springboot整合jwt与vue的后端管理系统5

最新推荐文章于 2024-04-24 18:05:58 发布
最新推荐文章于 2024-04-24 18:05:58 发布
阅读量144 收藏
点赞数
分类专栏: springboot项目 文章标签: spring boot 后端 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45905045/article/details/123511467
版权

然后接着讲解决授权

解决授权

问题1:我们是在哪里赋予用户权限的?有两个地方:

  • 1、用户登录,调用调用UserDetailsService.loadUserByUsername()方法时候可以返回用户的权限信息。
  • 2、接口调用进行身份认证过滤器时候JWTAuthenticationFilter,需要返回用户权限信息

问题2:在哪里决定什么接口需要什么权限?

Security内置的权限注解:

可以在Controller的方法前添加这些注解表示接口需要什么权限。

比如需要Admin角色权限:

@PreAuthorize("hasRole('admin')")

比如需要添加管理员的操作权限

@PreAuthorize("hasAuthority('sys:user:save')")

流程清晰之后我们就开始我们的编码: 

  • UserDetailsServiceImpl
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
   ...   
   return new AccountUser(sysUser.getId(), sysUser.getUsername(), sysUser.getPassword(), getUserAuthority(sysUser.getId()));
}
public List<GrantedAuthority> getUserAuthority(Long userId) {
   // 通过内置的工具类,把权限字符串封装成GrantedAuthority列表
   return  AuthorityUtils.commaSeparatedStringToAuthorityList(
         sysUserService.getUserAuthorityInfo(userId)
   );
}

com.rao.security.JWTAuthenticationFilter

SysUser sysUser = sysUserService.getByUsername(username);
List<GrantedAuthority> grantedAuthorities = userDetailsService.getUserAuthority(sysUser.getId());
UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken
      = new UsernamePasswordAuthenticationToken(username, null, grantedAuthorities);

 代码中的com.rao.service.impl.SysUserServiceImpl#getUserAuthorityInfo是重点:

package com.rao.service.impl;

import com.baomidou.mybatisplus.core.conditions.query.QueryWrapper;
import com.rao.entity.SysMenu;
import com.rao.entity.SysRole;
import com.rao.entity.SysUser;
import com.rao.mapper.SysUserMapper;
import com.rao.service.SysMenuService;
import com.rao.service.SysRoleService;
import com.rao.service.SysUserService;
import com.baomidou.mybatisplus.extension.service.impl.ServiceImpl;
import com.rao.utils.RedisUtil;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;

import java.util.List;
import java.util.stream.Collectors;

/**
 * <p>
 *  服务实现类
 * </p>
 *
 * @author 饶小兵
 * @since 2022-03-09
 */
@Slf4j
@Service
public class SysUserServiceImpl extends ServiceImpl<SysUserMapper, SysUser> implements SysUserService {

@Autowired
    SysRoleService sysRoleService;
    @Autowired
    RedisUtil redisUtil;
    @Autowired
    SysMenuService sysMenuService;
    @Autowired
    SysUserMapper sysUserMapper;
    @Override
    public SysUser getByUsername(String username) {
       return getOne(new QueryWrapper<SysUser>().eq("username", username));
    }

    public String getUserAuthoriyInfo(Long id) {


        SysUser sysUser = this.getById(id);

        String authority=null;
        if (redisUtil.hasKey("GrantedAuthority:"+sysUser.getUsername())){
            authority = (String) redisUtil.get("GrantedAuthority" + sysUser.getUsername());
        }else{
            List<SysRole> roles = sysRoleService.list
                    (new QueryWrapper<SysRole>().inSql("id", "select role_id from sys_user_role where user_id = " + id));
            if (roles.size()>0){
                String roleNames = roles.stream().map(r -> "ROLE_" + r.getCode()).collect(Collectors.joining(","));

               authority=roleNames.concat(",");
            }

            List<Long> MenuIds = sysUserMapper.getNavMenuIds(id);
            if (MenuIds.size()>0){
                List<SysMenu> sysMenus = sysMenuService.listByIds(MenuIds);
                String permName = sysMenus.stream().map(m -> m.getPerms()).collect(Collectors.joining(","));
                authority=authority.concat(permName);
            }
            log.info("用户ID-{}--拥有的权限:{}",id,authority);

            redisUtil.set("GrantedAuthority"+sysUser.getUsername(),authority,60*60);
        }
     return  authority;
    }

