Spring Boot Security配置用户认证和资源授权(URL与角色)

已于 2023-08-04 16:31:45 修改
阅读量1k 收藏
点赞数
分类专栏: # SpringCloud 文章标签: spring boot java 前端
于 2022-09-11 12:24:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/swg321321/article/details/126777169
版权

用户认证

认证是指,用户是否在本系统,以及账号信息是否符合设定的预期。

查询用户(UserDetailsService)

实现UserDetailsService接口,根据用户名称,查询用户信息。可实现自定义查询用户,并设置用户的角色信息。

实现了该接口,需要到配置对应的密码加密类已实现对用户密码的校验。因前端输入的密码是未加密,而数据库保存的密码是已加密的。

@Service
public class CustomerUserDetailsService implements UserDetailsService {
    //密码加密类
	@Autowired
    private PasswordEncoder passwordEncoder;
    //加载用户信息
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        CustomerUserDetails userDetails = new CustomerUserDetails();
        userDetails.setUsername("user");
        userDetails.setPassword(passwordEncoder.encode("123123"));
        userDetails.setEnable(true);
        userDetails.setAuthorities(Collections.emptySet());
        userDetails.setAccountNonExpired(true);
        userDetails.setAccountNonLocked(true);
        userDetails.setCredentialsNonExpired(true);
        return userDetails;
    }

      /**
     * 根据用户名,返回用户角色
     */
    private Collection<? extends GrantedAuthority> loadRoleByUsername(String username){
        Collection<SimpleGrantedAuthority> collection = new HashSet<>();
        //测试数据
        if("admin".equals(username)) {
            collection.add(new SimpleGrantedAuthority("ADMIN"));
        }else {
            collection.add(new SimpleGrantedAuthority(username));
        }
        return collection;
    }

    /**
     * 角色信息可以参考SimpleGrantedAuthority类
     * 根据用户名, 返回用户组角色
     */
    private void loadGroupRoleByUsername(String username){

    }
}

用户信息(UserDetails)

只需要实现UserDetails接口即可,自定义参数不需要和接口调用类保持一致(set/get)但最好保持一致,该接口是UserDetailsService接口中返回参数。

public class CustomerUserDetails implements UserDetails {
    //用户密码
    private String password;
    //用户名
    private String username;
    //用户角色信息
    private Collection<? extends GrantedAuthority> authorities;
    //启用
    private boolean enable;
    //认证未过期
    private boolean credentialsNonExpired;
    //账号未锁定
    private boolean accountNonExpired;
    //账号未锁定
    private boolean accountNonLocked;
    
   
    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return this.authorities;
    }

    @Override
    public String getPassword() {
        return this.password;
    }

    @Override
    public String getUsername() {
        return this.username;
    }

    @Override
    public boolean isAccountNonExpired() {
        return this.accountNonExpired;
    }

    @Override
    public boolean isAccountNonLocked() {
        return this.accountNonLocked;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return this.credentialsNonExpired;
    }

    @Override
    public boolean isEnabled() {
        return this.enable;
    }

    public void setPassword(String password) {
        this.password = password;
    }

    public void setUsername(String username) {
        this.username = username;
    }

    public void setAuthorities(Collection<? extends GrantedAuthority> authorities) {
        this.authorities = authorities;
    }

    public boolean isEnable() {
        return enable;
    }

    public void setEnable(boolean enable) {
        this.enable = enable;
    }

    public void setCredentialsNonExpired(boolean credentialsNonExpired) {
        this.credentialsNonExpired = credentialsNonExpired;
    }

    public void setAccountNonExpired(boolean accountNonExpired) {
        this.accountNonExpired = accountNonExpired;
    }

    public void setAccountNonLocked(boolean accountNonLocked) {
        this.accountNonLocked = accountNonLocked;
    }
}

安全配置(WebSecurityConfigurerAdapter)

因使用密码加密类,加密了密码,需要在配置中配置密码类。

@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Bean
    //设置密码加密类
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }
}

资源认证

资源认证,一般是基于URL与角色的认证。
需要自己定义

安全数据元(FilterInvocationSecurityMetadataSource)

