spring boot系列03--spring security (基于数据库)登录和权限控制(上)

最新推荐文章于 2021-05-13 08:31:30 发布
最新推荐文章于 2021-05-13 08:31:30 发布
阅读量145 收藏
点赞数
文章标签: 数据库 javascript java ViewUI
原文链接:http://www.cnblogs.com/zhufu9426/p/7883739.html
版权

 这篇打算写一下登陆权限验证相关

说起来也都是泪,之前涉及权限的比较少所以这次准备起来就比较困难。

踩了好几个大坑,还好最终都一一消化掉(这是废话你没解决你写个什么劲 ?) 也补充了一下自己在权限知识的的空白,还是很欣慰的。

试着能把遭遇到的坑都写出来 ,能耐有限 尽力吧

(因为我是基于上一篇的基础上写的 理论上可以拿着上一版的代码直接用 当然我也会在最后放上这次的代码

说是"理论上" 是因为这次遭遇的问题太多反复删,改 很多地方我自己也没有做对比 也记不住了?)

 

好了,先从配置开始

配置

 向pom.xml文件里追加数据库用和Security用及mybatis用jar 如下

<!--spring security -->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
    <groupId>org.thymeleaf.extras</groupId>
    <artifactId>thymeleaf-extras-springsecurity4</artifactId>
</dependency>
<!--postgresql -->
<dependency>
    <groupId>org.postgresql</groupId>
    <artifactId>postgresql</artifactId>
</dependency>
<!--mybatis -->
<dependency>
    <groupId>org.mybatis.spring.boot</groupId>
    <artifactId>mybatis-spring-boot-starter</artifactId>
    <version>1.2.0</version>
</dependency>

数据库连接配置和端口号(我自己电脑上还有别的项目在跑避免多端口冲突 配置了端口号 9090)

###############
## DB
###############
spring.datasource.url=jdbc:postgresql://localhost:5432/springboot
spring.datasource.username=postgres
spring.datasource.password=postgres
spring.datasource.driver-class-name=org.postgresql.Driver

###############
## Server Port
###############
server.port = 9090

根据自己情况调整,换成其他数据库也是改这两个文件

使用的到的表,主要是用户表和权限表,如下

CREATE TABLE public.mst_authorities
(
  user_id integer,
  authority character varying(256),
  permission_flag character varying(1),
  create_user character varying(256),
  create_date_time character varying(256),
  update_date_time character varying(256),
  CONSTRAINT authorities_user_id_fkey FOREIGN KEY (user_id)
      REFERENCES public.mst_users (user_id) MATCH SIMPLE
      ON UPDATE NO ACTION ON DELETE NO ACTION
);

CREATE TABLE public.mst_users
(
  user_id integer NOT NULL,
  login_id character varying(256),
  password character varying(256),
  display_name character varying(255),
  enabled boolean,
  CONSTRAINT users_pkey PRIMARY KEY (user_id)
);

下面是我用的数据提供参考 上面是权限下面是用户

 

