简单且实用的spring security认证和授权(国庆day3)

最新推荐文章于 2024-07-20 08:00:00 发布
最新推荐文章于 2024-07-20 08:00:00 发布
阅读量251 收藏
点赞数
分类专栏: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44342753/article/details/108928658
版权

1 认证

Spring Security认证分为两种:表单认证(如用户名、密码),HTTP基础认证,就是把账号信息放到请求头。

1.1 认证过程

认证过程如下图,我们可以按照下图来编写认证的代码,构建Authentication是框架帮我做的,我们接着往下写代码。

在这里插入图片描述

1.2 表单认证

1.2.1 配置AuthenticationManager

public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    SysUserRepository sysUserRepository;
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(new CusotmUserDetailsService(sysUserRepository));
    }
}

1.2.2 编写UserDetailsService

UserDetailsService依赖于UserDetailsRepository,UserDetailsResposity依赖于SysUser对象。
用户的实体:

@Data
@AllArgsConstructor
@NoArgsConstructor
@Entity
public class SysUser implements UserDetails {
    @Id
    @GeneratedValue(strategy = GenerationType.IDENTITY)
    private Long id;

    private String realName;

    @Column(unique = true)
    private String username;

    private String password;

    private String role;

    public SysUser(String realName, String username, String password, String role) {
        this.realName = realName;
        this.username = username;
        this.password = password;
        this.role = role;
    }

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
      return null;
    }

    @Override
    public String getPassword() {
        return this.password;
    }

    @Override
    public String getUsername() {
        return this.username;
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return true;
    }
}

用户的Repository:

public interface SysUserRepository extends JpaRepository<SysUser, Long> {
   Optional<SysUser> findByUsername(String username);
}

UserDetailsService:

public class CusotmUserDetailsService implements UserDetailsService {

    SysUserRepository sysUserRepository;

    public CusotmUserDetailsService(SysUserRepository sysUserRepository) {
        this.sysUserRepository = sysUserRepository;
    }
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        Optional<SysUser> sysUserOptional = sysUserRepository.findByUsername(username);
        return  sysUserOptional
                .orElseThrow(() -> new UsernameNotFoundException("Username not found"));
    }

1.2.3 编写控制器测试

 @GetMapping("/")
    public String hello(){
        return "Hello Spring Security";
    }

在这里插入图片描述

1.3 HTTP基础认证

HTTP基础认证过程和表单认证过程机器相似,唯一修改的地方就是添加一个新的HTTP基础认证的AuthenticationManager。

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/everyCanAccess").permitAll()
                .and()
                .httpBasic().authenticationEntryPoint(authenticationEntryPoint());
    }

在请求头上添加账户信息,信息为Basic+用户名:密码的Base64编码
在这里插入图片描述

1.4 密码编码

在webSecurityConfig添加编码容器

  @Bean
    PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }

2 授权

授权分为两种:用户角色授权和方法授权

2.1 授权过程

认证完成之后进行授权,授权需要从数据库中查询当前认证用户所属的角色,然后根据角色的权限,判断该用户是否有权限访问资源。
在这里插入图片描述

2.2 用户授权

2.2.1 配置Web路径的安全访问

@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    SysUserRepository sysUserRepository;
/*    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(new CusotmUserDetailsService(sysUserRepository));
    }*/

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/everyCanAccess").permitAll()
                .antMatchers("/authenticatedCanAccess").authenticated()
                .antMatchers("/adminCanAccess").hasRole("ADMIN")
                .antMatchers("/userCanAccess").access("hasRole('USER') or hasRole('ADMIN')")
                .antMatchers("/threeCanAccess").access("@webSecurity.checkUsernameLenEq3(authentication)")
                .anyRequest().authenticated()
                .and()
                .httpBasic().authenticationEntryPoint(authenticationEntryPoint());
    }

    @Bean
    UserDetailsService userDetailsService(SysUserRepository sysUserRepository){
        return new CusotmUserDetailsService(sysUserRepository);
    }

    @Bean
    AuthenticationEntryPoint authenticationEntryPoint(){
        BasicAuthenticationEntryPoint authenticationEntryPoint = new BasicAuthenticationEntryPoint();
        authenticationEntryPoint.setRealmName("wisely");
        return authenticationEntryPoint;
    }

    @Bean
    PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }
}

配置属性总共包括以下几种:

