Spring Security 授权

最新推荐文章于 2024-05-22 23:03:57 发布
最新推荐文章于 2024-05-22 23:03:57 发布
阅读量1.2k 收藏 29
点赞数 39
分类专栏: Spring 文章标签: spring 后端 java spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45722666/article/details/135602999
版权

Spring Security 用户授权

        本篇文章主要学习SpringSecurity 的授权功能实现,如果对登录认证还不太清楚的小伙伴们可去观看之前的一篇文章  SpringSecurity 的登录认证,链接地址:Spring Security 登录认证-CSDN博客

 1.引言

1-1.权限的作用

        例如一个学校图书馆的管理系统,如果是普通学生登录就能看到借书还书相关的功能,不可能让他看到并且去使用添加书籍信息、删除书籍信息等功能。但是如果是一个图书馆管理员的账号登录了,应该就能看到并使用添加书籍信息,删除书籍信息等功能。

        用一句话说就是:不同的角色有不同的权限,对应着不同的功能。这就是权限要去实现的效果。​ 所以我们需要在后台进行用户权限的判断,判断当前用户是否有相应的权限,必须具有所需权限才能进行相应的操作。

1-2.授权流程

        在 SpringSecurity 中,会使用默认的 FilterSecurityInterceptor 来进行权限校验。它会从 SecurityContextHolder 获取其中的 Authentication,然后获取到其中的权限信息。所以我们在项目中只需要把当前登录用户的权限信息也存入 Authentication。然后设置我们的资源所需要的权限即可。

2.开始授权

        在 SpringSecurity 中,为我们提供了注解的权限控制方发,本篇文章也是通过注解的方式对受限资源进行权限控制。

2-1.开启授权注解功能

找到我们的 SecurityConfig 类,在类上使用 @EnableGlobalMethodSecurity 注解

2-2.限制访问路径接口权限

        开启权限注解后,我们就可以开始使用他的一些权限注解:

2-2-1.@Secured
    /*
    * @Secured :校验登录用户是否有需要的角色
    * 属性value:String[] 类型,相当于hasAnyRole
    * 注解不能自动拼接角色前缀,需要手动加上去
    * @Secured("ROLE_admin"):只能是admin角色可以访问
    * @Secured({"ROLE_admin","ROLE_user"}):admin 和 user 角色都可以访问
    * */
    //@Secured("ROLE_admin")
    @Secured({"ROLE_admin","ROLE_user"})
    @GetMapping("/test1")
    public String test1(){
        return "Hello Security (test1)";
    }

        注意:如果我们要求,只有同时拥有admin & user的用户才能方法test()方法,这时候@Secured就无能为力了。

        如果 @Secured 无效则:在 @EnableGlobalMethodSecurity 注解上加入 securedEnabled = true

        

@EnableGlobalMethodSecurity(prePostEnabled = true,securedEnabled = true)
2-2-2.@PreAuthorize
    /*
    * @PreAuthorize: 方法执行前,校验权限是否满足,方法相当于access
    * 属性value - 字符串 提供access方法动态表达式,如hasRole("ROLE_xxx") hasAuthority("xxx")
    * @PreAuthorize("hasRole('admin')"):只用拥有admin角色才可以访问
    * @PreAuthorize("hasAnyRole('admin','user')"):只要拥有 admin 和 user 其中一种角色就可以访问
    * @PreAuthorize("hasRole('admin') and hasRole('user')"):同时拥有 admin 和 user 才可以访问
    * */
    //@PreAuthorize("hasRole('admin')")
    //@PreAuthorize("hasRole('admin') and hasRole('user')")
    @PreAuthorize("hasAnyRole('admin','user')")
    @GetMapping("/test2")
    public String test2(){
        return "Hello Security (test2)";
    }

说明:该注解会在方法执行前校验权限

注意:@PreAuthorize("hasAnyRole('admin','user')"):