通过数据库定义,URL和角色的授权关系。在将数据加入的缓存中已减少多次读取的问题。

设计的时候:

  1. 如果只是需要登录即可访问的资源,可以设计一个角色,在用户注册时候就授予这个角色。
  2. 如果需要指定角色,则需要URL和角色一一对应。
/**
 * 访问决策需要访问的资源
 */
@Component
public class CustomerFilterInvocationSecurityMetadataSource implements FilterInvocationSecurityMetadataSource {
    private AntPathMatcher antPathMatcher = new AntPathMatcher();

    private Map<String,Collection<ConfigAttribute>> urlAndRoles = new HashMap<>();

    /** 不校验即可请求 */
    private String[] permitAllUrl;

    /** 所有角色 */
    private List<SecurityConfig> roles = new ArrayList<>();

    /** 无角色Spring生成的角色名称*/
    private SecurityConfig  defaultRole = new SecurityConfig("ROLE_ANONYMOUS");

    public void defaultAttributes(String... attributes){
        this.permitAllUrl = attributes;
        refresh();
    }

    public void refresh(){
        for(String attribute : permitAllUrl){
            Collection<ConfigAttribute> collection = new HashSet<>();
            collection.add(defaultRole);
            collection.addAll(roles);
            urlAndRoles.put(attribute,collection);
        }
    }
    
    @Override
    public Collection<ConfigAttribute> getAttributes(Object object) throws IllegalArgumentException {
        String url = ((FilterInvocation) object).getRequestUrl();
        int index = url.indexOf("?");
        if(index != -1){
            url = url.substring(0,index);
        }
        Collection<ConfigAttribute> collection = getRoleByUrl(url);
        //如果为空,则不进行校验
        if(collection.isEmpty()){

        }
        return collection;
    }

    @Override
    public Collection<ConfigAttribute> getAllConfigAttributes() {
        Set<ConfigAttribute> allAttributes = new HashSet<>();
        return allAttributes;
    }

    /**
     * 获取请求路径的角色
     *
     */
    public Collection<ConfigAttribute> getRoleByUrl(String url) {
        //收集 匹配到路径的角色
        Collection<ConfigAttribute> collection = new HashSet<>();
        //获取路径和角色的资源,一般放在缓存中
        Iterator<String> iterator = urlAndRoles.keySet().iterator();
        //这个角色是方便测试加入的,
        collection.add(new SecurityConfig("ADMIN"));
        while (iterator.hasNext()){
            String matchUrl = iterator.next();
            if(this.antPathMatcher.match(matchUrl,url)){
                Collection<ConfigAttribute> matchCollection = urlAndRoles.get(matchUrl);
                collection.addAll(matchCollection);
            }
        }
        return collection;
    }
    /**
     * 是否支持
     */
    @Override
    public boolean supports(Class<?> clazz) {
        return FilterInvocation.class.isAssignableFrom(clazz);
    }

}

访问决策管理

在获取URL对应的角色时,会将用户的角色和获取的角色进行比较,查看用户是否有权限访问。

/**
 * 访问决策管理
 * 讲通过URL获取到对应授权的角色,和当前用户拥有角色进行比较。  查看是否拥有请求当前资源权限
 */
@Component
public class CustomerAccessDecisionManager implements AccessDecisionManager {
    protected final Log logger = LogFactory.getLog(getClass());
    //一般进行角色校验

    @Override
    public void decide(Authentication authentication, Object object, Collection<ConfigAttribute> configAttributes) throws AccessDeniedException, InsufficientAuthenticationException {
        Iterator<ConfigAttribute> iterator = configAttributes.iterator();
        logger.info("decide");
        while (iterator.hasNext()){
            ConfigAttribute attribute = iterator.next();
            for(GrantedAuthority ga : authentication.getAuthorities()){
                if(attribute.getAttribute().equals(ga.getAuthority())){
                    return;
                }
            }

        }
        //返回访问拒绝信息
       throw new AccessDeniedException("Access reject!");
    }

    @Override
    public boolean supports(ConfigAttribute attribute) {
        return true;
    }

