springboot整合springsecurity实现接口权限控制
学习资料参考若依单机前后端分离版源码
1.核心依赖包
// 1.核心依赖包
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
2.实现UserDetails,将isAccountNonLocked等方法返回值修改为true。
// @JSONField(serialize = false) 注明查询时忽略改字段
@JSONField(serialize = false)
@Override
public boolean isAccountNonExpired() {
return true;
}
@JSONField(serialize = false)
@Override
public boolean isAccountNonLocked() {
return true;
}
@JSONField(serialize = false)
@Override
public boolean isCredentialsNonExpired() {
return true;
}
@JSONField(serialize = false)
@Override
public boolean isEnabled() {
return true;
}
3.springSecurity核心配置文件
// 开启注解,接口拦截用户判断是否有相应权限,prePostEnabled可以使用自定义方法实现权限控制,securedEnabled使用框架原生方法,但框架底层是在经过接口之后执行该权限判断
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
// 引入自定义token拦截器
@Resource
private JwtAuthenticationTokenFilter jwtAuthenticationTokenFilter;
//配置SpringSecurity相关信息
@Override
public void configure(HttpSecurity httpSecurity) throws Exception {
httpSecurity
// CSRF禁用,因为不使用session
.csrf().disable()
//.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and() // 用户信息从数据查询时需要禁用session
.authorizeRequests() // 过滤请求
.antMatchers("/**/login") // 允许匿名访问
.permitAll()
// .anonymous() // 以上可以匿名访问
// 除上面外的所有请求全部需要鉴权认证
.anyRequest().authenticated() // 表示其他资源需要认证通过后
.and()
.headers().frameOptions().disable(); // 同源测略关闭
// jwt认证拦截器
httpSecurity.addFilterBefore(jwtAuthenticationTokenFilter, UsernamePasswordAuthenticationFilter.class);
}
/**
* Security自带加密解密类
*/
@Bean
public BCryptPasswordEncoder bCryptPasswordEncoder() {
return new BCryptPasswordEncoder();
}
/**
* 身份认证接口-这里比较重要,用户角色权限等信息可以在这里配置
*/
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.userDetailsService(userDetailsService).passwordEncoder(bCryptPasswordEncoder());
}
}
//4.实现自定义权限配置
@Service
public class UserDetailsServiceImpl implements UserDetailsService {
@Autowired
private ISysUserService userService;
@Autowired
private SysPermissionService permissionService;
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
SysUser user = userService.selectUserByUserName(username);
// 1.permissionService.getMenuPermission(user),查询用户权限
// 2.new LoginUser()这里继承了UserDetails
return new LoginUser(user.getUserId(), user.getDeptId(), user, permissionService.getMenuPermission(user));
}
}
- 在需要判断是否有权限的接口上加注解
// 将查询到用户权限放进list集合里,该注解通过传入的参数判断用户是否拥有该权限
permissionService.getMenuPermission(user);
@PreAuthorize("@ss.hasPermi('monitor:online:list')")
至此security框架学习基本使用已完成