spring boot security mybitis

最新推荐文章于 2023-02-26 15:56:59 发布
最新推荐文章于 2023-02-26 15:56:59 发布
阅读量259 收藏 1
点赞数
分类专栏: Java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011597415/article/details/74935663
版权

.pom文件需要引入

<!--springboot-->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>


配置中的URL不要入库,csrf token 默认是true


spring boot 的spring security配置代替spring mvc的spring security xxx.xml配置

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private WebFilterSecurityInterceptor webFilterSecurityInterceptor;

    @Bean
    UserDetailsService customUserService(){ //注册UserDetailsService 的bean
        return new CustomUserService();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(customUserService()); //user Details Service验证
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable();   // 禁用csrf token
        http.authorizeRequests()
	.anyRequest().authenticated() //任何请求,登录后可以访问
	.and().authorizeRequests().antMatchers("/?logout").permitAll().anyRequest()
	.hasAnyRole("ANONYMOUS").and()
	.formLogin()
	.loginPage("/")
	.loginPage("/login")
	.failureUrl("/login?error")
	.and()
	.logout().logoutUrl("/?logout")
	.permitAll(); //注销行为任意访问
      http.addFilterBefore(webFilterSecurityInterceptor, FilterSecurityInterceptor.class);    }}

拦截器实现,根据需求实现。若之前的数据表和spring security不兼容,可以更具数据表的情况,对所有requestUrl放行,拦截特定的url。这里去掉实现逻辑。

@Service
public class WebFilterSecurityInterceptor extends AbstractSecurityInterceptor implements Filter {


    @Autowired
    private FilterInvocationSecurityMetadataSource securityMetadataSource;

    @Autowired
    public void setMyAccessDecisionManager(WebAccessDecisionManager webAccessDecisionManager) {
        super.setAccessDecisionManager(webAccessDecisionManager);
    }


    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {

        FilterInvocation fi = new FilterInvocation(request, response, chain);
        invoke(fi);
    }


    public void invoke(FilterInvocation fi) throws IOException, ServletException {
        //fi里面有一个被拦截的url
        //里面调用MyInvocationSecurityMetadataSource的getAttributes(Object object)这个方法获取fi对应的所有权限
        //再调用MyAccessDecisionManager的decide方法来校验用户的权限是否足够
        InterceptorStatusToken token = super.beforeInvocation(fi);
        try {
            //执行下一个拦截器
            fi.getChain().doFilter(fi.getRequest(), fi.getResponse());

        }catch ( Exception e ){
            e.printStackTrace();
        }
        finally {
            super.afterInvocation(token, null);
        }
    }

    @Override
    public void destroy() {

    }

    @Override
    public Class<?> getSecureObjectClass() {
        return FilterInvocation.class;
    }

    @Override
    public SecurityMetadataSource obtainSecurityMetadataSource() {
        return this.securityMetadataSource;
    }
}
加载已有requestUrl 
@Service
public class WebInvocationSecurityMetadataSourceService implements FilterInvocationSecurityMetadataSource {

    @Autowired
    private IPermission permissionService;

    private HashMap<String, Collection<ConfigAttribute>> map = null;

    /**
     * 加载权限表中所有权限
     */
    public void loadResourceDefine() {
        map = new HashMap<>();
        Collection<ConfigAttribute> array;
        ConfigAttribute cfg;
        List<Permission> permissions =null;
        JSONArray permissionArray=null;
        try {
            permissions=permissionService.getMenuList(1);
        } catch ( Exception e ) {
            e.printStackTrace();
        }

        for (Permission permission : permissions) {
            array = new ArrayList<>();
            cfg = new SecurityConfig(permission.getName());
            //此处只添加了用户的名字,其实还可以添加更多权限的信息,例如请求方法到ConfigAttribute的集合中去。此处添加的信息将会作为MyAccessDecisionManager类的decide的第三个参数。
            array.add(cfg);
            //用权限的getUrl() 作为map的key,用ConfigAttribute的集合作为 value,
            map.put(permission.getHref(), array);
        }
    }

    //此方法是为了判定用户请求的url 是否在权限表中,如果在权限表中,则返回给 decide 方法,用来判定用户是否有此权限。如果不在权限表中则放行。
    @Override
    public Collection<ConfigAttribute> getAttributes(Object object) throws IllegalArgumentException {
        if (map == null) loadResourceDefine();
        //object 中包含用户请求的request 信息
        HttpServletRequest request = ((FilterInvocation) object).getHttpRequest();
        AntPathRequestMatcher matcher;
        String resUrl;
        for (Iterator<String> iter = map.keySet().iterator(); iter.hasNext(); ) {
            resUrl = iter.next();
            if (resUrl!=null) {
                matcher = new AntPathRequestMatcher(resUrl);
                if (matcher.matches(request)) {
                    return map.get(resUrl);
                }
            }
        }
        return null;
    }

