websecurity连接mysql_Spring Security 动态url权限控制(三)

最新推荐文章于 2022-12-19 23:13:00 发布
最新推荐文章于 2022-12-19 23:13:00 发布
阅读量273 收藏 1
点赞数
文章标签: websecurity连接mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_32050773/article/details/114474863
版权

一、前言

本篇文章将讲述Spring Security 动态分配url权限,未登录权限控制,登录过后根据登录用户角色授予访问url权限

基本环境

spring-boot 2.1.8

mybatis-plus 2.2.0

mysql 数据库

maven项目

Spring Security入门学习可参考之前文章:

二、数据库建表

8f612224ced769034e9ba284c28a6e02.png

表关系简介:

用户表t_sys_user 关联 角色表t_sys_role 两者建立中间关系表t_sys_user_role

角色表t_sys_role 关联 权限表t_sys_permission 两者建立中间关系表t_sys_role_permission

最终体现效果为当前登录用户所具备的角色关联能访问的所有url,只要给角色分配相应的url权限即可

温馨小提示:这里逻辑根据个人业务来定义,小编这里讲解案例只给用户对应的角色分配访问权限,像其它的 直接给用户分配权限等等可以自己实现

表模拟数据如下:

498181bcf71869bf23660a43800bb01c.png

三、Spring Security 动态权限控制

1、未登录访问权限控制

自定义AdminAuthenticationEntryPoint类实现AuthenticationEntryPoint类

这里是认证权限入口 -> 即在未登录的情况下访问所有接口都会拦截到此(除了放行忽略接口)

温馨小提示:ResponseUtils和ApiResult是小编这里模拟前后端分离情况下返回json格式数据所使用工具类,具体实现可参考文末给出的demo源码

@Component

public class AdminAuthenticationEntryPoint implements AuthenticationEntryPoint {

@Override

public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException e) {

ResponseUtils.out(response, ApiResult.fail("未登录!!!"));

}

}

2、自定义过滤器MyAuthenticationFilter继承OncePerRequestFilter实现访问鉴权

每次访问接口都会经过此,我们可以在这里记录请求参数、响应内容,或者处理前后端分离情况下,以token换用户权限信息,token是否过期,请求头类型是否正确,防止非法请求等等

logRequestBody()方法:记录请求消息体

logResponseBody()方法:记录响应消息体

【注:请求的HttpServletRequest流只能读一次,下一次就不能读取了,因此这里要使用自定义的MultiReadHttpServletRequest工具解决流只能读一次的问题,响应同理,具体可参考文末demo源码实现】

@Slf4j

@Component

public class MyAuthenticationFilter extends OncePerRequestFilter {

private final UserDetailsServiceImpl userDetailsService;

protected MyAuthenticationFilter(UserDetailsServiceImpl userDetailsService) {

this.userDetailsService = userDetailsService;

}

@Override

protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {

System.out.println("请求头类型: " + request.getContentType());

if ((request.getContentType() == null && request.getContentLength() > 0) || (request.getContentType() != null && !request.getContentType().contains(Constants.REQUEST_HEADERS_CONTENT_TYPE))) {

filterChain.doFilter(request, response);

return;

}

MultiReadHttpServletRequest wrappedRequest = new MultiReadHttpServletRequest(request);

MultiReadHttpServletResponse wrappedResponse = new MultiReadHttpServletResponse(response);

StopWatch stopWatch = new StopWatch();

try {

stopWatch.start();

// 记录请求的消息体

logRequestBody(wrappedRequest);

// String token = "123";

// 前后端分离情况下,前端登录后将token储存在cookie中,每次访问接口时通过token去拿用户权限

String token = wrappedRequest.getHeader(Constants.REQUEST_HEADER);

log.debug("后台检查令牌:{}", token);

if (StringUtils.isNotBlank(token)) {

// 检查token

SecurityUser securityUser = userDetailsService.getUserByToken(token);

if (securityUser == null || securityUser.getCurrentUserInfo() == null) {

throw new AccessDeniedException("TOKEN已过期,请重新登录!");

