spring security 授予权限_SpringBoot整合权限控制框架Spring Security

最新推荐文章于 2023-04-04 10:11:02 发布
最新推荐文章于 2023-04-04 10:11:02 发布
阅读量257 收藏
点赞数
文章标签: spring security 授予权限 spring security权限管理 springboot security 权限不足 springboot security 权限校验 springboot整合quartz框架 springboot权限控制

通常我们的网站都有权限控制,就像一个公司有产品、开发、运维之分,各自负责各自的业务,相互独立,有相互协作,共同完成一个任务。拥有不同权限的用户查看不同的页面,进行不同的操作。

这篇来简单的说一下使用springboot+jpa+springsecurity实现简单的用户权限管理。

角色和用户的关系通过数据库配置控制。角色可以访问的权限通过硬编码控制。

springboot是一个灵活和强大的身份验证和访问控制框架,以确保基于spring的java web应用程序的安全。它与spring mvc有很好地集成,并配备了流行的安全算法实现捆绑在一起。

1)    springscurity验证用户密码机制

1357d3417f03044676dc48c87e1d02e7.png

首先在usernamePasswordAuthenticationFilter中来拦截登录请求,并调用AuthenticationManager。AuthenticationManager调用Provider,provider调用userDetaisService来根据username获取真实的数据库信息。 

2) 数据库设计

主要包括:用户表、角色表、用户关系表。

76ec134202314078e5aec2c0a8d737a1.png

3) 添加spring security的maven依赖

   org.springframework.boot   spring-boot-starter-security

4)编写实体

User.java实现UserDetails接口,通过getAuthorities获取用户的角色。

package com.xiaoi.document.split.security.user.entity;import com.xiaoi.document.split.security.role.entity.Role;import lombok.ToString;import org.hibernate.annotations.Cache;import org.hibernate.annotations.CacheConcurrencyStrategy;import org.springframework.security.core.GrantedAuthority;import org.springframework.security.core.userdetails.UserDetails;import javax.persistence.*;import java.util.Collection;import java.util.List;@Entity@Table(name = "sys_user")@Cacheable@Cache(usage = CacheConcurrencyStrategy.READ_WRITE, region = "entityCache")@ToString(includeFieldNames = true)public class User implements UserDetails {@Id    @GeneratedValue    @Column(name = "id")private String id;    @Column(name = "username")private String username;    @Column(name = "password")private String password;    @ManyToMany(targetEntity = Role.class, cascade = {CascadeType.REFRESH}, fetch = FetchType.EAGER)@JoinTable(name = "sys_role_user", joinColumns = @JoinColumn(name = "user_id", referencedColumnName = "id"), inverseJoinColumns = @JoinColumn(name = "role_id", referencedColumnName = "id"))private Listroles;    public User() {
    }public User(String id, String username, String password) {this.id = id;        this.username = username;        this.password = password;    }public String getId() {return id;    }public void setId(String id) {this.id = id;    }public String getUsername() {return username;    }public void setUsername(String username) {this.username = username;    }public String getPassword() {return password;    }public void setPassword(String password) {this.password = password;    }public ListgetRoles() {return roles;    }public void setRoles(List roles) {this.roles = roles;    }@Override    public Collection extends GrantedAuthority> getAuthorities() {return roles;    }@Override    public boolean isAccountNonExpired() {return true;    }@Override    public boolean isAccountNonLocked() {return true;    }@Override    public boolean isCredentialsNonExpired() {return true;    }@Override    public boolean isEnabled() {return true;    }
}

role.java

package com.xiaoi.document.split.security.role.entity;import com.xiaoi.document.split.security.permission.entity.Permission;import com.xiaoi.document.split.security.user.entity.User;import lombok.ToString;import org.hibernate.annotations.Cache;import org.hibernate.annotations.CacheConcurrencyStrategy;import org.hibernate.annotations.ManyToAny;import org.springframework.security.core.GrantedAuthority;import javax.persistence.*;import java.util.List;@Entity@Table(name = "sys_role")@Cacheable@Cache(usage = CacheConcurrencyStrategy.READ_WRITE, region = "entityCache")@ToString(includeFieldNames = true)public class Role implements GrantedAuthority {@Id    @GeneratedValue    @Column(name = "id")private String id;    @Column(name = "name")private String name;    @ManyToMany(targetEntity = Permission.class, cascade = CascadeType.REFRESH, fetch = FetchType.EAGER)@JoinTable(name = "sys_permission_role", joinColumns = @JoinColumn(name = "role_id", referencedColumnName = "id"), inverseJoinColumns = @JoinColumn(name = "permission_id", referencedColumnName = "id"))private Listpermissions;    public Role() {
    }public String getId() {return id;    }public void setId(String id) {this.id = id;    }public String getName() {return name;    }public void setName(String name) {this.name = name;    }public ListgetPermissions() {return permissions;    }public void setPermissions(List permissions) {this.permissions = permissions;    }@Override    public String getAuthority() {return name;    }
}