        这里小编使用的是 hasAnyRole 方法,这个需要在向 SecurityContextHolder 中设置权限的时候要加前缀 ROLE_ 。

        还有一个是 hasAnyAuthority 是不需要加前缀的,加了前缀也是会失效的

2-2-3.@PostAuthorize
    /*
    * @PostAuthorize: 方法执行前后,校验权限是否满足
    * 用法: 与上面 @PreAuthorize() 一致
    * */
    //@PostAuthorize("hasRole('admin')")
    //@PostAuthorize("hasRole('admin') and hasRole('user')")
    @PostAuthorize("hasAnyRole('admin','user')")
    @GetMapping("/test3")
    public String test3(){
        return "Hello Security (test3)";
    }

        说明:该注解是在方法执行后进行权限校验

2-3.自定义失败处理

        我们还希望在认证失败或者是授权失败的情况下也能和我们的接口一样返回相同结构的json,这样可以让前端能对响应进行统一的处理。

         在 SpringSecurity 中,如果我们在认证或者授权的过程中出现了异常会被ExceptionTranslationFilter 捕获到。它会去判断是 认证失败 还是 授权失败 导致出现的异常。

        认证失败:封装成 AuthenticationException 然后调用 AuthenticationEntryPoint 对象的方法去进行异常处理。

        授权失败:封装成 AccessDeniedException 然后调用 AccessDeniedHandler 对象的方法去进行异常处理。

        因此我们要自定义异常处理,我们需要定义 AuthenticationException 和 AccessDeniedException 然后将他们配置在 SpringSecurity 中即可。

2-3-1.登录异常
@Component
public class AuthenticationEntryPointImpl implements AuthenticationEntryPoint {
    
    /*
     * 认证失败 处理
     * */
    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException, ServletException {
        Map<String, Object> map = new HashMap<>();
        map.put("code",501);
        map.put("msg","登录认证失败!");

        response.setContentType("application/json;charset=UTF-8");
        String s = JSON.toJSONString(map);
        response.getWriter().println(s);
    }
}
2-3-2.授权异常
@Component
public class AccessDeniedHandlerImpl implements AccessDeniedHandler {
    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) throws IOException, ServletException {
        Map<String, Object> map = new HashMap<>();
        map.put("code",502);
        map.put("msg","权限不足!");

        response.setContentType("application/json;charset=UTF-8");
        String s = JSON.toJSONString(map);
        response.getWriter().println(s);
    }
}

2-4.修改代码

        修改代码前需要创建数据库,和代码的实体类等,这里就不过多介绍了,主要创建的表为:sys_user :用户信息表,sys_user_role :用户角色中间表,sys_role : 角色信息表,sys_role_menu : 角色菜单中间表,sys_menu :菜单表

2-4-1.SecurityConfig
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true,securedEnabled = true)//开启授权注解
public class SecurityConfig extends WebSecurityConfigurerAdapter implements WebMvcConfigurer {

    @Resource
    private AuthenticationTokenFilter authenticationTokenFilter;
    @Resource
    private AuthenticationEntryPointImpl authenticationEntryPoint;
    @Resource
    private AccessDeniedHandlerImpl accessDeniedHandler;
    
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                //关闭csrf
                .csrf().disable()
                //不通过Session获取SecurityContext
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                .and()
                //过滤请求
                .authorizeRequests()
                // 静态资源或者放行接口 允许匿名访问
                .antMatchers("/login/user_login").permitAll()
                //options 方法的请求放行
                .antMatchers(HttpMethod.OPTIONS).permitAll()
                // 除上面外的所有请求全部需要鉴权认证
                .anyRequest().authenticated();

        //把token校验过滤器添加到过滤器链中
        http.addFilterBefore(authenticationTokenFilter, UsernamePasswordAuthenticationFilter.class);

        //允许跨域(开启跨域)
        http.cors();

