spring-security登录和权限管理

最新推荐文章于 2023-12-11 19:52:01 发布
最新推荐文章于 2023-12-11 19:52:01 发布
阅读量502 收藏
点赞数 1
分类专栏: java 文章标签: spring secutiry idea+spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44907404/article/details/100037760
版权
本文介绍了Spring Security的主要功能——认证和授权。详细阐述了认证流程,包括UsernamePasswordAuthenticationFilter、UserDetailService、UserDetails和AuthenticationProvider的角色。授权流程涉及AbstractSecurityInterceptor、FilterInvocationSecurityMetadataSource和AccessDecisionManager。用户登录后,权限信息存储在SecurityContextHolder中,访问资源时通过拦截器进行权限检查。项目结构包括数据库设计、各层服务和配置。问题解决:降低Spring版本至2.0.7以下,并添加security扩展包。
摘要由CSDN通过智能技术生成

spring security

spring security 主要的两个功能是认证和授权
认证的大概流程:
Username password AuthenticationFilter(自定义usernamepassword拦截器)
UserDetailService (查询用户密码的service接口)
Userdetails (用户类接口)
AuthenticationProvide (为认证管理器AuthenticationManager 提供验证组件AuthenticationProvider)
授权的大概流程:
(extends)AbstractsecurityInterceptor +(implements)Filter(资源访问过滤器,拦截访问请求,封装成安全对象FilterInvocation,调用前两个实例进行鉴权)
FilterInvocationSecurityMetadataSource(自定义权限数据源,提供所有URL资源与对应角色权限的映射集合)
AccessDecisionManager (自定义鉴权管理器,根据URL资源权限和用户角色权限进行鉴权)

用户登陆
会被AuthenticationProcessingFilter拦截,调用AuthenticationManager的实现,而且AuthenticationManager会调用ProviderManager来获取用户验证信息(不同的Provider调用的服务不同,因为这些信息可以是在数据库上,可以是在LDAP服务器上,可以是xml配置文件上等),如果验证通过后会将用户的权限信息封装一个User放到spring的全局缓存SecurityContextHolder中,以备后面访问资源时使用。
访问资源(即授权管理
访问url时,会通过AbstractSecurityInterceptor拦截器拦截,其中会调用FilterInvocationSecurityMetadataSource的方法来获取被拦截url所需的全部权限,在调用授权管理器AccessDecisionManager,这个授权管理器会通过spring的全局缓存SecurityContextHolder获取用户的权限信息,还会获取被拦截的url和被拦截url所需的全部权限,然后根据所配的策略(有:一票决定,一票否定,少数服从多数等),如果权限足够,则返回,权限不够则报错并调用权限不足页面。

项目结构:
在这里插入图片描述
数据库设计:
在这里插入图片描述
model:
Permission

package com.example.arcgisdemo.model;

import com.sun.javafx.beans.IDProperty;

import javax.persistence.*;
import java.util.List;

@Entity
@Table(name = "SYS_PERMISSION")
public class Permission {
    @Id
    @GeneratedValue(strategy = GenerationType.AUTO)
    @Column(name = "ID")
    private int id;
    @Column(name = "NAME")
    private String name;
    @Column(name = "DESCRIPTION")
    private String description;
    @Column(name = "URL")
    private String url;
    @Column(name = "PID")
    private String pid;

    public int getId() {
        return id;
    }

    public void setId(int id) {
        this.id = id;
    }

    public String getName() {
        return name;
    }

    public void setName(String name) {
        this.name = name;
    }

    public String getDescription() {
        return description;
    }

    public void setDescription(String description) {
        this.description = description;
    }

    public String getUrl() {
        return url;
    }

    public void setUrl(String url) {
        this.url = url;
    }

    public String getPid() {
        return pid;
    }

    public void setPid(String pid) {
        this.pid = pid;
    }

}

User:
这里是在User中实现了UserDetails

package com.example.arcgisdemo.model;

import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;

import javax.persistence.*;
import java.util.ArrayList;
import java.util.Collection;
import java.util.List;

@Entity
@Table(name = "SYS_USER")
public class User implements UserDetails {
    @Id
    @GeneratedValue(strategy = GenerationType.AUTO)
    @Column(name = "ID")
    private int id;
    @Column(name = "USERNAME")
    private String username;
    @Column(name = "PASSWORD")
    private String password;
    @ManyToMany(fetch = FetchType.EAGER)
    @JoinTable(name = "SYS_ROLE_USER",
            joinColumns = {@JoinColumn(name = "SYS_USER_ID",referencedColumnName = "ID")},
            inverseJoinColumns = {@JoinColumn(name = "SYS_ROLE_ID",referencedColumnName = "ID")})
    private List<Role> roles;