5) 自定义用户验证service

UserDAO.java

package com.xiaoi.document.split.security.user.service.impl;import com.xiaoi.document.split.security.user.dao.UserDAO;import com.xiaoi.document.split.security.user.entity.User;import org.springframework.beans.factory.annotation.Autowired;import org.springframework.security.core.userdetails.UserDetails;import org.springframework.security.core.userdetails.UserDetailsService;import org.springframework.security.core.userdetails.UsernameNotFoundException;import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;import org.springframework.stereotype.Service;@Service(value = "customerUserService")public class CustomerUserService implements UserDetailsService {@Autowired    private UserDAO userDAO;    @Override    public UserDetails loadUserByUsername(String username) {
        User user = userDAO.findByUsername(username);        if (user == null) {throw new UsernameNotFoundException("用户名不存在");        }
        String pwd = new BCryptPasswordEncoder().encode(user.getPassword());        user.setPassword(pwd);        return user;    }
}

CustomerService.java

package com.xiaoi.document.split.security.user.service.impl;import com.xiaoi.document.split.security.user.dao.UserDAO;import com.xiaoi.document.split.security.user.entity.User;import org.springframework.beans.factory.annotation.Autowired;import org.springframework.security.core.userdetails.UserDetails;import org.springframework.security.core.userdetails.UserDetailsService;import org.springframework.security.core.userdetails.UsernameNotFoundException;import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;import org.springframework.stereotype.Service;@Service(value = "customerUserService")public class CustomerUserService implements UserDetailsService {@Autowired    private UserDAO userDAO;    @Override    public UserDetails loadUserByUsername(String username) {
        User user = userDAO.findByUsername(username);        if (user == null) {throw new UsernameNotFoundException("用户名不存在");        }
        String pwd = new BCryptPasswordEncoder().encode(user.getPassword());        user.setPassword(pwd);        return user;    }
}

controller

package com.xiaoi.document.split.security.home.controller;import org.springframework.stereotype.Controller;import org.springframework.ui.Model;import org.springframework.web.bind.annotation.RequestMapping;import org.springframework.web.bind.annotation.ResponseBody;/** * Created by Administrator on 2018/5/24. */@Controllerpublic class HomeCotroller {//    @RequestMapping(value = "/", method = RequestMethod.GET)//    String home() {//        return "login";//    }////    @RequestMapping(value = "/login", method = RequestMethod.GET)//    String login() {//        return "login";//    }//    @RequestMapping(value = "/welcome", method = RequestMethod.GET)//    String welcome() {//        return "welcome";//    }//    @RequestMapping(value = "/loginSubmit", method = RequestMethod.GET)//    String loginSubmit(Model model, User user) {//        model.addAttribute("user", user);//        return "index";//    }    @RequestMapping("/index")public String index(Model model) {//        Msg msg =  new Msg("测试标题","测试内容","欢迎来到HOME页面,您拥有 ROLE_ADMIN 权限");//        model.addAttribute("msg", msg);        return "index";    }@RequestMapping("/admin")@ResponseBody    public String hello() {return "hello admin";    }
}

