java url权限控制_springboot整合security实现基于url的权限控制

最新推荐文章于 2024-09-15 04:48:21 发布
最新推荐文章于 2024-09-15 04:48:21 发布
阅读量475 收藏
点赞数
文章标签: java url权限控制
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_30489285/article/details/114115761
版权
本文详细介绍了如何使用Spring Security实现基于URL的权限控制。内容包括:权限控制的两个过程——认证和授权,Spring Security的工作原理,以及整合Spring Security的步骤,如引入依赖、建立权限表、配置WebSecurity等。示例代码展示了如何自定义过滤器、权限源、决策管理器等关键组件,以实现用户登录、权限判断和异常处理。
摘要由CSDN通过智能技术生成

权限控制基本上是任何一个web项目都要有的,为此spring为我们提供security模块来实现权限控制,网上找了很多资料,但是提供的demo代码都不能完全满足我的需求,因此自己整理了一版。

在上代码之前,大家需要理解两个过程:认证和授权

用户登陆,会被AuthenticationProcessingFilter拦截,调用AuthenticationManager的实现,而且AuthenticationManager会调用ProviderManager来获取用户验证信息(不同的Provider调用的服务不同,因为这些信息可以是在数据库上,可以是在LDAP服务器上,可以是xml配置文件上等),如果验证通过后会将用户的权限信息封装一个User放到spring的全局缓存SecurityContextHolder中,以备后面访问资源时使用。

访问资源(即授权管理),访问url时,会通过AbstractSecurityInterceptor拦截器拦截,其中会调用FilterInvocationSecurityMetadataSource的方法来获取被拦截url所需的全部权限,在调用授权管理器AccessDecisionManager,这个授权管理器会通过spring的全局缓存SecurityContextHolder获取用户的权限信息,还会获取被拦截的url和被拦截url所需的全部权限,然后根据所配的策略(有:一票决定,一票否定,少数服从多数等),如果权限足够,则返回,权限不够则报错并调用权限不足页面。

整合步骤如下:

1、引入依赖和添加mybatis generator插件

4.0.0

powerx.io

springboot-security

0.0.1-SNAPSHOT

jar

springboot-security

Demo project for Spring Boot

org.springframework.boot

spring-boot-starter-parent

2.0.5.RELEASE

UTF-8

UTF-8

1.8

org.springframework.boot

spring-boot-starter-web

org.mybatis.spring.boot

mybatis-spring-boot-starter

1.3.2

mysql

mysql-connector-java

runtime

com.github.pagehelper

pagehelper-spring-boot-starter

1.2.5

com.alibaba

druid-spring-boot-starter

1.1.9

org.springframework.boot

spring-boot-starter-security

org.springframework.boot

spring-boot-starter-test

test

org.springframework.boot

spring-boot-maven-plugin

org.mybatis.generator

mybatis-generator-maven-plugin

1.3.2

src/main/resources/generator/generatorConfig.xml

true

true

2、建立对应的表,标准的基于角色权限控制的五张表,建表语句我也放到代码中了。

c75479d5ea4902187d6798950731c6b1.png

3、利用逆向工程生成对应的model、mapper和映射文件等

4、spring security配置,关键位置我都加了注释

WebSecurityConfig.java

packagecom.example.demo.config;importjava.io.IOException;importjava.io.PrintWriter;importjavax.servlet.ServletException;importjavax.servlet.http.HttpServletRequest;importjavax.servlet.http.HttpServletResponse;importorg.springframework.beans.factory.annotation.Autowired;importorg.springframework.context.annotation.Bean;importorg.springframework.context.annotation.Configuration;importorg.springframework.security.authentication.BadCredentialsException;importorg.springframework.security.config.annotation.ObjectPostProcessor;importorg.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;importorg.springframework.security.config.annotation.web.builders.HttpSecurity;importorg.springframework.security.config.annotation.web.builders.WebSecurity;importorg.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;importorg.springframework.security.core.Authentication;importorg.springframework.security.core.AuthenticationException;importorg.springframework.security.core.userdetails.UsernameNotFoundException;importorg.springframework.security.crypto.password.PasswordEncoder;importorg.springframework.security.web.access.intercept.FilterSecurityInterceptor;importorg.springframework.security.web.authentication.AuthenticationFailureHandler;importorg.springframework.security.web.authentication.AuthenticationSuccessHandler;importcom.example.demo.service.UserService;

@Configurationpublic class WebSecurityConfig extendsWebSecurityConfigurerAdapter {

@Autowired

UserService userService;

@Autowired

MyFilterInvocationSecurityMetadataSource myFilterInvocationSecurityMetadataSource;

