SpringBoot整合Security权限控制

最新推荐文章于 2024-08-02 23:54:15 发布
最新推荐文章于 2024-08-02 23:54:15 发布
阅读量805 收藏 5
点赞数 2
分类专栏: security 文章标签: spring boot java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/smx_yms/article/details/106305542
版权

一、环境搭建

1、环境参数

spring-boot 2.2.7
lombok 1.18.10
mybatis-plus 3.3.1

2、maven依赖

pom.xml

	<dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
            <exclusions>
                <exclusion>
                    <groupId>org.junit.vintage</groupId>
                    <artifactId>junit-vintage-engine</artifactId>
                </exclusion>
            </exclusions>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
            <version>1.18.10</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
            <version>5.1.47</version>
        </dependency>
        <dependency>
            <groupId>com.baomidou</groupId>
            <artifactId>mybatis-plus-boot-starter</artifactId>
            <version>3.3.1.tmp</version>
        </dependency>
3、创建springboot项目,并导入pom.xml依赖

项目结构
在这里插入图片描述

启动类
@SpringBootApplication
@MapperScan("com.springboot.security.mapper")
public class SpringbootSecurityApplication {

    public static void main(String[] args) {
        SpringApplication.run(SpringbootSecurityApplication.class, args);
    }
}

二、config配置

1、WebSecurityConfig配置
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private CustomUserDetailService customUserDetailService;

    @Autowired
    private CustomAuthenticationFailureHandler customAuthenticationFailureHandler;

    @Autowired
    private CustomAuthenticationSuccessHandler customAuthenticationSuccessHandler;

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(customUserDetailService).passwordEncoder(new BCryptPasswordEncoder());
    }


    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()
                .authorizeRequests()
                .anyRequest()
                .authenticated()
                .and()
                .formLogin()
                .loginPage("/login")
                .defaultSuccessUrl("/")
                .permitAll()
                .successHandler(customAuthenticationSuccessHandler)
                .failureHandler(customAuthenticationFailureHandler)
                .and()
                .logout()
                .permitAll();
    }

    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring().antMatchers("/css/**","/js/**");
    }
}
2、CustomUserDetailService
@Service("userDetailsService")
public class CustomUserDetailService implements UserDetailsService {

    @Autowired
    private ISysUserService sysUserService;

    @Autowired
    private ISysUserRoleService sysUserRoleService;

    @Autowired
    private ISysRoleService sysRoleService;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        Collection<GrantedAuthority> authorities = new ArrayList<>();
        QueryWrapper userWrapper = new QueryWrapper();
        userWrapper.eq("name",username);
        List<SysUser> users = sysUserService.list(userWrapper);
        if(users == null || users.size() == 0){
            throw new RuntimeException("该用户不存在");
        }
        SysUser sysUser = users.get(0);
        QueryWrapper userRoleWrapper = new QueryWrapper();
        userRoleWrapper.eq("user_id",sysUser.getId());
        List<SysUserRole> list = sysUserRoleService.list(userRoleWrapper);
        if(list == null && list.size() == 0){
           return new User(username,sysUser.getPassword(),authorities);
        }

        List<Integer> roleIds = list.stream().map(SysUserRole::getRoleId).collect(Collectors.toList());
        for(Integer roleId : roleIds){
            SysRole sysRole = sysRoleService.getById(roleId);
            authorities.add(new SimpleGrantedAuthority(sysRole.getName()));
        }
        return new User(username,sysUser.getPassword(),authorities);
    }

}
3、CustomAuthenticationFailureHandler

登录认证失败

@Slf4j
@Component
public class CustomAuthenticationFailureHandler implements AuthenticationFailureHandler {

    @Autowired
    private ObjectMapper objectMapper;

    @Override
    public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException exception) throws IOException, ServletException {
        log.info("用户登录失败");
        response.setStatus(HttpStatus.INTERNAL_SERVER_ERROR.value());
        response.setContentType("application/json;charset=UTF-8");
        response.getWriter().write(objectMapper.writeValueAsString(exception.getMessage()));
    }
}
4、CustomAuthenticationSuccessHandler

登录认证成功

@Slf4j
@Component
public class CustomAuthenticationSuccessHandler implements AuthenticationSuccessHandler {