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        if (roles == null || roles.size() < 1) {
            return AuthorityUtils.commaSeparatedStringToAuthorityList("");
        }
        StringBuilder rolestring = new StringBuilder();
        for (Role role : roles) {
            rolestring.append(role.getName()).append(",");
    }
        List<GrantedAuthority> authorityList = AuthorityUtils.commaSeparatedStringToAuthorityList(rolestring.substring(0, rolestring.length() - 1));
        return authorityList;
    }


    public int getId() {
        return id;
    }

    public void setId(int id) {
        this.id = id;
    }

    public String getUsername() {
        return username;
    }
    public void setUsername(String username) {
        this.username = username;
    }
    public String getPassword() {
        return password;
    }

    public void setPassword(String password) {
        this.password = password;
    }
    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return true;
    }

    public List<Role&
最低0.47元/天 解锁文章
有梦想的搬砖者
关注
专栏目录
【项目实训】Spring Security授权
par_ser的博客
06-11 404
授权是web应用常见的需求,我们需要针对不同的用户,根据他们不同的权限,放行相应的接口。在SpringSecurity中,会使用默认的FilterSecurityInterceptor来进行权限校验。在FilterSecurityInterceptor中会从SecurityContextHolder获取其中的Authentication,然后获取其中的权限信息。当前用户是否拥有访问当前资源所需的权限。因此,在应用spring security的项目中,我们需要将权限信息存入Authentication。sp
spring-security-oauth2
03-17
4. 授权管理:自定义授权逻辑,比如基于角色的访问控制(RBAC)、权限表达式等。 五、实战应用 在实际项目中,Spring Security OAuth2常用于构建API Gateway,为后端服务提供统一的授权入口。它还能与其他Spring...
Spring Security API: GrantedAuthority
dengdeying的博客
12-27 533
GrantedAuthority Declared package org.springframework.security.core; public interface GrantedAuthority extends Serializable Class Jdoc 表示授权给用户的权限。 GrantedAuthority 必须是字符串,或者由AccessDecisionManager专门支持...
【详解】Spring Security的GrantedAuthority(已授予的权限)
蔡小波的博客
06-10 1万+
转自:https://www.cnblogs.com/longfurcat/p/9417422.html 感谢大佬 前言   这篇是很久之前学习Spring Security整理的博客,发现浏览量都1000多了,一个赞都没有,那说明写得确实不怎么样,哈哈。应该很多初学者对这个接口存在疑问,特别是如果学习这个框架之前还了解过Shiro,可能会因为这两个框架角色、权限的表示方式,产生困惑。现在重新整理一下。 GrantedAuthority接口 我们知道UserDeitails接口里面有一...
Spring Security自定义GrantedAuthority前缀
小汤圆
08-18 586
如果我们正使用Spring Security提供默认的基于方法的权限认证注解如下: @PreAuthorize(“hasAnyRole(‘ADMIN’, ‘USER’)”) public void moveTo(String id, String parentId) { // … } 而在我们自定义实现的GrantedAuthority,或是SS提供的SimpleGrantedAuthority, public interface GrantedAuthority extends Serializable
Spring Security:授权GrantedAuthority介绍
kaven
01-06 7256
在之前的博客中,已经介绍了Spring Security的用户UserDetails、用户服务UserDetailsService和密码编码器PasswordEncoder,它们都是用于验证用户的身份,而GrantedAuthority则表示用户验证通过后被授予的权限(可能授予多种权限),本篇博客介绍GrantedAuthority接口及其实现类。 Spring Security:用户UserDetails源码与Debug分析 Spring Security:用户服务UserDetailsService源
基于 spring-security 实现 RBAC 权限模型-hello-security.zip
最新发布
01-30
5. **授权控制**:使用 Spring Security 的访问决策管理器(Access Decision Manager)和访问决策投票器(Access Decision Voter)来实现权限检查。例如,使用 `@PreAuthorize` 或 `@PostAuthorize` 注解进行方法...