6) 添加视图,配置安全策略

package com.xiaoi.document.split.security.config;import org.springframework.context.annotation.Configuration;import org.springframework.web.servlet.config.annotation.ViewControllerRegistry;import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;/** * WebMvcConfig 页面访问安全配置 * * @Author Yuan Jingshan * @Date 2018-05-29 */@Configurationpublic class WebMvcConfig implements WebMvcConfigurer {@Override    public void addViewControllers(ViewControllerRegistry registry) {
        registry.addViewController("/login").setViewName("login");    }
}
package com.xiaoi.document.split.security.config;import org.springframework.beans.factory.annotation.Autowired;import org.springframework.context.annotation.Configuration;import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;import org.springframework.security.config.annotation.web.builders.HttpSecurity;import org.springframework.security.config.annotation.web.builders.WebSecurity;import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;import org.springframework.security.core.userdetails.UserDetailsService;import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;import org.springframework.security.web.access.intercept.FilterSecurityInterceptor;/** * WebMvcSecurityConfig 页面访问安全配置 * * @Author Yuan Jingshan * @Date 2018-05-29 */@Configurationpublic class WebSecurityConfig extends WebSecurityConfigurerAdapter {@Autowired    private AuthorizationSecurityInterceptor authorizationSecurityInterceptor;    //注册UserDetailsService的bean    @Autowired    UserDetailsService customerUserService;    @Override    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(customerUserService).passwordEncoder(new BCryptPasswordEncoder());    }//安全策略    @Override    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/", "/register", "/reg", "/login").permitAll()
                .anyRequest().authenticated()
                .and()
                .formLogin()
                .loginPage("/login")
                .failureUrl("/login?error")
                .defaultSuccessUrl("/index")
                .permitAll()
                .and()
                .logout()
                .permitAll();        http.addFilterBefore(authorizationSecurityInterceptor, FilterSecurityInterceptor.class);    }//解决静态资源被拦截的问题    @Override    public void configure(WebSecurity web) throws Exception {
        web.ignoring().antMatchers("/css/**");        web.ignoring().antMatchers("/img/**");        web.ignoring().antMatchers("/plugins/**");    }
}

7)前端页面

login.html

/span>html>xmlns:th="http://www.thymeleaf.org">    charset="utf-8"/>    name="viewport" content="width=device-width, initial-scale=1, maximum-scale=1"> springboot-demo rel="Shortcut Icon" href="/img/logo_m.png" type="image/x-icon"> rel="stylesheet" th:href="@{plugins/layui/css/layui.css}"> rel="stylesheet" th:href="@{css/style.css}">class="login">
class="layui-layout">
class="layui-body">
class="layui-row" style="margin-top: 5%;margin-bottom: 5%;">
class="layui-col-md7" style="border-bottom: 2px solid white;margin-right: 2%;letter-spacing:2px;float: right;">
class="project_name"> src="/img/logo_l.png"/> QA对知识拆分管理系统
class="layui-row">
class="layui-col-md3 layui-col-md-offset8">
class="layui-input-block" style="text-align: center;line-height: 38px;background-color: #f79647;margin-bottom:5px;font-weight: 800;color: white;letter-spacing:5px;border-radius:5px"> 用户登录
class="layui-form" th:action="@{/login}" action="/login" method="POST" style="background-color: white;padding: 10px 10px;border-radius:5px">
class="layui-form-item" style="margin-top: 10px;background-color: white;">
class="layui-input-block"> type="text" id="username" name="username" lay-verify="title" autocomplete="off" placeholder="请输入用户名" class="layui-input">
class="layui-form-item">
class="layui-input-block"> type="password" id="password" name="password" lay-verify="required" placeholder="请输入密码" autocomplete="off" class="layui-input">
id="login_div" class="layui-form-item">
class="layui-input-block">

th:if="${param.logout}" class="bg-warning">已成功注销

th:if="${param.error}" class="bg-danger">有错误,请重试

class="layui-btn" lay-submit lay-filter="formDemo">登录
class="layui-footer"> © 贵州小爱机器人科技有限公司 
     xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity4">

