Spring Security详解(2)

已于 2022-08-11 19:52:43 修改
阅读量325 收藏 2
点赞数 2
分类专栏: SpringBoot框架技术 文章标签: spring java 后端
于 2022-08-11 08:59:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43816557/article/details/126273538
版权

Spring Security系列文章目录

关于Spring Security
Spring Security详解(1)
Spring Security详解(2)
Spring Security关于异常的处理

文章目录

前言

提示:这里可以添加本文要记录的大概内容:

上篇文章介绍了如何使用Security开发自定义的登录流程,本文将介绍自定义登录流程的细节问题,如权限检查,部分代码仅供理解参考。

提示:以下是本篇文章正文内容,下面案例可供参考

一、处理登录成功的管理的权限列表

目前,存入到Security上下文中的认证信息(Authentication对象)并不包含有效的权限信息(目前是个假信息),为了后续能够判断用户的权限,需要:

  • 当认证(登录)成功后,取出管理员的权限,并将其存入到JWT数据中
  • 后续的请求中的JWT应该已经包含权限,则可以从JWT中解析出权限信息,并存入到认证信息(Authentication对象)中
  • 在操作过程中,应该先将权限列表转换成JSON再存入到JWT中,在解析JWT时,得到的权限信息也是一个JSON数据,需要将其转换成对象才能继续使用

关于JSON格式的转换,有许多工具都可以实现,例如:fastjson

<!-- fastjson:实现对象与JSON的相互转换 -->
<dependency>
    <groupId>com.alibaba</groupId>
    <artifactId>fastjson</artifactId>
    <version>1.2.75</version>
</dependency>

AdminServiceImpl处理登录时,当认证成功时,需要从认证结果中取出权限列表,转换成JSON字符串,并存入到JWT中:

// 原有其它代码
Collection<GrantedAuthority> authorities = loginUser.getAuthorities();
log.debug("认证结果中的权限列表:{}", authorities);
String authorityListString = JSON.toJSONString(authorities); // 【重要】将权限列表转换成JSON格式,用于存储到JWT中

// 生成JWT时的Claims相关代码
claims.put("authorities", authorityListString);
log.debug("生成JWT,向JWT中存入authorities:{}", authorityListString);

// 原有其它代码

然后,在JWT过滤器中,当成功的解析JWT时,应该获取权限列表的JSON字符串,并将其转换为认证对象要求的格式(Collection<? extends GrantedAuthority):

// 原有其它代码

Object authorityListString = claims.get("authorities");
log.debug("从JWT中解析得到authorities:{}", authorityListString);

// 准备Authentication对象,后续会将此对象封装到Security的上下文中
List<SimpleGrantedAuthority> authorities = JSON.parseArray(
        authorityListString.toString(), SimpleGrantedAuthority.class);
Authentication authentication = new UsernamePasswordAuthenticationToken(
        username, null, authorities);

// 原有其它代码

完成后,启动项目,正常登录,在服务器端的控制台可以看到相关日志,将权限存入到Security上下文的认证信息中包含权限列表。

二、使用Security框架检查权限

首先,需要在Security的配置类上开启全局的在方法上检查权限

// 其它原有注解
@EnableGlobalMethodSecurity(prePostEnabled = true) // 新增
public class SecurityConfiguration ... ...

然后,在控制器类中处理请求的方法上使用@PreAuthorize注解检查权限:

