个人博客--小小笔记5 搭建后台 使用SpringSecurity进行权限管理

最新推荐文章于 2023-03-17 22:37:29 发布
最新推荐文章于 2023-03-17 22:37:29 发布
阅读量358 收藏
点赞数
文章标签: spring boot java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_48021871/article/details/126651275
版权

目录

一、SpringSecurity集成 10.md

1 添加依赖

2 SecurityConfig配置类

二、登录认证和权限管理

1、登录认证

2、权限管理

全项目技术亮点:

一、SpringSecurity集成10.md

1 添加依赖

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

2 SecurityConfig配置类


@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Bean
    public BCryptPasswordEncoder bCryptPasswordEncoder(){
        return new BCryptPasswordEncoder();
    }

    public static void main(String[] args) {
        //加密策略 MD5 不安全 彩虹表  MD5 加盐
        String mszlu = new BCryptPasswordEncoder().encode("mszlu");
        System.out.println(mszlu);
    }
    @Override
    public void configure(WebSecurity web) throws Exception {
        super.configure(web);
    }
    @Override
    protected void configure(HttpSecurity http) throws Exception {

        http.authorizeRequests() //开启登录认证
//                .antMatchers("/user/findAll").hasRole("admin") //访问接口需要admin的角色
                .antMatchers("/css/**").permitAll()
                .antMatchers("/img/**").permitAll()
                .antMatchers("/js/**").permitAll()
                .antMatchers("/plugins/**").permitAll()
                .antMatchers("/admin/**").access("@authService.auth(request,authentication)") //自定义service 来去实现实时的权限认证
                .antMatchers("/pages/**").authenticated()
                .and().formLogin()
                .loginPage("/login.html") //自定义的登录页面
                .loginProcessingUrl("/login") //登录处理接口
                .usernameParameter("username") //定义登录时的用户名的key 默认为username
                .passwordParameter("password") //定义登录时的密码key,默认是password
                .defaultSuccessUrl("/pages/main.html")
                .failureUrl("/login.html")
                .permitAll() //通过 不拦截,更加前面配的路径决定,这是指和登录表单相关的接口 都通过
                .and().logout() //退出登录配置
                .logoutUrl("/logout") //退出登录接口
                .logoutSuccessUrl("/login.html")
                .permitAll() //退出登录的接口放行
                .and()
                .httpBasic()
                .and()
                .csrf().disable() //csrf关闭 如果自定义登录 需要关闭
                .headers().frameOptions().sameOrigin();
    }
}

二、登录认证和权限管理

1、登录认证

前端表单传来用户名和密码,后端会通过SpringSecurity进行处理核对


@Service
@Slf4j
public class SecurityUserService implements UserDetailsService {

    @Autowired
    private AdminService adminService;

    /**
     * 登录认证:
     *     //接收登录时的username
     *     //通过username查询admin表。若存在,将密码传给SpringSecurity
     *     //若不存在,返回null,登录认证失败
     * @param username
     * @return
     * @throws UsernameNotFoundException
     */
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        //当用户登录的时候,springSecurity 就会将请求 转发到此
        //根据用户名 查找用户,不存在 抛出异常,存在 将用户名,密码,授权列表 组装成springSecurity的User对象 并返回
        //通过username查询admin表
        Admin admin = adminService.findAdminByUsername(username);
        if (admin == null){
            log.info("用户不存在,登录失败");
            return null;
        }
        //用户存在,返回密码给SpringSecurity,让其验证密码是否正确
        //通过UserDetails接收需要验证的信息
        //因UserDetails是接口 不能直接new,在此new其实现类
        User userDetails = new User(username, admin.getPassword(), new ArrayList<>());//此处集合是认证授权列表,因我们在此不做认证授权,所以暂时给空列表

