登陆后@PreAuthorize校验

最新推荐文章于 2024-08-18 21:36:31 发布
最新推荐文章于 2024-08-18 21:36:31 发布
阅读量382 收藏 6
点赞数 5
分类专栏: SpringSecurity java 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tellmewhoisi/article/details/139476101
版权

用户登录:断点看流程认证

之前我们知道

生成令牌之后,我们就调用全局保存令牌
SecurityContextHolder.getContext().setAuthentication(authentication);

SecurityContextHolder.getContext()获取的是SecurityContext就是设置令牌和保存令牌

/*
 * Copyright 2004, 2005, 2006 Acegi Technology Pty Limited
 *
 * Licensed under the Apache License, Version 2.0 (the "License");
 * you may not use this file except in compliance with the License.
 * You may obtain a copy of the License at
 *
 *      https://www.apache.org/licenses/LICENSE-2.0
 *
 * Unless required by applicable law or agreed to in writing, software
 * distributed under the License is distributed on an "AS IS" BASIS,
 * WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
 * See the License for the specific language governing permissions and
 * limitations under the License.
 */

package org.springframework.security.core.context;

import java.io.Serializable;

import org.springframework.security.core.Authentication;

/**
 * Interface defining the minimum security information associated with the current thread
 * of execution.
 *
 * <p>
 * The security context is stored in a {@link SecurityContextHolder}.
 * </p>
 *
 * @author Ben Alex
 */
public interface SecurityContext extends Serializable {

	/**
	 * Obtains the currently authenticated principal, or an authentication request token.
	 * @return the <code>Authentication</code> or <code>null</code> if no authentication
	 * information is available
	 */
	Authentication getAuthentication();

	/**
	 * Changes the currently authenticated principal, or removes the authentication
	 * information.
	 * @param authentication the new <code>Authentication</code> token, or
	 * <code>null</code> if no further authentication information should be stored
	 */
	void setAuthentication(Authentication authentication);

}

之前的令牌我们存的是
public class JwtUserDto implements UserDetails
里面又三个属性

 private final User user;
 
 private final List<Long> dataScopes;

private final List<AuthorityDto> authorities;

但是UserDetails接口并没有这三个属性的获取方法而存入令牌的就是UserDetails类

看一下UserDetails接口(里面没有我们三个属性的方法)

/*
 * Copyright 2004, 2005, 2006 Acegi Technology Pty Limited
 *
 * Licensed under the Apache License, Version 2.0 (the "License");
 * you may not use this file except in compliance with the License.
 * You may obtain a copy of the License at
 *
 *      https://www.apache.org/licenses/LICENSE-2.0
 *
 * Unless required by applicable law or agreed to in writing, software
 * distributed under the License is distributed on an "AS IS" BASIS,
 * WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
 * See the License for the specific language governing permissions and
 * limitations under the License.
 */

package org.springframework.security.core.userdetails;

import java.io.Serializable;
import java.util.Collection;

import org.springframework.security.core.Authentication;
import org.springframework.security.core.GrantedAuthority;

/**
 * Provides core user information.
 *
 * <p>
 * Implementations are not used directly by Spring Security for security purposes. They
 * simply store user information which is later encapsulated into {@link Authentication}
 * objects. This allows non-security related user information (such as email addresses,
 * telephone numbers etc) to be stored in a convenient location.
 * <p>
 * Concrete implementations must take particular care to ensure the non-null contract
 * detailed for each method is enforced. See
 * {@link org.springframework.security.core.userdetails.User} for a reference
 * implementation (which you might like to extend or use in your code).
 *
 * @author Ben Alex
 * @see UserDetailsService
 * @see UserCache
 */
public interface UserDetails extends Serializable {

	/**
	 * Returns the authorities granted to the user. Cannot return <code>null</code>.
	 * @return the authorities, sorted by natural key (never <code>null</code>)
	 */
	Collection<? extends GrantedAuthority> getAuthorities();

	/**
	 * Returns the password used to authenticate the user.
	 * @return the password
	 */
	String getPassword();

	/**
	 * Returns the username used to authenticate the user. Cannot return
	 * <code>null</code>.
	 * @return the username (never <code>null</code>)
	 */
	String getUsername();

	/**
	 * Indicates whether the user's account has expired. An expired account cannot be
	 * authenticated.
	 * @return <code>true</code> if the user's account is valid (ie non-expired),
	 * <code>false</code> if no longer valid (ie expired)
	 */
	boolean isAccountNonExpired();

	/**
	 * Indicates whether the user is locked or unlocked. A locked user cannot be
	 * authenticated.
	 * @return <code>true</code> if the user is not locked, <code>false</code> otherwise
	 */
	boolean isAccountNonLocked();