  • access(String) 如果给定的SpEL表达式计算结果为true,就允许访问
  • anonymous() 允许匿名用户访问
  • authenticated() 允许认证的用户进行访问
  • denyAll() 无条件拒绝所有访问
  • fullyAuthenticated() 如果用户是完整认证的话(不是通过Remember-me功能认证的),就允许访问
  • hasAuthority(String) 如果用户具备给定权限的话就允许访问
  • hasAnyAuthority(String…)如果用户具备给定权限中的某一个的话,就允许访问
  • hasRole(String) 如果用户具备给定角色(用户组)的话,就允许访问
  • hasAnyRole(String…) 如果用户具有给定角色(用户组)中的一个的话,允许访问.
  • hasIpAddress(String 如果请求来自给定ip地址的话,就允许访问.
  • not() 对其他访问结果求反.
  • permitAll() 无条件允许访问
  • rememberMe() 如果用户是通过Remember-me功能认证的,就允许访问

2.2.2 重写SysUser

重写UserDetails的getAuthorities方法或缺的用户角色

@Data
@AllArgsConstructor
@NoArgsConstructor
@Entity
public class SysUser implements UserDetails {
    @Id
    @GeneratedValue(strategy = GenerationType.IDENTITY)
    private Long id;

    private String realName;

    @Column(unique = true)
    private String username;

    private String password;

    private String role;

    public SysUser(String realName, String username, String password, String role) {
        this.realName = realName;
        this.username = username;
        this.password = password;
        this.role = role;
    }

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        Collection<SimpleGrantedAuthority> authorities = new ArrayList<>();
        SimpleGrantedAuthority authority = new SimpleGrantedAuthority(this.role);
        authorities.add(authority);
        return authorities;
    }

    @Override
    public String getPassword() {
        return this.password;
    }

    @Override
    public String getUsername() {
        return this.username;
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return true;
    }
}

2.2.3 编写控制器

@RestController
public class IndexController {


    @GetMapping("/")
    public String hello(){
        return "Hello Spring Security";
    }

    @GetMapping("/user")
    public Map<String, Object> getUserInfo(@AuthenticationPrincipal SysUser sysUser,
                                           @CurrentSecurityContext SecurityContext securityContext,
                                           @CurrentSecurityContext(expression = "authentication") Authentication authentication ){
        SecurityContext context = SecurityContextHolder.getContext();
        Authentication auth = context.getAuthentication();
        Object principal = auth.getPrincipal();
        Object details = auth.getDetails();
        Map<String, Object> map = new HashMap<>();
        map.put("sysUser", sysUser);
        map.put("authentication", authentication);
        map.put("principal", principal);
        map.put("details", details);
        return map;
    }

    @GetMapping("/everyCanAccess")
    public String everyCanAccess(){
        return "任何用户可访问";
    }

    @GetMapping("/authenticatedCanAccess")
    public String authenticatedCanAccess(){
        return "任何登录用户可访问";
    }

    @GetMapping("/userCanAccess")
    public String userCanAccess(){
        return "角色为ROLE_USER或ROLE_ADMIN的用户都可访问";
    }

    @GetMapping("/adminCanAccess")
    public String adminCanAccess(){
        return "角色为ROLE_ADMIN用户可访问";
    }

    @GetMapping("/threeCanAccess")
    public String threeCanAccess(){
        return "只有用户名字符串长度为3的用户可以访问";
    }
}

测试:
在这里插入图片描述

2.3 方法授权

2.3.1 开启方法授权

@EnableGlobalMethodSecurity(prePostEnabled = true)

2.3.2 方法授权的不同注解

  • @PreAuthorize --适合进入方法之前验证授权
  • @PostAuthorize --检查授权方法之后才被执行
  • @PostFilter --在方法执行之后执行,而且这里可以调用方法的返回值,然后对返回值进行过滤或处理或修改并返回
  • @PreFilter --在方法执行之前执行,而且这里可以调用方法的参数,然后对参数值进行过滤或处理或修改

2.3.3 给方法授权

@RestController
public class IndexController {


    @GetMapping("/")
    public String hello(){
        return "Hello Spring Security";
    }

    @GetMapping("/user")
    public Map<String, Object> getUserInfo(@AuthenticationPrincipal SysUser sysUser,
                                           @CurrentSecurityContext SecurityContext securityContext,
                                           @CurrentSecurityContext(expression = "authentication") Authentication authentication ){
        SecurityContext context = SecurityContextHolder.getContext();
        Authentication auth = context.getAuthentication();
        Object principal = auth.getPrincipal();
        Object details = auth.getDetails();
        Map<String, Object> map = new HashMap<>();
        map.put("sysUser", sysUser);
        map.put("authentication", authentication);
        map.put("principal", principal);
        map.put("details", details);
        return map;
    }

