SpringSecurity:权限控制

最新推荐文章于 2024-04-19 15:44:18 发布
最新推荐文章于 2024-04-19 15:44:18 发布
阅读量1k 收藏 2
点赞数 1
分类专栏: Spring Security 文章标签: java spring boot intellij-idea
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43296313/article/details/121635262
版权

文章目录

SpringSecurity:权限控制

1 数据准备

创建 sys_permission 表并插入数据

CREATE TABLE `sys_permission` (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `url` varchar(255) DEFAULT NULL,
  `role_id` int(11) DEFAULT NULL,
  `permission` varchar(255) DEFAULT NULL,
  PRIMARY KEY (`id`),
  KEY `fk_roleId` (`role_id`),
  CONSTRAINT `fk_roleId` FOREIGN KEY (`role_id`) REFERENCES `sys_role` (`id`) ON DELETE CASCADE ON UPDATE CASCADE
) ENGINE=InnoDB AUTO_INCREMENT=5 DEFAULT CHARSET=utf8;

在这里插入图片描述

2 创建 POJO、Mapper、Service

pojo

/**
 * 权限实体类
 */
@Data
public class SysPermission implements Serializable {
    static final long serialVersionUID = 1L;

    private Integer id;

    private String url;

    private Integer roleId;

    private String permission;

    private List<String> permissions;

    public List<String> getPermissions() {
        return Arrays.asList(this.permission.trim().split(","));
    }

    public void setPermissions(List<String> permissions) {
        this.permissions = permissions;
    }
}

mapper

@Mapper
public interface SysPermissionMapper {

    @Select("SELECT * FROM sys_permission WHERE role_id=#{roleId}")
    List<SysPermission> listByRoleId(Integer roleId);
}

@Mapper
public interface SysRoleMapper {
    @Select("SELECT * FROM sys_role WHERE id = #{id}")
    SysRole selectById(Integer id);

    @Select("SELECT * FROM sys_role WHERE name = #{name}")
    SysRole selectByName(String name);
}

service

@Service
public class SysPermissionService {
    @Autowired
    private SysPermissionMapper permissionMapper;

    /**
     * 获取指定角色所有权限
     */
    public List<SysPermission> listByRoleId(Integer roleId) {
        return permissionMapper.listByRoleId(roleId);
    }
}

@Service
public class SysRoleService {
    @Autowired
    private SysRoleMapper roleMapper;

    public SysRole selectById(Integer id) {
        return roleMapper.selectById(id);
    }

    public SysRole selectByName(String name) {
        return roleMapper.selectByName(name);
    }
}

3 自定义PermissionEvaluator

我们需要自定义对 hasPermission() 方法的处理,就需要自定义 PermissionEvaluator,创建类 CustomPermissionEvaluator,实现 PermissionEvaluator 接口。

package com.hl.hl01springsecurity.security.permissions;


import com.hl.hl01springsecurity.entity.SysPermission;
import com.hl.hl01springsecurity.service.SysPermissionService;
import com.hl.hl01springsecurity.service.SysRoleService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.access.PermissionEvaluator;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.userdetails.User;
import org.springframework.stereotype.Component;

import java.io.Serializable;
import java.util.Collection;
import java.util.List;

@Component
public class CustomPermissionEvaluator implements PermissionEvaluator {
    @Autowired
    private SysPermissionService permissionService;
    @Autowired
    private SysRoleService roleService;

    @Override
    public boolean hasPermission(Authentication authentication, Object targetUrl, Object targetPermission) {
        // 获得loadUserByUsername()方法的结果
        User user = (User)authentication.getPrincipal();
        // 获得loadUserByUsername()中注入的角色
        Collection<GrantedAuthority> authorities = user.getAuthorities();

        // 遍历用户所有角色
        for(GrantedAuthority authority : authorities) {
            String roleName = authority.getAuthority();
            Integer roleId = roleService.selectByName(roleName).getId();
            // 得到角色所有的权限
            List<SysPermission> permissionList = permissionService.listByRoleId(roleId);

            // 遍历permissionList
            for(SysPermission sysPermission : permissionList) {
                // 获取权限集
                List<String> permissions = sysPermission.getPermissions();
                // 如果访问的Url和权限用户符合的话,返回true
                if(targetUrl.equals(sysPermission.getUrl()) && permissions.contains(targetPermission)) {
                    return true;
                }
            }

        }

        return false;
    }

    @Override
    public boolean hasPermission(Authentication authentication, Serializable serializable, String s, Object o) {
        return false;
    }
}

hasPermission() 方法中,参数 1 代表用户的权限身份,参数 2 参数 3 分别和 @PreAuthorize("hasPermission('/admin','r')") 中的参数对应,即访问 url 和权限

思路如下:

  1. 通过 Authentication 取出登录用户的所有 Role
  2. 遍历每一个 Role,获取到每个Role的所有 Permission
  3. 遍历每一个 Permission,只要有一个 Permissionurl 和传入的url相同,且该 Permission 中包含传入的权限,返回 true
  4. 如果遍历都结束,还没有找到,返回false

