SpringSecurity权限管理的详细使用

已于 2022-10-31 13:24:55 修改
阅读量1.8k 收藏 5
点赞数 2
分类专栏: springboot 文章标签: servlet java spring
于 2022-10-30 00:53:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45105989/article/details/127581240
版权

Spring Security是一个强大的、高度可定制的认证和访问控制框架,它专注于为Java应用程序提供身份验证和授权。像所有Spring项目一样,Spring Security的真正强大之处在于它可以很容易地扩展以满足定制需求。

功能特点:

  • 对身份验证和授权的全面和可扩展的支持

  • 防范诸如会话固定、点击劫持、跨站点请求伪造等攻击

  • Servlet API集成

  • 与Spring Web MVC的可选集成

SpringSecurity的详细使用

首先引入依赖:

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

 设置登陆的用户名和密码的四种方式:前三种方式仅做了解,可以跳过

方式一:基于配置文件方式

 方式二和方式三:基于重写(自定义)配置类方式

@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfigure extends WebSecurityConfigurerAdapter {
    // 方式二:配置类继承WebSecurityConfigurerAdapter并重写方法
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        String encode = passwordEncoder().encode("123");  // 将密码加密
        // 定义账号,密码,权限
        auth.inMemoryAuthentication().withUser("lucy").password(encode).roles("admin");
    }
    // 修改认证参数方式三:方式一和方式二都是一样的写死的,我们应该从数据库获取账号密码,
    //                   要自定义UserDetailsService,具体使用在框架搭建中有详细说明
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder());
    }
    // 这个要有,框架要对密码做加密,不能是明文。
    @Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder(); // security框架自带的加密工具
    }
}

 框架搭建步骤和使用详解:

WebSecurityConfigurerAdapter:Security框架的核心配置类

UserDetailsService:查询数据库中用户名和密码,并返回

UserDetails:依赖于GrantedAuthority(权限),用于保存用户信息(账号、密码、角色、权限),并且有框架默认实现类 org.springframework.security.core.userdetails.User;

GrantedAuthority:装载单个权限,多个权限需要多个GrantedAuthority对象装载

步骤一: 自定义UserDetails接口实现类

import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;

// UserDetails:保存从数据库中获取的账号密码、聚合了GrantedAuthority(权限)
public class Account implements UserDetails {
    private String username;
    private String password;
    private Set<? extends GrantedAuthority> authorities = new HashSet<>();
    public Account() {}

    public Account(String username, String password, Set<? extends GrantedAuthority> authorities) {
        this.username = username;
        this.password = password;
        this.authorities = authorities;
    }
    // 返回权限集合
    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return this.authorities;
    }
    // 当前账户是否过期
    @Override
    public boolean isAccountNonExpired() {
        return true;
    }
    // 当前账户是否未锁定
    @Override
    public boolean isAccountNonLocked() {
        return true;
    }
    // 当前账户密码是否未过期
    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }
    // 当前账户是否可用
    @Override
    public boolean isEnabled() {
        return true;
    }
    @Override
    public String getPassword() {
        return password;
    }
    @Override
    public String getUsername() {
        return username;
    }
    public void setUsername(String username) {
        this.username = username;
    }
    public void setPassword(String password) {
        this.password = password;
    }
    public void setAuthorities(Set<? extends GrantedAuthority> authorities) {
        this.authorities = authorities;
    }
}

   步骤二:自定义GrantedAuthority接口实现类

import org.springframework.security.core.GrantedAuthority;

// Permission 装载授权信息
public class Permission implements GrantedAuthority {
    private String value;
    public Permission() {}
    @Override
    public String getAuthority() {
        return this.value;
    }
    public void setValue(String value) {
        this.value = value;
    }
}

  步骤三:自定义UserDetailsService接口实现类

import org.springframework.security.core.userdetails.UserDetailsService;

