使用springSecurity进行权限管理

最新推荐文章于 2024-03-13 18:25:11 发布
最新推荐文章于 2024-03-13 18:25:11 发布
阅读量191 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44203609/article/details/119453155
版权

1、加入所需要的依赖

   <!-- SpringSecurity 对 Web 应用进行权限管理 -->
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-web</artifactId>
            <version>4.2.10.RELEASE</version>
        </dependency>
        <!-- SpringSecurity 配置 -->
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-config</artifactId>
            <version>4.2.10.RELEASE</version>
        </dependency> <!-- SpringSecurity 标签库 -->
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-taglibs</artifactId>
            <version>4.2.10.RELEASE</version>
        </dependency>
    </dependencies>

2、在xml中加入 SpringSecurity 控制权限的 Filter

<filter>
    <filter-name>springSecurityFilterChain</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
  </filter>
  <filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

3.在资源文件里加入springSecurity提供加密所需要的资源

<!-- 配置 BCryptPasswordEncoder 的 bean -->
	<bean id="passwordEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder"/>

4、创建配置类

// 表示当前类是一个配置类
@Configuration

// 启用Web环境下权限控制功能
@EnableWebSecurity

// 启用全局方法权限控制功能,并且设置prePostEnabled = true。保证@PreAuthority、@PostAuthority、@PreFilter、@PostFilter生效
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class WebAppSecurityConfig extends WebSecurityConfigurerAdapter {
	
	@Autowired
	private UserDetailsService userDetailsService;

	
	@Autowired
	private BCryptPasswordEncoder passwordEncoder;
	
	@Override
	protected void configure(AuthenticationManagerBuilder builder) throws Exception {
		
		// 临时使用内存版登录的模式测试代码
		// builder.inMemoryAuthentication().withUser("tom").password("123123").roles("ADMIN");
		
		// 正式功能中使用基于数据库的认证
		builder
			.userDetailsService(userDetailsService)
			.passwordEncoder(passwordEncoder);//加密
		
	}
	
	@Override
	protected void configure(HttpSecurity security) throws Exception {
		
		security
			.authorizeRequests()	// 对请求进行授权
			.antMatchers("/admin/to/login/page.html")	// 针对登录页进行设置
			.permitAll()			// 无条件访问
			.antMatchers("/bootstrap/**")	// 针对静态资源进行设置,无条件访问
			.permitAll()                    // 针对静态资源进行设置,无条件访问
			.antMatchers("/crowd/**")       // 针对静态资源进行设置,无条件访问
			.permitAll()                    // 针对静态资源进行设置,无条件访问
			.antMatchers("/css/**")         // 针对静态资源进行设置,无条件访问
			.permitAll()                    // 针对静态资源进行设置,无条件访问
			.antMatchers("/fonts/**")       // 针对静态资源进行设置,无条件访问
			.permitAll()                    // 针对静态资源进行设置,无条件访问
			.antMatchers("/img/**")         // 针对静态资源进行设置,无条件访问
			.permitAll()                    // 针对静态资源进行设置,无条件访问
			.antMatchers("/jquery/**")      // 针对静态资源进行设置,无条件访问
			.permitAll()                    // 针对静态资源进行设置,无条件访问
			.antMatchers("/layer/**")       // 针对静态资源进行设置,无条件访问
			.permitAll()                    // 针对静态资源进行设置,无条件访问
			.antMatchers("/script/**")      // 针对静态资源进行设置,无条件访问
			.permitAll()                    // 针对静态资源进行设置,无条件访问
			.antMatchers("/ztree/**")       // 针对静态资源进行设置,无条件访问
			.permitAll()
			.antMatchers("/admin/get/page.html")	// 针对分页显示Admin数据设定访问控制
			// .hasRole("经理")					// 要求具备经理角色
			.access("hasRole('经理') OR hasAuthority('user:get')")	// 要求具备“经理”角色和“user:get”权限二者之一
			.anyRequest()					// 其他任意请求
			.authenticated()				// 认证后访问
			.and()
			.exceptionHandling()
			.accessDeniedHandler(new AccessDeniedHandler() {
				
				@Override
				public void handle(HttpServletRequest request, HttpServletResponse response,
						AccessDeniedException accessDeniedException) throws IOException, ServletException {
					request.setAttribute("exception", new Exception("你没有权限访问"));
					request.getRequestDispatcher("/WEB-INF/system-error.jsp").forward(request, response);
				}
			})
			.and()
			.csrf()							// 防跨站请求伪造功能
			.disable()						// 禁用
			.formLogin()					// 开启表单登录的功能
			.loginPage("/admin/to/login/page.html")	// 指定登录页面
			.loginProcessingUrl("/security/do/login.html")	// 指定处理登录请求的地址
			.defaultSuccessUrl("/admin/to/main/page.html")	// 指定登录成功后前往的地址
			.usernameParameter("loginAcct")	// 账号的请求参数名称
			.passwordParameter("userPswd")	// 密码的请求参数名称
			.and()
			.logout()						// 开启退出登录功能
			.logoutUrl("/seucrity/do/logout.html")			// 指定退出登录地址
			.logoutSuccessUrl("/admin/to/login/page.html")	// 指定退出成功以后前往的地址
			;
		