}

UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(securityUser, null, securityUser.getAuthorities());

// 全局注入角色权限信息和登录用户基本信息

SecurityContextHolder.getContext().setAuthentication(authentication);

}

filterChain.doFilter(wrappedRequest, wrappedResponse);

} finally {

stopWatch.stop();

long usedTimes = stopWatch.getTotalTimeMillis();

// 记录响应的消息体

logResponseBody(wrappedRequest, wrappedResponse, usedTimes);

}

}

private String logRequestBody(MultiReadHttpServletRequest request) {

MultiReadHttpServletRequest wrapper = request;

if (wrapper != null) {

最低0.47元/天 解锁文章
用户甲
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Security如何使用URL地址进行权限控制
08-25
主要介绍了Spring Security如何使用URL地址进行权限控制,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
spring security动态配置url权限的2种实现方法
08-27
对于使用spring security来说,存在一种需求,就是动态去配置url权限,即在运行时去配置url对应的访问角色。下面这篇文章主要给大家介绍了关于spring security动态配置url权限的2种实现方法,需要的朋友可以参考下
Web Security URL
dyw的专栏
07-25 1036
EtterCap Usage:http://ettercap.sourceforge.net/forum/viewtopic.php?t=2833&highlight=gzipBurp Proxy:http://www.portswigger.net/proxy/download.htmlTop 11 Packet Sniffers:http://sectools.org/sniffers
SpringSecurity_连接mysql(初出茅庐)
热门推荐
编程知识分享,主打前端
12-15 3万+
SpringSecurity+mysql初出茅庐
六、模块实现:角色管理模块(3)
jiantsing的专栏
09-05 1720
角色管理模块 角色model类 在包“com.example.demo.model”中的“Role”类已经创建好,参见6.2.1。 在包“com.example.demo.model”中再新建一个“UserRole”类(因为需要用到用户角色关联表,所以用户角色model先创建好),代码如下: package com.example.demo.model; impo...
Spring security实现权限管理示例
08-31
在本文中,我们将深入探讨如何使用Spring Security实现权限管理。Spring Security是一个强大的、高度可定制的身份验证和访问控制框架,适用于Java应用程序。通过它,我们可以对用户访问资源进行精细控制,确保只有...
SpringSecurity_03 整合SpringBoot1
08-03
整合认证第二版的步骤包括:创建自定义登录页面、配置 SpringSecurity 路径权限连接数据库以存储用户信息,并实现认证逻辑。这通常涉及配置 `UserDetailsService` 和 `AuthenticationProvider`,以及可能的密码...
全套Spring Security入门到项目实战课程
最新发布
03-21
#### Spring Security 认证与授权机制 - **认证流程**: - 用户提交用户名和密码。 - Spring Security 进行密码加密并匹配数据库中的记录。 - 验证通过后,为用户生成会话或令牌。 - **授权管理**: - 根据...
cas-server-client-springsecurity.zip
08-22
在这个项目中,我们关注的是`cas-server-client-springsecurity.zip`,这是一个针对CAS 5.3版本的overlay工程,目的是整合MySQL数据库以及Spring Security客户端。 **CAS 5.3 版本概述** CAS 5.3是CAS的一个重要...
spring Security Json 数据库登录验证
01-21
在前后端分离的架构中,Spring Security能够帮助我们处理JSON Web Token(JWT)认证,确保用户数据安全传输并控制访问权限。在这个主题中,我们将深入探讨如何在Spring Boot应用中使用Spring Security进行JSON数据库...
深入Spring Security魔幻山谷-获取认证机制核心原理讲解
朱季谦
02-10 408