        //自定义异常
        http.exceptionHandling()
                .authenticationEntryPoint(authenticationEntryPoint)
                .accessDeniedHandler(accessDeniedHandler);
    }
}
2-4-2.LoginUserDetails
@Data
public class LoginUserDetails implements UserDetails {

    private String token;
    private User user;
    //存放当前登录用户的权限信息,一个用户可以有多个权限
    private List<String> permissions;
    public LoginUserDetails(User user,List<String> permissions) {
        this.user = user;
        this.permissions = permissions;
    }

    //权限集合
    @JSONField(serialize = false)
    private List<SimpleGrantedAuthority> authorities;

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        if (authorities != null) {
            return authorities;
        }

        /*
         * 把 permissions 中 String类型的权限信息封装成SimpleGrantedAuthority(转换成 GrantedAuthority 对象存入 authorities 中)
         * */
        authorities = permissions.stream().map(r -> {
            return new SimpleGrantedAuthority(r);
        }).collect(Collectors.toList());

        return authorities;
    }

    @Override
    public String getPassword() {
        return user.getPassword();
    }

    @Override
    public String getUsername() {
        return user.getLoginName();
    }

    //是否未过期
    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    //是否未锁定
    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    //凭证是否未过期
    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    //是否可用
    @Override
    public boolean isEnabled() {
        return true;
    }
}
2-4-3.UserDetailsServiceImpl
@Service
public class UserDetailsServiceImpl implements UserDetailsService {

    @Resource
    private UserMapper userMapper;
    @Resource
    private RoleMapper roleMapper;
    @Resource
    private UserRoleMapper userRoleMapper;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

        //(认证,即校验该用户是否存在)查询用户信息
        LambdaQueryWrapper<User> queryWrapper = new LambdaQueryWrapper<>();
        queryWrapper.eq(User::getLoginName,username);
        User user = userMapper.selectOne(queryWrapper);

        //如果没有查询到用户
        if (Objects.isNull(user)){
            throw new RuntimeException("用户名或者密码错误");
        }

        // (授权,即查询用户具有哪些权限)查询对应的用户信息
        //查询用户角色中间表
        LambdaQueryWrapper<UserRole> userRoleLambdaQueryWrapper = new LambdaQueryWrapper<>();
        userRoleLambdaQueryWrapper.eq(UserRole::getUserId,user.getId());
        List<UserRole> userRoles = userRoleMapper.selectList(userRoleLambdaQueryWrapper);
        //将 role_id 存入集合
        List<Integer> roleIds = userRoles.stream().map(ur -> ur.getRoleId()).collect(Collectors.toList());
        //查询 角色信息表
        LambdaQueryWrapper<Role> roleLambdaQueryWrapper = new LambdaQueryWrapper<>();
        roleLambdaQueryWrapper.in(Role::getId,roleIds);
        List<Role> roles = roleMapper.selectList(roleLambdaQueryWrapper);
        List<String> roleNames = roles.stream().map(r -> r.getName()).collect(Collectors.toList());

        return new LoginUserDetails(user,roleNames);
    }
}
2-4-5.LoginServiceImpl 中的登录方法
@Override
    public Map<String,Object> user_login(LoginVo loginVo) {
        Map<String,Object> map = new HashMap<>();

        //通过UsernamePasswordAuthenticationToken获取用户名和密码
        UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(loginVo.getLoginName(), loginVo.getLoginPwd());
        //AuthenticationManager委托机制对authenticationToken 进行用户认证
        Authentication authenticate = authenticationManager.authenticate(authenticationToken);

        //如果认证没有通过,给出对应的提示
        if (Objects.isNull(authenticate)) {
            map.put("err","用户名或密码错误");
        }

        //如果认证通过,使用user 通过 jwt 生成 token 返回token
        //拿到这个当前登录用户信息
        LoginUserDetails loginUserDetails = (LoginUserDetails) authenticate.getPrincipal();
        //获取当前用户的user
        User user = loginUserDetails.getUser();