spring-security 登录,权限管理,密码加密-开箱即用
10-26
SpringBoot2.0+Security+Tomcat9+JDK8+Mybatis+Maven 项目启动后有HTML模板,进入后先进入的主页没有进行任何的拦截,后点击Join us 进入登录或者注册页面进行注册,数据库脚本的话可以自己根据实体类或者sqlMap文件...
spring-security-oauth2-authorization-server.zip
08-25
Spring Security是Java开发人员广泛使用的安全框架,它提供了全面的身份验证和授权解决方案。本项目“spring-security-oauth2-authorization-server”将带你深入理解如何利用Spring Security OAuth2构建一个授权...
spring-security-project.zip- Spring Security实现RBAC权限模型demo
02-09
Spring Security 是一个强大...总结来说,"spring-security-project.zip"提供了一个使用Spring Security实现RBAC权限模型的实例,涵盖了认证、授权、角色和权限的管理,是学习和理解Spring Security安全框架的好材料。
spring boot +spring security+thymeleaf实现权限
08-25
spring boot +spring security +thymeleaf 实现简单权限+remember-me功能
SpringSecurity原理(三)——授权
trayvontang的博客
05-07 1098
概述 前面,我们已经简单的介绍了一下校验用户名和密码的认证过程。 这里,我们来了解一下Spring Security的权限校验过程。 首先,我们还是先通过一个简单的示例,来大致了解一下Spring Security的授权是个什么操作。 示例 首先,我们还是尽量保持简单,在之前的项目之上稍作修改,项目结构基本没有变化,只是修改一下我们的UserDetailsService,添加上用户的权限,然后修改我们的测试接口,给它添加上权限限制。 UserDetailsService import org.spring
Spring Security简单的登陆验证授权
shanying0324的博客
07-28 2058
Spring Security的介绍就省略了,直接记录一下登陆验证授权的过程。 Spring Security的几个重要词 1.SecurityContextHolder:是安全上下文容器,可以在此得知操作的用户是谁,该用户是否已经被认证,他拥有哪些角色权限…这些都被保存在SecurityContextHolder中。 Object principal = SecurityContextHolder.getContext().getAuthentication().getPrincipal()...
springboot3整合SpringSecurity实现登录校验与权限认证(万字超详细讲解)
2301_78646673的博客
12-11 1万+
用户提交登录请求Spring Security 将请求交给 UsernamePasswordAuthenticationFilter 过滤器处理。UsernamePasswordAuthenticationFilter 获取请求中的用户名和密码,并生成一个 AuthenticationToken 对象,将其交给 AuthenticationManager 进行认证。
Spring Security(15)——权限鉴定结构
dotedy的博客
10-16 2622
Spring Security角色继承AffirmativeBasedVoter权限鉴定 权限鉴定结构 目录 1.1      权限 1.2      调用前的处理 1.2.1     AccessDecisionManager 1.2.2     基于投票的AccessDecisionManager实现 1.3      调用后的处理 1.4      角色的继承
JavaFX+SpringBoot+验证码功能的小型薪酬管理系统
氷泠
06-06 3628
1 概述 2 前端部分 2.1 前端概述 前端部分主要分成5个部分实现:视图模块,控制模块,日志模块,网络模块,工具类模块.其中,视图模块用于展示UI控件,控制模块主要负责视图中的事件处理,日志模块部分使用了log4j2框架,再加上自己实现的一些工具类日志函数(主要是控制输出格式与种类),网络模块包括两大部分,一部分是关于OkHttp框架的,用于发送数据到后端,另一部分为验证码部分,这部分不需要后...
spring security 登录权限管理配置
热门推荐
Abel.lin的专栏
04-24 1万+
登录流程 1)容器启动(MySecurityMetadataSource:loadResourceDefine加载系统资源与权限列表)  2)用户发出请求  3)过滤器拦截(MySecurityFilter:doFilter)  4)取得请求资源所需权限(MySecurityMetadataSource:getAttributes)  5)匹配用户拥有权限和请求权限(MyAcce
SpringBoot中使用SpringSecuriy(自定义AuthenticationManager和自定义WebSecurityConfigurerAdapter)
编程学习者的博客
08-11 6533
环境:JDK1.8 、MAVEN 3.6.1 、eclipse 1.在SpringBoot中添加SpringSecurity的支持 当前项目中的pom文件 <properties> <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding> </properties...
Spring Security实战
m0_64702880的博客
05-08 754
配置环境: 第一步:在health_parent父工程的pom.xml中导入Spring Security的maven坐标 <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-web</artifactId> <version>${spring.security.version}</ver
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值