角色登录 - SpringSecurity框架实现用户登录校验角色

最新推荐文章于 2024-06-15 16:48:03 发布
最新推荐文章于 2024-06-15 16:48:03 发布
阅读量2.3k 收藏 6
点赞数
分类专栏: function 文章标签: login SpringSecurity admin
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42629433/article/details/83352015
版权

我们在企业级开发中, 用户只有在登录了账号才可以对表单中的数据进行相关的操作, 且不同身份角色的用户登录后对数据执行的权限也应该有所不同. 并且这些用户登录的账号不可以自己注册, 需要有权限的管理人员添加用户以及给该用户授予所具备的相关的权限. 下面我们先来实现用户登录后才可以操作数据的功能.

我们还是基于上一篇文章进行编写:https://blog.csdn.net/weixin_42629433/article/details/83342148

一. 在数据库中创建最高权限管理员

-- 用户表
CREATE TABLE users(
id INT(20) NOT NULL AUTO_INCREMENT,	
username VARCHAR(50),
PASSWORD VARCHAR(50),
phoneNum VARCHAR(20),
email VARCHAR(50),
STATUS INT,
PRIMARY KEY (id)		
)

INSERT INTO users VALUES (NULL, 'Zenith', '123456', '153********', '8123*****@qq.com',1);



-- 角色表
CREATE TABLE role(
id INT(20) NOT NULL AUTO_INCREMENT,
roleName VARCHAR(50) ,
roleDesc VARCHAR(50),
PRIMARY KEY (id)		
)

INSERT INTO role VALUES (NULL, 'Manager', '最高权限管理员');



-- 用户角色关联表
CREATE TABLE users_role(
userId VARCHAR(32),
roleId VARCHAR(32)
)

INSERT INTO users_role VALUES ('1', '1');

二. 相关文件配置

1. 导入 SpringSecurity 框架实现功能的相关依赖 :

<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-web</artifactId>
    <version>5.0.1.RELEASE</version>
</dependency>
<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-core</artifactId>
    <version>5.0.1.RELEASE</version>
</dependency>

2. 在 web.xml 中引入 SpringSecurity 框架的配置 :

<!--Spring Security-->
<filter>
    <filter-name>springSecurityFilterChain</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

3. 在 resources 下创建 spring-security.xml 文件 :

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:security="http://www.springframework.org/schema/security"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xsi:schemaLocation="http://www.springframework.org/schema/beans
    http://www.springframework.org/schema/beans/spring-beans.xsd
    http://www.springframework.org/schema/security
    http://www.springframework.org/schema/security/spring-security.xsd">

    <!-- 配置不拦截的静态资源 -->
    <security:http pattern="/login.jsp" security="none"/>
    <security:http pattern="/failure.jsp" security="none"/>
    <security:http pattern="/css/**" security="none"/>
    <security:http pattern="/img/**" security="none"/>
    <security:http pattern="/plugins/**" security="none"/>

    <!--配置具体的规则:
        auto-config="true"	使用框架提供默认登录
        use-expressions="false"	是否使用SPEL表达式-->
    <security:http auto-config="true" use-expressions="false">
        <!-- 配置具体的拦截的规则 pattern="请求路径的规则" access="访问系统的人所具有的角色" -->
        <security:intercept-url pattern="/**" access="ROLE_USER,ROLE_ADMIN,ROLE_MANAGER"/>
        <!-- 定义跳转的具体的页面 -->
        <security:form-login
        login-page="/login.jsp"
        login-processing-url="/login.do"
        default-target-url="/index.jsp"
        authentication-failure-url="/failure.jsp"
        authentication-success-forward-url="/pages/main.jsp"
        />
        <!-- 关闭跨域请求 -->
        <security:csrf disabled="true"/>
        <!-- 退出页面 -->
        <security:logout invalidate-session="true" logout-url="/logout.do" logout-success-url="/login.jsp" />
    </security:http>

