SpringSecurity用户认证和用户授权的理解以及对应案例

最新推荐文章于 2024-04-29 15:10:45 发布
最新推荐文章于 2024-04-29 15:10:45 发布
阅读量158 收藏
点赞数
分类专栏: SpringSecurity Idea java 文章标签: java spring boot 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53092699/article/details/132556114
版权
java 同时被 3 个专栏收录
7 篇文章 0 订阅
订阅专栏
Idea
3 篇文章 0 订阅
订阅专栏
SpringSecurity
2 篇文章 0 订阅
订阅专栏

这方面我看相关教学视频不是太理解,于是打算写一篇加深以下理解。

目录

用户认证和用户授权

用户认证是指系统网站对用户密码和用户ID进行校验。
用户授权是指系统网站判断该用户是否有权限和角色执行某个操作。
二者说到底都是校验操作,只是校验的对象不同而已。

用户认证的方法

用户认证一般都是在配置类或是service层做的

  1. 在不查询数据库里用户表的情况下,只需要在配置类设置用户ID,密码,角色和加解密就行,配置如下:
public void configureGlobal(AuthenticationManagerBuilder authenticationManagerBuilder)throws Exception{
    BCryptPasswordEncoder encoder = new BCryptPasswordEncoder();
    authenticationManagerBuilder
            .inMemoryAuthentication()
            .withUser("root")
//              密码加密
            .password(encoder.encode("123456"))
//              授予权限
            .roles("manager")
            .and()
            .withUser("scott")
//              密码加密
            .password(encoder.encode("123456"))
            .roles("manager")
            .and()
//              设置解密规则
            .passwordEncoder(encoder);
 }
  1. 但是是在查询数据库的情况下就不能这么做了,需要在secvice层查询表并在配置类写入对于的密码编码器即可,代码如下:
@Autowired
//  配置类
public void configureGlobal(AuthenticationManagerBuilder authenticationManagerBuilder)throws Exception{
   BCryptPasswordEncoder encoder = new BCryptPasswordEncoder();
   authenticationManagerBuilder.userDetailsService(userService).passwordEncoder(encoder);
}

//  Service层
@Service
public class UserService implements UserDetailsService {
    @Autowired(required = false)
    UserMapper userMapper;

    @Override
//  重写通过用户名加载用户方法
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

        System.out.println("===loadUserByUsername===");
        QueryWrapper<Users> queryWrapper = new QueryWrapper<>();
//      把属性username的值注入queryWrapper中
        queryWrapper.eq("username", username);
//      调用sql方法,把queryWrapper注入到方法中
        Users users = userMapper.selectOne(queryWrapper);

//      用户授权:设置赋予角色(ROLE_)和赋予权限(admin)
        List<GrantedAuthority> auths = AuthorityUtils.commaSeparatedStringToAuthorityList("admin,ROLE_manager");

//      加入编译解密策略
        String encode = new BCryptPasswordEncoder().encode(users.getPASSWORD());
//      返回从数据库查询的用户名字,解密的密码,以及对应的权限分装成的用户
        return new User(users.getUsername(),encode,auths);
    }
}

用户授权的方法

检验用户角色和权利的方法有很多,下面我会一一列举

  1. 首先是在service层设置用户权利,
    代码如上,我就不再重复写了
  2. 再是启动类开启注解
//开启角色校验,以及所有校验
@EnableGlobalMethodSecurity(securedEnabled = true, prePostEnabled = true)

注解授权

controller层

    @RequestMapping("/test")
    @ResponseBody
//  @Secured({"ROLE_manager","ROLE_sale"})
//  启动类开启注解,利用注解分配角色,
//  判断是否拥有某个角色,如上注解意思是只有拥有如上角色其中一个就可以访问test,但注意,只有test
//  可在Service层设置赋予角色

//    @PreAuthorize("hasAuthority("")")
//    @PreAuthorize("hasAnyRole("")")
//    @PreAuthorize("hasAnyRole(new String[]{'',''})")
//    @PreAuthorize("hasAnyAuthority('manager')")
//    PreAuthorize注解综合所有角色权限注入场景,在方法执行前使用,
//    开启方法在@EnableGlobalMethodSecurity(),加入属性prePostEnabled=true即可
//    @PreAuthorize("hasAnyRole(new String[]{'manager','sale'})")

//    与之相反,@PostAuthorize是方法执行后(但在return执行前)进行校验,
//    如果具有对应角色权限,执行return,否则不执行,如果为空方法没有return,依旧可行
//    同上需开启prePostEnabled=true
//    适合验证带有返回值的权限,比如返回字符串了,json之类的
//    用法和@PreAuthorize类似
//    @PostAuthorize("hasAnyRole('manager1')")
    public void test(){
        System.out.println("===test===");
    }