    @GetMapping("/everyCanAccess")
    public String everyCanAccess(){
        return "任何用户可访问";
    }

    @GetMapping("/authenticatedCanAccess")
    public String authenticatedCanAccess(){
        return "任何登录用户可访问";
    }

    @GetMapping("/userCanAccess")
    public String userCanAccess(){
        return "角色为ROLE_USER或ROLE_ADMIN的用户都可访问";
    }

    @GetMapping("/adminCanAccess")
    public String adminCanAccess(){
        return "角色为ROLE_ADMIN用户可访问";
    }

    @GetMapping("/threeCanAccess")
    public String threeCanAccess(){
        return "只有用户名字符串长度为3的用户可以访问";
    }


    @GetMapping("/methodAdmin")
    @PreAuthorize("hasRole('ADMIN')")
    public String methodAdmin(){
        return "只有角色为ROLE_ADMIN的用户可访问";
    }

    @GetMapping("/methodDiffName")
    @PreAuthorize("#user.username != authentication.name")
    public String methodDiffName(@RequestBody SysUser user){
        return "传输的用户名和当前用户名不相同的可访问";
    }

    @GetMapping("/methodNameThree")
    @PreAuthorize("@webSecurity.checkUsernameLenEq3(authentication)")
    public String methodNameThree(){
        return "只有用户名字符串长度为3的用户可以访问";
    }

    @GetMapping("/methodAnotherName3")
    @PostAuthorize("returnObject.length() == 5")
    public String anotherTree(@AuthenticationPrincipal SysUser sysUser){
        return "Hi" + sysUser.getUsername();
    }

    @GetMapping("/methodFilterIn")
    @PreAuthorize("hasRole('USER')")
    @PreFilter("filterObject%2 == 0")
    public List<Integer> methodFilterIn (@RequestParam List<Integer> numbers){
        return numbers;
    }

    @GetMapping("/methodFilterOut")
    @PostFilter("hasRole('USER') and filterObject%2 == 0")
    public Integer[] methodFilterIn (){
        Integer[] numbers = {1,2,3,4,5,6,7,8,9};
        return numbers;
    }
}