    <!-- 切换成数据库中的用户名和密码 -->
    <security:authentication-manager>
        <security:authentication-provider user-service-ref="userService">
            <!-- 配置加密的方式-->
            <security:password-encoder ref="passwordEncoder"/>
        </security:authentication-provider>
    </security:authentication-manager>

    <!-- 配置加密类 -->
    <bean id="passwordEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder"/>

</beans>

4. 在 web.xml 中声明引入 spring-security.xml 文件至核心配置文件

<!--指定相关配置文件的路径-->
<context-param>
    <param-name>contextConfigLocation</param-name>
    <param-value>classpath:applicationContext.xml, classpath*:spring-security.xml</param-value>
</context-param>

 

三. 后台代码编写

1. 登录密码加密的工具类 :

package com.cast.domain;

import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

import java.util.Scanner;

/**
 * 给密码加密的工具类
 */
public class BCryptPasswordEncoderUtils {

    private static BCryptPasswordEncoder bCryptPasswordEncoder=new BCryptPasswordEncoder();

    public static String encodePassword(String password){
        return bCryptPasswordEncoder.encode(password);
    }

    public static void main(String[] args) {
        System.out.println("请输入要加密的密码: ");
        Scanner input = new Scanner(System.in);
        String password = input.nextLine();
        String pwd = encodePassword(password);
        System.out.println("加密后的密码为: ");
        System.out.print(pwd);
    }

}

2. 在 service 层创建一个 IUserService 接口来继承 UserDetailsService 

package com.cast.service;

import org.springframework.security.core.userdetails.UserDetailsService;

public interface IUserService extends UserDetailsService {

}

3. 在 service 层创建一个 UserServiceImpl 类实现 IUserService 接口

package com.cast.service.impl;

import com.cast.dao.IUserDao;
import com.cast.domain.Role;
import com.cast.domain.UserInfo;
import com.cast.service.IUserService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.stereotype.Service;
import org.springframework.transaction.annotation.Transactional;

import java.util.ArrayList;
import java.util.List;

@Service("userService")
@Transactional
public class UserServiceImpl implements IUserService {

    @Autowired
    private IUserDao userDao;

    @Autowired
    private BCryptPasswordEncoder bCryptPasswordEncoder;

    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        UserInfo userInfo = null;
        try {
            userInfo = userDao.findByUsername(username);
        } catch (Exception e) {
            e.printStackTrace();
        }
        //将自己从数据库中查询到的Users对象封装到UserDetails中
        User user = new User(userInfo.getUsername(), userInfo.getPassword(), userInfo.getStatus() == 0 ? false : true, true, true, true, getAuthority(userInfo.getRoles()));
        return user;
    }

    //定义一个方法 将从数据库中获取到的所有角色装入集合
    public List<SimpleGrantedAuthority> getAuthority(List<Role> roles) {
        List<SimpleGrantedAuthority> list = new ArrayList<SimpleGrantedAuthority>();
        for (Role role : roles) {
            list.add(new SimpleGrantedAuthority("ROLE_" + role.getRoleName()));
        }
        return list;
    }

}

4. 在 domain 子工程中声明 users role 的实体封装类 :

package com.cast.domain;

import java.util.List;

/**
 * 与数据库中 users 表对应
 */
public class UserInfo {

    private String id;
    private String username;
    private String password;
    private String phoneNum;
    private String email;
    private int status;
    private String statusStr;
    private List<Role> roles;

    public String getId() {
        return id;
    }

    public void setId(String id) {
        this.id = id;
    }

    public String getUsername() {
        return username;
    }

    public void setUsername(String username) {
        this.username = username;
    }

    public String getPassword() {
        return password;
    }

    public void setPassword(String password) {
        this.password = password;
    }

    public String getPhoneNum() {
        return phoneNum;
    }

    public void setPhoneNum(String phoneNum) {
        this.phoneNum = phoneNum;
    }

    public String getEmail() {
        return email;
    }

    public void setEmail(String email) {
        this.email = email;
    }

    public int getStatus() {
        return status;
    }

    public void setStatus(int status) {
        this.status = status;
    }

    public String getStatusStr() {
        return statusStr;
    }

    public void setStatusStr(String statusStr) {
        this.statusStr = statusStr;
    }

    public List<Role> getRoles() {
        return roles;
    }

    public void setRoles(List<Role> roles) {
        this.roles = roles;
    }

}

package com.cast.domain;

import java.util.List;