配置类授权

配置类

@Bean
//  设定跳转逻辑和地址放行
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
    http
            .authorizeHttpRequests((auth) -> {
                try {
                    auth
                            .antMatchers("/test").hasAuthority("admin")

//                          设定跳转多个权限,只要有其中一个权限就能访问
                            .antMatchers("/test").hasAnyAuthority(new String[]{"admin,admin1"})

//                          设置角色只需拼ROLE_后面的,前面程序会自己接上
                            .antMatchers("/test").hasRole("manager")

//                          其他所有请求都需要验证
                            .anyRequest()
                            .authenticated()

                } catch (Exception e) {
                    throw new RuntimeException(e);
                }
                ;
            });

案例

具体案例如下:

  1. 项目图:
    在这里插入图片描述

  2. pom文件配置

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>
    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.7.14</version>
        <relativePath/> <!-- lookup parent from repository -->
    </parent>
    <groupId>com.zh</groupId>
    <artifactId>SpringSecurity</artifactId>
    <version>0.0.1-SNAPSHOT</version>
    <name>SpringSecurity</name>
    <description>SpringSecurity</description>
    <properties>
        <java.version>1.8</java.version>
    </properties>
    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
            <version>5.1.42</version>
        </dependency>
        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
            <optional>true</optional>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-test</artifactId>
            <scope>test</scope>
        </dependency>

        <dependency>
            <groupId>com.baomidou</groupId>
            <artifactId>mybatis-plus-boot-starter</artifactId>
            <version>3.5.3.2</version>
        </dependency>
    </dependencies>

    <build>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
                <configuration>
                    <excludes>
                        <exclude>
                            <groupId>org.projectlombok</groupId>
                            <artifactId>lombok</artifactId>
                        </exclude>
                    </excludes>
                </configuration>
            </plugin>
        </plugins>
    </build>

</project>
  1. yml文件配置
spring:
  datasource:
    driver-class-name: com.mysql.jdbc.Driver
    url: jdbc:mysql://localhost:3306/shirodp
    username: root
    password: 123456

mybatis-plus:
  configuration:
    log-impl: org.apache.ibatis.logging.stdout.StdOutImpl
    map-underscore-to-camel-case: false
  1. bean文件
package com.zh.springsecurity.bean;

import com.baomidou.mybatisplus.annotation.TableId;
import com.baomidou.mybatisplus.annotation.TableName;
import lombok.AllArgsConstructor;
import lombok.Data;
import lombok.NoArgsConstructor;

@Data
@AllArgsConstructor
@NoArgsConstructor
@TableName("users")
public class Users {
    @TableId("userid")
    private String userid;
    private String username;
    private String useraddr;
    private String userage;
    private String PASSWORD;
    private String password_salt;
    private String STATUS;
    private String remark;
}
  1. mapper层
package com.zh.springsecurity.mapper;

import com.baomidou.mybatisplus.core.mapper.BaseMapper;
import com.zh.springsecurity.bean.Users;

public interface UserMapper extends BaseMapper<Users> {
}
  1. service层
package com.zh.springsecurity.service;

import com.baomidou.mybatisplus.core.conditions.query.QueryWrapper;
import com.zh.springsecurity.bean.Users;
import com.zh.springsecurity.mapper.UserMapper;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.stereotype.Service;

import javax.management.Query;
import java.util.List;

@Service
public class UserService implements UserDetailsService {
    @Autowired(required = false)
    UserMapper userMapper;

    @Override
//  重写通过用户名加载用户方法
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

        System.out.println("===loadUserByUsername===");
        QueryWrapper<Users> queryWrapper = new QueryWrapper<>();
//      把属性username的值注入queryWrapper中
        queryWrapper.eq("username", username);
//      调用sql方法,把queryWrapper注入到方法中
        Users users = userMapper.selectOne(queryWrapper);

//      用户授权:设置赋予角色(ROLE_)和赋予权限(admin)
        List<GrantedAuthority> auths = AuthorityUtils.commaSeparatedStringToAuthorityList("admin,ROLE_manager");

//      加入编译解密策略
        String encode = new BCryptPasswordEncoder().encode(users.getPASSWORD());
//      返回从数据库查询的用户名字,解密的密码,以及对应的权限分装成的用户
        return new User(users.getUsername(),encode,auths);
    }
}
  1. controller层
package com.zh.springsecurity.controller;

import com.zh.springsecurity.bean.Users;
import jdk.internal.org.objectweb.asm.tree.analysis.Value;
import org.apache.catalina.User;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.access.annotation.Secured;
import org.springframework.security.access.prepost.PostAuthorize;
import org.springframework.security.access.prepost.PostFilter;
import org.springframework.security.access.prepost.PreAuthorize;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.ResponseBody;

import javax.sql.DataSource;
import java.util.ArrayList;
import java.util.List;

