SpringSecurity集合(权限)

已于 2022-10-26 14:16:08 修改
阅读量903 收藏 1
点赞数
分类专栏: springSecurity 文章标签: 1024程序员节 spring boot spring
于 2022-10-25 19:30:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46372272/article/details/127498766
版权

1、SpringSecurity授权

授权即认证通过后,系统给用户赋予一定的权限,用户只能根据权限访问系统中的某些资源。RBAC是业界普遍采用的授权方式,它有两种解释:

Role-Based Access Control

基于角色的访问控制,即按角色进行授权。比如在企业管理系统中,主体角色为总经理可以查询企业运营报表

Resource-Based Access Control

基于资源的访问控制,即按资源(或权限)进行授权。比如在企业管理系统中,用户必须 具有查询报表权限才可以查询企业运营报表

2、权限表设计

 用户角色,角色权限都是多对多关系,即一个用户拥有多个角色,一个角色属于多个用户;一个角色拥有多个权限,一个权限属于多个角色。这种方式需要指定用户有哪些角色,而角色又有哪些权限。

 3、自定义查询权限

@Service
public class MySecurityService implements UserDetailsService {
    @Autowired
    @Qualifier(value = "userMapper")
    private UserMapper userMapper;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
//       1、查询条件
        QueryWrapper<Users> wrapper = new QueryWrapper<Users>().eq("username", username);
//      2、查询用户
        Users users = userMapper.selectOne(wrapper);
        if(users==null){
            return null;
        }
//      3.查询用户所有权限
        List<Permission> permissions = userMapper.findPermissionByUsername(username);
//      4.将自定义的权限集合转为Security的权限类型集合
        List<GrantedAuthority> list = new ArrayList<>();
        for (Permission permission:permissions) {
            list.add(new SimpleGrantedAuthority(permission.getUrl()));
        }
//      3、封装UserDetails对象
        UserDetails userDetails = User.withUsername(users.getUsername()).password(users.getPassword()).authorities(list).build();
        return userDetails;
    }
}

 3.1自定义访问权限

根据请求的路径进行拦截,如果user没有访问url的权限则状态码为403

//      需要认证的资源
        http.authorizeHttpRequests()
                .antMatchers("/login.html").permitAll()//登录页不需要认证
                .antMatchers("/fail").permitAll()//失败页面不需要认证
                //需要认证的权限
                .antMatchers("/reportform/find").hasAuthority("/reportform/find")
                .antMatchers("/salary/find").hasAuthority("/salary/find")
                .antMatchers("/tax/find").hasAuthority("/tax/find")
                .anyRequest().authenticated();//其余所有请求都需要认证

 @Secured

 通过@Secured注解添加访问权限(权限必须以ROLE_开头)不常用

@SpringBootApplication
@MapperScan
@EnableGlobalMethodSecurity(securedEnabled = true)//开启secured注解扫描
public class SpringSecurity2Application {

    public static void main(String[] args) {
        SpringApplication.run(SpringSecurity2Application.class, args);
    }

}
//  对权限进行拦截必须以ROLE_开头,数据也必须以ROLE_开头
    @Secured("ROLE_/reportform/find")
    @GetMapping("/reportform/find")
    @ResponseBody
    public String testUrl1(){
        System.out.println("/reportform/find");
        return "/reportform/find权限拦截";
    }

    @Secured("/salary/find")//403没有权限
    @GetMapping("/salary/find")
    @ResponseBody
    public String testUrl2(){
        System.out.println("/salary/find");
        return "/salary/find权限拦截";
    }

    @Secured("/tax/find")//403没有权限
    @GetMapping("/tax/find")
    @ResponseBody
    public String testUrl3(){
        System.out.println("/tax/find");
        return "/tax/find权限拦截";
    }

@PreAuthorize(推荐)

该注解可以在方法执行前判断用户是否具有权限

//        默认放行首页和失败页    
    http.authorizeHttpRequests()
                .antMatchers("/login.html").permitAll()//登录页不需要认证
                .antMatchers("/fail").permitAll()//失败页面不需要认证
                //需要认证的权限
//                .antMatchers("/reportform/find").hasAuthority("/reportform/find")
//                .antMatchers("/salary/find").hasAuthority("/salary/find")
//                .antMatchers("/tax/find").hasAuthority("/tax/find")
                .anyRequest().authenticated();//其余所有请求都需要认证
@SpringBootApplication
@MapperScan
@EnableGlobalMethodSecurity(prePostEnabled = true) //开启@PreAuthorize注解扫描
public class SpringSecurity2Application {

    public static void main(String[] args) {
        SpringApplication.run(SpringSecurity2Application.class, args);
    }