	/**
	 * Indicates whether the user's credentials (password) has expired. Expired
	 * credentials prevent authentication.
	 * @return <code>true</code> if the user's credentials are valid (ie non-expired),
	 * <code>false</code> if no longer valid (ie expired)
	 */
	boolean isCredentialsNonExpired();

	/**
	 * Indicates whether the user is enabled or disabled. A disabled user cannot be
	 * authenticated.
	 * @return <code>true</code> if the user is enabled, <code>false</code> otherwise
	 */
	boolean isEnabled();

}

要定义一个工具类SecurityUtils获取令牌里的值
问题:获取用户属性里面数据怎么获取?

看类SecurityUtils
getCurrentUser方法(所以贴了SpringContextHolder类):
在获取登录用户用到类SpringContextHolder去找UserDetailsService

主要看getCurrentUsername这个方法里调用
SecurityContextHolder.getContext().getAuthentication()获取令牌后获取usernanme(这就是为啥一开始SecurityContextHolder.getContext().setAuthentication(authentication);这代码的用处)

答案就是用json(工具类下这几个方法)
getCurrentUserRole
getCurrentUserId
getCurrentUserDataScope

package com.njry.utils;

import cn.hutool.core.bean.BeanUtil;
import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.JSONArray;
import com.alibaba.fastjson.JSONObject;
import com.njry.exception.BadRequestException;
import com.njry.utils.enums.DataScopeEnum;
import lombok.extern.slf4j.Slf4j;
import org.springframework.http.HttpStatus;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;

import java.lang.reflect.Field;
import java.lang.reflect.Method;
import java.util.List;
import java.util.Map;

/**
 * 获取当前登录的用户
 * @author 
 * @date 2024-05-11
 */
@Slf4j
public class SecurityUtils {

    /**
     * 获取当前登录的用户
     * @return UserDetails
     */
    public static UserDetails getCurrentUser() {
        UserDetailsService userDetailsService = SpringContextHolder.getBean(UserDetailsService.class);
        return userDetailsService.loadUserByUsername(getCurrentUsername());
    }

    /**
     * 获取系统用户名称
     *
     * @return 系统用户名称
     */
    public static String getCurrentUsername() {
        final Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
        if (authentication == null) {
            throw new BadRequestException(HttpStatus.UNAUTHORIZED, "当前登录状态过期");
        }
//这里因为令牌是UserDetails,所以可以调用getUsername,且我们public class JwtUserDto implements UserDetails里面重写了getUsername方法,就是user的getUsername,但是没有getUser方法可以调用,导致获取user里面一些别的数据很难
        if (authentication.getPrincipal() instanceof UserDetails) {
            UserDetails userDetails = (UserDetails) authentication.getPrincipal();
            System.out.println("登陸報錯的系統用戶名"+userDetails);
            return userDetails.getUsername();
        }
        throw new BadRequestException(HttpStatus.UNAUTHORIZED, "找不到当前登录的信息");
    }


    /**
     * 获取系统用户ID
     * @return 系统用户ID
     */
    public static Long getCurrentUserId() {
        UserDetails userDetails = getCurrentUser();
        // 将 Java 对象转换为 JSONObject 对象
        JSONObject jsonObject = (JSONObject) JSON.toJSON(userDetails);
        return jsonObject.getJSONObject("user").getLong("id");
    }

    /**
     * 获取当前用户的数据权限
     * @return /
     */
    public static List<Long> getCurrentUserDataScope(){
        UserDetails userDetails = getCurrentUser();
        // 将 Java 对象转换为 JSONObject 对象
        JSONObject jsonObject = (JSONObject) JSON.toJSON(userDetails);
        JSONArray jsonArray = jsonObject.getJSONArray("dataScopes");
        return JSON.parseArray(jsonArray.toJSONString(), Long.class);
    }

    /**
     * 获取当前用户的角色
     * @return /
     */
    public static List<String> getCurrentUserRole(){
        UserDetails userDetails = getCurrentUser();
        // 将 Java 对象转换为 JSONObject 对象
        JSONObject jsonObject = (JSONObject) JSON.toJSON(userDetails);
        JSONObject jsonObjectUser =  jsonObject.getJSONObject("user");
        JSONArray roles = jsonObjectUser.getJSONArray("roles");
//        return JSON.parseArray(roles.toJSONString(), Role.class);
        return JSON.parseArray(roles.toJSONString(), String.class);
    }