@Controller
public class TestController {

    @RequestMapping("/test")
    @ResponseBody
//  @Secured({"ROLE_manager","ROLE_sale"})
//  启动类开启注解,利用注解分配角色,
//  判断是否拥有某个角色,如上注解意思是只有拥有如上角色其中一个就可以访问test,但注意,只有test
//  可在Service层设置赋予角色

//    @PreAuthorize("hasAuthority("")")
//    @PreAuthorize("hasAnyRole("")")
//    @PreAuthorize("hasAnyRole(new String[]{'',''})")
//    @PreAuthorize("hasAnyAuthority('manager')")
//    PreAuthorize注解综合所有角色权限注入场景,在方法执行前使用,
//    开启方法在@EnableGlobalMethodSecurity(),加入属性prePostEnabled=true即可
//    @PreAuthorize("hasAnyRole(new String[]{'manager','sale'})")

//    与之相反,@PostAuthorize是方法执行后(但在return执行前)进行校验,
//    如果具有对应角色权限,执行return,否则不执行,如果为空方法没有return,依旧可行
//    同上需开启prePostEnabled=true
//    适合验证带有返回值的权限,比如返回字符串了,json之类的
//    用法和@PreAuthorize类似
//    @PostAuthorize("hasAnyRole('manager1')")
    public void test(){
        System.out.println("===test===");
    }

    @RequestMapping("/test1")
    @ResponseBody
//  @PostFilter必须在return返回值是一个集合的场景下执行
//  把集合元素进行过滤,把有角色权限设置的信息留下并返回

//  @PreFilter想反,只有在传入参数是集合的场景才能执行
//  @PreFilter在方法执行前对集合筛选,把有角色权限的留下
    @PostFilter(value = "filterObject.username == '小春'")
    public List<Users> test1(){
        List<Users> list = new ArrayList<>();
        Users user1 = new Users("1","小春","1","1","1","1","1","1");
        Users user2 = new Users("2","大春","2","2","2","2","2","2");
        list.add(user1);
        list.add(user2);
        System.out.println("===test1===---list:"+list.toString());
        return list;
    }