}
//url权限匹配    
@PreAuthorize("hasAnyAuthority('/salary/find')")
    @GetMapping("/salary/find")
    @ResponseBody
    public String testUrl2(){
        System.out.println("/salary/find");
        return "/salary/find权限拦截";
    }

    @PreAuthorize("hasAnyAuthority('/tax/find')")
    @GetMapping("/tax/find")
    @ResponseBody
    public String testUrl3(){
        System.out.println("/tax/find");
        return "/tax/find权限拦截";
    }

 前端控制访问权限

添加xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity5",sec:authorize="hasAnyAuthority('/url')”若user有访问该url权限则显示此菜单

        <!--前端控制访问权限依赖-->
        <dependency>
            <groupId>org.thymeleaf.extras</groupId>
            <artifactId>thymeleaf-extras-springsecurity5</artifactId>
        </dependency>
<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.thymeleaf.org"
      xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity5">
<head>
    <meta charset="UTF-8">
    <title>主页面</title>
</head>
<body>
<span>主页面</span>
<span sec:authorize="hasAnyAuthority('/tax/find')"><a href="/tax/find">菜单一</a></span>
<span sec:authorize="hasAnyAuthority('/reportform/find')"><a href="/reportform/find">菜单二</a></span>
<span sec:authorize="hasAnyAuthority('/salary/find')"><a href="/salary/find">菜单三</a></span>
<a href="/logout">退出登录</a>
</body>
</html>

 SpringSecurity自定义权限不足页面,解决403权限异常

//自定义权限不足页面

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>权限异常</title>
</head>
<body>
  <span>权限不足</span>
</body>
</html>

 定义权限不足处理器类需要实现AccessDeniedHandler接口实现其中的handle方法

public class NoPermissionHandler implements AccessDeniedHandler {
    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) throws IOException, ServletException {
        System.out.println("权限不足");
        response.sendRedirect("/noPermission.html");
    }
}

 SecurityConfig权限配置类中添加自定义的权限不足处理器


//      权限不足异常
        http.exceptionHandling()
                .accessDeniedHandler(new NoPermissionHandler());