    @Override
    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
        log.info("用户{}登录成功",authentication.getName());
        response.sendRedirect("/");
    }
}
5、init

springboot启动时,初始化容器时会执行,有没有这个都行

@Slf4j
@Component
public class Init implements ApplicationListener<WebServerInitializedEvent> {
    @Override
    public void onApplicationEvent(WebServerInitializedEvent event) {
        log.info("init=========={}", LocalDateTime.now());
    }
}
6、application.yml配置
server:
  port: 9000

spring:
  datasource:
    driver-class-name: com.mysql.jdbc.Driver
    url: jdbc:mysql://127.0.0.1:3306/springboot-test?serverTimeZone=GMT+8&useUnicode=true&characterEncoding=utf-8&useSSL=false
    username: root
    password: xxx

三、业务逻辑代码

1、LoginController
@Slf4j
@Controller
public class LoginController {

    @RequestMapping("/")
    public String show(Model model){
        Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
        String name = authentication.getName();
        model.addAttribute("name",name);
        return "show.html";
    }

    @RequestMapping("/login")
    public String showLogin(){
        return "login.html";
    }

    @RequestMapping("/admin")
    @ResponseBody
    @PreAuthorize("hasRole('ROLE_ADMIN')")
    public String checkAdmin(){
        return "该用户具有ROLE_ADMIN角色";
    }

    @RequestMapping("/user")
    @ResponseBody
    @PreAuthorize("hasRole('ROLE_USER')")
    public String checkUser(){
        return "该用户具有ROLE_USER角色";
    }
}
2、SysUser
pojo
@Data
public class SysUser {
    private Integer id;
    private String name;
    private String password;
}
service
public interface ISysUserService extends IService<SysUser> {
}

@Service("sysuserservice")
public class SysUserServiceImpl extends ServiceImpl<SysUserMapper, SysUser> implements ISysUserService {
}
mapper
@Mapper
public interface SysUserMapper extends BaseMapper<SysUser> {
}
3、SysRole
pojo
@Data
public class SysRole {
    private Integer id;
    private String name;
}
service
public interface ISysRoleService extends IService<SysRole> {
}

@Service("sysroleservice")
public class SysRoleServiceImpl extends ServiceImpl<SysRoleMapper, SysRole> implements ISysRoleService {
}
mapper
@Mapper
public interface SysRoleMapper extends BaseMapper<SysRole> {
}
4、SysUserRole
pojo
@Data
public class SysUserRole {
    private Integer userId;
    private Integer roleId;
}
service
public interface ISysUserRoleService extends IService<SysUserRole> {
}

@Service("sysuserroleservice")
public class SysUserRoleServiceImpl extends ServiceImpl<SysUserRoleMapper, SysUserRole> implements ISysUserRoleService {
}
mapper
@Mapper
public interface SysUserRoleMapper extends BaseMapper<SysUserRole> {
}
5、login.html
<!DOCTYPE html>
<html lang="en">
	<head>
		<meta charset="UTF-8">
		<title>用户登录</title>
	</head>
	<body>
		<h1>用户登录</h1>
		<form method="post" action="/login">
			<div>
				用户名:<input type="text" name="username" />
			</div>
			<div>
				密码:<input type="password" name="password" />
			</div>
			<div>
				<button type="submit">登录</button>
			</div>
		</form>
	</body>
</html>
6、show.html
<!DOCTYPE html>
<html lang="en">
	<head>
		<meta charset="UTF-8">
		<title>角色验证</title>
	</head>
	<body>
		<h1>登录成功</h1>
		<div>
			<a href="/admin">检测ROLE_ADMIN角色</a>
		</div>
		<div>
			<a href="/user">检测ROLE_USER角色</a>
		</div>
		<div>
			<button onclick="window.location.href='/login'">退出登录</button>
		</div>
	</body>
</html>

