Spring Security——06,授权_封装权限信息

最新推荐文章于 2024-04-29 19:14:48 发布
最新推荐文章于 2024-04-29 19:14:48 发布
阅读量943 收藏 23
点赞数 12
分类专栏: Spring security 文章标签: spring java 后端 security loginuser
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42858422/article/details/137255605
版权

授权_封装权限信息

一、权限系统的作用

例如一个学校图书馆的管理系统,如果是普通学生登录就能看到借书还书相关的功能,不可能让他看到并且去使用添加书籍信息,删除书籍信息等功能。但是如果是一个图书馆管理员的账号登录了,应该就能看到并使用添加书籍信息,删除书籍信息等功能。

总结起来就是不同的用户可以使用不同的功能。这就是权限系统要去实现的效果。
我们不能只依赖前端去判断用户的权限来选择显示哪些菜单哪些按钮。因为如果只是这样,如果有人知道了对应功能的接口地址就可以不通过前端,直接去发送请求来实现相关功能操作。

所以我们还需要在后台进行用户权限的判断,判断当前用户是否有相应的权限,必须具有所需权限才能进行相应的操作

二、授权基本流程

授权的流程:

在SpringSecurity中,会使用默认的FilterSecurityInterceptor来进行权限校验。在FilterSecurityInterceptor中会从SecurityContextHolder获取其中的Authentication,然后获取其中的权限信息。当前用户是否拥有访问当前资源所需的权限。
所以我们在项目中只需要把当前登录用户的权限信息也存入Authentication。
然后设置我们的资源所需要的权限即可。

代码详细过程:

1、就是在我们之前的 UserDetailsServiceImpl 查询权限信息,添加到LoginUser中。

2、然后在LoginServiceImpl中通过Authentication就可以获取到权限信息了。

3、在JwtAuthenticationTokenFilter就可以将权限信息存入Authentication中了。然后就可以获取了。

三、限制访问资源所需权限

如何设置资源访问所需的权限:

有两种方式,一种是注解,一种是配置

实际上项目中用的都是基于注解的形式配置方式,基于配置方式的主要是用来配置静态资源,而前后端分离,就没有什么静态资源了,所以用的都是注解。

SpringSecurity为我们提供了基于注解的权限控制方案,这也是我们项目中主要采用的方式。我们可以

使用注解去指定访问对应的资源所需的权限。

但是要使用它我们需要先开启相关配置。

在这里插入图片描述
然后就可以使用对应的注解。@PreAuthorize

只能拥有test权限才可以访问

在这里插入图片描述

四、封装权限信息

我们前面在写UserDetailsServiceImpl的时候说过,在查询出用户后还要获取对应的权限信息,封装到UserDetails中返回。

我们先直接把权限信息写死封装到UserDetails中进行测试。

我们之前定义了UserDetails的实现类LoginUser,想要让其能封装权限信息就要对其进行修改。

4.1 权限信息封装到LoginUser

LoginUser修改完后我们就可以在UserDetailsServiceImpl中去把权限信息封装到LoginUser中了。我们写死权限进行测试,后面我们再从数据库中查询权限信息

这里先写死进行测试

在这里插入图片描述

4.2 LoginUser 添加权限

在security中,它去获取权限信息的时候,是调用UserDetails接口中的getAuthorities方法

所以我们要重写getAuthorities这个方法

在这里插入图片描述
重写getAuthorities方法,有两种写法

有一个需要一定注意的点:权限参数命名必须是authorities

第一种写法:传统

    //存储SpringSecurity所需要的权限信息的集合
    //@JSONField注解的作用是,进行序列化的忽略,这个变量不要序列化
    @JSONField(serialize = false)
    private List<GrantedAuthority> authorities;

    //在security中,它去获取权限信息的时候,是调用UserDetails接口中的getAuthorities方法
    //所以我们要重写getAuthorities这个方法,
    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        if(authorities!=null){
            return authorities;
        }
        //把permissions中字符串类型的权限信息转换成GrantedAuthority对象存入authorities中
        for (String permission : permissions) {
            SimpleGrantedAuthority authority = new SimpleGrantedAuthority(permission);
            authorities.add(authority);
        }
        return authorities;
    }

第二种写法:使用stream流,链式编程

    //存储SpringSecurity所需要的权限信息的集合
    //@JSONField注解的作用是,进行序列化的忽略,这个变量不要序列化
    @JSONField(serialize = false)
    private List<GrantedAuthority> authorities;