WebSecurityConfig 中注册 CustomPermissionEvaluator

/**
     * 注入自定义PermissionEvaluator
     */
    @Bean
    public DefaultWebSecurityExpressionHandler webSecurityExpressionHandler(){
        DefaultWebSecurityExpressionHandler handler = new DefaultWebSecurityExpressionHandler();
        handler.setPermissionEvaluator(new CustomPermissionEvaluator());
        return handler;
    }

在这里插入图片描述

注意:

1、在WebSecurityConfig类中的注册bean webSecurityExpressionHandler时会报无法创建,不能覆盖,解决办法:在application.yml中加上spring.main.allow-bean-definition-overriding: true

2、类型转换问题,把CustomAuthenticationProvider类的authenticate返回类型换成return new UsernamePasswordAuthenticationToken(userDetails, inputPassword, userDetails.getAuthorities())

yololee_
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot springsecurity动态权限控制
09-18
在这个“springboot springsecurity动态权限控制”的主题中,我们将深入探讨如何在Spring Boot项目中集成Spring Security,实现动态权限控制,让菜单权限的管理更加灵活和高效。 首先,我们需要理解Spring Security...
SpringSecurity权限控制实现原理解析
08-24
SpringSecurity 权限控制实现原理解析 SpringSecurity 权限控制实现原理是指在应用程序中对用户的操作权限进行控制和限制,以确保应用程序的安全性和可靠性。权限控制是指在应用程序中对用户的操作权限进行控制和...
spingsecurity中haspermission用法以及配置自定义PermissionEvaluator
热门推荐
xmj_0422的博客
08-13 1万+
一、原理剖析 先看一段官方文档对haspermission的描述(文档链接:https://docs.spring.io/spring-security/site/docs/5.2.7.BUILD-SNAPSHOT/reference/htmlsingle/#el-permission-evaluator) 开头的意思是haspermission的注解会委托给PermissionEvaluator接口,而这个接口默认实现是DenyAllPermissionEvaluator(源码如下) 这个类的两个
Spring Security权限认证规则(五)
Jayden的博客
04-20 1378
Spring Security权限认证规则 1、当服务器启动时,Spring Security会根据配置将所有的URL和其对应的权限加载到Spring Security中。 @Service public class MyInvocationSecurityMetadataSourceService implements FilterInvocationSecurityMetadataSource...
拦截RequiresPermissions权限标识获取逻辑,实现Controller多级权限拼接
最新发布
努力的小方的博客
04-19 947
业务场景:Shiro权限校验RequiresPermissions标签是优先获取方法上的注解信息,再从类上注解获取权限标识符但是系统的 XxxController 层是继承的 ParentController,增删改查方法,在ParentController中,无法对增删改查的 RequiresPermissions 权限标签进行自定义后台技术组合:Spring Boot、逻辑分析:1、aop 切面拦截 controller 对应调用的方法2、获取对应方法的注解信息。
SpringSecurity(三)自定义权限管理
weixin_44046865的博客
04-04 432
SpringSecurity自定义权限管理SpringSecurity环境pom.xmlSpringSecurity自定义权限管理自带的权限管理自定义权限管理 SpringSecurity环境 pom.xml pom.xml依赖 <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId>
spring security 用户角色权限登录配置
weixin_46453221的博客
08-23 510
1.准备数据库表 /* Navicat Premium Data Transfer Source Server : khm1 Source Server Type : MySQL Source Server Version : 50734 Source Host : localhost:3306 Source Schema : security Target Server Type : MySQL Target Serve
Spring Security 中的权限注解很神奇吗?
yangjnsjbad的博客
05-26 161
最近有个小伙伴在微信群里问 Spring Security 权限注解的问题: 很多时候事情就是这么巧,松哥最近在做的 tienchin 也是基于注解来处理权限问题的,所以既然大家有这个问题,咱们就一块来聊聊这个话题。 当然一些基础的知识我就不讲了,对于 Spring Security 基本用法尚不熟悉的小伙伴,可在公众号后台回复 ss,有原创的系列教程。 1. 具体用法 先来看看 Spring Security 权限注解的具体用法,如下: @PreAuthorize("@ss.hasPerm
Spring security实现登陆和权限角色控制
09-09
在这个场景中,我们将探讨如何使用Spring Security来实现登录和权限角色控制。首先,确保你正在使用的Spring版本为4.3.2.RELEASE,而Spring Security版本是4.1.2.RELEASE。在开始之前,你需要对Spring MVC、SPeL...
