SpringSecurity授权基本流程

最新推荐文章于 2024-08-29 18:05:57 发布
最新推荐文章于 2024-08-29 18:05:57 发布
阅读量1.8k 收藏 8
点赞数 1
文章标签: 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44760653/article/details/124079396
版权

用户认证

​ 例如一个学校图书馆的管理系统,如果是普通学生登录就能看到借书还书相关的功能,不可能让他看到并且去使用添加书籍信息,删除书籍信息等功能。但是如果是一个图书馆管理员的账号登录了,应该就能看到并使用添加书籍信息,删除书籍信息等功能。

​ 总结起来就是不同的用户可以使用不同的功能。这就是权限系统要去实现的效果。

​ 我们不能只依赖前端去判断用户的权限来选择显示哪些菜单哪些按钮。因为如果只是这样,如果有人知道了对应功能的接口地址就可以不通过前端,直接去发送请求来实现相关功能操作。

​    所以我们还需要在后台进行用户权限的判断,判断当前用户是否有相应的权限,必须具有所需权限才能进行相应的操作。
 

授权基本流程

​    在SpringSecurity中,会使用默认的FilterSecurityInterceptor来进行权限校验。在FilterSecurityInterceptor中会从SecurityContextHolder获取其中的Authentication,然后获取其中的权限信息。当前用户是否拥有访问当前资源所需的权限。

​    所以我们在项目中只需要把当前登录用户的权限信息也存入Authentication。

​    然后设置我们的资源所需要的权限即可。

在SecurityConfig上添加注解@EnableGlobalMethodSecurity(prePostEnabled = true)开启注解功能

之后在Controller层需要添加权限的方法上添加注解

 

 定义了UserDetails的实现类LoginUser,想要让其能封装权限信息就要对其进行修改

 

@Data
@NoArgsConstructor //无参构造

public class LoginUser implements UserDetails {

    private User user;

    //存储权限信息
    private List<String> permissions;

    //权限集合的转换
    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        if(authorities!=null){
            return authorities;
        }

        //把permission中String类型的权限信息封装成SimpleGrantedAuthority对象
        authorities = new ArrayList<>();
        for (String permission : permissions) {
            SimpleGrantedAuthority authority = new SimpleGrantedAuthority(permission);
            authorities.add(authority);
        }
        return authorities;
    }

(在此操作之前需编写mapper方法从数据库内查询到权限信息)

LoginUser修改完后我们就可以在UserDetailsServiceImpl中去把权限信息封装到LoginUser中了

 在过滤器中加入权限即可

 

/**
 * 过滤器
 */
@Configuration
public class JwtAuthenticationTokenFilter extends OncePerRequestFilter {

    @Autowired
    private RedisCache redisCache;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        //获取token
        String token = request.getHeader("token");
        if(!StringUtils.hasLength(token)){
           //放行
           filterChain.doFilter(request,response);
           return;
        }
        //解析token
        String userid;
        try {
            Claims claims = JwtUtil.parseJWT(token);
            //获取用户id
            userid = claims.getSubject();
        } catch (Exception e) {
            e.printStackTrace();
            throw new RuntimeException("token非法");
        }
        //从redis中获取用户信息
        String redisKey="login:"+userid;
        //通过key从redis获取数据
        LoginUser loginUser = redisCache.getCacheObject(redisKey);
        if(Objects.isNull(loginUser)){
            throw new RuntimeException("用户未登录");
        }

        //存入SecurityContextHolder
        //TODO 获取权限信息封装到Authentication中
        UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(loginUser,null,loginUser.getAuthorities());
        SecurityContextHolder.getContext().setAuthentication(authenticationToken);
        //放行
        filterChain.doFilter(request,response);
    }
}