画面

先说一下登录(login.html)画面

 1 <!DOCTYPE HTML>
 2 <!-- thymeleaf 导入 -->
 3 <html xmlns:th="http://www.thymeleaf.org"
 4 xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity4">
 5 <head>
 6 <title>登录</title>
 7 <meta http-equiv="Content-Type" content="text/html; charset=UTF-8" />
 8 <script type="text/javascript" src="../js/jquery-3.2.1.min.js" th:src="@{/js/jquery-3.2.1.min.js}"></script>
 9 <link rel="stylesheet" href="../css/bootstrap.min.css" th:src="@{/css/bootstrap.min.css}" type="text/css"></link>
10 <script type="text/javascript">
11     $(function() {
12     })
13 </script>
14 <body>
15     <!-- common 的 定义好的 header模板 引用  参数 title  -->
16     <!-- 
17      Bootstrap的容器Class使用 
18      container :用于固定宽度并支持响应式布局的容器 
19      container-fluid :用于 100% 宽度,占据全部视口(viewport)的容器。
20     -->
21     <div class="container" th:replace="common :: header('login') "></div>
22     <div class="container">
23         <!--Bootstrap
24             .row:行控制  一行有12列
25             .clo-md-4:列控制 表示 占 4列
26             .md-offfset-4:向右侧偏移4
27          -->
28         <div class="row">
29             <div class="col-md-4 col-md-offset-4">
30                 <div class="panel panel-default">
31                     <div class="panel-heading">
32                         <h3 class="panel-title">Login</h3>
33                     </div>
34                     <div class="panel-body">
35                         <form id="frmLogin" method="post" th:action="@{'/login'}" >
36                             <div class="form-group form-inline">
37                                 <label for="txtUserName" class="col-md-3 control-label"
38                                     style="text-align: right;">用户名</label>
39                                 <div class="col-md-9">
40                                 <input class="form-control" style="width:60%;" placeholder="请输入用户名 &#8727;" autofocus="autofocus" name="txtUserCd" type="text"  value=""
41                                     th:id="usrCode" required="required"/>
42                                 </div>
43                             </div>
44                             <div class="form-group form-inline" style="padding-top:45px">
45                                 <label for="txtUserPwd" class="col-sm-3 control-label"
46                                     style="text-align: right;">密码</label>
47                                 <div class="col-md-9">
48                                         <input class="form-control" style="width:60%;" placeholder="password &#8727;" name="txtUserPwd" type="password" value="" required="required" />
49                                 </div>
50                             </div>
51                             <div class="form-group">
52                                 <div class="col-md-offset-3 col-md-9">
53                                     <div class="checkbox">
54                                         <label> <input type="checkbox" />请记住我(未实现)
55                                         </label>
56                                     </div>
57                                 </div>
58                             </div>
59                             <div class="form-group">
60                                 <div class="col-md-offset-3 col-md-5">
61                                     <button class="btn btn-primary btn-block" type="submit" name="action"
62                                         value="login">登录</button>
63                                 </div>
64                             
65                             </div>
66                             <div class="form-group">
67                                 <div class=" col-md-12" style="padding-top:15px">
68                                     <div class="alert alert-danger" role="alert" th:if="${loginError}">
69                                         <strong>用户名或者用户密码不正确,请重新输入</strong>
70                                     </div>
71                                 </div>
72                             </div>
73                         </form>
74                         
75                     </div>
76                 </div>
77             </div>
78         </div>
79     </div>
80 
81     <!-- common 的 定义好的 fotter模板引用  无参  -->
82     <div class="container" th:replace="common :: footer"></div>
83 </body>
84 </head>
85 </html>

说一下这个画面遭遇的问题吧

坑一、L8,9 的资源引用

spring boot 有自己默认的资源引用文件夹(/META-INF/resources/ ,/resources/ ,/static/ ,/public/)所以用到的资源文件一定要这些

下面否则会读取不到,当然自己也可以自己定义直接写在application.properties文件里就好了,有一个问题就是 如果自己配置了默认的就不能用了

 

坑二、L40,48 

这里的用户名和密码的控件的name是和后台传给

  formLogin().usernameParameter("txtUserCd") .passwordParameter("txtUserPwd")  这个两个函数的参数要保持一致 

在网上看到说一定要 用 username 和 password 看来也不是必需  但 保持一致 还是有必要的

 