@Service
public class AccountDetailsService implements UserDetailsService {
    // 引入数据库操作Api,数据从数据库获取
    @Resource
    AccountDao accountDao;
    // loadUserByUsername接收账号,
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
//        从数据库中查找用户数据以及对应权限,封装到Account中并返回,最终框架帮我们完成认证和授权
        // 为了方便理解这里写死了
        Account account = new Account();
        account.setUsername("123456@qq.com");
        account.setPassword("123456789");
        // 多个权限
        Permission permission1 = new Permission();
        permission1.setValue("qx:create_user");  // 此处字符串随意,这里只是命名规范
        Permission permission2 = new Permission();
        permission2.setValue("qx:updates_user");
        // 将多个权限装载到一个集合中,List也可以
        Set<Permission> set = new HashSet<>();
        set.add(permission1);
        set.add(permission2);
        // 将集合封装到account中,然后返回account
        account.setAuthorities(set);
        return account;
    }
}

  步骤四:自定义WebSecurityConfigurerAdapter 

package com.example.demo3.security;
// @Configuration有了以下任何一个注解都可以不用
// @EnableWebSecurity这个表示启用Web安全的注解,如果你已经是是一个web 项目,不需要使用此注解,
// Springboot的自动配置机制WebSecurityEnablerConfiguration已经引入了该注解
//@EnableGlobalMethodSecurity开启这个来判断用户对某个控制层的方法是否具有访问权限(见Controller层的@PreAuthorize)
// 这个注解很重要,如果没有这个注解,那么Controller里的方法将不受约束,只要登录成功就能访问,而无视是否有改权限。
// securedEnabled 开启@Secured注解扫描
// prePostEnabled 开启@PrePostEnabled注解扫描
@EnableGlobalMethodSecurity(securedEnabled = true,prePostEnabled = true)
public class SecurityConfigure extends WebSecurityConfigurerAdapter {
    // 修改认证参数方式四:会用到
    @Resource
    private UserDetailsService userDetailsService;
    // 核心配置方法
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // 核心部分(以下配置的顺序不能随意):
        // 配置控制器URL的角色和权限
        http.authorizeRequests()
                .antMatchers("login","/loginout","/upload").permitAll() // 放行路径
                .anyRequest().authenticated() // 表示除了放行路径,其它路径都要认证授权

/*了解部分,后面用注解替代
                // 设置访问权限:
                // 只有具有admin权限才可以访问这个路径(Controller)
                .antMatchers("/handler1").hasAuthority("admin")
                // 只要包含admin1 权限就可以访问这个路径
                .antMatchers("/handler2").hasAnyAuthority(new String[]{"admin1","admin2"})
                // 必须同时具备多个 权限才可以访问这个路径
                .antMatchers().access("hasAuthority('qx1') and hasAuthority('qx2')")

                // 设置访问角色:
                // 只有具有给定角色才可以访问这个路径
                .antMatchers("/handler1").hasRole("role1")
                // 只要包含admin权限就可以访问这个路径
                .antMatchers("/handler2").hasAnyRole("role1","role2")
                // 同时具备多个角色才可以访问这个路径
                .antMatchers().access("hasRole('role1') and hasRole('role2') and hasRole('role3')")
*/
                .and()
                .formLogin()  // 访问非放行路径都会弹出表单(重定向到登陆页面)
                .and()
                // 修改认证参数方式四:
                // 这一步,告诉Security 框架,我们要用自己的UserDetailsService实现类
                // 来传递UserDetails对象给框架,框架会把这些信息生成Authorization对象使用
                .userDetailsService(userDetailsService);

/*了解部分
        // 登陆相关URL自定义
        http.formLogin()
                .loginPage("/login.html").permitAll()  // 自定义的登陆页面路径
                .usernameParameter("username").passwordParameter("password") // 账号密码
                .loginProcessingUrl("/user/login") // 登陆访问路径
                .defaultSuccessUrl("/test/index").permitAll() // 登陆成功后,跳转路径
                .failureUrl("/userLogin?error"); // 登陆失败跳转路径

        // 退出登陆url和退出登陆成功后跳转url
        http.logout()
                .logoutUrl("/logout")
                .clearAuthentication(true)  // 清除身份认证信息
                .invalidateHttpSession(true)  // 使session失效
                .logoutSuccessUrl("/index").permitAll();
        // 异常跳转页面
        http.exceptionHandling().accessDeniedPage("/error.html");
*/
        //关闭跨域和csrf保护,框架默认开启
        http.cors().disable()
            .csrf().disable();
    }
    // 这个要有,框架要对密码做加密,不能是明文,这里用的是框架自带的BCrypt加密器
    // 也可以自定义加密方式实现PasswordEncoder接口再return自定义实现类
    @Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }

步骤五:Controller层各种注解的用法:

import org.springframework.security.access.annotation.Secured;
import org.springframework.security.access.prepost.PostAuthorize;
import org.springframework.security.access.prepost.PostFilter;
import org.springframework.security.access.prepost.PreAuthorize;
import org.springframework.security.access.prepost.PreFilter;

@RestController
@RequestMapping("/test")
public class UserHandler {
    private static Logger logger = LoggerFactory.getLogger(UserHandler.class);

    @RequestMapping("/t1")
    // 用户包含 某个 角色才能访问此方法
    @Secured({"ROLE_sale","ROLE_manager"})
    public String t1(){
        logger.info("成功访问t1");
        return "成功访问t1";
    }
    // 两个注解的区别:
    // @PreAuthorize:方法执行前进行权限验证
    // @PostAuthorize:方法返回后才进行权限验证

    // 注意t2和t3区别:
    // hasAuthority:用户同时拥有一个或多个权限才能访问此方法
    
    // hasAnyAuthority:用户包含 某个 权限才能访问此方法
    // 多个权限之间用 , 号隔开

    @RequestMapping("/t2")
    @PostAuthorize("hasAuthority('admins:admin1')")
    //@PostAuthorize("hasAnyAuthority('admin','boss')")
    public String t2(){
        logger.info("成功访问t2");
        return "成功访问t2";
    }

    @RequestMapping("/t3")
    @PreAuthorize("hasAuthority('admins:admin1')")
    //@PreAuthorize("hasAuthority('admin' and 'boss')")
    //@PreAuthorize("hasAnyAuthority('admin','boss')")
    public String t3(){
        logger.info("成功访问t3");
        return "成功访问t3";
    }

    // 注意t4和t5区别:
    // hasRole:用户必须同时拥有一个或多个角色才能访问此方法
    
    // hasAnyRole:用户包含 某个 角色才能访问此方法
    // 多个角色之间用 , 号隔开

    @RequestMapping("/t4")
    @PreAuthorize("hasRole('teacher')")
//    @PreAuthorize("hasRole('teacher' and 'boss')")
    //@PreAuthorize("hasAnyRole('teacher','role1','role2')")
    public String t4(){
        logger.info("成功访问t4");
        return "成功访问t4";
    }

    @RequestMapping("/t5")
    @PostAuthorize("hasRole('teacher')")
//    @PostAuthorize("hasRole('teacher' and 'boss')")
    //@PostAuthorize("hasAnyRole('teacher','role1','role2')")
    public String t5(){
        logger.info("成功访问t5");
        return "成功访问t5";
    }

    // 两个注解的区别:
    //@PreFilter:方法执行前处理
    //@PostFilter:方法返回后处理
    
    @RequestMapping("/6")
    // filterObject.name=='老一':表示只传入集合中 每个对象的sex属性值 == '男' 的所有对象。
    @PreFilter("filterObject.sex=='男'")  // 前置过滤器
    public String t6(@RequestBody List<User> userList){
        userList.forEach(t -> {
            System.out.println(t.getName()+t.getSex()+t.getAge());
        });
        logger.info("成功访问t6");
        return "成功访问t6";
    }

    @RequestMapping("/t7")
    // filterObject.name=='老一':表示只返回集合中 每个对象的name属性值 == '老一' 的所有对象。
    // 返回结果:User user1 = new User("老一", "男", 20);
    @PostFilter("filterObject.name=='老一'")  // 后置过滤器,方法返回后处理
    public List<User> t7(){
        logger.info("成功访问t7");
        User user1 = new User("老一", "男", 20);
        User user2 = new User("老二", "男", 20);
        ArrayList<User> list = new ArrayList<>();
        list.add(user1);
        list.add(user2);
        return list;
    }
}