  博客:孤独&烙印的博客_CSDN博客-springSecurity,spring-fox,vue领域博主

孤独&烙印
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
UserPrivileges.zip
04-16
采用SpringSecurity框架,用户登录采用拦截器实现,WebSecurityConfig实现WebSecurityConfigurerAdapter接口对拦截信息进行配置,包含设置登录页和允许访问的接口,自定义登录失败、登录成功返回对象,配置自定义密码验证拦截器对用户名和密码进行校验,判断是否为空,LoginValidateAuthenticationProvider实现AuthenticationProvider接口,获取用户名和密码,调用userService中loadUserByUsername方法,查询用户是否存在,校验用户密码是否正确,并查出用户对应的角色信息,并返回SecurityUser对象,用户身份已认证。项目启动时,执行定时任务,缓存权限数据,将需要通过认证的菜单及对应的角色信息和不需要认证的菜单分别存入reids,,用户登录后访问后台接口,拦截器调用getAttributes方法,获取redis中缓存的所有需要权限认证的url和不需要权限认证的url,获取当前访问的url信息,判断是当前访问的url是否需要认证,若为公共权限,不需要认证,直接返回null,若不是,返回该url对应的角色信息。返回后鉴权决策管理器AccessDecisionManagerImpl(实现AccessDecisionManager接口)中调用decide方法,判断configAttributes(该集合存角色信息)集合如果为空,直接通过,如果不为空,判断缓存中该url对应的角色列表是否包含当前用户角色信息,不包含抛出异常,包含则该url通过。项目中包含sql文件。
使用Spring安全表达式控制系统功能访问权限问题
08-25
spring security 3.0开始已经可以使用spring Expression表达式来控制授权,允许在表达式中使用复杂的布尔逻辑来控制访问的权限。这篇文章主要介绍了使用Spring安全表达式控制系统功能访问权限,需要的朋友可以参考下
security第三版
08-31
项目说明 : 这是一个spring-security的Demo..第三版...基本可以拿来作为一个项目的雏形的权限设计了.. 数据库表 : user --用户表 *name *pwd *roleid //关键是这个属性 role --角色表 *id //角色id *roleName //角色名字 function *id //功能表id *roleid //角色id *url //相应的路径 ****重点***** 我们以角色表为中间表,关联起来用户表和功能权限表... security在初始化时会读入全部的权限设计.... 比如url--->{functionid} //字符串-->集合的 Map 用户登录时会保存一个用户的{functionids} 最后用户每访问一个路径时,security会根据这个url找到对应的{system-functionids}集合,然后再去判断用户的权限{user-functionids}是否有这个值.. ****重点解释***** 关于权限设计这一块,看项目需要...你可以设计得更细分..设计更多的表来区分权限..中心思想类似于我上面说的.. 项目里面以及配套了sql语句. admin用户可以访问全部页面,tinys用户只可以访问index页面.. login没设置拦截...accessDeny是权限不足返回的页面.. 这里本来想统筹spring mvc...但是为了体现security,就直接使用jsp来替代了... 主要的代码在于 : util.security包..以及spring-security.xml配置文件
spring-security-acl-mongodb:基于 Spring Security MongoDB 的访问控制列表 (ACL) 实现
05-29
Spring Security ACL MongoDB Spring Security 访问控制列表 (ACL) 是一种方便的方式来授予对域对象(例如书籍或联系人列表)的基于用户的权限访问。 默认情况下,Spring Security通过4个SQL表管理ACL,这些SQL表在每次访问域对象时在查找时连接在一起。 虽然它在内部使用缓存来尽可能减少到数据库的往返,但将数据以非平面结构存储在 NoSQL 数据库中可以进一步帮助减少数据库的整体开销。 此 Spring Security ACL 自定义使用 MongoDB 作为数据库,通过维护单个 ACL 文档集合来查找域对象上用户的访问控制权限集合中的示例 ACL 权限条目确实类似于以下示例代码: { "_id" : "a285005a-a892-409a-be86-59877142aa17", "_class" :
Spring Security -- Spring Boot中开启Spring Security
Graceful_scenery的博客
02-09 81
在介绍Spring Securiry之前,我们试想一下如果我们自己去实现一个安全框架,我们需要包含哪些功能: 我们需要对登录接口或者一些不需要权限的接口放行,同时我们需要对某些接口进行身份认证,例如:在基于jwt的认证体系中,我们需要校验token是否合法,token合法我们才会放行; 我们希望我们写的安全框架能够做一些授权的操作,比如:我们可以限制认证后的用户访问/user接口需要什么权限,...
SpringSecurity的自定义授权
qq_58137891的博客
05-10 362
1.在LoginUser类中新增一个List属性一个List属性,包含着权限信息2.重写getAuthorities()方法(因为权限信息需要从该方法中取得),将List封装到List中对应getAuthorities方法的返回值。3.对List属性取消JSON序列化,否则反序列化会出错。
【详解】Spring Security的GrantedAuthority(已授予的权限
热门推荐
蔡小波的博客
06-10 1万+