Spring Security如何使用URL地址进行权限控制
08-25
Spring Security如何使用URL地址进行权限控制 Spring Security是一个功能强大且广泛应用的Java安全框架,它提供了许多功能,包括身份验证、授权、加密等。其中,权限控制Spring Security的一个重要组件,它允许...
spring security权限控制
10-15
在本文中,我们将深入探讨Spring Security如何实现权限控制,并通过一个名为"springsecuritydemo4"的示例项目来理解其核心概念。 首先,Spring Security权限控制主要涉及以下几个关键组件: 1. **认证...
spring security解决用户权限的方案
11-12
使用spring security解决用户权限的方案
SpringSecurity底层原理和认证授权流程总结
希望和大家多多交流技术!
01-03 2676
安全框架(springsecurity、shiro等)主要分为两个部分: 认证:系统认为用户是否能登录 授权:系统判断用户是否有权限去做某些事情 项目主要使用了:基于token的用户权限认证与授权 模块一:登录时springsecurity获取用户的信息,比如用户名、密码、和查数据库得到其权限列表 如果系统的模块众多,每个模块都需要进行授权与认证,所以我们选择基于 token 的形式 进行授权与认证,用户根据用户名密码认证成功,然后获取当前用户角色的一系列权限 值,并以用户名为 key.
SpringSecurity(十二)---配置权限:应用限制
学习不止境的博客
10-26 1166
之前讲解了如何基于权限和角色配置访问。但是其中只应用了针对所有端点的配置。本章将介绍如何对特定的请求分组应用授权约束。在生产环境的应用程序中,不太可能对所有请求应用相同的规则。其中将具有只有某些特定用户才能调用的端点,而其他端点则可能每个用户都可以访问。根据业务需求,每个接口都有自己的自定义授权配置。 要选择应用授权配置的请求,可以使用匹配器方法。Spring Security提供了3种类型的匹配方法。首先看一个简单的示例,我们要创建一个暴露两个端点的应用程序,这两个端点是/hello和/xiao。我们希望
spring security框架实现自定义认证与授权 (重点 :该框架自动完成密码校验)
taiguolaotu的博客
04-01 553
最近还是一直在研究spring security框架,正如标题所说,在spring security框架中如何实现自定义与授权,其实还是比较简单的。但是最重要的是该框架自动完成密码校验的功能,不需要人为的手动判断密码是否正确。当然每个人有每个人的写法,怎么方便怎么来! 下面将代码贴出来,方便大家观看! 自定义UserDetailServiceImpl类去实现UserDetailsService接...
SpringBoot使用SpringSecurity(二)_使用注解以及更细粒度权限控制
DreamsArchitects的博客
11-10 1301
学习SpringSecurity第二集一、密码加密启动类注入BCryptPasswordEncoder业务类SpringSecurityConfig二、开启SpringSecurity注解三、更细粒度权限控制_授权数据库建表数据访问层业务层业务层实现类创建MyPermissionEvaluatorImpl实现PermissionEvaluator接口将自定义的MyPermissionEvaluatorImpl注入SpringSecurityConfig配置类application.ymlController
13.Spring security权限管理
EdSheeran的博客
04-14 1万+
文章目录*权限管理**13.1什么是权限管理**13.2Spring security权限管理策略**13.3核心概念**13.3.1角色与权限**13.3.2角色继承**13.3.3两种处理器**13.3.4前置处理器**投票器**决策器**13.3.5后置处理器**13.3.6权限元数据**`ConfigAttribute`**`SecurityMetadataSource`**13.3.7权限表达式**`SecurityExpressionRoot`**`WebSecurityExpressionRo
Spring Security 保护方法调用
书香水墨
08-25 931
一、使用注解保护方法 在Spring Security中实现方法级安全性的最常见办法是使用特定的注解,将这些注解应用到需要保护的方法上。这样有几个好处,最重要的是当我们在编辑器中查看给定的方法时,能够很清楚地看到它的安全规则。 Spring Security提供了三种不同的安全注解: Spring Security自带的@Secured注解; JSR-250的@RolesAllowed注解; ...
SpringSecurity权限管理
alone_song的博客
03-14 5695
SpringSecurity权限管理 Security能做什么? 用户认证:系统认为用户是否能够登录 用户授权:系统判断用户是否有权力去做某些事情 SpringSecurity特点: 和Spring无缝整合 全面的权限控制 专门为web开发而设计 重量级 需要引入各种依赖 SpringSecurity基本原理: SpringSecurity本质上是一个过滤器链 包含很多个过滤器 执行流程: 配置DelegatingFilterProxy 执行doFilter initDel.
SpringSecurity实现权限控制
08-03
Spring Security是一个能够为基于Spring的企业应用系统提供安全访问控制解决方案的安全框架。它利用Spring IOC、DI和AOP功能,为企业应用系统提供声明式的安全访问控制功能,简化企业系统为了安全控制而编写大量重复代码的工作。在Spring Security中,权限控制可以通过四种常见的方式实现:[1]。其中,常见的方式包括基于URL的权限控制和基于方法的权限控制。基于URL的权限控制是通过配置URL的访问规则来限制用户的访问权限。而基于方法的权限控制是通过在方法上添加注解或配置来限制用户对方法的访问权限Spring Security提供了灵活多样的权限控制方式,可以根据具体需求进行自定义授权[2]。总之,Spring Security是一个功能强大的安全框架,可以帮助开发者实现灵活的权限控制[3]。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值