坑三、这次demo里没有用到但遭遇过 关于ajax 被拦截的问题

参考我这篇 Spring Security Ajax 被拦截

然后说一下登录成功跳转到的main_menu.html画面

 1 <!DOCTYPE HTML>
 2 <html xmlns:th="http://www.thymeleaf.org"
 3 xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity4">
 4 <head>
 5     <title>MAIN MENU</title>
 6     <meta http-equiv="Content-Type" content="text/html; charset=UTF-8" />
 7     <meta http-equiv="X-UA-Compatible" content="IE=edge" />
 8 <script type="text/javascript" src="../js/jquery-3.2.1.min.js" th:src="@{/js/jquery-3.2.1.min.js}"></script>
 9 <link rel="stylesheet" href="../css/bootstrap.min.css" th:src="@{/css/bootstrap.min.css}" type="text/css"></link>
10 
11 </head>
12 <body style="margin:0;" >
13 <div class="container-fluid"  th:replace="common :: header('MAIN MENU')"></div>
14 <div class="container" style="margin-top:50px;">
15     <div class="row">
16     <div class="col-md-offset-2 col-md-8">
17           <div th:if="${#authorization.expression('hasAnyAuthority(''__${session.authorityKindMap}__'')')}">
18                 当前用户权限:<div th:text="${session.authorityKindMap}">...</div>
19             </div>
20           
21         <a href="stow_menu.html" th:href="@{/stow_menu.html}" sec:authorize="hasAnyAuthority('ROLE_USER','ROLE_ADMIN')"  
22                 class="btn btn-primary  btn-lg btn-block" >MENU(普通以上权限)</a>
23         <a href="#"  sec:authorize="!hasAnyAuthority('ROLE_USER','ROLE_ADMIN')" 
24                 class="btn btn-primary  btn-lg btn-block" disabled="disabled">AAAAA</a>
25         <hr/>      
26         <a href="manage_menu.html" th:href="@{/manage_menu.html}" sec:authorize="hasAnyAuthority('ROLE_ADMIN')"  
27                 class="btn btn-primary btn-lg btn-block">MENU(管理员以上权限)</a>
28         <a href="#"  sec:authorize="!hasAnyAuthority('ROLE_ADMIN')" 
29                 class="btn btn-primary btn-lg btn-block" disabled="disabled">管理MENU</a>
30         <hr/>
31     </div>
32     </div>
33 </div>
34 <div class="container" th:replace="common :: footer"></div>
35 </body>
36 </html>

spring security 是可以控制到控件的

 L17 authorization.expression 先说这个函数 从网上查 然而并没有发现有效资料 没办法只好去翻一下源码了

从这里并看不出什么 只能推测返回的是一个Boolean 和 配合 thymeleaf 的 th:if

继续 看它调用的 函数 AuthUtils.authorizeUsingAccessExpression

源码比较多截取一下关键信息 这里值得注意的就是 L237 这个判断以为都是返回的false

从 L240 和 L249 的log 来分析看  一个是 Access GRANTED(授予访问权限) 一个是Access DENIED(拒绝访问)

到此也可以推出你对你传入表达式的权限判断,如果在看一下L237的代码基本就比较明了

 1 public final class ExpressionUtils {
 2 
 3     public static boolean evaluateAsBoolean(Expression expr, EvaluationContext ctx) {
 4         try {
 5             return ((Boolean) expr.getValue(ctx, Boolean.class)).booleanValue();
 6         }
 7         catch (EvaluationException e) {
 8             throw new IllegalArgumentException("Failed to evaluate expression '"
 9                     + expr.getExpressionString() + "'", e);
10         }
11     }
12 }

尤其是 new IllegalArgumentException 这个错误信息 文档里给的描述 [Represent an exception that occurs during expression evaluation.]执行表达式出错

当然这样的说还是有些武断的 但这次不是解读源码 所以能服务于我们这次demo就可以了

然后是还是当前行(L17) hasAnyAuthority 这个函数

先说一下 研究它的时候一个小插曲

我查这函数的时候是英文版和中文版对照着看 发现所谓的中文版就是 谷歌出来 贴上了 我也是无力吐槽了 贴下来感受一下

hasAnyAuthority([authority1,authority2])

如果当前的主体有任何提供的角色(给定的作为一个逗号分隔的字符串列表)的话,返回true.

其实这里就是用这个函数来控制像访问这个控件或者画面所需要的权限可以一个也可以是多个

 

最后再说一个细节也是当前行(L17)

hasAnyAuthority(''__${session.authorityKindMap}__'')

就是这个标红的下划线 意思是预处理 如果不这么写 hasAnyAuthority会报上面说到的这个EvaluationException错 因为直接 被解析字符串了

所以加上预处理把session里的内容提前取出来

然后说加这一行的原因是 下面的都是权限都是硬编码写死的这里写一个从数据库取的动态的

 L21,26

sec:authorize 这个就是 spring security的标准标签 没什么要说的

hasAnyAuthority('ROLE_USER','ROLE_ADMIN') 函数是说当前的这个标签 需要 'ROLE_USER','ROLE_ADMIN' 只有拥有这两个权限的任何一个就能访问