	}

}

5、使用自定义 UserDetailsService 完成登录

@Component
public class MyUserDetailsService implements UserDetailsService {
	
 @Autowired
    private AdminService adminService;

	// 总目标:根据表单提交的用户名查询User对象,并装配角色、权限等信息
	@Override
	public UserDetails loadUserByUsername(
			
			// 表单提交的用户名
			String username
			
		) throws UsernameNotFoundException {
		
		
		
		Admin admin = adminService.selectByName(username);
		
		// 2.给Admin设置角色权限信息
		List<GrantedAuthority> authorities = new ArrayList<>();
        //角色名字,开发中是在数据库里查询得到,只是为了练习这里的名字和权限是自己写的,不是从数据库查的
		
		authorities.add(new SimpleGrantedAuthority("ROLE_ADMIN"));
       //具有的权限
		authorities.add(new SimpleGrantedAuthority("UPDATE"));
		
		// 3.把admin对象和authorities封装到UserDetails中
		
		String userpswd = admin.getUserpswd();
		
		return new User(username, userpswd, authorities);
	}

}

6、常用注解

//角色为部长才可以查看分页
@PreAuthorize("hasRole('部长')")
	// @ResponseBody
	@RequestMapping("/role/get/page/info.json")
	public ResultEntity<PageInfo<Role>> getPageInfo(){}


//用户具有save权限才有使用保存用户的权限
@PreAuthorize("hasAuthority('user:save')")
    @RequestMapping("/admin/save.html")
    public String add(Admin admin) {