    @Override
    public void clearUserAuthorityInfo(String username) {
        redisUtil.del("GrantedAuthority"+username);
    }

    @Override
    public void clearUserAuthorityInfoByRoleId(Long roleId) {
        List<SysUser> sysUsers = this.list(new QueryWrapper<SysUser>().inSql("id", "select user_id from sys_user_role where role_id = " + roleId));
        sysUsers.forEach(u->{
            this.clearUserAuthorityInfo(u.getUsername());
        });
    }
  //
    @Override
    public void clearUserAuthorityInfoByMenuId(Long menuId) {
        List<SysUser> sysUsers = sysUserMapper.listByMenuId(menuId);
        sysUsers.forEach(u->{
            this.clearUserAuthorityInfo(u.getUsername());
        });
    }
}

 

可以看到,我通过用户id分别获取到用户的角色信息和菜单信息,然后通过逗号链接起来,因为角色信息我们需要这样“ROLE_”+角色,所以才有了上面的写法:
比如用户拥有Admin角色和添加用户权限,则最后的字符串是:ROLE_admin,syssave

同时为了避免多次查库,我做了一层缓存,这里理解应该不难。

然后sysUserMapper.getNavMenuIds(userId)因为要查询数据库,具体SQL如下:

  • com.rao.mapper.SysUserMapper#getNavMenuIds
<select id="getNavMenuIds" resultType="java.lang.Long">
    SELECT
        DISTINCT rm.menu_id
    FROM
        sys_user_role ur
    LEFT JOIN `sys_role_menu` rm ON rm.role_id = ur.role_id
    WHERE
        ur.user_id = #{userId};
</select>

上面表示通过用户ID获取用户关联的菜单的id,因此需要用到两个中间表的关联了。
ok,这样我们就赋予了用户角色和操作权限了。后面我们只需要在Controller添加上具体注解表示需要的权限,Security就会自动帮我们自动完成权限校验了。

权限缓存

因为上面我在获取用户权限那里添加了个缓存,这时候问题来了,就是权限缓存的实时更新问题,比如当后台更新某个管理员的权限角色信息的时候如果权限缓存信息没有实时更新,就会出现操作无效的问题,那么我们现在点定义几个方法,用于清除某个用户或角色或者某个菜单的权限的方法: 

 

上面最后一个方法查到了与菜单关联的所有用户的,具体sql如下:

  • com.rao.mapper.SysUserMapper#listByMenuId
<select id="listByMenuId" resultType="com.javacat.entity.SysUser">
    SELECT
    DISTINCT
        su.*
    FROM
        sys_user_role ur
    LEFT JOIN `sys_role_menu` rm ON rm.role_id = ur.role_id
    LEFT JOIN `sys_user` su ON su.id = ur.user_id
    WHERE
        rm.menu_id = #{menuId};
</select>

退出数据返回

jwt -username

token - 随机码 - redis

  • com.rao.security.JwtLogoutSuccessHandler

 

package com.rao.security;

import cn.hutool.json.JSONUtil;
import com.rao.common.lang.Result;
import com.rao.utils.JwtUtils;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.Authentication;
import org.springframework.security.web.authentication.logout.LogoutSuccessHandler;
import org.springframework.security.web.authentication.logout.SecurityContextLogoutHandler;
import org.springframework.stereotype.Component;

import javax.servlet.ServletException;
import javax.servlet.ServletOutputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.nio.charset.StandardCharsets;

@Component
public class JwtLogoutSuccessHandler implements LogoutSuccessHandler {
    @Autowired
    JwtUtils jwtUtils;

    @Override
    public void onLogoutSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
         if (authentication!=null){
             new SecurityContextLogoutHandler().logout(request,response,authentication);
         }
        response.setContentType("application/json;charset=UTF-8");
        response.setHeader(jwtUtils.getHeader(),"");
        ServletOutputStream outputStream = response.getOutputStream();
        Result result = Result.succ("");
        outputStream.write(JSONUtil.toJsonStr(result).getBytes(StandardCharsets.UTF_8));
        outputStream.flush();
        outputStream.close();