@Autowired

MyAccessDecisionManager myAccessDecisionManager;

@Autowired

AuthenticationAccessDeniedHandler authenticationAccessDeniedHandler;/*** 自定义的加密算法

*@return

*/@BeanpublicPasswordEncoder myPasswordEncoder() {return newMyPasswordEncoder();

}

@Overrideprotected void configure(AuthenticationManagerBuilder auth) throwsException {

auth.userDetailsService(userService).passwordEncoder(myPasswordEncoder());

}

@Overridepublic void configure(WebSecurity web) throwsException {

web.ignoring().antMatchers("/index.html", "/static/**","/loginPage","/register");

}

@Overrideprotected void configure(HttpSecurity http) throwsException {

http.authorizeRequests()

.withObjectPostProcessor(new ObjectPostProcessor() {

@Overridepublic O postProcess(O o) {

o.setSecurityMetadataSource(myFilterInvocationSecurityMetadataSource);

o.setAccessDecisionManager(myAccessDecisionManager);returno;

}

}).and().formLogin().loginPage("/loginPage").loginProcessingUrl("/login").usernameParameter("username").passwordParameter("password").permitAll().failureHandler(newAuthenticationFailureHandler() {

@Overridepublic void onAuthenticationFailure(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AuthenticationException e) throwsIOException, ServletException {

httpServletResponse.setContentType("application/json;charset=utf-8");

PrintWriter out=httpServletResponse.getWriter();

StringBuffer sb= newStringBuffer();

sb.append("{\"status\":\"error\",\"msg\":\"");if (e instanceof UsernameNotFoundException || e instanceofBadCredentialsException) {

sb.append("用户名或密码输入错误,登录失败!");

}else{

sb.append("登录失败!");

}

sb.append("\"}");

out.write(sb.toString());

out.flush();

out.close();

}

}).successHandler(newAuthenticationSuccessHandler() {

@Overridepublic void onAuthenticationSuccess(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Authentication authentication) throwsIOException, ServletException {

httpServletResponse.setContentType("application/json;charset=utf-8");

PrintWriter out=httpServletResponse.getWriter();

String s= "{\"status\":\"success\",\"msg\":\"登陆成功\"}";

out.write(s);

out.flush();

out.close();

}

}).and().logout().permitAll().and().csrf().disable().exceptionHandling().accessDeniedHandler(authenticationAccessDeniedHandler);

}

}

MyFilterInvocationSecurityMetadataSource.java

packagecom.example.demo.config;importorg.springframework.beans.factory.annotation.Autowired;importorg.springframework.security.access.ConfigAttribute;importorg.springframework.security.access.SecurityConfig;importorg.springframework.security.web.FilterInvocation;importorg.springframework.security.web.access.intercept.FilterInvocationSecurityMetadataSource;importorg.springframework.security.web.util.matcher.AntPathRequestMatcher;importorg.springframework.stereotype.Service;importcom.example.demo.dao.PermissionMapper;importcom.example.demo.model.Permission;importjavax.servlet.http.HttpServletRequest;import java.util.*;importjava.util.Map.Entry;

@Servicepublic class MyFilterInvocationSecurityMetadataSource implementsFilterInvocationSecurityMetadataSource {

@AutowiredprivatePermissionMapper permissionMapper;private HashMap> map = null;/*** 加载权限表中所有权限*/

public voidloadResourceDefine() {

map= new HashMap>();

List permissions =permissionMapper.findAll();for(Permission permission : permissions) {

ConfigAttribute cfg= newSecurityConfig(permission.getPermissionname());

List list = new ArrayList<>();

list.add(cfg);

map.put(permission.getUrl(), list);

}

}/*** 此方法是为了判定用户请求的url 是否在权限表中,如果在权限表中,则返回给 decide 方法, 用来判定用户

* 是否有此权限。如果不在权限表中则放行。*/@Overridepublic Collection getAttributes(Object object) throwsIllegalArgumentException {if (map == null) {

loadResourceDefine();

}//object 中包含用户请求的request的信息

HttpServletRequest request =((FilterInvocation) object).getHttpRequest();for (Entry>entry : map.entrySet()) {

String url=entry.getKey();if (newAntPathRequestMatcher(url).matches(request)) {returnmap.get(url);

}

}return null;

}

@Overridepublic CollectiongetAllConfigAttributes() {return null;

}

@Overridepublic boolean supports(Class>clazz) {return true;