}
小航要快乐呀
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
狂神spring-security静态资源.zip
10-07
这个"狂神spring-security静态资源.zip"文件很可能包含了Spring Security的相关教程、代码示例或配置文件,帮助用户理解和学习如何在Spring应用中实现安全控制。下面我们将深入探讨Spring Security的核心概念、功能...
SPRINGSECURITY应用案例
03-14
Spring Security 提供了`AccessDecisionManager`和`AccessDecisionVoter`接口,允许你根据数据库中的角色和权限信息决定用户是否可以访问某个资源。你可以创建自定义的`AccessDecisionVoter`,在其中查询数据库以...
SpringSecurity授权
weixin_51992178的博客
10-23 1244
用户登录后会根据用户的身份进行角色划分,比如登录图书馆系统,一般就有管理员和普通学生等不同角色。用户的一个操作实际上就是在访问我们提供的`接口`(编写的对应访问路径的 Servlet),比如登陆,就需要调用`/login`接口,退出登陆就要调用/`logout`接口,因此,决定用户能否使用某个功能,只需要决定用户是否能够访问对应的 Servlet。
Spring security授权
ChatYU的博客
12-23 2991
基于角色的授权:以用户所属角色为基础进行授权,如管理员、普通用户等,通过为用户分配角色来控制其对资源的访问权限。基于资源的授权:以资源为基础进行授权,如 URL、方法等,通过定义资源所需的权限,来控制对该资源的访问权限。Spring Security 提供了多种实现授权的机制,最常用的是使用基于注解的方式,建立起访问资源和权限之间的映射关系。其中最常用的两个注解是@Secured和。@Secured注解是更早的注解,基于角色的授权比较适用,基于SpEL。
Spring Security(一)用户认证
最新发布
m0_74232531的博客
04-29 1596
Spring Security
SpringSecurity之权限方案——用户认证
ybb_ymm的专栏
04-14 502
前面我们讲解了一些关于SpringSecurity的基础知识及基本原理。我们今天看一下如何通过SpringSecurity实现一个简单的web权限认证方案!
SpringSecurity授权
小钟不想敲代码
05-28 5440
SpringSecurity授权
关于Spring Security用户认证授权实践
coder_jh的博客
06-29 359
以下是一篇关于Spring Security用户认证授权实践的技术博客。如果你使用的是Gradle,可以在导入依赖后,运行构建工具来下载并引入Spring Security库。
springsecurity,springmvc整合案例
03-02
这个案例中的"springsecurity"文件可能包含示例代码、配置文件、或者是一些帮助文档,这些资源将有助于理解上述整合过程。通过实际操作,开发者可以更深入地理解Spring SecuritySpring MVC的集成,并能灵活地应用...
基于springboot+springSecurity+jwt实现的基于token的权限管理的一个demo,适合新手
02-24
本示例项目——"基于springboot+springSecurity+jwt实现的基于token的权限管理的一个demo",旨在为新手提供一个易于理解的学习平台,来掌握如何在Spring Boot应用中实现用户认证授权。下面将详细介绍这个项目所...
spring-security-sample案例代码
08-10
这个"spring-security-sample"案例代码提供了一个实战教程,帮助开发者理解和应用Spring Security的核心概念。在这个项目中,我们将深入探讨Spring Security的基本配置、认证流程以及授权机制。 首先,Spring ...
Spring Security 如何实现身份认证授权
u013749113的博客
05-21 3005
Spring Security 是一个非常强大的安全框架,可以为 Spring Boot 应用提供完整的身份认证授权功能。本文介绍了 Spring Security 如何实现身份认证授权,并提供了示例代码。使用 Spring Security 可以非常方便地保护应用程序,防止恶意攻击和数据泄露。
SpringSecurity学习(七)授权
Huathy的博客
03-15 2073
SpringSecurity认证授权,基于URL的权限管理、基于方法的权限管理。权限表达式、授权原理分析。授权实战——权限模型
SpringSecurity用户认证
m0_62787705的博客
06-06 768
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。正如你可能知道的关于安全方面的两个核心功能是“认证”和“授权”,一般来说,Web 应用的安全性包括**用户认证(Authentication)和用户授权(Authorization)**两个部分,这两点也是 SpringSecurity 重要核心功能。
SpringSecurity授权功能快速上手
qq_53324833的博客
01-08 567
我们还希望在认证失败或者是授权失败的情况下security也能和我们的接口一样返回相同结构的json(即统一返回前端的json格式,code和msg还有data的那个类),这样可以让前端能对响应进行统一的处理。要实现这个功能我们需要知道SpringSecurity的异常处理机制。​在SpringSecurity中,如果我们在认证或者授权的过程中出现了异常会被ExceptionTranslationFilter捕获到。
Spring Security认证授权框架
赵广陆
01-20 2337
目录1 Spring Security介绍1.1 框架介绍1.2 认证授权实现思路2 第一个 Spring Security 项目2.1 导入依赖2.2 访问页面3 UserDetailsService 详解3.1 返回值3.2 方法参数3.3 异常4 创建spring security核心配置类5 创建认证授权相关的工具类6 创建认证授权实体类7 创建认证授权的filter 1 Spring Security介绍 1.1 框架介绍 Spring 是一个非常流行和成功的 Java 应用开发框架。S
SpringSecurity认证详解,保姆级教学_springsecurity认证流程(1)
2401_83974087的博客
04-18 660
PreAuthorize(“hasAnyAuthority(‘ADMIN’)”) //当前登录用户必须拥有ADMIN权限否则会抛出异常。//将认证结果保存到Security上下文中 让Security框架记住登录状态。.authorities(“权限”) //授权,授予当前登录用户有什么权限。.credentialsExpired(false)//登录凭证是否过去。//通过认证管理器启动Security认证流程 返回认证结果对象。//当前登录对象 从Security得到当前登录的用户信息。
SpringSecurity认证详解,保姆级教学_springsecurity认证流程
2401_84103386的博客
04-04 2397
目的:默认的UserDetails里面只有用户用户名, 没有其它的信息如果需要用到类似id和nickname等信息的话需要自定义UserDetails@Getter@ToStringthis.id=id;SpringSecurity框架默认开启了跨域攻击的防护,通过携带CSRF token对请求进行判断.因为现在都是前后端分离架构,客户端发出的请求都是异步请求,不存在form表单,所以不存在跨域攻击的问题,通过以下代码关闭跨域攻击,否则请求受限。
spring security认证过程详解
欢迎来到【战羽】的博客
11-15 1013
spring security 主要有两大功能,即认证授权 1、security是如何认证账号的: 验证逻辑实现是在类AbstractUserDetailsAuthenticationProvider,此类实现了接口AuthenticationProvider的接口方法 Authentication authenticate(Authentication authentication) thr...
Spring Security认证授权,对用户操作权限进行管理
05-12
是的,Spring Security 是一个强大的安全框架,可以用来管理用户身份认证授权。在 Spring Security 中,可以使用多种方式对用户进行认证,比如基于用户名和密码的认证、基于 OAuth2 的认证等等。一旦用户通过认证...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小航要快乐呀

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值