SpringSecurity-授权示例

已于 2024-06-27 23:12:17 修改
阅读量350 收藏
点赞数 3
分类专栏: SpringSecurity 文章标签: SpringSecurity
于 2024-06-27 23:09:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43783527/article/details/140026697
版权

用户基于权限进行授权

定义用户与权限

authorities()。

package com.cms.config;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.password.NoOpPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.provisioning.InMemoryUserDetailsManager;

/**
 * @author: coffee
 * @date: 2024/6/27 20:33
 * @description: ...
 */
@Configuration
public class UserConfig {

    @Bean
    public UserDetailsService userDetailsService () {
        InMemoryUserDetailsManager userDetailsManager = new InMemoryUserDetailsManager();

        UserDetails user1 = User.withUsername("john").password("123456").authorities("READ").build();

        UserDetails user2 = User.withUsername("jane").password("123456").authorities("WRITE").build();

        userDetailsManager.createUser(user1);
        userDetailsManager.createUser(user2);

        return userDetailsManager;
    }

    @Bean
    public PasswordEncoder passwordEncoder () {
        return NoOpPasswordEncoder.getInstance();
    }

}

权限维度授权配置

package com.cms.config;

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

/**
 * @author: coffee
 * @date: 2024/6/27 20:37
 * @description: 基于用户权限限制所有端点的访问
 */
@Configuration
public class ProjectConfig extends WebSecurityConfigurerAdapter {

    /**
     * 指定用户可以访问端点的条件:1.hasAuthority() 2.hasAnyAuthority()  3.access()
     */
    @Override
    protected void configure (HttpSecurity httpSecurity) throws Exception {
        httpSecurity.httpBasic();

        // permitAll()方法修改授权配置,无需凭据(用户名密码)也可以直接调用接口。   curl http://localhost:8080/hello
        // httpSecurity.authorizeRequests().anyRequest().permitAll();

        // 指定用户可以访问端点的条件-hasAuthority 。 发现john报403、jane正常;
        // httpSecurity.authorizeRequests().anyRequest().hasAuthority("WRITE");

        // 允许具有WRITE或者READ权限的用户访问端点-hasAnyAuthority。  发现john报正常、jane正常;
        httpSecurity.authorizeRequests().anyRequest().hasAnyAuthority("WRITE","READ");

        // access() - 为配置访问提供了无限的可能性,因为应用程序会基于SPEL构建授权规则。但是,他会让代码更难阅读和调试。所以作为次要解决方案,仅在不能使用hasAuthority和hasAnyAuthority时才使用
    }
}

用户基于角色进行授权

定义用户与角色

roles()。

package com.cms.config;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.password.NoOpPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.provisioning.InMemoryUserDetailsManager;

/**
 * @author: coffee
 * @date: 2024/6/27 20:33
 * @description: ...
 */
@Configuration
public class UserConfig {

    @Bean
    public UserDetailsService userDetailsService () {
        InMemoryUserDetailsManager userDetailsManager = new InMemoryUserDetailsManager();

        // authorities:使用"ROLE_"前缀,GrantedAuthority现在就表示一个角色
        UserDetails user1 = User.withUsername("john").password("123456").authorities("ROLE_ADMIN").build();
        // roles:不需要添加"ROLE_"前缀
        // UserDetails user1 = User.withUsername("john").password("123456").roles("ADMIN").build();

        UserDetails user2 = User.withUsername("jane").password("123456").authorities("ROLE_MANAGER").build();
        // UserDetails user2 = User.withUsername("jane").password("123456").roles("MANAGER").build();

        userDetailsManager.createUser(user1);
        userDetailsManager.createUser(user2);

        return userDetailsManager;
    }

    @Bean
    public PasswordEncoder passwordEncoder () {
        return NoOpPasswordEncoder.getInstance();
    }

}

角色维度授权配置

package com.cms.config;

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

/**
 * @author: coffee
 * @date: 2024/6/27 20:37
 * @description: 基于用户权限限制所有端点的访问
 */
@Configuration
public class ProjectConfig extends WebSecurityConfigurerAdapter {

    /**
     * 指定用户可以访问端点的条件:1.hasAuthority() 2.hasAnyAuthority()  3.access()
     */
    @Override
    protected void configure (HttpSecurity httpSecurity) throws Exception {
        httpSecurity.httpBasic();

        // permitAll()方法修改授权配置,无需凭据(用户名密码)也可以直接调用接口。   curl http://localhost:8080/hello
        // httpSecurity.authorizeRequests().anyRequest().permitAll();

        // 指定用户可以访问端点的条件-hasRole 。 hasRole()方法现在会指定允许访问端点的角色。请注意,这里没有出现ROLE_前缀
        // httpSecurity.authorizeRequests().anyRequest().hasRole("ADMIN");

        // 允许具有ADMIN或者MANAGER角色权限的用户访问端点-hasAnyRole。
        httpSecurity.authorizeRequests().anyRequest().hasAnyRole("ADMIN","MANAGER");