恭喜您,您有 ROLE_USER 权限

出处:CSDN

https://blog.csdn.net/likeyjs/article/details/80525042
weixin_39534321
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringBoot+Spring Security + spring boot jpa 实现权限管理
weixin_44533475的博客
08-01 1321
一 建表 权限管理需实现5张表:用户表、角色表、用户角色对应表、权限表、权限角色对应表 用户表 CREATE TABLE platform_user ( id bigint(20) NOT NULL AUTO_INCREMENT, username varchar(50) NOT NULL, password varchar(100) NOT NULL, PRIMARY KEY (id) ) EN...
SpringBoot整合系列】SpringBoot整合Shiro——权限控制
最新发布
低调做人,低调编码,神码都是浮云
04-12 1037
SpringBoot整合Shiro权限控制
SpringBoot整合SpringSecurity权限控制(动态拦截url+单点登录)
jiaoqi6132的博客
04-04 2315
Slf4j@Component@Resource@Override//获取身份验证详细信息//用于校验mac地址白名单(这里只是打个比方,登录验证中增加的额外字段)//表单输入的用户名//表单输入的密码//校验用户名密码if (!matches) {!");@Override@Component@Resource@Override//任意登录用户名!");//从数据库获取密码//用户拥有的角色// }
Spring-Boot学习(一)
qq_15160079的博客
08-11 128
springboot简介:为快速启动且最小化配置的Spring应用,具有一套固化的视图,该视图用于构件生产级别的应用。 SpringBoot特性: 1.创建独立的 应用 2.直接嵌入Tomcat,jetty,undertow等web容器(不需要部署war文件) 3.提供固化的“starter”依赖,简化构建配置 4.当条件满足时自动装配Spring或第三方类库 5.提供运维特性,如指标信息,健康检查及外部化配置 6.绝无代码生成,并且不需要XML配置 SpringBoot运行环境 1.装配
springboot+jpa+security用户权限
11-04
springboot+jpa+mysql+security的用户权限管理代码 。
SpringBoot整合权限控制SpringSecurity.docx
12-10
SpringBoot整合权限控制SpringSecurity
SpringBoot集成Spring Security实现权限控制【完整源码+数据库】
02-16
SpringBoot集成Spring Security实现权限控制【完整源码+数据库】 适合刚接触Spring Security的初学者,或者想要加深对Spring Security理解的开发人员
springboot springsecurity动态权限控制
09-18
springboot springsecurity动态权限控制,实现数据库动态管理菜单权限
SpringSecurity_03 整合SpringBoot1
08-03
SpringSecurity整合SpringBoot集中式版技术选型初步整合认证第一版创建工程并导入jar包先只导入SpringBoot提供处理器编写启动类<g
SpringBoot2.0 整合 SpringSecurity 框架实现用户权限安全管理方法
08-25
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。这篇文章主要介绍了SpringBoot2.0 整合 SpringSecurity 框架,实现用户权限安全管理 ,需要的朋友可以参考下
Spring Boot实现简单的用户权限管理(超详细版)
热门推荐
Veggie的博客
08-06 6万+
为了避免浪费时间进行不必要的阅读,这里先对项目进行简单的介绍。在实际应用场景中,每个用户都有对应的角色,而每个角色又有对应的一些角色。因为一个用户可以有多个角色,一个角色也可以被多个用户所拥有,角色和权限的关系也同理,这里主要利用多对多的映射关系将他们联系起来,对他们进行管理。 ...
springBoot + springsecurity +MySQL8 +Thymeleaf 实现用户权限系统
zhouzhiwengang的专栏
04-30 923
第一步:项目整体结构说明: 基于springboot + springsecurity + mysql + themleaf 构建用户权限系统项目结构说明: 第二步:依赖的数据库脚本: 建库脚本: DROP TABLE IF EXISTS `u_permission`; CREATE TABLE IF NOT EXISTS `u_permission` ( `id` bigint...
SpringBootSpringBoot + SpringSecurity + Thymeleaf 整合
sco5282的博客
02-02 1871
SpringBoot 工程中,借用 SpringSecurity 权限框架来对登录用户所拥有的不同的权限来显示不同的页面。并且,如果有用户已登录,则右上角显示用户名和其角色。如下图: admin 用户权限最大,显示所有页面内容: zzc 用户只有两个角色权限,所以,只显示部分内容: 没有用户登录时,页面显示如下: 【首页】、【登录】下方的内容都没有显示。 好了,需求已经了解清楚了,那咱们就直接上代码了哈。【文末有源码】 【开发环境】: IDEA-2020.2 SpringBoot-2.5.5
SpringBoot中使用Spring Security实现权限控制
波板糖的博客
05-06 1203
Spring Security 基本介绍 这里就不对Spring Security进行过多的介绍了,具体的可以参考官方文档 我就只说下SpringSecurity核心功能: 认证(你是谁) 授权(你能干什么) 攻击防护(防止伪造身份) 基本环境搭建 这里我们以SpringBoot作为项目的基本框架,我这里使用的是maven的方式来进行的包管理,所以这里先给出集成Spring Securi...
基于springboot实现数据可视化
妙乌的博客
07-06 3983
基于springboot框架,将excel表格中的数据提取出来,前端使用echarts框架,通过柱形图和饼状图对数据进行直观展示
SpringBoot+Mybatis+thymeleaf+shiro(注解实现!)实现角色权限管理配置,是小白?进来就对了!
weixin_48868742的博客
11-18 814
SpringBoot+Mybatis+thymeleaf+shiro(注解实现!)实现角色权限管理配置,是小白?进来就对了!
springboot+shiro+mybatis实现角色权限控制
xueyunzi1的博客
07-27 1019
springboot+shiro+mybatis实现角色权限控制