/**
 * 与数据库中 role 表对应
 */
public class Role {

    private String id;
    private String roleName;
    private String roleDesc;
    private List<Permission> permissions;
    private List<UserInfo> users;

    public String getId() {
        return id;
    }

    public void setId(String id) {
        this.id = id;
    }

    public String getRoleName() {
        return roleName;
    }

    public void setRoleName(String roleName) {
        this.roleName = roleName;
    }

    public String getRoleDesc() {
        return roleDesc;
    }

    public void setRoleDesc(String roleDesc) {
        this.roleDesc = roleDesc;
    }

    public List<Permission> getPermissions() {
        return permissions;
    }

    public void setPermissions(List<Permission> permissions) {
        this.permissions = permissions;
    }

    public List<UserInfo> getUsers() {
        return users;
    }

    public void setUsers(List<UserInfo> users) {
        this.users = users;
    }

}

5. 在 dao 层创建一个 IUserDao 接口

package com.cast.dao;

import com.cast.domain.UserInfo;
import org.apache.ibatis.annotations.*;

/**
 * 登录用户的 dao 层接口
 */
public interface IUserDao {

    //根据用户名查询用户
    @Select("select * from users where username = #{username}")
    @Results({
            @Result(id = true, property = "id", column = "id"),
            @Result(property = "username", column = "username"),
            @Result(property = "password", column = "password"),
            @Result(property = "phoneNum", column = "phoneNum"),
            @Result(property = "email", column = "email"),
            @Result(property = "status", column = "status"),
            @Result(property = "roles", column = "id", javaType = java.util.List.class,
                    many = @Many(select = "com.cast.dao.IRoleDao.findByUserId"))
    })
    public UserInfo findByUsername(String username) throws Exception;

}

6. 在 dao 层创建 IRoleDao

package com.cast.dao;

import com.cast.domain.Role;
import org.apache.ibatis.annotations.Select;

import java.util.List;

/**
 * 用户的角色的 dao 层接口
 */
public interface IRoleDao {

    //根据用户id查询所有对应角色
    @Select("select * from role where id in (select roleId from users_role where userId = #{userId})")
    public List<Role> findByUserId(String userId) throws Exception;
    
}

三. 前台页面核心代码

1. login.jsp 登录界面的 form 表单 :

<form action="${pageContext.request.contextPath}/login.do" method="post">
    <div class="form-group has-feedback">
        <input type="text" name="username" class="form-control" placeholder="用户名">
        <span class="glyphicon glyphicon-envelope form-control-feedback"></span>
    </div>
    <div class="form-group has-feedback">
        <input type="password" name="password" class="form-control" placeholder="密码">
        <span class="glyphicon glyphicon-lock form-control-feedback"></span>
    </div>
    <div class="row">
        <div class="col-xs-8">
            <div class="checkbox icheck">
                <label><input type="checkbox"> 记住 下次自动登录</label>
            </div>
        </div>
        <!-- /.col -->
        <div class="col-xs-4">
            <button type="submit" class="btn btn-primary btn-block btn-flat">登录</button>
        </div>
    <!-- /.col -->
    </div>
</form>

2. 登录失败后的 failure.jsp 页面提示返回到登录页面的超链接 :

<a href="${pageContext.request.contextPath}/login.jsp">返回到登录页面</a>

 

 

代码下载: https://pan.baidu.com/s/17zb834Qy1P5T3BiV7ivRig

***此代码需在 jdk1.8 下运行使用***

 