        // access() - 为配置访问提供了无限的可能性,因为应用程序会基于SPEL构建授权规则。但是,他会让代码更难阅读和调试。所以作为次要解决方案,仅在不能使用hasRole和hasAnyRole时才使用
    }
}

@来杯咖啡
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
使用spring-security-oauth2和spring-security-oauth2-autoconfigure依赖来实现OAuth 2.0+JWT,及介绍迁移到更现代的解决方案
Ead_Y的博客
03-18 1182
关于早些时候的Spring Security版本中,可以使用和依赖来实现OAuth 2.0。然而,随着新版本的发布,Spring Security 5 引入了新的OAuth2客户端和资源服务器支持,而且Spring Security团队已经推出了一个新的项目Spring Authorization Server来替代作为授权服务器。本文为复现通过和实现OAuth 2.0及介绍迁移到更现代的解决方案。通常将一个项目配置成资源服务器以保护资源,另一个项目配置成授权服务器以发放令牌。
01-SpringSecurity-Demo.zip
09-18
本压缩包"01-SpringSecurity-Demo.zip"包含了SpringSecurity学习的配套代码示例,可以辅助理解并实践SpringSecurity的核心概念。 首先,SpringSecurity的基础架构包括以下几个核心组件: 1. **Filter Chain**: 这...
SpringSecurity】之授权的使用案例
无法自律的人的博客
12-28 2231
基于角色的授权:以用户所属角色为基础进行授权,如管理员、普通用户等,通过为用户分配角色来控制其对资源的访问权限。基于资源的授权:以资源为基础进行授权,如 URL、方法等,通过定义资源所需的权限,来控制对该资源的访问权限。Spring Security 提供了多种实现授权的机制,最常用的是使用基于注解的方式,建立起访问资源和权限之间的映射关系。其中最常用的两个注解是@Secured和。@Secured注解是更早的注解,基于角色的授权比较适用,基于SpEL。
Spring-Security登录认证授权原理
热门推荐
abcwanglinyong的博客
07-10 3万+
spring-security源码下载地址:https://github.com/spring-projects/spring-security Spring-Security源码解读:1.使用ctrl+shift+n组合键查找UsernamePasswordAuthenticationFilter过滤器,该过滤器是用来处理用户认证逻辑的,进入后如图:(1)可以看到它默认的登录请求url是"/lo...
Spring Security OAuth2认证授权示例
王浩的技术博客
08-15 1万+
本文介绍了如何使用Spring Security OAuth2构建一个授权服务器来验证用户身份以提供access_token,并使用这个access_token来从资源服务器请求数据。 1.概述 OAuth2是一种授权方法,用于通过HTTP协议提供对受保护资源的访问。首先,OAuth2使第三方应用程序能够获得对HTTP服务的有限访问权限,然后通过资源所有者和HTTP服务之间的批准交互来让第三方应用...
Spring Security 3.x 完整入门教程
01-12 3万+
<br />1,建一个web project,并导入所有需要的lib,这步就不多讲了。<br /> 2,配置web.xml,使用Spring的机制装载:<?xml version="1.0" encoding="UTF-8"?><br /><web-app version="2.4" xmlns="http://java.sun.com/xml/ns/j2ee"<br />     xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"<br />
授权 - Spring Security简单案例
个人纪录、总结!
10-21 568
Spring Security简单案例 文章目录Spring Security简单案例一、简介二、身份认证方式2.1、加入依赖和编写安全配置类添加`Spring Security`依赖编写安全配置类2.2、 HttpBasic 和HttpForm 认证方式HttpBasic认证方式HttpForm 表单认证方式三、身份认证实践3.1、指定登录跳转地址3.2、用户名和密码的默认名称3.3、将配置更改为动态配置3.4、实现成功处理类3.5、实现失败处理类 一、简介 Spring Security 是基于 Spr
Spring Security 自定义授权服务器实践
分享技术干货和灵感、推荐新书和好玩的项目、分享Java面试题
08-18 4744
在之前我们已经对接过了GitHub、Gitee客户端,使用OAuth2 Client能够快速便捷的集成第三方登录,集成第三方登录一方面降低了企业的获客成本,同时为用户提供更为便捷的登录体验。但是随着企业的发展壮大,越来越有必要搭建自己的OAuth2服务器。OAuth2不仅包括前面的OAuth客户端,还包括了授权服务器,在这里我们要通过最小化配置搭建自己的授权服务器。授权服务器主要提供OAuth Client注册、用户认证、token分发、token验证、token刷新等功能。......
spring-security示例
weixin_73181422的博客
08-13 309
spring security示例
spring-Security-oauth2.zip
05-26