}

}

MyAccessDecisionManager.java

packagecom.example.demo.config;importorg.springframework.security.access.AccessDecisionManager;importorg.springframework.security.access.AccessDeniedException;importorg.springframework.security.access.ConfigAttribute;importorg.springframework.security.authentication.InsufficientAuthenticationException;importorg.springframework.security.core.Authentication;importorg.springframework.security.core.GrantedAuthority;importorg.springframework.stereotype.Service;importjava.util.Collection;importjava.util.Iterator;

@Servicepublic class MyAccessDecisionManager implementsAccessDecisionManager {/*** decide 方法是判定是否拥有权限的决策方法,authentication是CustomUserService

* 中循环添加到 GrantedAuthority 对象中的权限信息集合,object 包含客户端发起的请求的requset信息,

* 可转换为 HttpServletRequest request = ((FilterInvocation) object).getHttpRequest();

* configAttributes为MyFilterInvocationSecurityMetadataSource的getAttributes(Object object)

* 这个方法返回的结果.

**/@Overridepublic void decide(Authentication authentication, Object object, Collection configAttributes) throwsAccessDeniedException, InsufficientAuthenticationException {if(null== configAttributes || configAttributes.size() <=0) {return;

}

ConfigAttribute c;

String needRole;for(Iterator iter =configAttributes.iterator(); iter.hasNext(); ) {

c=iter.next();

needRole=c.getAttribute();for(GrantedAuthority ga : authentication.getAuthorities()) {//authentication 为在注释1 中循环添加到 GrantedAuthority 对象中的权限信息集合

if(needRole.trim().equals(ga.getAuthority())) {return;

}

}

}throw new AccessDeniedException("no right");

}

@Overridepublic booleansupports(ConfigAttribute attribute) {return true;

}

@Overridepublic boolean supports(Class>clazz) {return true;

}

}

AuthenticationAccessDeniedHandler.java

packagecom.example.demo.config;importorg.springframework.security.access.AccessDeniedException;importorg.springframework.security.web.access.AccessDeniedHandler;importorg.springframework.stereotype.Component;importjavax.servlet.ServletException;importjavax.servlet.http.HttpServletRequest;importjavax.servlet.http.HttpServletResponse;importjava.io.IOException;importjava.io.PrintWriter;

@Componentpublic class AuthenticationAccessDeniedHandler implementsAccessDeniedHandler {

@Overridepublic void handle(HttpServletRequest httpServletRequest, HttpServletResponse resp, AccessDeniedException e) throwsIOException, ServletException {

resp.setStatus(HttpServletResponse.SC_FORBIDDEN);

resp.setContentType("application/json;charset=UTF-8");

PrintWriter out=resp.getWriter();

out.write("{\"status\":\"error\",\"msg\":\"权限不足,请联系管理员!\"}");

out.flush();

out.close();

}

}

MyPasswordEncoder.java

packagecom.example.demo.config;importorg.springframework.security.crypto.password.PasswordEncoder;public class MyPasswordEncoder implementsPasswordEncoder {

@OverridepublicString encode(CharSequence charSequence) {returncharSequence.toString();

}

@Overridepublic booleanmatches(CharSequence charSequence, String s) {returns.equals(charSequence.toString());

}

}

UserServiceImpl.java

packagecom.example.demo.service.impl;importjava.util.ArrayList;importjava.util.List;importorg.springframework.beans.factory.annotation.Autowired;importorg.springframework.security.core.GrantedAuthority;importorg.springframework.security.core.authority.SimpleGrantedAuthority;importorg.springframework.security.core.userdetails.UserDetails;importorg.springframework.security.core.userdetails.UsernameNotFoundException;importorg.springframework.security.crypto.password.PasswordEncoder;importorg.springframework.stereotype.Service;importorg.springframework.transaction.annotation.Transactional;importcom.example.demo.dao.PermissionMapper;importcom.example.demo.dao.RoleMapper;importcom.example.demo.dao.UserMapper;importcom.example.demo.model.Permission;importcom.example.demo.model.User;importcom.example.demo.service.UserService;

@Servicepublic class UserServiceImpl implementsUserService {

@AutowiredprivatePermissionMapper permissionMapper;

@AutowiredprivateRoleMapper roleMapper;

@AutowiredprivateUserMapper userMapper;

@AutowiredprivatePasswordEncoder passwordEncoder;

@Overridepublic UserDetails loadUserByUsername(String username) throwsUsernameNotFoundException {

User user=userMapper.selectByUsername(username);if (user != null) {

List permissions =permissionMapper.findByUserId(user.getId());

List grantedAuthorities = new ArrayList <>();for(Permission permission : permissions) {if (permission != null && permission.getPermissionname()!=null) {

GrantedAuthority grantedAuthority= newSimpleGrantedAuthority(permission.getPermissionname());

grantedAuthorities.add(grantedAuthority);