    /**
     * 获取数据权限级别
     * @return 级别
     */
    public static String getDataScopeType() {
        List<Long> dataScopes = getCurrentUserDataScope();
        if(dataScopes.size() != 0){
            return "";
        }
        return DataScopeEnum.ALL.getValue();
    }
}

类SpringContextHolder

package com.njry.utils;

import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.BeansException;
import org.springframework.beans.factory.DisposableBean;
import org.springframework.context.ApplicationContext;
import org.springframework.context.ApplicationContextAware;
import org.springframework.core.env.Environment;
import org.springframework.stereotype.Service;
import java.util.ArrayList;
import java.util.Arrays;
import java.util.List;

/**
 * @author 
 * @date 2019-01-07
 */
@Slf4j
public class SpringContextHolder implements ApplicationContextAware, DisposableBean {

    private static ApplicationContext applicationContext = null;
    private static final List<CallBack> CALL_BACKS = new ArrayList<>();
    private static boolean addCallback = true;

    /**
     * 针对 某些初始化方法,在SpringContextHolder 未初始化时 提交回调方法。
     * 在SpringContextHolder 初始化后,进行回调使用
     *
     * @param callBack 回调函数
     */
    public synchronized static void addCallBacks(CallBack callBack) {
        if (addCallback) {
            SpringContextHolder.CALL_BACKS.add(callBack);
        } else {
            log.warn("CallBack:{} 已无法添加!立即执行", callBack.getCallBackName());
            callBack.executor();
        }
    }

    /**
     * 从静态变量applicationContext中取得Bean, 自动转型为所赋值对象的类型.
     */
    @SuppressWarnings("unchecked")
    public static <T> T getBean(String name) {
        assertContextInjected();
        return (T) applicationContext.getBean(name);
    }

    /**
     * 从静态变量applicationContext中取得Bean, 自动转型为所赋值对象的类型.
     */
    public static <T> T getBean(Class<T> requiredType) {
        assertContextInjected();
        return applicationContext.getBean(requiredType);
    }

    /**
     * 获取SpringBoot 配置信息
     *
     * @param property     属性key
     * @param defaultValue 默认值
     * @param requiredType 返回类型
     * @return /
     */
    public static <T> T getProperties(String property, T defaultValue, Class<T> requiredType) {
        T result = defaultValue;
        try {
            result = getBean(Environment.class).getProperty(property, requiredType);
        } catch (Exception ignored) {}
        return result;
    }

    /**
     * 获取SpringBoot 配置信息
     *
     * @param property 属性key
     * @return /
     */
    public static String getProperties(String property) {
        return getProperties(property, null, String.class);
    }

    /**
     * 获取SpringBoot 配置信息
     *
     * @param property     属性key
     * @param requiredType 返回类型
     * @return /
     */
    public static <T> T getProperties(String property, Class<T> requiredType) {
        return getProperties(property, null, requiredType);
    }

    /**
     * 检查ApplicationContext不为空.
     */
    private static void assertContextInjected() {
        if (applicationContext == null) {
            throw new IllegalStateException("applicaitonContext属性未注入, 请在applicationContext" +
                    ".xml中定义SpringContextHolder或在SpringBoot启动类中注册SpringContextHolder.");
        }
    }

    /**
     * 清除SpringContextHolder中的ApplicationContext为Null.
     */
    private static void clearHolder() {
        log.debug("清除SpringContextHolder中的ApplicationContext:"
                + applicationContext);
        applicationContext = null;
    }

    @Override
    public void destroy() {
        SpringContextHolder.clearHolder();
    }

    @Override
    public void setApplicationContext(ApplicationContext applicationContext) throws BeansException {
        if (SpringContextHolder.applicationContext != null) {
            log.warn("SpringContextHolder中的ApplicationContext被覆盖, 原有ApplicationContext为:" + SpringContextHolder.applicationContext);
        }
        SpringContextHolder.applicationContext = applicationContext;
        if (addCallback) {
            for (CallBack callBack : SpringContextHolder.CALL_BACKS) {
                callBack.executor();
            }
            CALL_BACKS.clear();
        }
        SpringContextHolder.addCallback = false;
    }

    /**
     * 获取 @Service 的所有 bean 名称
     * @return /
     */
    public static List<String> getAllServiceBeanName() {
        return new ArrayList<>(Arrays.asList(applicationContext
                .getBeanNamesForAnnotation(Service.class)));
    }
}

项目中实际使用(比如下面两个)
在controller层经常要校验权限

    @GetMapping(value = "/detail")
    @Log("查询原子定义管理详情")
    @ApiOperation("查询原子定义管理详情")
    @PreAuthorize("@el.check('atomDict:list')")
    public ResponseEntity<AtomDict> queryAtomDictDetail(AtomDictQueryCriteria criteria){
        return new ResponseEntity<>(atomDictService.queryAtomDictDetail(criteria),HttpStatus.OK);
    }