爱笑的人、
关注
Spring security认证授权
11-30
Spring security认证授权例子,自动创建数据库,在SysUser类增加字段,即可动态增加数据库对应表sys_user字段(前提是要删除原表,启动应用时才会重建表)
Spring security授权过程
weixin_42588555的博客
02-14 300
Spring Security 授权过程包括以下步骤: 身份验证:验证用户是否已经登录,并且提供了有效的凭证。 授权决策:确定用户是否具有执行某个操作的权限。 访问控制:根据授权决策的结果,允许或拒绝用户的请求。 在这个过程中,Spring Security 会使用各种不同的技术,包括身份验证机制(如基于用户名和密码的身份验证)、访问控制策略(如基于角色的访问控制)等。 ...
深入理解Spring Security
最新发布
weixin_51052174的博客
08-29 1052
Spring Security是一个功能强大且灵活的安全框架,专为保护基于Spring的应用程序而设计。它提供了一系列安全服务,包括身份验证、授权、攻击防护、会话管理等,帮助开发者轻松实现应用程序的安全控制。
3.spring security授权流程
weixin_45974277的博客
02-26 3803
Spring Security授权流程如下: 分析授权流程: 1. 拦截请求,已认证用户访问受保护的web资源将被SecurityFilterChain中的 FilterSecurityInterceptor 的子类拦截。 2. 获取资源访问策略,FilterSecurityInterceptor会从 SecurityMetadataSource 的子类 DefaultFilterInvocationSecurityMetadataSource 获取要访问当前资源所需要的权限 Collection.
SpringSecurity授权
小钟不想敲代码
05-28 5606
SpringSecurity授权
spring security认证授权流程
weixin_47618391的博客
05-27 5475
在上面的示例代码中,我们实现了UserDetails接口,并指定了用户的角色和密码等详细信息。认证和授权是任何安全体系中的两个主要功能,而在现代Web开发中,Spring Security是最受欢迎和广泛使用的安全框架之一。在本篇文章中,我们将全面介绍Spring Security的认证和授权机制,并提供详细的步骤和示例代码。认证令牌是Spring Security中的核心概念,它包含有关用户身份的信息。用户在认证成功后,Spring Security将使用保存的认证令牌来确定用户是否有权访问特定的资源。
Spring Security+OAuth2 精讲,打造企业级认证与授权
10-12
学习这门课程,开发者将不仅理解Spring Security和OAuth2的基本原理,还能掌握如何在实际项目中灵活运用,从而提高企业级应用的安全性和可靠性。对于任何希望提升安全技能的Java开发者来说,这是一份不可多得的学习...
Spring Security(05)授权配置授权流程分析
愤怒的菜鸟博客
03-09 4857
认证控制 springsecurity 的认证过程的处理是通过过滤器进行拦截处理的,在请求前判断是否有具体的权限来做一些控制; 基本流程是通过过滤器 拿到请求信息,交给访问决策管理器(AccessDecisionManager) 判断是否有权限, 而 访问决策管理器(AccessDecisionManager) 通过投票机制判断是否有权限,对应的实现类聚合了多个 AccessDecisionVoter (访问投票器), 对于一个请求 所有的投票器可以投出自己的一票 通过 ,拒绝 或弃权,根据投票的最终结果
SpringSecurity.pdf
05-24
入门阶段主要是了解Spring Security基本概念和配置方法。进阶阶段需要深入学习如何定制认证和授权流程、如何集成各种认证方式以及如何在实际项目中进行应用。高级阶段则涉及框架的原理深入、性能优化、安全漏洞的...
springsecurity学习笔记
12-13
在"springsecurity学习笔记"中,你可能会涉及以下主题: - Spring Security基本配置,包括web安全配置和全局安全配置。 - 如何自定义认证和授权流程,比如实现自定义的AuthenticationProvider和...
SpringSecurity | 源码分析篇 (二) 授权过程
Coder编程的博客
01-30 583
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为
Spring Security系列教程12--Spring Security认证授权流程
一一哥
09-24 5479
在上一章节中,一一哥 带大家认识了Spring Security内部关于认证授权的几个核心API,以及这几个核心API之间的引用关系,掌握了这些之后,我们就能进一步研究分析认证授权的内部实现原理了。这样才真正的达到了 "知其所以然"! 本篇文章中,壹哥 带各位小伙伴进一步分析认证授权的源码实现,请各位再坚持一下吧...... 一. Spring Security认证授权流程图概述 在上一章节中,壹哥就给各位贴出过Spring Security的认证授权流程图,该图展示了认证授权时经历的核心AP...
Springsecurity授权流程
米 柴的博客
11-01 650
学会使用springsecurity
springsecurity最基础的授权过程
please93的博客
02-17 225
springsecurity最基础的授权过程
Spring Security 授权
weixin_45722666的博客
01-16 1371
本文介绍在 Spring Security 中如和对受限资源进行权限控制访问。
Spring Security授权过程解读
实践求真知
12-05 312
一参考 http://www.spring4all.com/article/458 二关键类图 三时序图 四调试代码 https://github.com/cakin24/logback 浏览器输入http://localhost:80/persons,用户名随意,密码123456即可; 五需要掌握的类 UsernamePasswordAuthentication...
SpringSecurity授权流程详解和代码实现
qq_44749491的博客
06-30 5323
承接上一篇博客SpringSecurity认证流程详解和代码实现除了使用自带的权限校验方法,也可以定义自己的权限校验方法,在注解中使用自定义的方法。//获取当前用户的权限 Authentication authentication = SecurityContextHolder . getContext() . getAuthentication();//判断用户权限集合中是否存在authority return permissions . contains(authority);} }在SPEL。
SpringSecurity授权流程源码分析
程序员劝退师的博客
11-17 433
前言 在之前文章中有单独写过SpringSecurity表单登录流程源码分析,SpringSocial使用QQ授权登录流程详细分析两篇关于登录流程的,这些其实只是SpringSecurity整个流程的一部分罢了,也就是验证一下用户身份,但是真正的授权还是要这篇文章来讲解的!废话不多说,进入正题吧! 这张图是贯穿整个SpringSecurity的核心流程的,但是观看图可能理解是有点抽象,这篇文章就来详细解释这张流程图! 理论铺垫 SpringSecurity真正判断请求能否通过是在FilterSecurit
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值