SpringSecurity授权

已于 2023-09-15 16:52:25 修改
阅读量118 收藏
点赞数
分类专栏: SpringSecurity 文章标签: spring java 后端
于 2022-08-13 19:50:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44989062/article/details/126322959
版权

在SpringSecurity中,会使用默认的FilterSecurityInterceptor来进行权限校验。

(1)FilterSecurityInterceptor中会从SecurityContextHolder获取其中的Authentication,然后获取其中的权限信息。当前用户是否拥有访问当前资源所需的权限。

(2)所以我们在项目中只需要把当前登录用户的权限信息也存入Authentication

(3)然后设置我们的资源所需要的权限即可

目录

 1、限制资源所需权限

1.1、在配置类SecurityConfig.java中开启相关配置。添加注解@EnableGlobalMethodSecurity(prePostEnabled = true)

 1.2、使用对应的注解。@PreAuthorize

2、封装权限信息

2.1、登录时。在UserDetailsServiceImpl.java中修改

2.2、校验时。在JwtAuthenticationTokenFilter.java中修改

3、从数据库查询权限信息

3.1、RBAC权限模型:(Role-Based Access Control)

​编辑 3.2、代码实现

3.2.1在UserDetailsServiceImpl.java中修改

4、自定义权限校验

4.1 可以定义自己的权限校验方法,在@PreAuthorize注解中使用我们的方法。

4.2  在SPEL表达式中使用 @ex相当于获取容器中bean的名字为ex的对象。然后再调用这个对象的hasAuthority方法

5、基于配置的权限控制

1、限制资源所需权限

SpringSecurity为我们提供了基于注解的权限控制方案,这也是我们项目中主要采用的方式。我们可以使用注解去指定访问对应的资源所需的权限

1.1、在配置类SecurityConfig.java中开启相关配置。添加注解@EnableGlobalMethodSecurity(prePostEnabled = true)

@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {}

 1.2、使用对应的注解。@PreAuthorize

自定义权限校验在 4.1

@RestController
public class HelloController {

    @RequestMapping("/hello")
    @PreAuthorize("hasAuthority('test')")
    public String hello(){
        return "hello";
    }
}

2、封装权限信息

2.1、登录时。在UserDetailsServiceImpl.java中修改

在写UserDetailsServiceImpl的时候说过,在查询出用户后还要获取对应的权限信息,封装到UserDetails中返回。
(1)直接把权限信息写死封装到UserDetails中进行测试。(修改UserDetailsServiceImpl.java)

(2)之前定义了UserDetails的实现类LoginUser,想要让其能封装权限信息就要对其进行修改

@Data
@NoArgsConstructor
public class LoginUser implements UserDetails {

    private User user;

    private List<String> permissions;

    public LoginUser(User user, List<String> permissions) {
        this.user = user;
        this.permissions = permissions;
    }

    // SimpleGrantedAuthority这个类型是spring内部提供的一个类,
    // 但是到时候需要把 LoginUser存入到redis当中,
    //而redis为了安全考虑,默认情况下是不会对 SimpleGrantedAuthority进行序列化,到时候会报异常
    // 所以需要加上注解@JSONField(serialize = false)
    // 所以 成员变量authorities就不会被 序列化到 redis当中
    @JSONField(serialize = false)
    private List<SimpleGrantedAuthority> authorities;

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        if (authorities != null){
            return authorities;
        }
        // 把permissions中String类型的权限信息封装成SimpleGrantedAuthority对象

//        authorities = new ArrayList<>();
//        for (String permission : permissions) {
//            SimpleGrantedAuthority authority = new SimpleGrantedAuthority(permission);
//            authorities.add(authority);
//        }

        // 法二 函数式编程 stream流
        authorities = permissions.stream()
                .map(SimpleGrantedAuthority::new)
                .collect(Collectors.toList());
        return authorities;
    }

}

【注】不使用Security提供的权限校验方法时;
自定义权限校验方法的时候,即直接取permissiond集合的数据进行校验

2.2、校验时。在JwtAuthenticationTokenFilter.java中修改

        // 存入SecurityContextHolder
        // 获取权限信息封装到Authentication中
        UsernamePasswordAuthenticationToken authenticationToken =
                new UsernamePasswordAuthenticationToken(loginUser, null, loginUser.getAuthorities());
        SecurityContextHolder.getContext().setAuthentication(authenticationToken);

3、从数据库查询权限信息

3.1、RBAC权限模型:(Role-Based Access Control)

即:基于角色的权限控制。这是目前最常被开发者使用也是相对易用、通用权限模型

 3.2、代码实现

3.2.1在UserDetailsServiceImpl.java中修改


@Service
public class UserDetailsServiceImpl implements UserDetailsService {

    @Autowired
    private UserMapper userMapper;

    @Autowired
    private MenuMapper menuMapper;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