坚持001
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Security 中的四种权限控制方式
2401_84048542的博客
04-04 818
Spring Security 支持在 URL 和方法权限控制时使用 SpEL 表达式,如果表达式返回值为 true 则表示需要对应的权限,否则表示不需要对应的权限。可以看到,SecurityExpressionRoot 有两个实现类,表示在应对 URL 权限控制和应对方法权限控制时,分别对 SpEL 所做的拓展,例如在基于 URL 路径做权限控制时,增加了 hasIpAddress 选项。| authentication | 从 SecurityContext 中提取出来的用户对象 |
【第七篇】SpringSecurity中的权限管理
m0_67403272的博客
05-15 3471
SpringSecurity中的权限管理 SpringSecurity是一个权限管理框架,核心是认证和授权,前面已经系统的给大家介绍过了认证的实现和源码分析,本文重点来介绍下权限管理这块的原理。 一、权限管理实现 服务端的各种资源要被SpringSecurity权限管理控制我们可以通过注解和标签两种方式来处理。 放开了相关的注解后我们在Controller中就可以使用相关的注解来控制了 /** * JSR250 */ @Controller @RequestMapping("/user") pu.
SpringSecurity权限管理基本概念和整体架构介绍
写写平时的技术与感想
05-23 3288
Spring Security是⼀个功能强⼤、可⾼度定制的身份验证和访问控制框架。它是保护基于Spring的应⽤程序的事实标准。Spring Security是⼀个⾯向Java应⽤程序提供身份验证和安全性的框架。与所有Spring项⽬⼀样,Spring Security的真正威⼒在于它可以轻松地扩展以满⾜定制需求。是⼀个功能强⼤、可⾼度定制的身份验证和访问控制的框架。或者说⽤来实现系统中权限管理的框架。
SpringSecurity(一):权限管理设计与实现(官文英解+源码调试+基本环境搭建)
左灯右行的爱情
06-18 1023
加油
springsecurity权限管理
lanlan112233的博客
03-23 234
是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在 Spring 应用上下文中配置的 Bean,充分利用了 Spring IoC(Inversion of Control 控制反转),DI(Dependency Injection 依赖注入)和 AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
Spring security实现权限管理示例
08-31
在本文中,我们将深入探讨如何使用Spring Security实现权限管理Spring Security是一个强大的、高度可定制的身份验证和访问控制框架,适用于Java应用程序。通过它,我们可以对用户访问资源进行精细控制,确保只有...
Spring security实现登陆和权限角色控制
09-09
在这个场景中,我们将探讨如何使用Spring Security实现登录和权限角色控制。首先,确保你正在使用Spring版本为4.3.2.RELEASE,而Spring Security版本是4.1.2.RELEASE。在开始之前,你需要对Spring MVC、SPeL...
基于Spring Security的细粒度权限管理系统设计源码
03-28
这是一个基于Spring Security框架的细粒度权限管理系统,使用Java语言开发,同时包含JavaScript、CSS、HTML等多种编程语言。该项目共包含2447个文件,其中主要文件类型包括JavaScript、PNG图片、CSS、HTML、JAR包、...
springboot springsecurity动态权限控制
09-18
springboot springsecurity动态权限控制,实现数据库动态管理菜单权限
spring security 登录、权限管理配置
08-13
5)匹配用户拥有权限和请求权限(MyAccessDecisionManager:decide),如果用户没有相应的权限, 执行第6步,否则执行第7步。 6)登录 7)验证并授权(MyUserDetailServiceImpl:loadUserByUsername) 内附完整数据库
SpringSecuritySpringBoot2.X版本实现
学习总结
03-13 1120
Spring Security 是一个功能强大且灵活的身份验证和访问控制框架,用于保护基于 Java 的企业应用程序。它提供了全面的安全解决方案,包括身份认证、授权、攻击防范、会话管理等功能,可以帮助开发者构建安全可靠的应用程序。身份认证(Authentication):Spring Security 支持多种身份认证方式,包括基于表单、HTTP 基本认证、HTTP Digest 认证、OpenID、OAuth 等。开发者可以根据应用程序的需求选择合适的认证方式。授权(Authorization)
SpringSecurity权限管理
weixin_73412838的博客
01-07 1093
这个拓展点是整个SpringSecurity的核心部分;在实际开发过程中,最常规的方式是通过覆盖WebSecurityConfigurerAdapter中的protected void configure(HttpSecurity http)方法;通过Http来配置自定义的拦截规则,包含访问控制、界面及逻辑、退出页面及逻辑等;自定义登录http.loginPage()方法配置登录页,http.loginProcesingUrl()方法定制登录逻辑;
Spring Security 权限控制
m0_48922996的博客
07-16 8405
项目版本BootSecurity官网文档在前面的文章中,所有的接口只需要登录就能访问。并没有对每个接口进行权限限制。在正式的系统中,一个用户会拥有一个或者多个角色,而不同的角色会拥有不同的接口权限。如果要实现这些功能,需要重写中的。HttpSecurity用于构建一个安全过滤器链SecurityFilterChain,可以通过它来进行自定义安全访问策略。@Bean}@Override.and()}@Overridehttp.authorizeRequests()//开启配置。...
spring security 4.1添加验证码和动态权限管理
学无止境 -- homer.zhang
07-21 2792
本来想一步一步逐步深入的,可惜突然有了其他的事情,只能把一些高级功能一次性演示出来添加验证码的方式在网上有很多相关的文章,我这里采用的方式是替换标准过滤器链里的UsernamePasswordAuthenticationFilter,验证码的产生方式不是这里要讨论的核心内容,所以直接用代码模拟在session里产生了一个验证码,动态权限来替代xml配置的权限,是在FILTER_SECURITY_IN
SpringSecurity(二)- SpringSecurity Web权限方案
及时当勉励,岁月不待人
09-22 808
SpringSecurity(二)- SpringSecurity Web权限方案
SpringBoot中使用Spring Security实现权限控制
飞上云端看彩虹
02-05 6872
以前在Spring框架中使用Spring Security需要我们进行大量的XML配置,但是,Spring Boot在这里依然有惊喜带给我们,我们今天就一起来看看。  毫无疑问,Spring Boot针对Spring Security也提供了自动配置的功能,这些默认的自动配置极大的简化了我们的开发工作,我们今天就来看看这个吧。 创建Project并添加相关依赖   配置applicat...
Spring Security对用户权限进行管理
theVicTory的博客
11-03 2381
基于角色的访问控制 隐式访问控制:根据用户的角色判断是否具有某项操作 显示访问控制:为用户分配某种权限,根据权限判断是否可以进行某种操作。与具体角色无关,权限控制更加灵活 认证( authentication ):是建立主体( principal) 的过程。"主体"不仅指用户,还可以是其他执行操作的系统或设备。 授权(authorization ):或称为"访问控制(access-control), 是指决定是否允许主体在应用程序中执行操作 Spring SecuritySpring中常用的安全服务框架,
使用Spring Security进行权限管理有什么优点吗
最新发布
04-17
使用Spring Security进行权限管理有以下几个优点: 1. 安全性高:Spring Security提供了一套完善的安全框架,可以轻松地实现身份认证和授权功能,保护应用程序免受各种安全威胁。 2. 灵活性强:Spring Security提供了丰富的配置选项和扩展点,可以根据具体需求进行灵活的定制和扩展,满足不同场景下的权限管理需求。 3. 集成方便:Spring SecuritySpring框架紧密集成,可以无缝地与其他Spring组件(如Spring MVC、Spring Boot等)进行集成,简化了权限管理的集成过程。 4. 支持多种认证方式:Spring Security支持多种认证方式,包括基于表单、基于HTTP Basic/Digest、基于OAuth等,可以根据实际情况选择合适的认证方式。 5. 提供细粒度的授权控制:Spring Security支持基于角色和权限的授权控制,可以对每个用户或用户组进行细粒度的权限控制,确保只有具备相应权限的用户才能访问受保护的资源。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值