不想懂得Zenith
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security学习——基于角色的权限验证
Benson的博客
01-29 2963
基于角色的权限验证        在现实世界中,不能的角色对应着不同的权限,比如说用户可以访问用户的模板,但不能访问到后台,管理员可以访问到后台的管理模板,而只有数据库管理员才能直接访问到数据底层管理,比如说一些登录日志和私密数据。Spring Security框架支持基于角色的权限验证,可以在系统中添加多种角色用户权限验证登陆时,就可以根据输入的登陆信息,判断出输入的用户需要哪个角色,然后根
spring security入门--基于角色实现用户登录访问
xiaoheihai666的博客
08-31 481
接上篇,我们搭建好了基本框架之后,怎么实现自定义用户角色登录不同的系统呢?一、首先创建一个自定义的配置类,继承WebSecurityConfigurerAdapter类。使用zhangsan账号登录 helloUser 方法成功。二、在controller类中编写不同角色登录的代码。三、运行启动类进行测试。...
(新)Spring Security如何实现登录认证(实战篇)
最新发布
weixin_55772633的博客
06-15 1455
①编写实现类去实现UserDetailsService接口,然后重写里面的loadUserByUsername()方法,用来用来在数据库中查询用户信息并且封装到UserDetail对象中。其中UserDetail是个接口,我们需要编写相应的实体类去实现这个接口。详细内容如4.2.1、4.2.2②更改密码加密存储模式,这时我们就可以使用Spring Security默认提供的登录接口localhost:8080/login来尝试登陆。详细内容如:4.2.3③如何登陆接口?
spring-security 多类型用户登录+登录多参数验证
Microblue(严 武)
07-22 9299
如果一个系统分为前台用户和后台用户那么就不能使用spring-security的默认配置了。 需要自己来分开配置两种用户登录方式。 首先创建spring-disuser-security.xml 与 spring-etuser-security.xml 两个配置文件,分别来配置两种用户登录的权限与验证方式 spring-disuser-security.xml的内容如下 &lt;?xml ...
spring security入门--基于角色实现用户登录访问简单示例三
浅时光|初如梦
09-15 669
1.说明 此处只做spring security 基于角色实现用户登录访问简单示,只为说明spring security的简单使用方法 基于权限实现用户登录访问简单示例 可以查看上一篇文章 地址:https://blog.csdn.net/qq_32224047/article/details/108597820 2.用户结构的RBAC权限模型 在任何有认证授权逻辑的系统,都需要决定用户的权限,RBAC(ROLE-BASED-ACCESS-CONTROLLER)基于角色的权限控制模型,应用最广泛.
Spring Security实现登录
不愧是暮言的博客
05-24 3570
Spring Security是Spring框架下的一个用于身份验证和授权的框架,它可以帮忙管理web应用中的用户认证、授权以及安全性问题。环境准备Spring Security核心概念实现基本登录功能添加Spring Security的数据库认证Spring Security是一个非常好用的身份认证和授权框架,可以有效保证应用的安全性。本文介绍了如何使用Spring Security实现基本的登录功能和数据库认证,希望这篇文章能够帮助到你。。
SpringSecurity 细节度权限控制
OY
02-08 770
SpringSecurity 细节度权限控制 一、Role 和 Authority的区别 用户拥有的权限表示 roles("ADMIN","学徒","宗师") authorities("USER","MANAGER"); 给资源授予权限(角色或权限) //.antMatchers("/level1/**").hasRole("学徒") //.antMatchers("/level1/**").hasAnyRole("学徒","ADMIN")//拥有任何一个角色都可以访问 .antMatchers
spring boot 项目集成security
zoro_soro的博客
04-22 2697
springboot集成security需要三步: 一、引入依赖 <!--集成安全框架--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </depen
SpringBoot + SpringSecurity + JPA 实现用户角色权限登录认证
09-10
在这个项目中,SpringSecurity被用来处理用户登录角色权限分配和防止非法请求。 3. **JPA**:Java Persistence API是Java平台上的ORM(对象关系映射)规范,它允许开发者以面向对象的方式操作数据库,将数据对象...
spring security 实现动态权限和短信验证码登录
07-23
Spring Security 是一个强大的安全框架,用于为Java应用提供身份验证和授权服务。在这个场景中,我们探讨的是如何利用Spring Security实现动态权限管理和短信验证码登录,并结合JWT(JSON Web Tokens)和Redis来提升...