    }
}

无权限数据返回

  • com.rao.security.JwtAccessDeniedHandler
package com.rao.security;

import cn.hutool.json.JSONUtil;
import com.rao.common.lang.Result;
import lombok.extern.slf4j.Slf4j;
import org.springframework.security.access.AccessDeniedException;
import org.springframework.security.web.access.AccessDeniedHandler;
import org.springframework.stereotype.Component;

import javax.servlet.ServletException;
import javax.servlet.ServletOutputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.nio.charset.StandardCharsets;

@Slf4j

@Component
public class JwtAccessDeniedHandler implements AccessDeniedHandler {
    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) throws IOException, ServletException {
         log.info("权限不够");
        response.setContentType("application/json;charset=UTF-8");
        response.setStatus(HttpServletResponse.SC_FORBIDDEN);
        ServletOutputStream outputStream = response.getOutputStream();
        Result result = Result.fail(accessDeniedException.getMessage());
        outputStream.write(JSONUtil.toJsonStr(result).getBytes(StandardCharsets.UTF_8));
        outputStream.flush();
        outputStream.close();
    }
}

 

解决跨域问题

上面的调试我们都是使用的postman,如果我们和前端进行对接的时候,会出现跨域的问题,如何解决?

  • com.rao.config.CorsConfig
package com.rao.config;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import org.springframework.web.filter.CorsFilter;
import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class CorsConfig implements WebMvcConfigurer {

    private CorsConfiguration buildConfig() {
        CorsConfiguration corsConfiguration = new CorsConfiguration();
        corsConfiguration.addAllowedOrigin("*");
        corsConfiguration.addAllowedHeader("*");
        corsConfiguration.addAllowedMethod("*");
        corsConfiguration.addExposedHeader("Authorization");
        return corsConfiguration;
    }

    @Bean
    public CorsFilter corsFilter() {
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**", buildConfig());
        return new CorsFilter(source);
    }

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
                .allowedOrigins("*")
//          .allowCredentials(true)
                .allowedMethods("GET", "POST", "DELETE", "PUT")
                .maxAge(3600);
    }
}