文/朱季谦 本文基于Springboot+Vue+Spring Security框架而写的原创学习笔记,demo代码参考《Spring Boot+Spring Cloud+Vue+Element项目实战:手把手教你开发权限管理系统》一书。 这是一个古老的传说。 在神秘的Web系统世界里,有一座名为Spring Security的山谷,它高耸入云,蔓延千里,鸟飞不过,兽攀不了。这座山谷只有一条逼仄的道路可通。然而,若要通过这条道路前往另一头的世界,就必须先拿到一块名为token的令牌,只有这..
Spring Security 动态url权限控制
程序员小明1024
12-19 2514
一、前言 本篇文章将讲述Spring Security 动态分配url权限,未登录权限控制,登录过后根据登录用户角色授予访问url权限 基本环境 spring-boot 2.1.8 mybatis-plus 2.2.0 mysql 数据库 maven项目 Spring Security入门学习可参考之前文章: SpringBoot集成Spring Security入门体验(一)blog....
SpringCloud OAuth2资源服务器解决Full authentication,自定义返回异常信息,以及资源服务器忽略验证url,实现自定义登录获取认证服务器的token
zzzgd_666的博客
07-13 7417
SpringCloud OAuth2资源服务器解决Full authentication,自定义返回异常信息,以及资源服务器忽略验证url,实现自定义登录获取认证服务器的tokenFull authentication 问题自定义登录ControllerwebSecurity配置类:资源忽略验证url自定义返回异常信息实现AuthenticationEntryPoint实现AccessDeniedHandler继承ResourceServerConfigurerAdapter Full authentica
SpringBoot实现跨域请求
杨忠洋的专栏
10-22 787
新增CorsFilter @Configuration @Slf4j public class CorsConfig { @Autowired private YangProperties yangProperties; @Bean public CorsFilter corsFilter(){ UrlBasedCorsConfiguratio...
SpringSecurity的简单入手
weixin_49390750的博客
06-16 1805
SpringSecurity的简单入手
基础Constants用法
JHC_binge的博客
02-25 3675
基础Constants struts.devMode  可选值true,false (默认false),在开发模式下,struts2的动态重新加载配置和资源文件的功能会默认生效。同时开发模式下也会提供更完善的日志支持。 struts.i18n.reload 可选值true,false(默认值依赖于struts.devMode),是否自动重新加载本地的资源文件。 struts.i18n.enc...
SpringMVC常用注解,返回方式,路径匹配形式
赶路人儿
02-10 7627
1、@RequestMapping注解小结:        @RequestMapping 可以标注在类定义处,将 Controller 和特定请求关联起来;还可以标注在方法签名处,以便进一步对请求进行分流。配套的属性有: value 需要跳转的地址 method 基于RestFul的跳转参数,有RequestMethod.get post put delete等 params 符合某个参
加上项目路径 spring security忽略不生效_Spring 常见面试题「收藏」
weixin_39729272的博客
11-23 638
Spring 常见面试题1 Spring框架是什么?它的主要模块有哪些?Spring框架是一个Java平台,提供全面的基础设施支持开发Java应用程序。Spring处理基础设施部分,这样你就可以专注于应用程序部分。Spring框架内,把一级对象通过设计模式封装起来,您可以放心的集成到您自己的应用程序而不用关注他们如何在后台工作。目前,Spring框架由功能组织成大约20个模块。这些模块分为核心容器...
spring security) 数据库认证,获取用户权限url地址
mylove10086
05-14 1万+
通过一和二已经完成了用户的认证和授权,但是用户权限url都是写在配置类SecurityConfig.java中的。这次我们把这些内容到放在数据库中,在系统启动时从数据库中获取。配置自定义的用户服务    spring security大体上是由一堆Filter(所以才能在spring mvc前拦截请求)实现的,Filter有几个,登出Filter(LogoutFilter),用户名密码验证Fil...
详细解释springsecurity,并结合springboot+mysql+springsecurity+vue写出一套权限框架
04-26
关于如何结合SpringBoot、MySQLSpringSecurity和Vue编写一套完整的权限框架,可以按照以下步骤进行: 1、在SpringBoot中集成Spring SecurityMySQL:通过添加相应的依赖,配置数据源和Spring Security配置文件,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值