    @Override
    public boolean supports(Class<?> clazz) {
        return true;
    }
}

安全拦截器(FilterSecurityInterceptor)

需要继承FilterSecurityInterceptor类,在这里设置安全元数据、访问决策管理。如果不需要的访问,可以通过重写进行覆盖父类的方法。

@Component
public class CustomerFilterSecurityInterceptor extends FilterSecurityInterceptor {

	//初始化方法,加载访问决策管理,和安全元数据
	/**
    @PostConstruct
    public void init(){
        logger.info("init info");
        super.setSecurityMetadataSource(new CustomerFilterInvocationSecurityMetadataSource());
        super.setAccessDecisionManager(new CustomerAccessDecisionManager());
    }
*/
	@Autowired
	@Override
	//自动注入自定义安全元数据
	public void setSecurityMetadataSource(FilterInvocationSecurityMetadataSource source){
   		super.setSecurityMetadataSource(source);
	}
	@Autowired
	@Override
	//自动注入自定义访问决策
	public void setAccessDecisionManager(AccessDecisionManager accessDecisionManager){
   		super.setAccessDecisionManager(accessDecisionManager);
	}
    /**
     * 这一步可以不重写,使用系统自带的方法,如果不需要或是没有配置那些功能,则可以重写为自己想要的功能
     */
    @Override
    public void invoke(FilterInvocation fi) throws IOException, ServletException {
        logger.info("invoke");
        InterceptorStatusToken token = beforeInvocation(fi);
        try {
            fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
        }
        finally {
            super.finallyInvocation(token);
        }
        super.afterInvocation(token, null);
    }
}

安全配置(WebSecurityConfigurerAdapter)

在用户认证,安全配置类中加入,安全拦截器功能

/**
 * 配置类
 */
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    protected final Log logger = LogFactory.getLog(getClass());
    @Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }
    @Override
    public void configure(WebSecurity web) throws Exception {
        logger.info("configure(WebSecurity web)");
        //web.securityInterceptor(new CustomerFilterSecurityInterceptor());
         web.securityInterceptor(this.getApplicationContext().getBean(FilterSecurityInterceptor.class));
    }
}

第二种配置方法
无需创建FilterSecurityInterceptor 

@Override
public void init(WebSecurity web) throws Exception {
    HttpSecurity http = this.getHttp();
    web.addSecurityFilterChainBuilder(http).postBuildAction(() -> {
        FilterSecurityInterceptor securityInterceptor = (FilterSecurityInterceptor)http.getSharedObject(FilterSecurityInterceptor.class);
        AccessDecisionManager accessDecisionManager = this.getApplicationContext().getBean(AccessDecisionManager.class);
        CustomerFilterInvocationSecurityMetadataSource securityMetadataSource = this.getApplicationContext().getBean(CustomerFilterInvocationSecurityMetadataSource.class);
        securityMetadataSource.defaultAttributes("/login/**","/oauth/**","/test/**"); //不需要认证
        securityInterceptor.setSecurityMetadataSource(securityMetadataSource);
        securityInterceptor.setAccessDecisionManager(accessDecisionManager);
        System.out.println("执行时间init");
        web.securityInterceptor(securityInterceptor);
    });
}