 到了这里我们对用户和权限分配写好了下节就讲具体实现了相当于前面是搭后端框架

姜大师在线求学
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
源码-二十、SpringBoot + Jwt + Vue管理系统(1).zip
10-27
这是一个基于SpringBootJwt(JSON Web Token)和Vue.js构建的管理系统的源代码包。这个系统旨在提供一个高效、安全的后台管理平台。下面将详细解释这个系统的主要组成部分和技术栈。 1. **SpringBoot**: ...
基于SpringBoot3+Vue3整合开发学生信息管理系统.zip
03-04
《基于SpringBoot3+Vue3整合开发学生信息管理系统》是一个典型的现代Web应用程序开发案例,它融合了前沿的技术栈,旨在实现高效、灵活的信息管理。在这个项目中,我们主要关注以下几个核心知识点: 1. **SpringBoot...
用户权限问题
luhugu的博客
03-30 129
我想实现用户登陆后显示一些隐藏的内容,例如按钮,文字什么的,刚学Java web不久,提醒我一下!谢谢。最好附源码。。。。。 :o
解决用户权限问题
Leon_Jinhai_Sun的博客
01-23 737
解决授权 然后关于权限部分,也是security的重要功能,当用户认证成功之后,我们就知道谁在访问系统接口,这是又有一个问题,就是这个用户有没有权限来访问我们这个接口呢,要解决这个问题,我们需要知道用户有哪些权限,哪些角色,这样security才能我们做权限判断。 之前我们已经定义及几张表,用户、角色、菜单、以及一些关联表,一般当权限粒度比较细的时候,我们都通过判断用户有没有此菜单或操作的权限,而不是通过角色判断,而用户和菜单是不直接做关联的,是通过用户拥有哪些角色,然后角色拥有哪些菜单权限这样来获得的
用户权限问题分析
qq_34110503的博客
09-07 545
1、具体例子: 1.1)部门 -&gt; 设置部门负责人:Mr.Right(该负责人则拥有查看该部门的数据权限)。 1.2)分配数据权限 -&gt; 给 Mr.Right 设置部门权限。 1.3)那么 Mr.Right 作为部门负责人,是否应该在“分配数据权限”页面勾选上对应部门负责人的部 门? 1.4)是:数据库就只保存一份数据,而不是两份,...
应用安全系列之二十二:授权问题
jimmyleeee的专栏
07-11 790
权限管理是一个系统的比较核心的安全模块,如果没有正确的权限管理,由权限问题导致的问题基本上都是比较严重的问题,而且带来的危害也很严重,更为重要的是,权限的安全问题很容易被利用而且比较难于监测。 权限问题主要分为两种:水平越权和垂直越权。 1水平越权 水平越权是指同一个角色的不同人员都有各自的私有信息和资源,特别是私有信息,在信息安全越来越被关注的当代,这些信息对用户也越来越重要,如果授权控制不当,导致用户的私有信息泄露,对产品的影响会很大,特...
linux中用户的权限是什么,linux中用户权限设置与更改相关介绍(上)
weixin_36111677的博客
04-28 550
不管是在生活中还是在工作中,我们都会经常碰到关于电脑权限方面的一些问题。现在介绍一下在linux系统中关于如何设置和管理用户的权限问题,介绍基本但很重要的命令。在Linux中,权限分为三大类:基本权限,acl权限及附加权限。1 基本权限对于访问方式,基本权限分为:读取,写入及可执行三种。--读取:允许查看内容,用read首字母r表示;--写入:允许修改内容,用write首字母w表示;--可执行:允...
基于SpringBoot构建的后端开发脚手架项目,完美整合mybatis+springboot+jwt token
最新发布
05-15
该项目利用了基于springboot + vue + mysql的开发模式框架实现的课设系统,包括了项目的源码资源、sql文件、相关指引文档等等。 【项目资源】:包含前端、后端、移动开发、操作系统、人工智能、物联网、信息化管理...
基于SpringBootSpring Security,JWTVue & Element 的前后端分离权限管理系统.rar
10-20
这是一个全面的IT项目,涉及到多个技术栈的整合,主要用于构建一个功能完善的权限管理系统。下面将分别解析这个系统的核心组成部分和相关知识点。 1. **SpringBoot**:SpringBoot是由Pivotal团队提供的全新框架,它...
springboot+vue权限管理系统.zip
08-05
【标题】"springboot+vue权限管理系统.zip"是一款基于JavaSpringBoot框架和前端Vue.js技术构建的IT毕业设计项目,旨在实现一个完整的权限管理功能系统。该项目利用现代Web开发技术,结合后端服务和前端界面,为...
Linux系统用户和权限
qq_65463941的博客
04-24 750
在Linux中,每个文件和目录都有一个和,用于控制对它们的无论是Windows、MacOS、Linux均采用多用户的管理模式进行权限管理换句话说,Linux 系统支持多个用户在同一时间内登陆,不同用户可以执行不同的任务,并且互不影响不同用户具有不同的权限,毎个用户在权限允许的范围内完成不同的任务用户组是一组用户的集合,由管理员定义目的就是更方便地管理和授予权限。同一用户组内的所有成员都具有相同的访问权,这些访问权取决于组的权限设置。
SpringSecurity的loadUserByUsername抛出异常无法捕获原因分析
weixin_45630446的博客
09-16 4363
SpringSecurity的loadUserByUsername抛出异常无法捕获原因分析 文章目录SpringSecurity的loadUserByUsername抛出异常无法捕获原因分析1、分析原因2、解决方式2.1、方式一2.2、方式二 SpringSecurity 相信大家对它都不陌生,这是一个令我又爱又恨的框架,配置不简单,但是功能却异常强大。下面我们就一起来分析一下loadUserByUsername 里抛出自定义异常无法捕获的原因吧 嗯,话不多说,自定义异常,全局异常处理拦截器、Securit
SpringSecurity框架原理浅谈之UserDetailsService
黄先生的博客
02-11 1943
UserDetailsService的作用就是从特定的地方(通常是数据库)加载用户信息.
Spring Security : 概念模型接口 UserDetailsService 用户详情服务
Details Inside Spring
05-28 1981
概述 介绍 UserDetailsService是Spring Security提供的一个概念模型接口,用于抽象建模系统提供这样一种服务能力:管理用户详情。 UserDetailsService只定义了一个方法UserDetails loadUserByUsername(String username) throws UsernameNotFoundException,声明通过用户名usernam...