以上步骤完成可以访问在浏览器访问/login,会出现框架返回的登陆页面,然后进行各种测试。

上面Controller中注解使用细节:

1.要让其中的注解被扫描到还需要到SecurityConfig中开启注解扫描配置如下:

 2.Role(角色)命名最终会加上前缀 “ ROLE_ ” ,所以我们数据库的命名也要加上前缀, 具体看下图源码:

官网链接:Spring Security

{添码行空}
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
基于springsecurity的用户角色权限
08-24
适合初学者使用,代码简单,未连接数据库,全部集成在.xml中。有注释,注释全面。可以进行二次开发。
Spring security实现权限管理示例
08-31
在本文中,我们将深入探讨如何使用Spring Security实现权限管理Spring Security是一个强大的、高度可定制的身份验证和访问控制框架,适用于Java应用程序。通过它,我们可以对用户访问资源进行精细控制,确保只有...
Spring security(五)-完美权限管理系统(授权过程分析)
Ccww_的博客
10-04 1253
1. 权限管理相关概念   权限管理是一个几乎所有后台系统的都会涉及的一个重要组成部分,主要目的是对整个后台管理系统进行权限的控制。常见的基于角色的访问控制,其授权模型为“用户-角色-权限”,简明的说,一个用户拥有多个角色,一个角色拥有多个权限。其中, 用户: 不用多讲,大家也知道了; 角色: 一个集合的概念,角色管理是确定角色具备哪些权限的一个过程 ; 权限: 1).页面权限,控制你可以看到哪...
Spring Boot 中使用 Spring Security 实现安全访问权限管理:详尽指南
一杯梅子酱的博客
07-02 1096
为了更细致地控制安全策略,我们可以创建一个配置类,扩展。Java47 auth10 .and()12 }1314 @Bean17 }1825 .and()27 .and()29 }30}如果你希望使用自定义的登录页面,可以通过以下配置:Java2 .loginPage("/custom-login") // 自定义登录页面URL3 .loginProcessingUrl("/login") // 处理登录请求的URL。
使用 Spring Security 实现角色和权限管理
最新发布
FireFox1997
07-04 340
Spring Security 提供了一套强大且灵活的机制来实现角色和权限的管理。本文将详细介绍如何使用 Spring Security 实现角色和权限管理,从基本概念到具体实现步骤,并提供示例代码来帮助你理解和应用这些概念。Spring Security 提供了强大的功能来处理复杂的权限控制需求,包括角色、权限的定义和分配,以及在应用程序中的细粒度访问控制。配置 Spring Security使用自定义的用户详细信息服务,并定义角色和权限。通常,权限是更细粒度的控制,而角色是权限的组合。
7.SpringSecurity中的权限管理
飘然渡沧海的博客
03-06 727
7.SpringSecurity中的权限管理
SpringSecurity权限管理
alone_song的博客
03-14 5702
SpringSecurity权限管理 Security能做什么? 用户认证:系统认为用户是否能够登录 用户授权:系统判断用户是否有权力去做某些事情 SpringSecurity特点: 和Spring无缝整合 全面的权限控制 专门为web开发而设计 重量级 需要引入各种依赖 SpringSecurity基本原理: SpringSecurity本质上是一个过滤器链 包含很多个过滤器 执行流程: 配置DelegatingFilterProxy 执行doFilter initDel.
基于Spring Security的细粒度权限管理系统设计源码
03-28
这是一个基于Spring Security框架的细粒度权限管理系统,使用Java语言开发,同时包含JavaScript、CSS、HTML等多种编程语言。该项目共包含2447个文件,其中主要文件类型包括JavaScript、PNG图片、CSS、HTML、JAR包、...
Spring security实现登陆和权限角色控制
09-09
在这个场景中,我们将探讨如何使用Spring Security来实现登录和权限角色控制。首先,确保你正在使用Spring版本为4.3.2.RELEASE,而Spring Security版本是4.1.2.RELEASE。在开始之前,你需要对Spring MVC、SPeL...
话说Spring Security权限管理(源码详解)
08-31
权限管理Spring Security的核心功能之一,它确保只有具有相应权限的用户才能访问特定的资源或执行特定的操作。在Spring Security中,权限管理的实现涉及到多个组件,如`AccessDecisionManager`、`...
springboot springsecurity动态权限控制
09-18
在这个“springboot springsecurity动态权限控制”的主题中,我们将深入探讨如何在Spring Boot项目中集成Spring Security,实现动态权限控制,让菜单权限的管理更加灵活和高效。 首先,我们需要理解Spring Security...