在这里插入图片描述

weixin_44342753
关注
专栏目录
Springboot基于拦截器自定义权限认证讲解
weixin_49297205的博客
08-11 1670
Springboot基于自定义注解拦截器的权限控制
Spring security认证授权
11-30
在这个例子中,我们将深入探讨如何使用Spring Security进行认证授权,并结合数据库操作进行动态配置。 首先,Spring Security的核心概念包括认证Authentication)和授权Authorization)。认证是确认用户身份...
SpringBoot学习之方法安全
hxxx1314的博客
04-14 114
导入依赖 <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency>
SpringBoot实战:Spring Boot接入Security权限认证服务
最新发布
Z99263的博客
07-20 943
通过JWT为每个用户生成一个唯一且有期限的Token,用户每次请求都会重新生成过期时间,在规定的时间内,用户未进行操作Token就会过期,当用户再次请求时则会再次执行登录流程,而Token的过期时间应根据实际的业务场景规定。权限认证通过框架来实现,在用户成功登录之后,当尝试访问系统资源时(即发起接口调用),服务端会根据用户所属的角色来判断其是否具备相应的访问权限。若用户未获得该资源的访问权限,则服务端应当返回明确的权限不足提示信息,以确保系统的安全性与用户体验。登录验证和权限认证
SpringBoot之SpringSecurity权限注解在方法上进行权限认证多种方式
拱卒的博客
10-18 964
前言 Spring Security支持方法级别的权限控制。在此机制上,我们可以在任意层的任意方法上加入权限注解,加入注解的方法将自动被Spring Security保护起来,仅仅允许特定的用户访问,从而还到权限控制的目的, 当然如果现有的权限注解不满足我们也可以...
Spring Boot接入Security权限认证服务
qq_21305943的专栏
08-23 950
Security 中默认提供了强哈希加密方式 BCryptPasswordEncoder ,但也可根据需要自定义,只需实现 PasswordEncoder 类并重写相应的接口即可。其中 charSequence 为登录传入的 username 参数,matches() 形参中的 s 为数据库读取的密码值。这里因为前端工程中同样实现了 AES 数据加密,因为在每一步开始前都先进行了解密操作。
Spring Cloud Alibaba 集成 Spring Security OAuth2.0 实现认证授权
11-14
分布式系统的认证授权 分布式架构采用 Spring Cloud Alibaba 认证授权采用 Spring Security OAuth2.0 实现方法级权限控制 网关采用 gateway 中间件 服务注册和发现采用 nacos
spring security认证授权
05-14
要实现的效果: 1、用户及用户的权限保存在数据库中。 2、url及所需的权限保存在数据库中,系统加载时从数据库中获取。 https://blog.csdn.net/u014572215/article/details/80309161
Spring Security Oauth2.0认证授权专题
06-19
Spring boot+Spring Security Oauth2.0,Sprint cloud+Spring Security Oauth2集成。四种认证方式。附带有代码,和案例,案例,还有视频链接。我保证看完就回,如果视频链接失效,评论回复我,我单独再给你一份。
spring security 认证授权实现
10-14
总的来说,这个项目提供了一个现成的Spring Security认证授权框架,结合了JWT、Redis集群和MyBatis-Plus技术,使得开发者能够快速构建安全的、有权限控制的Web应用,同时省去了复杂的配置和实现步骤。然而,对于...
SpringBoot系列】最详细demo--集成JWT实现接口权限认证
wufaqidong1的博客
07-15 3370
为了实现我自己能够手动抛出异常,我自己写了一个123456789}}}
SpringBoot实现权限验证
weixin_52721608的博客
08-28 828
SpringBoot实现权限验证
SpringSecurity】第三方认证&方法级别安全
m0_73976305的博客
08-03 1880
文章目录 SpringSecurity 第三方认证 实现方法级别的安全
Spring Security方法级别授权使用介绍
weixin_30835923的博客
05-29 371
1.简介 简而言之,Spring Security支持方法级别的授权语义。 通常,我们可以通过限制哪些角色能够执行特定方法来保护我们的服务层 - 并使用专用的方法级安全测试支持对其进行测试。 在本文中,我们将首先回顾一些安全注释的使用。然后,我们将专注于使用不同的策略测试我们的方法安全性。 2.启用方法级别的安全授权配置 首先,要使用Spring Method Security,我们需要添加spr...
SpringBoot中SpringSecurity的使用
岁月平添了我的愁
01-20 197
SpringSecurity 简介: ​ Spring Security是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型,他可以实现强大的Web安全控制,对于安全控制,我们仅需要引入spring-boot-starter-security模块,进行少量的配置,即可实简介现强大的安全管理! 记住几个类: WebSecurityConfigurerAdapter:自定义Security策略 AuthenticationManagerBuilder:自定义认证
springboot 整合 security(四) 方法级别权限控制 @resource,@secured,@preAuthorize
TT_QY的博客
10-20 3215
在用户管理中,常常会有针对模块的权限控制,例如客户管理相关的功能只能管理员查看,管理员的操作权限只能给超级管理员等。更加精细的甚至涉及到某个接口,例如查询接口相对权限较宽松,增删改接口相对权限较严谨。 这个时候,就可以在用户登录后注入权限信息,再通过方法上的注解配置,来实现权限控制。 1,在我们的配置类上面加上开启权限控制的注解 里面有三种配置方式,只需开启一种就行,本文演示的是第三种,jsr250Enabled,使用区别在于方法上面的注解方式不一样。 @resource,@secured,@p
spring boot项目整合spring security权限认证
weixin_49107940的博客
07-31 963
2、项目配置文件,连接数据库 3、一个简单接口 4、测试接口能跑 2、启动,再次访问需要登录 这里的admin无法登录 4、访问测试 只拦截/r/**路径下的请求,所以login-success没问题 访问/r/r1需要登录 输入配置文件设置的用户名密码登录 再次访问,不需要登录 5、测试退出 配置文件配置了退出的路径 用户认证通过去访问系统资源时spring security进行授权控制,判断用户是否有该资源的访问权限,如果有则继续访问,如果没有则拒绝访问。张三的权限是p1 李四的
使用Spring Boot实现用户认证授权
Easonmax的博客
06-22 1134
Spring Boot是一个基于Spring框架的开源项目,旨在通过简化配置和快速开发,帮助开发者构建独立、生产级的Spring应用。Spring Boot通过自动化配置、内嵌服务器和多样化的配置方式,使得开发者能够更加专注于业务逻辑,而不需要花费大量时间在繁琐的配置上。Spring SecuritySpring框架的一个子项目,提供了全面的安全服务支持。Spring Security通过高度可扩展的安全机制,简化了用户认证授权的实现。定义用户实体类和角色实体类,并配置JPA注解。
SpringSecurity认证授权
11-02
Spring Security的架构设计中,认证(Authentication)和授权(Authorization)是分开的,无论使用什么样的认证方式,都不会影响授权,这是两个独立的存在,这种独立带来的好处之一,就是Spring Security可以非常方便地...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值