Spring-security快速入门
l23456789o的博客
08-07 223
介绍 如何使用springbootSpring-security 引入依赖包 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <depe
SpringSecurity基础入门(详情可以联系博主)
yuan_boss的博客
06-12 490
写下本篇文章是因为我在做小项目时使用到了spring security并且对此有了更深的理解,故写下这篇文章总结了spring security并且再次加深理解,本篇文章适合于有点基础的小伙伴,当然没有基础的小伙伴也可以在评论区提问,或者加扣扣联系,小编看到一定回复哦,扣扣:1928627476...
SpringSecurity中执行表单登录认证时无法执行loadUserByUsername方法
qq_43820896的博客
05-13 3357
项目场景: 执行表单登录认证时配置了loginProcessUrl和loginPage。但是执行登录认证时并不执行UserDetailsService接口的loadByUsername方法。导致认证失败。 问题描述: 1. 表单登录页面 2. 配置类 3. loadUserByUsername方法 所有都配置好了,但是进行登录认证的时候还是认证失败跳回登录页。并且控制台未打印loadUserByUsername方法中的日志。 原因分析: 因此判断是loginProcessUrl方法的问题。进入lo
SpringCloud-Oauth2 不同类型用户认证
qq_42962779的博客
08-21 2622
oauth2提供了UserDetailsService类中loadUserByUsername方法来让我们查询数据库,返回查询到的数据,但是只提供了一个参数的方式, 最近在项目中,遇到了小程序端用户和管理端用户分表的情况,那么这种单参数的认证是无法满足的,需要根据不同场景来做不同的令牌发放处理, 百度之后找到了答案,很感谢, 参考参考自此博客 解决之后记录一下 @Override public UserDetails loadUserByUsername(String username) thr
3.Spring Security 自定义用户认证
LoveSummer
11-05 953
Spring Security自定义用户认证 自定义认证过程 自定义认证的过程需要实现Spring Security提供的UserDetailService接口,该接口只有一个抽象方法loadUserByUsername,源码如下: public interface UserDetailsService { UserDetails loadUserByUsername(String use...
springboot整合JWT
09-05
SpringBoot整合JWT是一种常用的实现权限验证功能的方式。JWT(Json Web Token)是一种基于JSON的开放标准,用于在网络应用环境中传递声明。在SpringBoot项目中整合JWT,可以实现用户身份验证和访问控制的功能。 整合JWT的步骤如下: 1. 在项目的pom文件中添加JWT依赖。可以使用com.auth0的java-jwt库,具体的依赖配置如下: ```xml <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.4.0</version> </dependency> ``` 2. 创建用户实体类。可以使用@Data注解自动生成getter和setter方法,示例如下: ```java package com.example.manageserve.controller.dto; import lombok.Data; @Data public class UserDTO { private String username; private String password; private String nickname; private String token; } ``` 3. 将拦截器注入到SpringMVC。创建一个配置类,实现WebMvcConfigurer接口,并重写addInterceptors方法,如下所示: ```java package com.example.manageserve.config; import com.example.manageserve.config.interceptor.JwtInterceptor; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.web.servlet.config.annotation.InterceptorRegistry; import org.springframework.web.servlet.config.annotation.WebMvcConfigurer; @Configuration public class InterceptorConfig implements WebMvcConfigurer { @Override public void addInterceptors (InterceptorRegistry registry){ registry.addInterceptor(jwtInterceptor()) .addPathPatterns("/**") //拦截所有请求,通过判断token是否合法来决定是否需要登录 .excludePathPatterns("/user/login","/user/register"); } @Bean public JwtInterceptor jwtInterceptor(){ return new JwtInterceptor(); } } ``` 通过以上步骤,我们可以实现SpringBootJWT整合,实现了用户的登录和权限验证功能。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [xmljava系统源码-JWT-DEMO:SpringBoot整合JWT完成权限验证功能示例](https://download.csdn.net/download/weixin_38641764/19408331)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [springboot集成JWT](https://blog.csdn.net/weixin_67958017/article/details/128856282)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值