SpringSecurity权限控制
qq_29860591的博客
08-08 712
Spring EL 权限表达式 Spring Security 允许我们使用 Spring EL 表达式,来进行用户权限的控制,如果对应的表达式结果返回true,则表示拥有对应的权限,反之则无。 Spring Security 可用表达式对象的基类是 SecurityExpressionRoot注意: 表达式以下面为准, 黄色标注的 is 在使用时是要加上的 表达式 描述 perm...
SpringSecurity实现角色权限控制(SpringBoot+SpringSecurity+JWT)
lans_g的博客
05-14 6853
通过springboot整合jwt和security,以用户名/密码的方式进行认证和授权。认证通过jwt+数据库的,授权这里使用了两种方式,分别是SpringSecurity自带的hasRole方法+SecurityConfig和 我们自定义的permission+@PreAuthorize注解。用来存储和获取当前线程关联的 SecurityContext 对象的类。
SpringSecurity权限控制
拒绝熬夜啊的博客
11-30 1063
文章目录SpringSecurity权限控制1 数据准备2 创建 POJO、Mapper、Service3 自定义PermissionEvaluator SpringSecurity权限控制 1 数据准备 创建 sys_permission 表并插入数据 CREATE TABLE `sys_permission` ( `id` int(11) NOT NULL AUTO_INCREMENT, `url` varchar(255) DEFAULT NULL, `role_id` int(1
【第七篇】SpringSecurity中的权限管理
波波烤鸭的博客
05-07 2055
SpringSecurity中的权限管理   SpringSecurity是一个权限管理框架,核心是认证和授权,前面已经系统的给大家介绍过了认证的实现和源码分析,本文重点来介绍下权限管理这块的原理。 一、权限管理的实现   服务端的各种资源要被SpringSecurity权限管理控制我们可以通过注解和标签两种方式来处理。 放开了相关的注解后我们在Controller中就可以使用相关的注解来控制了 /** * JSR250 */ @Controller @RequestMapping("/user".
Spring Security-- 使用权限编码控制权限
小毛贼_哪里逃
03-23 1541
spring security中,如果权限字符以"ROLE_"开头,者可以使用@PreAuthorize("hasRole('ROLE_ADMIN')")注解匹配,其他使用@PreAuthorize("hasAuthority('user:write')")注解匹配 修改建表结构 CREATE TABLE `permission` ( `id` bigint(11) NOT N...
SpringSecurity权限管理
z318913的博客
02-08 2849
认证授权权限管理认证授权解决方案 权限管理 基本上涉及到用户参与的系统都要进行权限管理权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。 权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。 认证 身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户
SpringSecurity(认证和授权)&权限控制
weixin_61300833的博客
10-14 1298
认证和授权: 用户登录系统---认证: 系统提供的用于识别用户身份的功能,通常提供用户名和密码进行登录,其实就是在进行认证 用户登录后拥有不同的权限操作---授权: 用户认证成功后需要为用户授权,就是指定当前用户能够操作那些功能 权限模块数据模型: 要实现最终的权限控制,需要有一套表结构支撑: 用户表t_user、权限表t_permission、角色表...
spring-security实现角色权限的控制
qq_34796981的博客
07-28 1174
spring-security实现角色权限的控制 spring-security提供了方便的权限控制方法,我们只需进行简单的配置就可以实现而不再需要使用「硬代码」的方式来进行编写。 这样开发人员就可以专注于业务逻辑的编写。 访问url按照用户角色进行授权 请先访问我以前写的前后端分离的实现spring-security实现前后端分离登录 在以上的基础上再进行授权的访问分配。 @Configuration @EnableWebSecurity(debug = true) public class Secu
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

{添码行空}

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值