    @GetMapping
    @Log("查询原子定义管理")
    @ApiOperation("查询原子定义管理")
//    @PreAuthorize("@el.check('atomDict:list')")
    @PreAuthorize("@el.checkRole()")
    public ResponseEntity<PageResult<AtomDict>> queryAtomDict(AtomDictQueryCriteria criteria, Page<Object> page){
        return new ResponseEntity<>(atomDictService.queryAll(criteria,page),HttpStatus.OK);
    }

类AuthorityConfig 校验权限和角色

package com.njry.config;

import com.njry.utils.SecurityUtils;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.stereotype.Service;
import java.util.Arrays;
import java.util.List;
import java.util.stream.Collectors;

/**
 * @author wj
 */
@Service(value = "el")
public class AuthorityConfig {

    public Boolean check(String ...permissions){
        // 获取当前用户的所有权限
        List<String> elPermissions = SecurityUtils.getCurrentUser().getAuthorities().stream().map(GrantedAuthority::getAuthority).collect(Collectors.toList());
        System.out.println("当前用户的权限"+elPermissions);
        // 判断当前用户的所有权限是否包含接口上定义的权限
        return elPermissions.contains("admin") || Arrays.stream(permissions).anyMatch(elPermissions::contains);
    }

    public Boolean checkRole(){
        // 获取当前用户的所有角色
        List<String> currentUserRole = SecurityUtils.getCurrentUserRole();
        String sbString = "400";//数据库一个角色的id
        List<String> collect = currentUserRole.stream().filter(c -> c.contains(sbString)).collect(Collectors.toList());
//        UserDetails里面没有获取用户user 的getter方法
//        虽然 class JwtUserDto implements UserDetails
        if(collect.size() > 0){
            return true;
        }else{
            // 判断当前用户的所有权限是否包含接口上定义的权限
            return false;
        }
    }
}
tellmewhoisi
关注
  • 5
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity使用@PreAuthorize、@PostAuthorize实现Web系统权限认证
u011930054的博客
07-17 4809
SpringSecurity可以使用@PreAuthorize和@PostAuthorize进行访问控制,下面进行说明。 项目使用Springboot2.3.3+SpringSecurtiy+Mbatis实现。 首先先引入pom.xml <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artif
jsp的登陆校验演示
12-10
4. **服务器端校验**:接收到登录请求后,服务器会执行校验逻辑。这通常涉及到查询数据库,比对用户输入的用户名和密码与存储在数据库中的记录是否匹配。这个过程可以通过JSP的脚本元素或者单独的Servlet来完成。 5...
Spring Security 之方法级的安全管控@PreAuthorize
weixin_42030357的博客
03-07 2811
文章目录1. JSR-205 注解2.@Secured 注解3.@PreAuthorize 型的注解(支持 Spring 表达式)3.1SPEL表达试(bean引用)3.2 @PreAuthorize 表达式1. returnObject 保留名2. 表达式中的 # 号3. 内置表达式有:例子SecurityConfig 配置BookService 配置 原博文,点击这里 默认情况下, Spring Security 并不启用方法级的安全管控. 启用方法级的管控后, 可以针对不同的方法通过注解设置不同
Spring Security 之方法级的权限管控 @PreAuthorize 使用详解
热门推荐
LoveSummer
01-22 1万+
默认情况下, Spring Security 并不启用方法级的安全管控. 启用方法级的管控后, 可以针对不同的方法通过注解设置不同的访问条件.Spring Security 支持三种方法级注解, 分别是 JSR-205 注解 /@Secured 注解 / prePostEnabled 注解. 这些注解不仅可以直接加 controller 方法上, 也可以注解 Service 或 DAO 中的方法.
自定义接口并设置权限验证
weixin_61845680的博客
10-28 611
自定义接口并设置权限验证