}

}return neworg.springframework.security.core.userdetails.User(user.getUsername(), user.getPassword(), grantedAuthorities);

}else{throw new UsernameNotFoundException("username: " + username + " do not exist!");

}

}

@Transactional

@Overridepublic voiduserRegister(String username, String password) {

User user= newUser();

user.setUsername(passwordEncoder.encode(username));

user.setPassword(password);

userMapper.insert(user);

User rtnUser=userMapper.selectByUsername(username);//注册成功默认给用户的角色是user

roleMapper.insertUserRole(rtnUser.getId(), 2);

}

}

至此,整合基本完毕,其它控制层的代码和mapper层的代码不再贴出,需要注意的是注册用户的时候我们要用自定义的加密工具对密码进行加密(当然在demo中我什么也没做),其它的一些功能比如给用户加角色、给角色加权限等的增删改查,大家可以根据需要自行添加,另外在permissionMapper.findByUserId(user.getId())这里我写了一个五张表的关联查询,可以根据userid可以查出用户所有对应的权限。

开朗可燃冰Tto
关注
SpringBoot 权限控制(菜单控制,页面元素控制url控制
04-13
基于RBAC思想的权限控制,可先建立完整的库,也可以使用使用代码生成,包中提供两种方式, 代码先后顺序 菜单控制----》元素控制-------》url控制
一套简单通用的Java后台管理系统
java面试笔试
07-25 441
Java面试笔试面经、Java技术每天学习一点Java面试关注不迷路作者:huanzi-qch来源:https://www.cnblogs.com/huanzi-qch/前言这套Base...
SpringBoot实战:Spring Boot接入Security权限认证服务
最新发布
weixin_40845163的博客
09-15 347
引言 Spring Security是一个功能强大且高度可定制的身份验证和访问控制的框架,提供了完善的认证机制和方法级的授权功能,是一个非常优秀的权限管理框架。其核心是一组过滤器链,不同的功能经由不同的过滤器。本文将通过一个案例将Spring Security整合SpringBoot中,要实现的功能就是在认证服务器上登录,然后获取Token,再访问资源服务器中的资源。 一、基本介绍 登...
java 权限url权限_Spring Boot 2.X(十八):Spring Security-登录认证和权限控制
weixin_39783149的博客
11-21 297
前言在企业项目开发中,对系统的安全和权限控制往往是必需的,常见的安全框架有 Spring Security、Apache Shiro 等。本文主要简单介绍一下 Spring Security,再通过 Spring Boot 集成开一个简单的示例。Spring Security什么是 Spring Security?Spring Security 是一种基于 Spring AOP 和 Servlet...
java 权限url权限_Spring Security 动态url权限控制(三)
weixin_39878989的博客
11-21 241
一、前言本篇文章将讲述Spring Security 动态分配url权限,未登录权限控制,登录过后根据登录用户角色授予访问url权限基本环境spring-boot 2.1.8mybatis-plus 2.2.0mysql 数据库maven项目Spring Security入门学习可参考之前文章:SpringBoot集成Spring Security入门体验(一)Spring Security 自定...
java url权限控制_Spring Security如何使用URL地址进行权限控制
weixin_39821189的博客
02-13 475
这篇文章主要介绍了Spring Security如何使用URL地址进行权限控制,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下目的是:系统内存在很多不同的用户,每个用户具有不同的资源访问权限,具体表现就是某个用户对于某个URL是无权限访问的。需要Spring Security忙我们过滤。FilterSecurityInterceptor是Sprin...
SpringBoot整合权限控制SpringSecurity.docx
12-10
总结来说,SpringBoot整合SpringSecurity提供了全面的权限控制,而Element UI的多标签页组件则优化了前端用户界面,使得在后台管理系统中可以轻松地在多个功能页面之间切换。这种结合使用的方式不仅提升了系统的安全...
SpringBoot整合Security实现权限控制框架
H_bbo的博客
06-16 997
目录 一、前言 二、环境准备2.1、数据库表2.2、导入依赖2.3、配置文件2.4、WebSecurityConfig Security的主要配置类:2.5、Security身份验证2.6、Security授权2.7、UserDetailsService2.7、MacLoginUrlAuthenticationEntryPoint2.8、MyAccessDeniedHandler2.9、MyLogoutSuccessHandler2.10、JWT的工具类 三、代码 entity 四、测试 五、总结.....