        // 认证流程图5.1:查询用户信息
        LambdaQueryWrapper<User> queryWrapper = new LambdaQueryWrapper<>();
        queryWrapper.eq(User::getUserName, username);
        User user = userMapper.selectOne(queryWrapper);
        // 如果没有查询到用户就抛出异常
        if (Objects.isNull(user)){
            throw new RuntimeException("用户名或密码错误");
        }
         // 认证流程图5.1:查询对应权限信息
//        List<String> list = new ArrayList<>(Arrays.asList("test", "admin"));
        List<String> list = menuMapper.selectPermsByUserId(user.getId());
        // 认证流程图5.2:把数据封装成UserDetails返回。
        return new LoginUser(user, list); // 因为UserDetails是接口,所以返回的应为 它的实现类
    }
}

4、自定义权限校验

4.1 可以定义自己的权限校验方法,在@PreAuthorize注解中使用我们的方法。

@Component("ex")
public class WheyExpressionRoot {

    public boolean hasAuthority(String authority){
        // 获取当前用户的权限    在过滤器JwtAuthenticationTokenFilter中,权限存到了 SecurityContextHolder
        Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
        LoginUser loginUser = (LoginUser) authentication.getPrincipal();
        List<String> permissions = loginUser.getPermissions();
        // 判断用户权限集合中是否存在authority
        return permissions.contains(authority);
    }
}

4.2  在SPEL表达式中使用 @ex相当于获取容器中bean的名字为ex的对象。然后再调用这个对象的hasAuthority方法

@RestController
public class HelloController {

    @RequestMapping("/hello")
    // 在这之前需在配置类SecurityConfig中开启注解 @EnableGlobalMethodSecurity(prePostEnabled = true)
//    @PreAuthorize("hasAuthority('system:test:list')")
    @PreAuthorize("@ex.hasAuthority('system:test:list')")
    public String hello(){
        return "hello!";
    }
}

5、基于配置的权限控制

@RestController
public class HelloController {

    @RequestMapping("/testCors")
    public ResponseResult testCors(){
        return new ResponseResult(200,"testCors");
    }
}

在配置类SecurityConfig.java中配置

@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                //关闭csrf
                .csrf().disable()
                //不通过Session获取SecurityContext
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                .and()
                .authorizeRequests()
                // 对于登录接口 允许匿名访问。即对接口进行放行
                .antMatchers("/user/login").anonymous()
                .antMatchers("/testCors").hasAuthority("system:test:list")  // 基于配置的权限控制
    }
}