// 其它原有注解
@PreAuthorize("hasAuthority('/ams/admin/update&#
最低0.47元/天 解锁文章
小易说码
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring security 认证简介
Littlemotor
08-05 1662
spring security的核心功能:认证和授权,认证就是身份验证(你是谁?),授权就是访问控制(你可以做什么?),同时他还提供很多安全管理的周边功能。在Spring Security的架构设计中,认证(Authentication)和授权(Authorization)是分开的,本篇文章主要涉及认证相关的功能和原理介绍。...............
Spring Security核心类详解
林木森的博客
11-22 955
Spring Security是什么 Spring Security 是一种基于 Spring AOP 和 Servlet 过滤器 Filter 的安全框架,它提供了全面的安全解决方案,提供在 Web 请求和方法调用级别的用户鉴权和权限控制。 Web 应用的安全性通常包括两方面:用户认证(Authentication)和用户授权(Authorization)。 用户认证指的是验证某个用户是否为系统合法用户,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码,系统通过校验用户名和密码来完成认
SpringSecurity权限管理框架系列(六)-Spring Security框架自定义配置类详解(二)之authorizeRequests配置详解
最爱嫣夜来
03-24 9310
1、预置演示环境 这个演示环境继续沿用 SpringSecurit权限管理框架系列(五)-Spring Security框架自定义配置类详解(一)之formLogin配置详解的环境。 2、自定义配置类之请求授权详解
SpringSecurity介绍及基本使用
qq_47075878的博客
05-13 1190
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
用注解的方式注解获取登录的用户信息
xiaobaixuedaima的博客
08-20 647
在开发项目时,往往能通过一个注解就能获取当前登录的用户信息,这次分享一下较多方式中的一种实现的浅析过程具体的过程就是实现WebMvcConfigurer接口中的addArgumentResolvers方法,他会在每次进入请求接口controller前对参数进行一些处理,实现HandlerMethodArgumentResolver接口中的和方法,在resolveArgument做一些我们想要的参数,最后进入方法之前将登录者的信息返回给参数,自然而然里面就可以拿到值了。
Spring Security整合Oauth2实现流程详解
09-07
主要介绍了Spring Security整合Oauth2实现流程详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
JSP 开发之Spring Security详解
10-19
主要介绍了JSP 开发之Spring Security详解的相关资料,spring Security是一个能够为基于Spring的企业应用系统提供描述性安全访问控制解决方案的安全框架,需要的朋友可以参考下
Spring Security OAuth2认证授权示例详解
08-25
主要介绍了Spring Security OAuth2认证授权示例详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
详解spring security安全防护
08-27
主要介绍了详解spring security安全防护,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Spring的常见注解
weixin_51722520的博客
09-07 573
注解控制层,持久层
securitysecurity getAuthentication().getPrincipal()只能获取用户名
孟秋与你的博客
07-04 8846
天坑 找了一下午才找到原因 记录一下 debug跟踪 发现setAuthentication(result)的时候 都是正常的 ,principal为实体对象 ,但是get的时候就变成字符串了 项目背景:springcloud项目 有多模块,在B模块中 引入了A模块(因为需要用到A模块的某个Component) 操作:B模块application中需要指定 ComponentScan (不指定默认只扫描本包 及B模块包下Component), 为了省事,直接指定了 @ComponentScan("com.
安全框架Spring Security是什么?如何理解Spring Security的权限管理?
知识记录
08-04 7707
Spring Security是⼀个功能强大、可高度定制的身份验证和访问控制框架。从这一篇文章开始学习Spring Security吧~
搭建微服务下统一认证授权服务,鉴权客户端大致流程(基于无状态)
BurukeYou
02-11 6438
1.简介 基于无状态令牌(jwt)的认证方案,服务端无需保存用户登陆状态 基于spring security框架 + oauth2协议 搭建 基于spring cloud nacos,服务调用使用RestTemplate 前置知识: jwt (也就是这里用到的token) 就是一大串加密的字符串,用户的登陆状态都保存在里面,但这种字符串里面的数据不能被修改,一但修改校验一定会出错....
分布式事务TCC使用手册
IT成长笔记
11-09 2211
1、pom.xml配置 &lt;dependency&gt;   &lt;groupId&gt;com.jinnjo.tx&lt;/groupId&gt;&lt;artifactId&gt;spring-boot-starter-narayana-lra&lt;/artifactId&gt;   &lt;version&gt;2.0.9&lt;/version&gt;&lt;/depen
微服务权限解决方案,Cloud Gateway+Oauth2实现统一认证和鉴权
热门推荐
一入Java深似海
07-09 2万+
最近发现了一个很好的微服务权限解决方案,可以通过认证服务进行统一认证,然后通过网关来统一校验认证和鉴权。此方案为目前最新方案,仅支持Spring Boot 2.2.0、Spring Cloud Hoxton 以上版本,本文将详细介绍该方案的实现,希望对大家有所帮助! 前置知识 我们将采用Nacos作为注册中心,Gateway作为网关,使用nimbus-jose-jwtJWT库操作JWT令牌 应用架构 我们理想的解决方案应该是这样的,认证服务负责认证,网关负责校验认证和鉴权,其他API服务负.
SpringSecurity的权限校验详解说明(附完整代码)
qq_51076413的博客
02-19 3554
SpringSecurity安全检验、SpringSecurity权限认证、SpringSecurity权限校验、SpringSecurity自定义校验、SpringSecurity自定义校验规则、SpringSecurity异常处理器
【若依框架】登录,token,自定义session,鉴权等前后端流程解读
kouryoushine的博客
08-13 1万+
背景 之前虽然讲了login,getInfo,getRoutes的三个接口,但从设计的角度来讲,这3个接口并没有完整实现一个功能。这里重点讲解若依框架对于自定义session,token校验,权限验证三个方面的实现。这些对于自己实现一个简单的后端框架有不错的参考意义 功能说明 登录功能\login及token的生成 权限过滤校验 自定义session 前端如何配合 可以参考上一篇博客 登录及token生成 主要解决的是用户登录、生成token和session的场景 前端 用户登录页输入usernam
Spring Security基本框架之登录数据保存
大后生大大大的博客
11-12 2930
SecurityContextHolder
SpringSecurity实现登陆认证并返回token
qq_39835420的博客
09-15 3609
SpringSecurity+oauth2生成token
spring security详解
最新发布
07-27
2. 授权(Authorization):Spring Security支持基于角色和权限的授权机制。可以配置细粒度的访问控制规则,以确保只有具有合适权限的用户可以访问受保护的资源。 3. 安全性注解(Security Annotations):Spring ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值