四、数据库

1、sys_user表
CREATE TABLE `sys_user` (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `name` varchar(255) NOT NULL,
  `password` varchar(255) NOT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=3 DEFAULT CHARSET=utf8;
2、sys_role表
CREATE TABLE `sys_role` (
  `id` int(11) NOT NULL,
  `name` varchar(255) NOT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;
3、sys_user_role
CREATE TABLE `sys_user_role` (
  `user_id` int(11) NOT NULL,
  `role_id` int(11) NOT NULL,
  PRIMARY KEY (`user_id`,`role_id`),
  KEY `fk_role_id` (`role_id`),
  CONSTRAINT `fk_role_id` FOREIGN KEY (`role_id`) REFERENCES `sys_role` (`id`) ON DELETE CASCADE ON UPDATE CASCADE,
  CONSTRAINT `fk_user_id` FOREIGN KEY (`user_id`) REFERENCES `sys_user` (`id`) ON DELETE CASCADE ON UPDATE CASCADE
) ENGINE=InnoDB DEFAULT CHARSET=utf8;
4、初始化SQL
INSERT INTO `sys_user`(`id`, `name`, `password`) VALUES (1, 'admin', '$2a$06$Vbtkylrumz6/ozMVE4x0Xuh7yCycKrhZGYrYjY2ejF3CudNhZImjO');
INSERT INTO `sys_user`(`id`, `name`, `password`) VALUES (2, 'zhangsan', '$2a$06$Vbtkylrumz6/ozMVE4x0Xuh7yCycKrhZGYrYjY2ejF3CudNhZImjO');

INSERT INTO `sys_role`(`id`, `name`) VALUES (1, 'ROLE_ADMIN');
INSERT INTO `sys_role`(`id`, `name`) VALUES (2, 'ROLE_USER');

INSERT INTO `sys_user_role`(`user_id`, `role_id`) VALUES (1, 1);
INSERT INTO `sys_user_role`(`user_id`, `role_id`) VALUES (2, 2);