Why。
关注
专栏目录
SpringSecurity 授权详解
流楚丶格念的博客
09-18 1756
在前面讲解了认证中所有常用配置,主要是对 http.formLogin()进行操作。而在配置类中 http.authorizeRequests()主要是对 url 进行控制,也就是我们所说的授权(访问控制)。url 匹配规则 . 权限控制方法通过上面的格式可以有很多 url 匹配规则和很多权限控制方法。这些内容进行各种组合就形成了 Spring Security 中的授权。在所有匹配规则中取所有规则的交集。配置顺序影响了之后授权效果,越是具体的应该放在前面,越是笼统的应该放到后面。
spring security认证授权流程
weixin_47618391的博客
05-27 5465
在上面的示例代码中,我们实现了UserDetails接口,并指定了用户的角色和密码等详细信息。认证和授权是任何安全体系中的两个主要功能,而在现代Web开发中,Spring Security是最受欢迎和广泛使用的安全框架之一。在本篇文章中,我们将全面介绍Spring Security的认证和授权机制,并提供详细的步骤和示例代码。认证令牌是Spring Security中的核心概念,它包含有关用户身份的信息。用户在认证成功后,Spring Security将使用保存的认证令牌来确定用户是否有权访问特定的资源。
spring security 登录、权限管理配置
08-13
登录流程 1)容器启动(MySecurityMetadataSource:loadResourceDefine加载系统资源与权限列表) 2)用户发出请求 3)过滤器拦截(MySecurityFilter:doFilter) 4)取得请求资源所需权限(MySecurityMetadataSource:getAttributes) 5)匹配用户拥有权限和请求权限(MyAccessDecisionManager:decide),如果用户没有相应的权限, 执行第6步,否则执行第7步。 6)登录 7)验证并授权(MyUserDetailServiceImpl:loadUserByUsername) 内附完整数据库
Spring Security怎么给方法配置权限的?
bangiao的博客
06-06 1492
目前在Spring Boot中基于方法的权限管理主要是通过注解来实现,我们需要通过:开启Spring Security提供的四个权限注解,以及@PreFilter,这四个注解支持权限表达式,功能比较丰富。:开启Spring Security提供的@Secured注解,该注解不支持权限表达式。:开启JSR-250提供的注解,主要包括@DenyAll@PermitAll以及三个注解,这些注解也不支持权限表达式。:在目标方法执行之后进行权限校验。:在目标方法执行之后对方法的返回结果进行过滤。
SpringSecurity权限认证框架(一)
qq_54421200的博客
01-12 1205
SpringSecurity的使用,自定义校验成功和失败类,通过自定义校验规则,让SpringSecurity变得更加灵活
Spring Secutity 自定义权限配置
weixin_34290096的博客
07-18 497
Srping Security网上也有很多例子,但基本都是所资源直接配置在XML文件里,限制太大,不够灵活。我们需要的是可以在后台修改资源访问权限,实时生效,才能符合现在大多数系统的需求。 需要引入的依赖 <!-- Spring security --> <dependency> &...
SpringSecurity自定义权限
qq_62770345的博客
02-17 488
SpringSecurity权限的校验主要有和校验。本文主要解释基于路径校验。SpringSecurity权限的校验主要通过这个过滤链实现的。
Spring security认证授权
11-30
在这个例子中,我们将深入探讨如何使用Spring Security进行认证和授权,并结合数据库操作进行动态配置。 首先,Spring Security的核心概念包括认证(Authentication)和授权(Authorization)。认证是确认用户身份...
springsecurity+oauth2+jwt实现单点登录demo
06-06
该资源是springsecurity+oauth2+jwt实现的单点登录demo,模式为授权码模式,实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附带数据库表结构),token存储分为数据库或者Redis。demo...
一文弄懂spring security 授权方式及源码跟踪
q1472750149的博客
12-03 748
spring security 授权方式(自定义)及源码跟踪 ​ 这节我们来看看spring security的几种授权方式,及简要的源码跟踪。在初步接触spring security时,为了实现它的授权,特别是它的自定义授权,在网上找了特别多的文章以及例子,觉得好难,但是现在自己尝试结合官方文档及demo来学习,颇有收获。 基于表达式Spel的访问控制 ​ Spring Security 使用 Spring EL 进行表达式支持,不了解Spring EL的童鞋自行学习。根据文档https://d..
16-项目集成SpringSecurity-自定义权限拒绝处理器
weixin_44478828的博客
01-20 386
新建com.itheima.stock.security.handler.StockAuthenticationEntryPoint。新建com.itheima.stock.security.handler.StockAccessDenyHandler。在SecurityConfig类中配置。
SpringSecurity(三)自定义权限管理
weixin_44046865的博客
04-04 583
SpringSecurity自定义权限管理SpringSecurity环境pom.xmlSpringSecurity自定义权限管理自带的权限管理自定义权限管理 SpringSecurity环境 pom.xml pom.xml依赖 <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId>
如何利用SpringSecurity进行认证与授权
最新发布
qq_63218110的博客
02-14 4907
本篇博客主要介绍SpringSecurity框架的学习,主要包含快速入门,以及认证、授权等方面的介绍,还涉及一些简单的自定义授权校验方法。
springsecurity自定义角色权限授权
明平姚的博客
02-16 1221
springsecurity自定义角色权限授权
关于SpringSecurity自定义方法权限
c_z_z的博客
07-01 547
关于SpringSecurity自定义方法权限
SpringSecurity 笔记
爱折腾的技术人
10-25 2300
SpringSecurity 笔记...
spring security 用户角色权限登录配置
weixin_46453221的博客
08-23 529
1.准备数据库表 /* Navicat Premium Data Transfer Source Server : khm1 Source Server Type : MySQL Source Server Version : 50734 Source Host : localhost:3306 Source Schema : security Target Server Type : MySQL Target Serve
SpringSecurity(十一)--配置权限以及相关限制(下)
学习不止境的博客
10-24 1729
本章我们将承接上篇文章的项目为基础学习,所以没有搭建好项目的小伙伴请先去查看上一篇文章把项目理解并且搭建好,当然大家也可以用自己的方式进行搭建学习,不用啥都按部就班,尤其是编程这块儿,具有极大的灵活性,没准你的方法才是最适合的。但是对于后面的代码,我将以上篇搭建好的代码为架构基础进行展示。
7.SpringSecurity中的权限管理
飘然渡沧海的博客
03-06 745
7.SpringSecurity中的权限管理
springsecurity授权
09-01
Spring Security中的授权是指判断用户是否有权限执行某个操作或访问某个资源的过程。无论使用何种身份认证方式,都不会影响授权功能的使用,因为Spring Security实现了认证和授权的解耦。在Spring Security中,权限和角色在代码层面上没有太大的区别,都被称为权限。唯一的区别是Spring Security在很多情况下会自动给角色添加一个ROLE_前缀,而权限则不会自动添加。 为了实现权限管理,需要将权限信息封装并传入SecurityContextHolder,然后在配置类上开启权限扫描。可以通过在配置类上添加注解@EnableGlobalMethodSecurity(prePostEnabled = true)来开启全局方法级别的权限控制。在配置类中配置接口的访问权限,可以使用`HttpSecurity`对象的`authorizeRequests()`方法来定义访问规则。例如,可以通过`.antMatchers("/login").anonymous()`来允许匿名访问登录接口,而`.anyRequest().authenticated()`表示除了登录接口外,其他请求都需要进行鉴权认证。 通过以上配置,可以实现对接口的访问权限管理。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [SpringSecurity授权](https://blog.csdn.net/Littewood/article/details/125962647)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [SpringSecurity授权](https://blog.csdn.net/chenxingxingxing/article/details/125813649)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值