spring boot + security + jwt 制作用户登录角色鉴权
07-03
在本文中,我们将深入探讨如何使用Spring Boot、Spring Security以及JSON Web Tokens (JWT) 创建一个用户登录系统,并实现角色鉴权。Spring Boot以其简洁的配置和强大的功能在现代Java开发中占据重要地位,而Spring ...
SpringMVC精品资源--Spring Security Core Brewery.zip
02-18
4. 实现用户认证逻辑,可以使用内存中的用户信息,也可以连接到数据库或其他用户存储。 5. 配置登录页面和登录失败处理器,处理用户登录请求和错误情况。 【Spring Security的核心概念】 - **Authentication**...
常用的框架技术-09 Spring Security 的源代码和初始化项目
11-23
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。 正如你可能知道的关于安全方面的两个...
SpringBoot整合Spring Security实现用户角色验证以及权限控制
爱吃鸡腿的明仔
01-14 6003
文章目录一。Spring Security介绍二。工程搭建1.工程结构图:2.导入依赖3.编写security配置类4.编写UserDetailsService验证类5.Dao层6.model层7.控制器层8.工具类9.配置文件10.jsp示例登录页面11.启动类三。数据库结构t_user(用户表)t_role(角色表)t_permission(权限表)t_user_role(用户角色表)t_permission(角色权限表)四。测试1.用户登录验证2.用户权限验证五。项目地址 一。Spring Secu
SpringSecurity的权限校验详解说明(附完整代码)
qq_51076413的博客
02-19 3619
SpringSecurity安全检验、SpringSecurity权限认证、SpringSecurity权限校验SpringSecurity自定义校验SpringSecurity自定义校验规则、SpringSecurity异常处理器
登陆认证服务框架SpringSecurity
wdj_yyds的博客
01-04 1078
最近想给自己的小系统搭建一个登录认证服务,最初是想着一套oauth2权鉴就可以,但是发现这个oauth2只是权鉴,具体的登录认证需要由 SpringSecurity来进行实现。 也就是说SpringSecurity 主要就是用来进行用户名、密码认证的登录框架 然后看了一下 SpringSecurity,发现之前用过,但是只是用过,具体的流程不清楚。 趁这个机会,将SpringSecurity源码大体的整理看一下。 概述# SpringSecurity 的功能就是 认证、授权、防止伪造登录 其核心就是
java 得到登陆用户的id,Spring OAuth2.0:根据客户端ID获取用户角色
weixin_32316643的博客
02-25 415
I have multiple clients registered for my oauth2 auth server. lets say user1 have roles such as ROLE_A, ROLE_B for client1, same user has roes such as ROLE_C, ROLE_D for client2. now when the user log...
Spring Security(六) Spring Security角色权限判断 及 自定义 403  处理方案
奥迪的博客
09-29 1832
一、 角色权限判断 除了之前讲解的内置权限控制。Spring Security 中还支持很多其他权限控制。这些方法一般都用于用户已经被认证后,判断用户是否具有特定的要求。 1 hasAuthority(String) 判断用户是否具有特定的权限,用户的权限是在自定义登录逻辑中创建 User 对象时指定的。 下图中 admin 就是用户的权限。admin 严格区分大小写。 在配置类中通过 hasAuthority(“admin”)设置具有 admin 权限时才能访问。 .antMatcher
springsecurity自定义角色权限授权
qq_57517269的博客
03-27 3343
security自定义角色权限 通过注解标记controller的方式与config配置的方式过于繁琐。这样每写一个接口都要去写这个注解,关键还要记相对应的权限,根本不符合当前的开发。 //注解方式 @PreAuthorize("hasAuthority('test')") public RespBean test(){ .... } @Override protected void configure(HttpSecurity http)
使用spring secrety框架实现的RBAC权限管理
04-05
加载用户信息后,Spring Security框架会自动校验用户信息的合法性。 3. 配置Spring Security 在Spring Security配置中,我们需要设置登录页面、登录成功后的页面、无权限访问时的页面等。同时,我们需要配置RBAC...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值