五、启动测试

登录页面

在这里插入图片描述
用户 admin 密码 123456
用户 zhangsan 密码 123456

登录成功以后

在这里插入图片描述
admin具有 admin角色
zhangsan具有user角色

源码下载

源码地址

smx_yms
关注
专栏目录
SpringBoot整合权限控制SpringSecurity.docx
12-10
总结来说,SpringBoot整合SpringSecurity提供了全面的权限控制,而Element UI的多标签页组件则优化了前端用户界面,使得在后台管理系统中可以轻松地在多个功能页面之间切换。这种结合使用的方式不仅提升了系统的安全...
SpringBoot2.6 + SpringSecurity 分离版
普通人一枚
03-10 3556
SpringBoot2.6+SpringSecurity(前后端分离版)
springboot集成springsecurity
weixin_44846436的博客
11-28 386
5、集成springsecurity 1、整合springsecurity 添加pom.xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 2、springsecurity认证授权流程
Spring Boot】配置 Spring Security
最新发布
书山有路,学海无涯。记录成长,追逐梦想
08-02 2223
Spring Security 提供了声明式的安全访问控制解决方案(仅支持基于 Spring 的应用程序),对访问权限进行认证和授权,它基于 Spring AOP 和 Servlet 过滤器,提供了安全性方面的全面解决方案。
SpringBoot整合SpringSecurity详细教程(实战开发讲解)
weixin_50249953的博客
02-07 9033
今天小编使用到了SpringBoot+SpringSecurity进行公司项目开发,之前使用到项目都是采用xml配置来整合SpringSecurity,对于第一次使用SpringBoot整合SpringSecurity也是比较陌生,过程中也是遇到各种各样的问题,在CSDN的知识海洋中遗留的相关的整合教程也是五花八门,找一篇完整的教程简直像是大海捞针,so,小编决定亲自挥笔,整顿这种低质量博文
Spring Boot-搭建SpringSecurity(保姆级别)
2301_82242204的博客
04-09 3167
看完美团、字节、腾讯这三家的一二三面试问题,是不是感觉问的特别多,可能咱们真的又得开启面试造火箭、工作拧螺丝的模式去准备下一次的面试了。开篇有提及我可是足足背下了Java互联网工程师面试1000题,多少还是有点用的呢,换汤不换药,不管面试官怎么问你,抓住本质即可!能读到此处的都是真爱Java互联网工程师面试1000题。
SpringBoot学习(五)-Spring Security配置与应用
小孔靠得住的博客
01-06 1564
Spring Security是一个基于Java的开源框架,用于在Java应用程序中提供身份验证和授权功能。它是Spring框架的一部分,可以与Spring应用程序集成,为应用程序提供安全性。
springboot springsecurity动态权限控制
09-18
在这个“springboot springsecurity动态权限控制”的主题中,我们将深入探讨如何在Spring Boot项目中集成Spring Security,实现动态权限控制,让菜单权限的管理更加灵活和高效。 首先,我们需要理解Spring Security...
springboot整合Security、OAuth2实现权限控制
09-24
在本教程中,我们将探讨如何将Spring BootSpring Security和OAuth2结合,实现在分布式系统中的权限控制,并利用Redis存储认证和授权信息。 首先,Spring SecuritySpring生态中的核心安全组件,它提供了全面的...
springboot整合Security框架,实现用户权限管理
06-25
SpringBoot2整合 1、流程描述 1)、三个页面分类,page1、page2、page3 2)、未登录授权都不可以访问 3)、登录后根据用户权限,访问指定页面 4)、对于未授权页面,访问返回403:资源不可用 2、核心依赖 <groupId>org...
springboot整合security例子
12-13
在"springboot整合security例子"中,可能包含以下步骤: 1. **引入依赖**:在Spring Boot项目中,你需要在`pom.xml`文件中引入Spring Security的依赖,以便可以使用其提供的各种服务和组件。 2. **配置Security**...
SpringBoot集成Security,前后端分离的SecurityConfig配置
qq_41910048的博客
03-20 8138
前后端分离下保持状态是个问题,但是我这里不涉及分布式,所以用不上JWT,JWT根据项目情况来决定是否使用. Authentication对象会记录用户的状态,所以不用定义一个token,从Authentication中 getAuthorities方法获取用户的状态 如果使用JWT来保持状态的话,就在拦截器上对token进行解码判断就行 先贴上Model代码: pac...
Springboot整合SpringSecurity实现登录认证和鉴权
weixin_44068320的博客
08-12 9867
springboot整合springsecurity实现用户登录认证和鉴权
Spring Boot 安全框架 Spring SecuritySecurityConfig配置,以及配置权限控制会使用到的方法,BCrypt加密使用,放行静态资源
写给秋天信
01-12 2470
SecurityConfig.java package com.shuang.config; import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springfr
五分钟带你玩转SpringSecurity(三)常见又陌生
AK774S的博客
05-03 224
它们的关系 :用户表与角色表是 多对多关系 ,角色表与资源表是多对多关系。 用户角色关系表(sys_user_user):用于维护用户和角色的关系 角色资源关系表(sys_access):用于维护角色与资源的关系 mysql脚本 DROP TABLE IF EXISTS sys_permission; CREATE TABLE sys_permission ( id bigint(20) NOT NULL AUTO_INCREMENT COMMENT ‘权限 ID’, parent_id bigint(2
SpringSecurity】六、基于数据库的认证与授权
llg___的博客
08-28 419
新建安全用户类,继承UserDetails,并和库里的SysUser类做转换。(注意这种思路两个类之间做转换,一个类做为属性定义在另一个类中)如果能在数据库查到这个用户,就将他包装成UserDetails的格式返给框架。到此,实现了将基于数据库自定义的SysUser对象和返给框架的UserDetails对象做了关联。修改上面定义的SecurityUser类,加入权限。新增属性并加Set方法。mapper目录下新建映射文件SysUserMapper.xml。此时用户是可以正常登录的。
Springboot 整合Shiro 轻量级权限框架,从数据库设计开始带你快速上手shiro
默默不代表沉默
04-26 2517
前言 shiro是一个轻量级的权限框架,该篇我将会从0到1快速教大家搭建出一套包含角色,权限登录校验的项目。 就算你没了解过,也能学会。跟着我把代码敲一遍,这个项目就是属于你的。 该篇文章比较啰嗦,篇幅较长,如果不是入门的初学者大可不必从头开始阅读(我一般的教程都会以从零开始的方式,所以都比较啰嗦)。 正文 数据库的准备(Mysql): 在这是实践的案例里面,数据库表三...