本压缩包文件“spring-Security-oauth2.zip”很可能包含一系列关于如何在Spring Security中集成和配置OAuth2的教程、示例代码或文档。 1. **OAuth2 概述** OAuth2 是一种授权协议,它允许用户授权第三方应用访问其...
springBoot-springSecurity-OAuth2
01-16
SpringBoot、SpringSecurity和OAuth2是Java开发领域中非常重要的技术组件,它们分别在Web应用的快速开发、安全控制和授权认证方面发挥着关键作用。本文将深入探讨这些技术的结合使用,以及如何在实际项目中实现它们...
springsecurity-thymeleaf.zip
07-15
"springsecurity-thymeleaf.zip"这个压缩包很可能是包含了一个整合了Spring Security与Thymeleaf的示例项目或者教程材料,帮助开发者了解如何在Spring Boot应用中实现用户认证和授权,同时利用Thymeleaf进行动态页面...
spring-security-demo.zip
08-10
示例"spring-security-demo.zip"很可能是为了演示如何在Spring Boot应用中集成和配置Spring Security。下面我们将深入探讨Spring Security的核心概念、功能以及如何在实际项目中运用它们。 1. **核心概念**: - ...
超市管理系统,基于javaweb.zip
08-15
项目工程资源经过严格测试可直接运行成功且功能正常的情况才上传,可轻松copy复刻,拿到资料包后可轻松复现出一样的项目,本人系统开发经验充足(全栈开发),有任何使用问题欢迎随时与我联系,我会及时为您解惑,提供帮助 【资源内容】:项目具体内容可查看/点击本页面下方的*资源详情*,包含完整源码+工程文件+说明(若有)等。【若无积分,此资源可私信获取】 【本人专注IT领域】:有任何使用问题欢迎随时与我联系,我会及时解答,第一时间为您提供帮助 【附带帮助】:若还需要相关开发工具、学习资料等,我会提供帮助,提供资料,鼓励学习进步 【适合场景】:相关项目设计中,皆可应用在项目开发、毕业设计、课程设计、期末/期中/大作业、工程实训、大创等学科竞赛比赛、初期项目立项、学习/练手等方面中 可借鉴此优质项目实现复刻,也可基于此项目来扩展开发出更多功能 #注 1. 本资源仅用于开源学习和技术交流。不可商用等,一切后果由使用者承担 2. 部分字体及插图等来自网络,若是侵权请联系删除,本人不对所涉及的版权问题或内容负法律责任。收取的费用仅用于收集和整理资料耗费时间的酬劳
vue3面试题2023,84页,几十道vue面试题,准备vue的面试,这么一份文件就够了
08-15
vue3面试题2023: Vue 的优缺点  优点 1.创建单页面应用的轻量级Web应用框架 2.简单易用 3.双向数据绑定 4.组件化的思想 5.虚拟DOM 6.数据驱动视图 缺点 不支持IE8
【雷达跟踪】基于matlab雷达目标生成与跟踪【含Matlab源码 7220期】.zip
08-15
CSDN海神之光上传的代码均可运行,亲测可用,直接替换数据即可,适合小白; 1、代码压缩包内容 主函数:main.m; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开main.m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描博客文章底部QQ名片; 4.1 博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作 功率谱估计: 故障诊断分析: 雷达通信:雷达LFM、MIMO、成像、定位、干扰、检测、信号分析、脉冲压缩 滤波估计:SOC估计 目标定位:WSN定位、滤波跟踪、目标定位 生物电信号:肌电信号EMG、脑电信号EEG、心电信号ECG 通信系统:DOA估计、编码译码、变分模态分解、管道泄漏、滤波器、数字信号处理+传输+分析+去噪(CEEMDAN)、数字信号调制、误码率、信号估计、DTMF、信号检测识别融合、LEACH协议、信号检测、水声通信
CTR2024中国广告主营销趋势调查报告.pdf
最新发布
08-15
【CTR】2024中国广告主营销趋势调查报告.pdf【CTR】2024中国广告主营销趋势调查报告.pdf【CTR】2024中国广告主营销趋势调查报告.pdf【CTR】2024中国广告主营销趋势调查报告.pdf【CTR】2024中国广告主营销趋势调查报告.pdf【CTR】2024中国广告主营销趋势调查报告.pdf【CTR】2024中国广告主营销趋势调查报告.pdf【CTR】2024中国广告主营销趋势调查报告.pdf【CTR】2024中国广告主营销趋势调查报告.pdf【CTR】2024中国广告主营销趋势调查报告.pdf【CTR】2024中国广告主营销趋势调查报告.pdf【CTR】2024中国广告主营销趋势调查报告.pdf【CTR】2024中国广告主营销趋势调查报告.pdf【CTR】2024中国广告主营销趋势调查报告.pdf【CTR】2024中国广告主营销趋势调查报告.pdf【CTR】2024中国广告主营销趋势调查报告.pdf【CTR】2024中国广告主营销趋势调查报告.pdf【CTR】2024中国广告主营销趋势调查报告.pdf【CTR】2024中国广告主营销趋势调查报告.pdf【CTR】2
spring-security-jwt 版本对照表
09-18
它将 JWT 的认证和授权过程与 Spring Security 进行了深度集成,方便开发人员使用 JWT 进行身份验证和权限控制。 以下是 spring-security-jwt 的版本对照表: - 版本1.0.0:最初发布的版本,提供了基本的 JWT 支持...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

@来杯咖啡

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值