    //在security中,它去获取权限信息的时候,是调用UserDetails接口中的getAuthorities方法
    //所以我们要重写getAuthorities这个方法,
    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        if(authorities!=null){
            return authorities;
        }
        //把permissions中字符串类型的权限信息转换成GrantedAuthority对象存入authorities中
        authorities = permissions.stream().
                map(SimpleGrantedAuthority::new).
                collect(Collectors.toList());
        return authorities;
    }

4.3 过滤器封装权限信息

在这里插入图片描述

五、断点测试

断点1

在这里插入图片描述
断点2

在这里插入图片描述

5.1 有权限的访问

先正常登录一下,然后访问hello接口

在这里插入图片描述
就进到了断点里面,看一下用户具有哪些权限,有test跟admin权限,可以访问

在这里插入图片描述
全部放行

在这里插入图片描述

5.2 没有权限的访问

修改一下helloController用户所拥有的权限

在这里插入图片描述
然后重启,重新登录再测试一下,它并不具备test333这个权限

在这里插入图片描述
全部放行,看一下,无权限,访问就是403

在这里插入图片描述

一键三连有没有捏~~

五月CG
关注
  • 12
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring boot —— Spring Security定制权限管理
qq_45947664的博客
08-30 495
Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。提供了完善的认证机制和方法级的授权功能。是一款非常优秀的权限管理框架。它的核心是一组过滤。类似于启动spring boot项目后,会先验证,如果没有登陆,会跳转到框架默认登录页面(封装好的,不用自己写)如果没有配置登录用户,那么终端会自动生成用户并打印随机生成的用户密码,如果有配置,就不会生成。...
struts2+spring3+hibernate4 + UI 组件(easyui)+代码生成器+共通封装+Spring_security权限
11-27
********************************************************************* 项目中逐步完善的实战框架: (可直接用于项目开发) 架构技术: struts2+spring3+hibernate4 + UI 组件(easyui)+Spring_security权限 配置思想: Convention 零配置(不需要任何配置文件) 优点; [1].代码生成器(单表的增删改查完美生成) 注意:包括JSP页面的生成,代码无需任何修改,功能直接发布使用 [2].查询条件生成器 页面加查询条件,后台不需要写任何逻辑判断,动态拼SQL追加查询条件 [3].常用共通封装 数据字典封装, 邮件发送封装,定时器封装,hibernate+spring jdbc组合使用 [4].完整用户权限封装 权限可直接使用 功能:权限,角色,用户 [5].ehcache缓存机制(永久缓存/临时缓存) 代码生成器界面: A.动态选择需要生成文件(ServiceI\ServiceImpl\Jsp\Action\Entity\Page) B.动态选择JSP模板(行编辑/单页编辑) ********************************************************************* 该文档只是框架说明和代码生成器演示,如果你需要可以联系我。 联系方式:QQ:445654970
SpringSecurity封装自定义User类的一次实践
最新发布
Vetoy的博客
04-29 870
本文通过继承UserDetailsService接口并实现loadUserByUsername方法提供自定义登录授权
spring-security封装权限认证自动配置,开箱即用
itczw技术博客
02-15 1284
spring-security-auth-starter spring-security 权限认证自动配置,开箱即用,支持动态续租token过期时间,支持统一API服务接口调用权限认证,支持基于@PreAuthorize注解方式授权认证,支持基于URL路径权限认证。登录接口前端可对密码进行rsa加密(前端公钥加密,后端私钥解密),支持自定义登录接口(微信公众授权/小程序授权可选自定义登录接口) 开源地址 github:https://github.com/wency-cai/spring-securi
SpringSecurity】六、基于数据库的认证与授权
llg___的博客
08-28 336
新建安全用户类,继承UserDetails,并和库里的SysUser类做转换。(注意这种思路两个类之间做转换,一个类做为属性定义在另一个类中)如果能在数据库查到这个用户,就将他包装成UserDetails的格式返给框架。到此,实现了将基于数据库自定义的SysUser对象和返给框架的UserDetails对象做了关联。修改上面定义的SecurityUser类,加入权限。新增属性并加Set方法。mapper目录下新建映射文件SysUserMapper.xml。此时用户是可以正常登录的。
Spring Security 6 授权
weixin_52019286的博客
01-25 471