然后要说的 这两个参数是取决于你自己定义的是什么 或作说你在后台向这个 Collection<GrantedAuthority> list 放进取的是什么

也是不是网上说必须 以 "ROLE_"开头 也可以是其他的

最后说一下 如果没有权限或者 其他的错误默认被拦截到 error.html

画面本身是没什么可以说的 就是 显示error 或者 提示重新登录

这个 画面名值得说一下 因为 spring security 默认 把一些 错比如 404,403 甚至 空指针  直接映射到这个 叫error.html的画面上

 

本来想一篇写完呢 写着写着就多了 还有很多重要的没写 都放到一篇里 篇幅有点多了 那就写两篇吧

上 就先到这。。。

 

转载于:https://www.cnblogs.com/zhufu9426/p/7883739.html

weixin_30514745
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
spring-boot-security-添加数据库-注册用户添加权限.zip
08-03
spring-boot-security-添加数据库-注册用户添加权限 spring-boot-security-添加数据库-注册用户添加权限 spring-boot-security-添加数据库-注册用户添加权限 spring-boot2.0
使用security在画面级别控制权限
Nio的博客
08-31 933
       我们在使用spring security做系统认证和授权时,总会遇到这样的问题,就是画面上按钮和菜单级别的权限应该怎么处理,又怎么样在画面上去获取授权用户的信息呢?当然如果你使用的是JSP那就非常简单了,只要使用提供的标签库就可以实现,这也不是我们探讨的内容,我们今天要探讨的是如果你的画面是html或者thymleaf的情况下该如何处理,先说thymleaf的情况。        ...
spring security + thymeleaf 判断登录用户的权限
kakadiablo的专栏
03-01 1万+
spring security的UserDetailService是我自己定义的。 @Component public class MyUserDetailsService implements UserDetailsService { @Autowired private UserRepository userRepository; @Override
Security+Thymeleaf整合
夏天
05-13 869
官方地址 版本介绍 演示demo html界面 <html xmlns:th="http://www.thymeleaf.org" xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity4"> <head> <meta charset="UTF-8"/> <title>Title</title> </head> <body
Spring Boot 2.x实战80 - Spring Security 4 - Spring Security的授权(Authorization)之方法安全
汪云飞记录本
06-22 895
1.4.2 方法安全 Spring Security在方法级别进行权限控制,这样可以让权限控制更灵活。使用注解@EnableGlobalMethodSecurity开启方法安全注解的支持(组合了@Configuration注解): @EnableGlobalMethodSecurity(prePostEnabled = true) public class WebSecurityConfig extends WebSecurityConfigurerAdapter { //... } 使用了prePo
Spring Security(十六):授权(Authorization)
人不风流枉少年
07-09 4482
一:简介 授权 就是控制url能不能访问。一个请求过来会先经过FilterSecurityInterceptor过滤器拦截,然后调用访问决定管理器AccessDecisionManager,访问决定管理器是通过访问决定投票器AccessDecisionVoter来投票的,如果投票器投通过那么这个url就可以访问,如果投票器投拒绝那么这个url就不能被访问,会抛出一个访问被拒绝的异常。 访问决定投票...
spring-boot-security-saml-sample:SBS3 —基于Spring Boot构建的示例SAML 2.0服务提供程序
01-30
[SBS3] Spring Boot示例SAML 2.0服务提供程序项目描述该项目代表完全基于Spring Framework构建的SAML 2.0 Service Provider的示例实现。 特别是,它展示了如何通过集成Spring BootSpring Security SAML开发为联合...
spring-boot-starter-security-2.1.3.RELEASE.jar
02-27
java运行依赖jar包
spring-boot spring-security-oauth2 完整demo
11-22
总的来说,这个“spring-boot spring-security-oauth2 完整demo”为学习和实践Spring BootSpring Security与OAuth2的结合提供了宝贵的参考。通过深入理解和实践这个示例,开发者不仅可以掌握这三大框架的基本用法...
youlai-boot: Spring Boot 3 + Spring Security + Vue3 权限管理系统
最新发布
05-04
youlai-boot 是【有来开源组织】基于Spring Boot 3 + Spring Security 6 + JWT + Mybatis-Plus + Redis + XXL-Job + Vue3 等主流技术栈搭建的前后端分离权限管理系统。 在线预览地址:http://vue3.youlai.tech 后端...
Spring boot + Spring Security + Thymeleaf 认证失败返回错误信息