Security 登录授权实现步骤
weixin_44768962的博客
07-31 762
授权
A092_SpringSecurity
窗外有风景,笔下有前途,低头是题海,抬头是未来
06-27 521
一.认证与授权-新手上路 1.认证授权概述 1.1.什么是认证 认证是对主体/用户身份的确认,在我们的生活中随处可见认证场景,如:小区门禁卡,人脸识别,指纹识别等都是对用户身份的确认,在传统的应用中我们通常使用用户名/用户ID和密码来进行用户的身份确认,即登录,但登录的方式不仅限制于用户名/密码的方式,认证是我们应用的第一道安全门,所以对于整个系统的安全来说显得极其重要。 1.2.什么是授权 控制不同的用户访问不同的权限 ,用户认证成功后,就可以对某些资源进行访问,但是不同的用户有不同的资源访问权利,那么对
关于spring security 权限访问 403问题
weixin_45629294的博客
01-15 4736
spring security 在controller层使用方法级别注解 @PreAuthorize(“admin”)设置权限拦截问题,无权则返回403页面 早在权限框架没有出来之前,进行权限的拦截一般使用路径拦截的方式,后者在配置文件中配置拦截信息 spring security支持注解拦截的方式,其底层原理是过滤器, @PreAuthorize(“hasRole(‘xxx’)” ) @PostAuthorize(“returnObject.type == authentication.name”) @S
若依学习笔记03——SpringSecurity
qq_45311457的博客
09-07 503
若依框架中SpringSecurity相关
springsecurity开启方法级的授权源码分析
python15397的博客
02-28 1528
至于 @PreAuthorize 注解的拦截器是如何生效的那就要靠 @EnableMethodSecurity 注解,因为该注解中导入了 @Import({MethodSecuritySelector.class}) 并接入到了IOC容器,因此只需要看 MethodSecuritySelector 具体是怎么处理方法级的认证的即可。使用了方法权限注解开启了方法级的权限鉴定之后,就可以使用如下注解直接在控制器上使用方法级的权限鉴定了。处理器,其中的这部分源码解释可以看出如何使用表达式的过程。
Spring Boot技术知识点:如何使用@Validated注解来对邮箱字段进行数据校验
07-04
Spring Boot技术知识点:如何使用@Validated注解来对邮箱字段进行数据校验
redis开启和禁用登陆密码校验的方法
12-16
- **基于 Redis 实现 token 验证用户是否登陆**:文章可能介绍了如何利用 Redis 存储和验证 JWT(JSON Web Tokens)来确认用户登录状态。 通过以上介绍,你应该对如何在 Redis 中开启和禁用登陆密码校验有了清晰的...
JS校验与最终登陆界面功能完整示例
10-15
JavaScript校验与最终登录界面功能完整示例中的知识点涵盖了JavaScript的基本使用、正则表达式在表单校验中的应用以及HTML页面中JavaScript交互的实现方法。以下是详细的分析: 1. HTML页面中的表单元素校验: 示例...
jsp登陆校验演示 servlet、login、success
10-20
主要为大家详细介绍了jsp登陆校验演示,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
手撕快排——三种实现方法(附动图及源码)
jsjs1346的博客
08-16 918
🤖💻👨‍💻👩‍💻🌟🚀🤖🌟👨‍💻👩‍💻👨‍💻👩‍💻🚀是一种高效的排序算法,广泛应用于各种场景。它采用策略,将一个数组分成两个子数组,然后递归地对这两个子数组进行排序。本文将介绍三种快速排序的实现方法,并附上相应的源码。⚙️一、快速排序的基本原理一个基准元素(pivot)分成两个子数组递归合并O(n log n)O(n log n)O(n^2)后文我们将给出优化方案O(log n)📚三、实现霍尔方法是快速排序原始版本中使用的分区方法。
【Spring框架】
最新发布
m0_71941456的博客
08-18 845
Spring框架的功能远不止于此,它还包括Spring MVC、Spring Data、Spring Security等多个模块,每个模块都有其独特的应用场景。
网上商品订单转手系统bootpf
weixin_43213064的博客
08-18 478
【代码】springboot网上商品订单转手系统bootpf
@PreAuthorize加在Controller上面,是否可以指定中的一些方法不受@PreAuthorize影响,也就是是否可以指定某些方法不做权限校验
04-28
是的,可以在Controller中的某些方法上使用 @PreAuthorize 注解来覆盖级别的 @PreAuthorize 注解。具体来说,您可以在方法级别上使用 @PreAuthorize 注解来指定更细粒度的权限控制,例如: ``` @RestController @RequestMapping("/api") @PreAuthorize("hasRole('ADMIN')") public class MyController { @GetMapping("/public") public String publicEndpoint() { return "This endpoint is public."; } @GetMapping("/private") @PreAuthorize("hasRole('USER')") public String privateEndpoint() { return "This endpoint is only accessible to authenticated users with the USER role."; } } ``` 在上面的示例中,`/public` 端点不需要任何权限,而 `/private` 端点只允许拥有 USER 角色的用户访问。注意,`/private` 端点上的 @PreAuthorize 注解覆盖了级别的 @PreAuthorize 注解。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值