转自:https://www.cnblogs.com/longfurcat/p/9417422.html 感谢大佬 前言   这篇是很久之前学习Spring Security整理的博客,发现浏览量都1000多了,一个赞都没有,那说明写得确实不怎么样,哈哈。应该很多初学者对这个接口存在疑问,特别是如果学习这个框架之前还了解过Shiro,可能会因为这两个框架角色、权限的表示方式,产生困惑。现在重新整理一下。 GrantedAuthority接口 我们知道UserDeitails接口里面有一...
Spring Security中授予权限与角色
allway2的博客
11-20 1625
当然,这是一种非常简单的方法,可以在开发过程中与一些初步测试用户一起开始运行 - 而不是您应该在生产中处理数据的方式。重点是 - 我们保留了我们在代码中使用的权限Spring 安全框架没有就我们应该如何使用这个概念提供任何指导,所以选择完全是特定于实现的。这是一种更高层次的角色方法,使它们成为更面向业务的概念,而不是以实施为中心的概念。现在我们更好地理解了核心概念,让我们谈谈在应用程序启动时创建一些设置数据。前缀是可配置的,但解释如何做到这一点超出了本文的范围。这样的表达式,我们以粗粒度的方式限制访问。
配置 Spring Security 和 JWT(三)
qiuweifan的博客
03-29 347
创建自定义 Spring 安全类、过滤器和注解 在上一节中,我们使用许多自定义类和过滤器配置了 Spring Security。在本节中,我们将一一定义这些类。
SpringSecurity权限管理的详细使用
qq_45105989的博客
10-30 1779
SpringSecurity的框架搭建、详细使用及使用细节。
基于Spring Security的细粒度权限管理系统设计源码
03-28
这是一个基于Spring Security框架的细粒度权限管理系统,使用Java语言开发,同时包含JavaScript、CSS、HTML等多种编程语言。该项目共包含2447个文件,其中主要文件类型包括JavaScript、PNG图片、CSS、HTML、JAR包、...
springboot整合springsecurity、jwt权限验证
08-10
该资源包整合基于springboot整合springsecurity结合jwt做权限验证、配置完善,可以直接作为项目的基础框架集成使用,使用mybatis作为持久层框架,基础框架搭建完成,只需要写业务代码集合,便于快捷开发。
一文带你读懂Spring Security 6.0的实现原理
知识分享官
09-22 347
本文重点分析了Spring Security的源码和架构,帮助读者理解其实现原理。由于篇幅有限,本文只覆盖了身份认证和鉴权模块的核心逻辑,很多特性没有涉及,包括Session管理,Remember Me服务,异常分支和错误处理等等,不过有了上述的基础知识,读者完全可以自己分析源码并深入理解这些特性。
spring security重写权限不足提示
扶摇而上九万里
06-02 426
spring security重写权限控制提示
spring security(二)
jianghongbo518的博客
01-10 104
基于角色和权限进行访问控制 第一个方法: hasAuthority 方法,如果当前的主体具有指定的权限,则返回 true,否则返回 false 1)在配置类中设置当前的路径有哪些权限才可以访问 .antMatchers("/test/index").hasAuthority("admin") 2)给用户设置这个权限 在userDetailService实现类中,给返回的user加上权限,如下: List<GrantedAuthority> authorities = Autho
springSecurity权限表设计
m0_63040701的博客
03-22 645
权限表设计和数据库创建
SpringSecurity授权(访问控制)
wyy的博客
10-30 5399
一、 访问控制url匹配 在前面讲解了认证中所有常用配置,主要是对httpSecurity.formLogin()进行操作。而在配置类中httphttpSecurity.authorizeRequests()主要是对url进行控制,也就是我们所说的授权(访问控制)。httpSecurity.authorizeRequests()也支持连缀写法,可以有很多url匹配规则和很多权限控制方法。这些内容进行各种组合就形成了Spring Security中的授权。 在所有匹配规则中取所有规则的交集。配置顺序影响了之
如何利用自定义注解放行springsecurity项目的接口
weixin_45089791的博客
07-19 2154
如何利用自定义注解放行springsecurity 在实际项目中使用到了springsecurity作为安全框架,我们会遇到需要放行一些接口,使其能匿名访问的业务需求。但是每当需要当需要放行时,都需要在security的配置类中进行修改,感觉非常的不优雅。 例如这样: 所以想通过自定义一个注解,来进行接口匿名访问。在实现需求前,我们先了解一下security的两种方行思路。 第一种就是在 configure(WebSecurity web) 方法中配置放行,像下面这样: @Override pub
Spring Boot集成Druid快速入门Demo
最新发布
HBLOG
05-07 489
1.什么是Druid?Druid连接池是阿里巴巴开源的数据库连接池项目。Druid连接池为监控而生,内置强大的监控功能,监控特性不影响性能。功能强大,能防SQL注入,内置Loging能诊断Hack应用行为。2.mysql环境搭建第一个mysql数据库dockerrun--namedocker-mysql-5.7-eMYSQL_ROOT_PASSWORD=123456-p3306:33...
springsecurity角色权限
08-25
- *1* [SpringSecurity实现角色权限控制(SpringBoot+SpringSecurity+JWT)](https://blog.csdn.net/lans_g/article/details/130611332)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

孤独&烙印

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值