sun1021873926的博客
03-04 2万+
Spring boot +Spring Security + Thymeleaf 认证失败返回错误信息 经过验证,通过这样设置,完美的解决了我遇到的问题,到现在,我仍没有明白设置true的含义,望知道的读者可以告诉小编。 小编来总结哈,在Spring boot +Spring Security + Thymeleaf框架下,通过用户名/密码表单提交,在登录界面获取异常信息的步骤,主要有以下两点: 其一:将登录失败的url设置为”/login?error=true”(即后缀带?error=true),使前
Spring Security详解(四)认证之鉴权
Jagger的博客
06-22 2万+
4 鉴权 从Spring Security的过滤器链中,我们已经发现位于最后的FilterSecurityInterceptor是用来进行权限认证的,这一节将详细分析Spring Security是如何进行权限认证的。 4.1 FilterSecurityInterceptor 源码分析: public class FilterSecurityInterceptor exten...
认证 (authentication) 和授权 (authorization) 的区别
weixin_30852367的博客
08-08 2642
以前一直分不清 authentication 和 authorization,其实很简单,举个例子来说: 你要登机,你需要出示你的 passport 和 ticket,passport 是为了证明你张三确实是你张三,这就是 authentication;而机票是为了证明你张三确实买了票可以上飞机,这就是 authorization。 在 computer science 领域再举个例子:...
搭建spring cloud oauth2.0 出现ExpressionUrlAuthorizationConfigurer already built object
suject的专栏
04-19 2582
新手搭建oauth2.0时一不小心就会出现org.springframework.security.config.annotation.web.configurers.ExpressionUrlAuthorizationConfigurer@1def031 to already built object这是因为在编写ResourceServer时继承ResourceServerConfigurer...
Spring Security访问控制Authorization
daiwuliang的博客
04-28 2993
文章目录Authorization架构用户权限Authorities前置调用处理AccessDecisionManager基于选举机制的AccessDecisionManagerRoleVoterAuthenticatedVoter其它AccessDecisionVoter后置调用处理HTTP请求访问控制 FilterSecurityInterceptor表达式访问控制规则常见的表达式方法Web ...
Spring-Security源码分析】Spring安全表达式解析
通往神秘的道路的专栏
02-28 5681
在使用Spring Security进行权限检查的时候会用到SecurityExpressionHandler,具体参考《【Spring-Security源码分析】Spring Security基于注解认证原理》。 SecurityExpressionHandler接口定义了两个方法。 public interface SecurityExpressionHandler&lt;T&gt; e...
java expression 用法_Spring实战之使用Expression接口进行表达式求值操作示例
weixin_36221923的博客
02-13 2482
本文实例讲述了Spring使用Expression接口进行表达式求值操作。分享给大家供大家参考,具体如下:一 Beanpackage org.crazyit.app.domain;import java.util.Date;public class Person{private Integer id;private String name;private Date birth;// 无参数的构造器...
SpringBoot整合Springsecurity实现数据库登录以及权限控制
热门推荐
qq_39620552的博客
10-16 4万+
我们今天使用SpringBoot来整合SpringSecurity,来吧,不多BB 首先呢,是一个SpringBoot 项目,连接数据库,这里我使用的是mybaties.mysql, 下面是数据库的表 DROP TABLE IF EXISTS `xy_role`; CREATE TABLE `xy_role` ( `xyr_id` int(11) NOT NULL AUTO_INCRE...
SpEL 表达式
fanxiaobin
04-01 1万+
前言:Spring表达式语言(简称SpEL)是一种与JSP2的EL功能类似的表达式语言,它可以在运行时查询和操作对象图。与JSP2的EL相比,SpEL功能更加强大,它甚至支持方法调用和基本字符串模板函数。SpEL可以独立于Spring容器使用——只是当成简单的表达式语言来使用;也可以在Annotation或XML配置中使用SpEL,这样可以充分利用SpEL简化Spring的Bean配置。 注:在...
spring-cloud-starter-securityspring-boot-starter-security
04-28
spring-cloud-starter-securitySpring Cloud框架中提供的一个库,它是在spring-boot-starter-security的基础上进行扩展,提供了一些针对分布式系统的安全认证功能,比如OAuth2、JWT等。 因此,如果你的应用是一...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值