/**
 * 配置HTTP安全信息
 * 主要是请求路径的允许
 */
@Override
public void configure(HttpSecurity http) throws Exception {
    http.formLogin().permitAll()
            .and().authorizeRequests()
            .anyRequest().authenticated() //任何请求都需要认证
            .and().csrf().disable() //关闭csrf
            .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.IF_REQUIRED);
}
swg321321
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Springboot +spring security,基于多种方式配置登录用户:memory、jdbc、MyBatis
weixin_40991408的博客
05-21 607
Springboot +spring security,基于多种方式配置登录用户:memory、jdbc、MyBatis
SpringBoot + SpringSecurity + JPA 实现用户角色权限登录认证
09-10
本项目结合了SpringBootSpringSecurity以及JPA(Java Persistence API),实现了用户角色权限的登录认证功能。以下是关于这些技术及实现过程的详细讲解。 1. **SpringBoot**:SpringBoot简化了Spring应用的初始...
SpringBoot+SpringSecurity+JWT实现认证授权
热门推荐
oyc的博客
01-17 5万+
一、背景: 在 B/S 系统中,登录功基本都是依靠 Cookie 来实现的,用户登录成功之后主要需要客户端和服务端完成以下两项工作: (1)服务端将登录状态记录到 Session 中,或者签发Token; (2)客户端利用Cookie保存于服务端对应的 Session ID 或 Token。之后每次请求都会带上Cookie信息(包含Session ID或者Token),当服务端收到请求后,通过验证 Cookie 中的信息来判断用户是否登录 。 单点登录:单点登录(Single Sign On, S.
使用Spring Boot实现用户认证授权
最新发布
Easonmax的博客
06-22 851
Spring Boot是一个基于Spring框架的开源项目,旨在通过简化配置和快速开发,帮助开发者构建独立、生产级的Spring应用。Spring Boot通过自动化配置、内嵌服务器和多样化的配置方式,使得开发者能够更加专注于业务逻辑,而不需要花费大量时间在繁琐的配置上。Spring SecuritySpring框架的一个子项目,提供了全面的安全服务支持。Spring Security通过高度可扩展的安全机制,简化了用户认证授权的实现。定义用户实体类和角色实体类,并配置JPA注解。
SpringBoot整合Spring Security实现用户角色验证以及权限控制
爱吃鸡腿的明仔
01-14 6033
文章目录一。Spring Security介绍二。工程搭建1.工程结构图:2.导入依赖3.编写security配置类4.编写UserDetailsService验证类5.Dao层6.model层7.控制器层8.工具类9.配置文件10.jsp示例登录页面11.启动类三。数据库结构t_user(用户表)t_role(角色表)t_permission(权限表)t_user_role(用户角色表)t_permission(角色权限表)四。测试1.用户登录验证2.用户权限验证五。项目地址 一。Spring Secu
SpringSecurity整合springBoot、redis token动态url权限校验
mofsfely2的博客
02-18 3484
背景 简单先说一下需求吧,这样也好让看的人知道到底适不适合自己。 1、实现自定义的登录认证。 2、登录成功,生成token并将token 交由redis管理。 3、登录后对用户访问的接口进行接口级别权限认证springSecurity提供的注解权限校验适合的场景是系统中仅有固定的几个角色,且角色的凭证不可修改(如果修改需要改动代码)。 @PreAuthorize("hasAuthority('ROLE_TELLER')") public Account post(Account account, do
Spring Boot 优雅集成 Spring Security 5.7(安全框架)与 JWT(双令牌机制)
欲变世界,先变其身
06-15 4518
Spring Security 是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在 Spring 应用上下文中配置的 Bean,充分利用了 Spring IOC(控制反转),DI(依赖注入)和 AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
Spring Security(10)权限处理
weixin_43189971的博客
07-20 2021
1.getAuthorities的方法中实现权限配置 2.权限评估器 permissionEvaluator 3. @PreAuthorize权限注解的两种写法(user中先开启注解)
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
7. **Spring Security配置**:配置Spring Security以启用JWT认证,设置访问控制规则,例如哪些URL需要认证,哪些URL对所有用户开放。 8. **认证Controller**:创建一个专门处理用户登录请求的Controller,接收登录...
spring boot + security + jwt 制作用户登录,角色鉴权
07-03