    @Override
    public Collection<ConfigAttribute> getAllConfigAttributes() {
        return null;
    }

    @Override
    public boolean supports(Class<?> clazz) {
        return true;
    }
}

判断是否放行的地方,这里对所有requestUrl都放行,拦截器处控制重写

@Service
public class WebAccessDecisionManager implements AccessDecisionManager {

    // decide 方法是判定是否拥有权限的决策方法,
    //authentication 是释CustomUserService中循环添加到 GrantedAuthority 对象中的权限信息集合.
    //object 包含客户端发起的请求的requset信息,可转换为 HttpServletRequest request = ((FilterInvocation) object).getHttpRequest();
    //configAttributes 为MyInvocationSecurityMetadataSource的getAttributes(Object object)这个方法返回的结果,此方法是为了判定用户请求的url 是否在权限表中,如果在权限表中,则返回给 decide 方法,用来判定用户是否有此权限。如果不在权限表中则放行。
    @Override
    public void decide(Authentication authentication, Object object, Collection<ConfigAttribute> configAttributes) throws AccessDeniedException, InsufficientAuthenticationException {

        if (null == configAttributes || configAttributes.size() <= 0) {
            return;
        }
        ConfigAttribute c;
        String needRole;
        for (Iterator<ConfigAttribute> iter = configAttributes.iterator(); iter.hasNext(); ) {
            c = iter.next();
            needRole = c.getAttribute();
            for (GrantedAuthority ga : authentication.getAuthorities()) {//authentication 为在注释1 中循环添加到 GrantedAuthority 对象中的权限信息集合
                if (needRole.trim().equals(ga.getAuthority())) {
                    return;
                }
            }
        }
        throw new AccessDeniedException("no right");
    }

    @Override
    public boolean supports(ConfigAttribute attribute) {
        return true;
    }

    @Override
    public boolean supports(Class<?> clazz) {
        return true;
    }
}

获取登陆用户权限列表,对重写拦截器是鸡肋。 

@Service
public class CustomUserService implements UserDetailsService { //自定义UserDetailsService 接口

    @Autowired
    IUser userService;
    @Autowired
    IPermission permissionService;

    public UserDetails loadUserByUsername(String username) {
        User user = null;
        try {
            user = userService.oneByName(username);
        } catch ( Exception e ) {
            e.printStackTrace();
        }
        if (user != null) {
            List<Permission> permissions = null;
            //**此处需将JSONArray菜单列表转化成List<Permission>
            try {
                permissions = permissionService.getMenuList(user.getId());
            } catch ( Exception e ) {
                e.printStackTrace();
            }
            List<GrantedAuthority> grantedAuthorities = new ArrayList<>();
            for (Permission permission : permissions) {
                if (permission != null && permission.getName() != null) {
                    GrantedAuthority grantedAuthority = new SimpleGrantedAuthority(permission.getName());
                    //1:此处将权限信息添加到 GrantedAuthority 对象中,在后面进行全权限验证时会使用GrantedAuthority 对象。
                    grantedAuthorities.add(grantedAuthority);
                }
            }
            return new org.springframework.security.core.userdetails.User(user.getName(), user.getPassword(), grantedAuthorities);
        } else {
            throw new UsernameNotFoundException("admin: " + username + " do not exist!");
        }
    }