        return userDetails;
    }
}

2、权限管理

认证成功之后,在进行操作时,需要验证用户是否有该操作权限

 所以编写上图中的方法即可


@Service
@Slf4j
public class AuthService {
    @Autowired
    private AdminService adminService;
    /**
     * 判断是否有权限:通过Authentication获取用户信息,通过信息中的id查询其在数据库中对应的信息
     *  1、获取请求路径与数据库存储路径对比
     * @param request
     * @param authentication
     */
    public boolean auth(HttpServletRequest request, Authentication authentication){
        //获取请求路径
        String requestURI = request.getRequestURI();
        //请求路径可能包含?id=...,需截取
        requestURI = StringUtils.split(requestURI,'?')[0];
        log.info("请求路径request url:{}", requestURI);
        //获取当前登录的用户信息
        Object principal = authentication.getPrincipal();
        //判断当前用户信息是否为空获取是否为匿名用户
        if (principal == null || "anonymousUser".equals(principal)){
            //未登录
            return false;
        }
        //用户信息真实存在的话就转为UserDetails便于使用
        UserDetails userDetails = (UserDetails) principal;
        String username = userDetails.getUsername();
        //通过用户名获取admin
        Admin admin = adminService.findAdminByUsername(username);
        if (admin == null){
            return false;
        }
        if (admin.getId() == 1){
            //认为是超级管理员
            return true;
        }
        List<Permission> permissions = adminService.findPermissionByAdminId(admin.getId());
        for (Permission permission : permissions) {
            if (requestURI.equals(permission.getPath())){
                log.info("权限认证通过");
                return true;
            }
        }
        return false;
    }
}

全项目技术亮点:

线程安全:cas操作

线程池:1、核心线程数 2、最大线程数 3、线程存活时间 (针对救急线程)4、时间单位 5、线程工厂6、阻塞队列 7、拒绝策略

我想学习啊!
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
springboot + springsecurity后台管理员权限分级
weixin_45535665的博客
04-02 3368
springboot + springsecurity后台管理员权限分级,密码擦除,thymeleaf-extras-springsecurity5,个人心得
Spring security权限管理
weixin_47072986的博客
04-02 3827
Spring Security是一个高度自定义的安全框架。利用Spring IoC/DI和AOP功能,为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。​ 使用Spring Secruity的原因有很多,但大部分都是发现了javaEE的Servlet规范或EJB规范中的安全功能缺乏典型企业应用场景。同时认识到他们在WAR或EAR级别无法移植。因此如果你更换服务器环境,还有大量工作去重新配置你的应用程序。
SpringCloudSecurity后台权限管理解决方案
HD243608836的博客
03-14 1915
后台管理系统中,通常需要控制不同的登录用户可以操作的内容。权限管理用于管理系统 资源,分配用户菜单、资源权限,以及验证用户是否有访问资源权限。
springboot整合SpringSecurity实现简单权限控制
听钱塘信来的博客
11-28 6691
springboot整合SpringSecurity实现简单权限控制
.antMatchers(xx).permitAll()不生效原因
feng_xiaofeng的专栏
02-27 2553
.antMatchers().permitAll()不生效原因
SpringBoot实战——个人博客项目
热门推荐
日常学习记录、分享,愿我们都遇见更好的自己,与诸君共勉
02-19 1万+
springboot实战,从零开始搭建一个web个人博客项目(持续更新中)
【猿来入此】SSM框架角色权限管理系统脚手架源码
03-22
这个“猿来入此”提供的SSM框架角色权限管理系统脚手架源码,是一个完整的开发基础,可以帮助开发者快速搭建一套具备用户角色权限管理功能的系统。 1. **Spring框架**:Spring作为核心容器,负责管理对象的生命周期...
springboot039基于Web足球青训俱乐部管理后台系统开发.zip
最新发布
03-22
此外,可能还使用了其他Spring Boot相关的库,如Spring Data JPA进行ORM操作,Spring Security进行权限管理,以及Swagger UI进行API文档的展示。 为了深入理解这个系统,你需要阅读论文文档以获取设计思路,执行db....
Vue、Spring Boot开发小而完整的Web前后端分离项目实战
06-20
后端采用Spring BootSpring Security开发接口,从0开始带领搭建后端项目,权限管理设计开发、Spring Security权限框架在前后端分离项目中的使用等。课程做了详细的笔记文档,方便使用学习。 ????课程收货 掌握Vue...
商城代码6-11
11-07
6. **后台管理系统**:管理员可以管理商品信息、用户信息、订单状态等,通常会有权限控制和操作日志记录。 7. **前端界面**:使用HTML、CSS和JavaScript构建用户交互界面,可能结合React、Vue或Angular等前端框架...
人人开源管理程序源码,java端非常好用的一款程序
03-21
人人开源管理程序是一款基于Java开发的高效、易用的开源管理系统,主要面向企业和开发者提供全面的后台管理解决方案。这款程序以其稳定性和灵活性受到广大用户的欢迎,尤其对于熟悉Java技术的开发者来说,它提供了...
SpringBoot 整合 SpringSecurity
Lyndon的专栏
10-23 4352
SpringBoot整合Spring Security实现ajax登录
Spring Boot 安全框架 Spring SecuritySecurityConfig配置,以及配置权限控制会使用到的方法,BCrypt加密使用,放行静态资源
写给秋天信
01-12 2396
SecurityConfig.java package com.shuang.config; import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springfr
SpringSecurity从0到1搭建详细教程二——添加权限
m0_47743175的博客
11-24 450
SpringSecurity从0到1搭建详细教程二——添加权限(默认写死权限集合)
Spring Security 动态权限实现方案
JavaShark的博客
06-24 3330
最近在做 TienChin 项目,用的是 RuoYi-Vue 脚手架,在这个脚手架中,访问某个接口需要什么权限,这个是在代码中硬编码的,具体怎么实现的,松哥下篇文章来和大家分析,有的小伙伴可能希望能让这个东西像 vhr 一样,可以在数据库中动态配置,因此这篇文章和小伙伴们简单介绍下 Spring Security 中的动态权限方案,以便于小伙伴们更好的理解 TienChin 项目中的权限方案。通过代码来配置 URL 拦截规则和请求 URL 所需要的权限,这样就比较死板,如果想要调整访问某一个 URL 所需要
SpringSecurity集合(权限)
Orion的博客
10-25 911
用户角色,角色权限都是多对多关系,即一个用户拥有多个角色,一个角色属于多个用户;一个角色拥有多个权限,一个权限属于多个角色。这种方式需要指定用户有哪些角色,而角色又有哪些权限。授权即认证通过后,系统给用户赋予一定的权限,用户只能根据权限访问系统中的某些资源。基于资源的访问控制,即按资源(或权限)进行授权。比如在企业管理系统中,用户必须 具有查询报表权限才可以查询企业运营报表。基于角色的访问控制,即按角色进行授权。比如在企业管理系统中,主体角色为总经理可以查询企业运营报表。
SpringSecurity权限控制
我是一只蘑菇17的博客
10-31 711
我们可以自定义权限不足处理器来处理权限不足时候的操作。的权限,我们将这块代码改造一下:当登录用户为。中,我们给当前登录用户授予了。
SpringSecurity +oauth2获取当前登录用户(二)
ytyDaMoTou的博客
03-17 4043
注意,如果访问不通过,需要在资源配置类中将用户访问接口添加到资源配置。但是,通过运行会发现principal的值只是。.java类中编写测试入口方法。类,将以上配置类引用到方法。1 先获取token。
android动态权限拒绝访问,Spring Security实战(二)动态权限
weixin_42522575的博客
05-26 180
好消息好消息!Security系列终于有了第二期,最近在看项目源码忍不住又搞起来Spring Security,来给大家分享一下,虽然和上一节说好的内容不同????回顾上节我们介绍了如何进行简单的权限配置,包括url权限和方法权限,还有如何授予用户权限。protected void configure(HttpSecurity http) throws Exception {http.authorize...
HCIA security 网络安全学习笔记
06-26
笔记涵盖了HCIA-Security 认证考试的重要知识点,包括网络安全、USG 模拟器使用、OSI 模型、TCP/IP 模型、各层协议之间的关系等。 **USG 模拟器使用** USG 模拟器是网络安全学习的重要工具,通过模拟器可以模拟...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值