[3天速成Spring Security] - 04 Spring Security安全配置简介
Jack汪喆的技术分享栏
10-07 476
我们
SpringBoot+Security+Vue前后端分离开发权限管理系统
04-10
适用人群所有的IT从业者,尤其适合快速掌握新技术,快速增长工作经验人群,对教育公平,教育公益,教育爱心公益人士课程概述该互联网实战项目是基于 Spring Boot 2+ SpringSecurity5+Element UI+Vue Admin Template+蚂蚁可视化AntV 等技术栈开发的项目,采用分布式,多模块,前后端分离开发。包括图形展示、权限管理、用户管理等功能。【后端技术】技术说明Spring Boot2MVC框架 开发的一站式解决方案Spring Security5 认证和授权框架MyBatisPlus3.3.1 基于 MyBatis 框架的快速研发框架MyBatisCode工具生成 MyBatis 相关代码Jackson提供了处理 JSON 数据的工具Lombok简化对象封装工具 Druid   数据库连接池 【前端技术】Vue       互联网最火的前端框架Vue Router路由框架Vuex全局状态管理框架Axios前端 HTTP 框架Element UI前端 UI 框架Vue Element Admin前端模板Antv  蚂蚁金服可视化技术,阿里巴巴可视化技术,天猫,淘宝,支付宝,花呗均使用AntV【开发工具】IntelliJ IDEA开发 IDESQLyog数据库连接客户端PostmanHTTP 请求工具【开发环境】工具版本JDK1.8MySQL5.7
SpringBoot整合SpringSecurity权限控制 详情用法
04-04
Spring BootSpring Security是一对好朋友,Spring Boot提供了强大的自动配置和快速开发的能力,而Spring Security则提供了完整的安全解决方案,可以实现用户认证、授权、安全过滤等功能。本文将介绍如何在Spring Boot整合Spring Security实现权限控制。 1. 添加Spring Security依赖 在pom.xml文件中添加以下依赖: ``` <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> ``` 2. 配置Spring SecuritySpring Boot中,可以通过application.properties或application.yml文件配置Spring Security。以下是一个简单的配置: ``` spring.security.user.name=admin spring.security.user.password=123456 spring.security.user.roles=ADMIN ``` 这个配置定义了一个用户名为admin,密码为123456,角色为ADMIN的用户。在实际应用中,应该将用户名和密码存储在数据库或其他安全存储中。 3. 创建SecurityConfig类 创建一个继承自WebSecurityConfigurerAdapter的SecurityConfig类,并重写configure方法: ``` @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/", "/home").permitAll() .anyRequest().authenticated() .and() .formLogin() .loginPage("/login") .permitAll() .and() .logout() .permitAll(); } @Autowired public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { auth .inMemoryAuthentication() .withUser("admin").password("{noop}123456").roles("ADMIN"); } } ``` configure方法定义了应用程序的安全策略,这里配置了所有请求都需要认证(即登录)才能访问,除了首页和登录页,这两个页面可以匿名访问。formLogin方法配置了自定义的登录页面,logout方法配置了退出登录的操作。 configureGlobal方法定义了一个内存中的用户,用户名为admin,密码为123456,角色为ADMIN。在实际应用中,应该将用户信息存储在数据库或其他安全存储中。 4. 创建登录页面 在templates目录下创建一个名为login.html的登录页面,例如: ``` <!DOCTYPE html> <html> <head> <title>Login Page</title> </head> <body> <h1>Login Page</h1> <div th:if="${param.error}"> Invalid username and password. </div> <div th:if="${param.logout}"> You have been logged out. </div> <form th:action="@{/login}" method="post"> <div> <label>Username:</label> <input type="text" name="username" /> </div> <div> <label>Password:</label> <input type="password" name="password" /> </div> <div> <button type="submit">Login</button> </div> </form> </body> </html> ``` 5. 运行应用程序 在浏览器中访问http://localhost:8080/login,输入用户名admin和密码123456,即可登录成功。如果输入错误的用户名或密码,则会提示“Invalid username and password.”。如果成功登录后再访问http://localhost:8080/home,则可以看到“Welcome home!”的欢迎消息。 6. 实现权限控制 上面的例子中只实现了登录认证,没有实现权限控制。下面介绍如何实现权限控制。 首先需要在configureGlobal方法中添加更多的用户和角色: ``` @Autowired public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { auth .inMemoryAuthentication() .withUser("admin").password("{noop}123456").roles("ADMIN") .and() .withUser("user").password("{noop}password").roles("USER"); } ``` 这里定义了一个管理员用户和一个普通用户,分别拥有ADMIN和USER两个角色。 然后在configure方法中添加更多的安全策略: ``` @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/", "/home").permitAll() .antMatchers("/admin/**").hasRole("ADMIN") .anyRequest().authenticated() .and() .formLogin() .loginPage("/login") .permitAll() .and() .logout() .permitAll(); } ``` 这里添加了一个安全策略,即/admin/**路径需要拥有ADMIN角色才能访问。 现在管理员用户可以访问/admin/**路径,而普通用户则不能访问。如果普通用户尝试访问/admin/**路径,则会提示“Access is denied”。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值