SpringBoot集成Spring Security实现权限控制【完整源码+数据库】
02-16
SpringBoot集成Spring Security是现代Java应用中常见的安全框架组合,它们为开发者提供了强大的权限管理和访问控制功能。Spring Security是一个全面的、高度可配置的安全框架,它涵盖了认证、授权以及会话管理等多个...
springboot整合Security、OAuth2实现权限控制
09-24
在本教程中,我们将探讨如何将Spring Boot与Spring Security和OAuth2结合,实现在分布式系统中的权限控制,并利用Redis存储认证和授权信息。 首先,Spring Security是Spring生态中的核心安全组件,它提供了全面的...
SpringBoot整合SpringSecurity实现权限控制(六):菜单管理
我的博客
10-22 8085
系列文章目录 《SpringBoot整合SpringSecurity实现权限控制(一):实现原理》 《SpringBoot整合SpringSecurity实现权限控制(二):权限数据基本模型设计》 《SpringBoot整合SpringSecurity实现权限控制(三):前端动态装载路由与菜单》 《SpringBoot整合SpringSecurity实现权限控制(四):角色管理》 《SpringBoot整合SpringSecurity实现权限控制(五):用户管理》 本文目录一、前言二、需求分析三、后端
java 权限url权限_如何实现登录、URL和页面按钮的访问控制
weixin_39736150的博客
11-21 303
作者:社会主义接班人http://cnblogs.com/5ishare/p/10461073.html用户权限管理一般是对用户页面、按钮的访问权限管理。Shiro框架是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理,对于Shiro的介绍这里就不多说。本篇博客主要是了解Shiro的基础使用方法,在权限管理系统中集成Shiro实现登录、url和页面按钮的访问控制。一、引入依赖使...
如何实现登录、URL 和页面按钮的访问控制
芋艿V
04-06 318
点击上方“芋道源码”,选择“设为星标”做积极的人,而不是积极废人!源码精品专栏原创 | Java 2020 超神之路,很肝~中文详细注释的开源项目RPC 框架 Dubbo 源码解析网...
SpringBoot - 安全管理框架Spring Security使用详解(4)-基于数据库的URL权限规则配置
Andy's Blog
06-06 563
虽然前面我们实现了通过数据库来配置用户与角色,但认证规则仍然是使用HttpSecurity进行配置,还是不够灵活,无法实现资源和角色之间的动态调整。 要实现动态配置URL权限,就需要开发者自定义权限配置,具体步骤如下。 四、基于数据库的URL权限规则配置 1,数据库设计 这里的数据库在前文(点击查看)的基础上增加一张资源表和一张资源角色管理表,并添加一些预置数据: 资源表中定义了用户能够访问的URL模式。 资源角色表则定义了访问该模式的URL需要什么样的角色...
java url权限控制_基于URL权限访问控制
weixin_30002151的博客
02-13 631
packagecom.yehancheng.filter;importjava.io.IOException;importjavax.servlet.Filter;importjavax.servlet.FilterChain;importjavax.servlet.FilterConfig;importjavax.servlet.ServletException;importjavax.serv...
Spring Boot中实现对特定URL权限验证:拦截器、切面和安全框架的比较
diligent_man_z的博客
03-25 1290
而如果您的项目安全需求较为复杂,建议使用专门的安全框架(如Spring Security),它提供了一套完整的安全解决方案。本文将比较这三种方式的优劣,并通过示例代码来佐证观点,以帮助您选择适合您项目需求的最佳方案。通过示例代码的演示,您可以更好地理解这三种方式的实现方式和特点。根据您的项目需求和团队的技术能力,选择适合的方式来实现权限验证是关键。无论您选择哪种方式,通过示例代码的展示,您可以更好地理解在Spring Boot中实现对特定URL权限验证的具体实现方式,确保您的应用程序的安全性和合规性。
SpringBoot2.x系列教程(三十九)SpringBootSecurityConstraint使用详解
程序新视界
02-06 4735
针对Web应用中数据的敏感程度,可采用http或https进行访问。而在Spring Boot中也可以通过重新定义TomcatServletWebServerFactory的具体实现来达到不同层级数据的安全访问形式。比如,静态资源采用http访问,非静态资源采用https进行访问。 具体到代码使用,以Spring Boot为例,可实现http调整到https的配置代码如下: @Configurat...
springboot整合security实现权限控制
Amour恋空的博客
05-22 1359
Spring Security 的前身是 Acegi Security ,是。Spring Security 为基于J2EE企业应用软件提供了全面安全服务。特别是使用领先的J2EE解决方案-Spring框架开发的企业软件项目。人们使用Spring Security有很多种原因,不过通常吸引他们的是在J2EE Servlet规范或EJB规范中找不到典型企业应用场景的解决方案。特别要指出的是他们不能再WAR 或 EAR 级别进行移植。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值