Spring Boot以其简洁的配置和强大的功能在现代Java开发中占据重要地位,而Spring Security则提供了强大的安全框架,帮助我们处理认证授权问题。JWT是一种轻量级的身份验证机制,它允许我们在客户端和服务器之间...
springboot+springSecurity+jwt实现登录认证后令牌授权
09-12
Spring Security则是一个强大的安全框架,它允许我们轻松地实现用户认证授权。而JSON Web Token(JWT)是一种高效的身份验证机制,能够使用户状态在客户端和服务器之间轻松传递。在这个项目中,我们将探讨如何利用...
Spring security认证授权
11-30
综上所述,这个Spring Security的例子展示了如何结合数据库动态配置用户信息,实现认证授权功能。通过理解并实践这些概念,开发者可以构建出安全、灵活的应用程序。记得在实际应用中,一定要考虑安全性最佳实践,...
Spring Security中授予权限与角色
allway2的博客
11-20 1651
当然,这是一种非常简单的方法,可以在开发过程中与一些初步测试用户一起开始运行 - 而不是您应该在生产中处理数据的方式。重点是 - 我们保留了我们在代码中使用的权限。Spring 安全框架没有就我们应该如何使用这个概念提供任何指导,所以选择完全是特定于实现的。这是一种更高层次的角色方法,使它们成为更面向业务的概念,而不是以实施为中心的概念。现在我们更好地理解了核心概念,让我们谈谈在应用程序启动时创建一些设置数据。前缀是可配置的,但解释如何做到这一点超出了本文的范围。这样的表达式,我们以粗粒度的方式限制访问。
SpringSecurity 自定义用户 角色 资源权限控制
weixin_33782386的博客
02-21 130
SpringSecurity 自定义用户 角色 资源权限控制 1 package com.joyen.learning.security; 2 3 import java.sql.ResultSet; 4 import java.sql.SQLException; 5 import java.util.List; 6 7 import o...
Security配置不同的角色登陆到不同页面/路径
java_newbie2的博客
08-29 2327
在网上看到很多教程,登陆到不同的路径或页面,讲的都很模糊。或者说没有贴代码,只给了部分思路。在做项目的时候踩了不少坑,在此记录一下。 配置Security @EnableWebSecurity @EnableGlobalMethodSecurity(prePostEnabled = true) // 启用方法安全设置 public class SecurityConfig extend...
SpringBoot集成SpringSecurity框架实现登录功能(模板)
四夕的博客
10-22 275
由于在Security配置文件中配置了登录成功跳转页面、登录页面、登录方法,而在项目中使用了thymeleaf模板引擎,所以需要进行控制层跳转。配置文件中的其他页面如error页面、403页面自行设置即可。业务层接口要继承UserDetailsService方法。持久层要查询用户信息以及权限信息,要查询两个表+中间表。
Spring Security授权GrantedAuthority介绍
kaven
01-06 7002
在之前的博客中,已经介绍了Spring Security用户UserDetails、用户服务UserDetailsService和密码编码器PasswordEncoder,它们都是用于验证用户的身份,而GrantedAuthority则表示用户验证通过后被授予的权限(可能授予多种权限),本篇博客介绍GrantedAuthority接口及其实现类。 Spring Security用户UserDetails源码与Debug分析 Spring Security用户服务UserDetailsService源
Spring Security)学习七:自定义用户资源权限动态控制
希克的博客
09-01 866
实现了自定义用户动态登录后,不同的用户必定有不同的用户权限和资源,我们需要根据不同的用户角色以及资源,来给用于对应的权限控制。在查看本文章之前,需要实现了解RBAC权限设计思想和概念,以便更好的理解用户资源权限动态控制。...
springboot+security 整合activiti7,请求中调用TaskRuntime、ProcessRuntime...新特性时不允许访问问题
zhangyongbink的博客
06-18 2665
项目springboot+security+vue前后端分离,业务需要整合activit7流程引擎在查询已办任务时,发现请求被限制无访问权限,给需要的用户加上这个权限即可
spring boot security 开关配置
11-01
Spring Boot Security的开关配置可以通过在application.properties文件中设置以下属性来实现: 1. security.basic.enabled:设置为false可以完全禁用基本身份验证。 2. security.enable-csrf:设置为false可以禁用跨站请求伪造保护。 3. security.headers.*:可以配置各种HTTP头的安全性设置,例如security.headers.content-security-policy。 4. security.ignored:可以配置不需要安全保护的URL路径。 5. security.require-ssl:设置为true可以强制使用HTTPS。 6. security.sessions:可以配置会话管理策略,例如security.sessions.maximum-sessions。 7. security.user.password:可以配置默认用户的密码。 8. security.user.name:可以配置默认用户用户名。 9. security.user.roles:可以配置默认用户角色
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值