认证: 证明了“你是谁”。授权: 表明了“你能干什么”可以设置某URL 必须认证后才能访问,未经认证,用户得到401访问可以设置某URL必须拥有特定权限(或属于某个角色)才能访问,不满足条件,用户会得到403响应。
实战项目ssm权限系统1-springsecurity+redis+Aop&菜单按钮级别
健康平安的活着的专栏
12-26 1685
常见1:1和1:n和n:n。
Spring Security实现RBAC权限管理_RBAC_spring_spring security_springclou
09-24
在企业应用中,认证和授权是非常重要的一部分内容,业界最出名...由于Spring Boot非常的流行,选择Spring Security做认证和授权的 人越来越多,今天我们就来看看用SpringSpring Security如何实现基于RBAC的权限管理
spring_gateway_security_webflux.rar
07-24
1.本项目为SpringCloud Gateway的微服务框架,整合了SpringSecurity,微服务间使用Redis来获取登陆的用户信息。 2.由于Gateway采用的是纯Webflux方式,所以原有的Spring基于传统拦截器、过滤器的方式无法正常使用...
Spring Security如何使用URL地址进行权限控制
08-25
主要介绍了Spring Security如何使用URL地址进行权限控制,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
视频配套笔记_Spring Security OAuth2.0认证授权_v1.1.rar
04-30
视频配套笔记_Spring Security OAuth2.0认证授权_v1.1 完整详细 pdf无障碍阅读,代码完整可复制
Spring security实现登陆和权限角色控制
09-09
主要介绍了Spring security实现登陆和权限角色控制,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
Spring security授权
ChatYU的博客
12-23 2943
基于角色的授权:以用户所属角色为基础进行授权,如管理员、普通用户等,通过为用户分配角色来控制其对资源的访问权限。基于资源的授权:以资源为基础进行授权,如 URL、方法等,通过定义资源所需的权限,来控制对该资源的访问权限Spring Security 提供了多种实现授权的机制,最常用的是使用基于注解的方式,建立起访问资源和权限之间的映射关系。其中最常用的两个注解是@Secured和。@Secured注解是更早的注解,基于角色的授权比较适用,基于SpEL。
SpringSecurity学习
weixin_47827244的博客
07-07 321
SpringSecurity的学习,基于SpringBoot,包括登录、认证、jwt、密码加密、授权、跨域问题的解决等内容
SpringBoot整合Spring Security【超详细教程】
m0_52789121的博客
06-12 8388
Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。提供了完善的认证机制和方法级的授权功能。是一款非常优秀的权限管理框架。它的核心是一组过滤器链,不同的功能经由不同的过滤器。这篇文章就是想通过一个小案例将Spring Security整合到SpringBoot中去。要实现的功能就是在认证服务器上登录,然后获取Token,再访问资源服务器中的资源。什么叫做单点登录呢。就是在一个多应用系统中,只要在其中一个系统上登录之后,不需要在其它系统上登录也可以访问其内容。举个例子,京东那么复
基于Spring Security实现权限管理系统
莫等闲的博客
03-01 1011
基于Spring Security实现权限管理系统 稍微复杂一点的后台系统都会涉及到用户权限管理。何谓用户权限?我的理解就是,权限就是对数据(系统的实体类)和数据可进行的操作(增删查改)的集中管理。要构建一个可用的权限管理系统,涉及到三个核心类:一个是用户User,一个是角色Role,最后是权限Permission。接下来本文将介绍如何基于Sprin...
SpringSecurity权限管理系统实战—五、整合SpringSecurity(下)
CoderMy的博客
07-22 5700
上篇文章SpringSecurity整合了一半,这次把另一半整完,所以本篇的序号接着上一篇。
spring security_认证_授权_java
09-07
Spring Security 是一个开源的 Java 安全框架,提供了全面的身份验证(认证)和授权功能,帮助开发人员构建安全性高的应用程序。 在 Spring Security 中,认证是指验证用户的身份。它支持多种认证方式,包括基于表单的认证、基于 HTTP 基本认证、基于记住我(Remember Me)的认证等。开发人员可以根据自己的需求选择适合的认证方式,并通过配置文件或编程的方式进行设置。 授权是指确定用户是否具有执行特定操作或访问特定资源的权限Spring Security 可以通过角色和权限进行授权管理,可以为用户分配不同的角色,每个角色拥有不同的权限。在进行授权时,开发人员可以根据用户的角色和权限来进行判断,从而决定是否允许用户执行某个操作或访问某个资源。 使用 Spring Security 进行认证和授权,首先需要引入相关的依赖项,并配置相应的过滤器链。可以通过编写自定义的身份验证和授权逻辑来满足自己的需求,并且可以与其他框架(如 Spring MVC)进行集成,提供更加完善的安全性解决方案。 总之,Spring Security 是一个功能强大的 Java 安全框架,可以帮助开发人员实现身份验证和授权功能,提高应用程序的安全性。通过灵活的配置和自定义逻辑,开发人员可以根据自己的需求来进行安全性管理,确保应用程序的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值