}

注:拦截器中执行特定的拦截和403 跳转。



AdaAlpha
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security权限管理
brushli的专栏
09-04 3916
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为
Springboot+SpringSecurity实现权限控制(二、用户登录认证)
一念永恒
03-09 1644
配置Security核心配置类 将WebSecurityConfig放在auth包下 右击鼠标-->点击Generate... -->点击Override Methods... 选择下面的三个configure 禁用防护: http.csrf().disable() 禁用Session的配置: .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS) 禁用缓存: .headers().c
Spring Security OAuth2四种授权模式总结 - Mysql存储客户端信息和令牌(八)
FAIRYTAIL的博客
02-26 1126
本篇将客户端信息、令牌、用户身份信息等都存到Mysql数据库中。本篇环境及代码是在上一篇基础之上,这里只记录主要的改动部分。
java使用spirng框架之spring security
sumengnan的博客
10-11 447
spring security 核心功能 认证 授权 攻击防护 使用 引入pom依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 有两种授权认证方式 基于内存 基于数据库 一、基于内存的认证 1
springboot整合SpringSecurity并实现简单权限控制
听钱塘信来的博客
11-28 6524
springboot整合SpringSecurity并实现简单权限控制
Spring Boot Security 详解
程序员果果的博客
03-20 436
简介 Spring Security,这是一种基于 Spring AOP 和 Servlet 过滤器的安全框架。它提供全面的安全性解决方案,同时在 Web 请求级和方法调用级处理身份确认和授权。 工作流程 从网上找了一张Spring Security 的工作流程图,如下。 图中标记的MyXXX,就是我们项目中需要配置的。 快速上手 建表 表结构 建表语句 DROP TABLE IF EXIST...
SpringBoot SpringSecurity知识点
m178643的博客
11-16 279
明确三个接口GrantedAuthority(角色权限) UserDetails (用户信息) UserDetailsService(获取用户信息和用户权限) 角色表DO实现GrantedAuthority接口: @Data @AllArgsConstructor @NoArgsConstructor public class RoleInfo implements GrantedAuthorit...
springboot整合springsecurity、jwt、redis实现权限控制
weixin_41207479的博客
06-28 1114
1、 添加相关依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId
springBoot+springSecurity 数据库动态管理用户、角色、权限(二)
热门推荐
哎幽的成长
01-20 15万+
序: 本文使用springboot+mybatis+SpringSecurity 实现数据库动态的管理用户、角色、权限管理本文细分角色和权限,并将用户、角色、权限和资源均采用数据库存储,并且自定义滤器,代替原有的FilterSecurityInterceptor过滤器, 并分别实现AccessDecisionManager、InvocationSecurityMetadataSource
springboot security(二) 用户认证、权限
qq_27081015的博客
12-26 1173
1. 自定义 用户认证、权限 package com.hanhuide.core.service.impl; import org.springframework.security.core.GrantedAuthority; import org.springframework.security.core.authority.SimpleGrantedAuthority; import o...
spring-boot整合security和mybatis-plus代码
12-29
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean。
全注解 spring boot +spring security + mybatis+druid+thymeleaf+mysql+bootstrap
12-20
全注解 spring boot +spring security + thymeleaf+mybatis+druid+mysql+bootstrap 框架。 带数据库脚本和说明文件
spring boot+spring security+mybatis+thymeleaf
05-24
maven spring boot web项目,spring boot+spring security+mybatis+thymeleaf,简单实现了mysql数据库中的用户登录,适合入门参考; 模块名称是因为原本这个项目是想做一个消息模块的微服务,后面看了些资料想验证下...
Spring Boot + Mybatis Plus + Spring Security +居民电话登记系统.zip
04-03
为管理社区居民而开发的系统,此系统使用Spring Boot + Mybatis Plus + Spring Security + React + Ant Design Pro架构编写。数据库采用MySQL,提供强大的、安全的和完整的管理社区居民的信息的功能。 毕业设计是...
dubbo-spring-boot-mybatis-redis:通过dubbo + spring boot + mybatis + redis等主流技术构建成一套分布式服务框架
01-30
dubbo-spring-boot-mybatis-redis 通过dubbo + spring boot + mybatis + redis等主流技术建造成一套分布式服务框架 项目介绍: 1,首先安装zookeeper + redis; 2,dearbinge-data-provider服务提供者项目的资源...
Spring Boot+Spring Security+MyBatis+Vue+Mysql物业管理系统源码
06-28
Spring Boot+Spring Security+MyBatis+Vue+Mysql物业管理系统源码,前后端分离,有完整前后台源码,系统经多次测试,运行无误,大家放心下载。
基于matlab实现的空间调制通信过程,包含信号调制、天线选择等发送过程,以及采用最大似然估计的检测过程 .rar
最新发布
05-02
基于matlab实现的空间调制通信过程,包含信号调制、天线选择等发送过程,以及采用最大似然估计的检测过程。.rar
基于matlab的关于生猪养殖场经营管理的研究.docx
05-02
本文档是课题研究的研究报告内含调研以及源码设计以及结果分析
网络作为特征提取器-python源码.zip
05-02
网络作为特征提取器-python源码.zip
spring boot结合mybatis好处
04-18
4. 强大的生态系统:Spring Boot拥有庞大的生态系统,可以方便地集成其他框架和工具,如Spring SecuritySpring Cloud等,提供更多功能和扩展性。 5. 易于测试:Spring Boot提供了丰富的测试支持,可以方便地进行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值