt实现权限认证
qq_41935756的博客
09-06 2094
OAuth2是一个开放的标准,协议。即允许用户让第三方应用访问某一个网站上存储的用户私密资源(照片,头像等)。这个过程中无需将用户名和密码提供给第三方应用。在互联网中,我们最常见的OAuth2的应用就是各种第三方通过QQ授权,微信授权,微博授权等登录了。   OAuth2协议一共支持4中不同的授权模式。OAuth2的重要参数 ①response_type code:表示要求返回授权码。token:表示直接返回令牌 ②client_id 客户端身份标识 ③client_secret 客户端密钥 ④redire
Security OAuth2 授权 & JWT
pscool的博客
03-06 1071
引入依赖 <!--整合spring-security--> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-web</artifactId> <version>5.1.4.RELEASE</version> </dependency&g
springcloud+springboot+oauth2+spring security+redis
07-15
总之,Spring Cloud、Spring Boot、OAuth2、Spring Security和Redis等技术可以在构建分布式系统时发挥重要作用,帮助我们快速搭建实现各个功能模块,并提供高性能和安全性。 ### 回答3: Spring Cloud是一套基于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值