SpringBoot 整合 Shiro 权限框架
qq_54429571的博客
11-23 870
SpringBoot 整合 Shiro 权限框架:Shiro概述、功能及架构、环境搭建登录、退出、授权、角色认证实现、多个 realm 的认证策略设置、会话管理等。
有了微服务和云原生,为什么还要懂Service Mesh?
xingduan5153的博客
11-08 1175
Service Mesh技术作为新一代微服务架构,有效的解决了当前微服务架构和治理过程中的痛点问题,一经推出便引起很大的反响,近两年持续成为架构领域的热点。特别是Google联合Lyft等公司推出的Istio,架构优雅,功能强大,迅速成为Service Mesh领域的明星项目。 什么是Service Mesh 作为Service Mesh技术探索和实践的先行者,全球第一个真正的Se...
SpringBoot整合SpringSecurity权限控制 详情用法
04-04
Spring Boot和Spring Security是一对好朋友,Spring Boot提供了强大的自动配置和快速开发的能力,而Spring Security则提供了完整的安全解决方案,可以实现用户认证、授权、安全过滤等功能。本文将介绍如何在Spring Boot中整合Spring Security实现权限控制。 1. 添加Spring Security依赖 在pom.xml文件中添加以下依赖: ``` <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> ``` 2. 配置Spring SecuritySpring Boot中,可以通过application.properties或application.yml文件配置Spring Security。以下是一个简单的配置: ``` spring.security.user.name=admin spring.security.user.password=123456 spring.security.user.roles=ADMIN ``` 这个配置定义了一个用户名为admin,密码为123456,角色为ADMIN的用户。在实际应用中,应该将用户名和密码存储在数据库或其他安全存储中。 3. 创建SecurityConfig类 创建一个继承自WebSecurityConfigurerAdapter的SecurityConfig类,并重写configure方法: ``` @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/", "/home").permitAll() .anyRequest().authenticated() .and() .formLogin() .loginPage("/login") .permitAll() .and() .logout() .permitAll(); } @Autowired public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { auth .inMemoryAuthentication() .withUser("admin").password("{noop}123456").roles("ADMIN"); } } ``` configure方法定义了应用程序的安全策略,这里配置了所有请求都需要认证(即登录)才能访问,除了首页和登录页,这两个页面可以匿名访问。formLogin方法配置了自定义的登录页面,logout方法配置了退出登录的操作。 configureGlobal方法定义了一个内存中的用户,用户名为admin,密码为123456,角色为ADMIN。在实际应用中,应该将用户信息存储在数据库或其他安全存储中。 4. 创建登录页面 在templates目录下创建一个名为login.html的登录页面,例如: ``` <!DOCTYPE html> <html> <head> <title>Login Page</title> </head> <body> <h1>Login Page</h1> <div th:if="${param.error}"> Invalid username and password. </div> <div th:if="${param.logout}"> You have been logged out. </div> <form th:action="@{/login}" method="post"> <div> <label>Username:</label> <input type="text" name="username" /> </div> <div> <label>Password:</label> <input type="password" name="password" /> </div> <div> <button type="submit">Login</button> </div> </form> </body> </html> ``` 5. 运行应用程序 在浏览器中访问http://localhost:8080/login,输入用户名admin和密码123456,即可登录成功。如果输入错误的用户名或密码,则会提示“Invalid username and password.”。如果成功登录后再访问http://localhost:8080/home,则可以看到“Welcome home!”的欢迎消息。 6. 实现权限控制 上面的例子中只实现了登录认证,没有实现权限控制。下面介绍如何实现权限控制。 首先需要在configureGlobal方法中添加更多的用户和角色: ``` @Autowired public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { auth .inMemoryAuthentication() .withUser("admin").password("{noop}123456").roles("ADMIN") .and() .withUser("user").password("{noop}password").roles("USER"); } ``` 这里定义了一个管理员用户和一个普通用户,分别拥有ADMIN和USER两个角色。 然后在configure方法中添加更多的安全策略: ``` @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/", "/home").permitAll() .antMatchers("/admin/**").hasRole("ADMIN") .anyRequest().authenticated() .and() .formLogin() .loginPage("/login") .permitAll() .and() .logout() .permitAll(); } ``` 这里添加了一个安全策略,即/admin/**路径需要拥有ADMIN角色才能访问。 现在管理员用户可以访问/admin/**路径,而普通用户则不能访问。如果普通用户尝试访问/admin/**路径,则会提示“Access is denied”。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值