        String token = JwtUtil.getToken(user.getId());

        //置空密码 : 我这边使用了保存明文密码,所以这边要隐藏明文密码,实际开发一般不选择保存明文密码
        user.setLoginPwd(null);

        loginUserDetails.setToken(token);

        //将完整的用户信息存入redis缓存
        redisTemplate.opsForValue().set(RedisUtils.LOGIN_USER_ID + user.getId(), loginUserDetails, RedisUtils.TOKEN_TIMES, TimeUnit.HOURS);

        map.put("code",200);
        map.put("msg","认证成功");
        map.put("token",token);

        return map;
    }

2-4-6.AuthenticationTokenFilter

@Slf4j
@Component
public class AuthenticationTokenFilter extends OncePerRequestFilter {

    @Resource
    private RedisTemplate redisTemplate;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {

        //放行登录接口
        String requestURI = request.getRequestURI();
        if (requestURI.equals("/login/user_login")){
            filterChain.doFilter(request, response);
            return;
        }

        //获取token
        String token = request.getHeader("token");
        if (token == null || token.equals("")) {
            this.return_message(response, 501, "请登录!");
            return;
        } else {
            token = token.replace("Bearer ", "");
        }

        //解析token 获取userId
        Integer userId = null;
        try {
            userId = JwtUtil.getUserId(token);
        } catch (Exception e) {
            this.return_message(response, 501, "非法登录令牌!");
            return;
        }

        //从redis中获取用户信息
        LoginUserDetails user = (LoginUserDetails) redisTemplate.opsForValue().get(RedisUtils.LOGIN_USER_ID + userId);
        if (Objects.isNull(user)) {
            this.return_message(response, 501, "未登录!");
            return;
        }

        //封装Authentication对象存入SecurityContextHolder && 获取权限信息封装到Authentication中
        UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(user, null,user.getAuthorities());
        SecurityContextHolder.getContext().setAuthentication(authenticationToken);

        //放行
        filterChain.doFilter(request, response);
    }

    /*
     * 返回信息
     * */
    public void return_message(HttpServletResponse response, Integer code, String msg) {
        Map<String,Object> map = new HashMap<>();
        map.put("code",code);
        map.put("msg",msg);
        String s = JSON.toJSONString(map);
        response.setContentType("application/json");
        response.setCharacterEncoding("UTF-8");
        PrintWriter writer = null;
        try {
            writer = response.getWriter();
        } catch (IOException e) {
            log.info("信息返回异常:{}",e);
        }
        writer.write(s);
    }

}

3.测试

4.异常信息

4-1.一直提示权限不足

        大家在测试的时候不知道有没有出现,我明明登录并且授权了,却一直提示权限不足的问题。这个问题就要给大家说一下 hasAnyRole 与 hasAnyAuthority 的区别了:

  • 首先两者的功能是一样的都是控制权限
  • hasAnyRole : 基于角色控制权限,这个是需要在吧权限放入 SecurityContextHolder 的时候要加前缀 “ROLE_” 。
  • hasAnyAuthority : 他是不需要前缀的,查询出来的权限菜单或角色等可以直接拿来使用。
4-1-1.方法一

        将 controller 层权限注解中的 hasAnyRole 换成 hasAnyAuthority ,重新运行登录即可。

4-1-2.方法二

        找到我们的 UserDetailsServiceImpl 类中的 loadUserByUsername 方法,在下面设置权限的时候加入前缀 "ROLE_"。

        注意:此时的 /test22 接口因为使用的是 hasAnyAuthority ,所以这个接口出现权限不足提示。

        本文对于授权功能的实现到此就结束了,小编仍在学习中,如有不足的地方,欢迎大家评论区留言一起学习进步。

妖妖西巷的sling
关注
  • 39
    点赞
  • 29
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity 授权详解
流楚丶格念的博客
09-18 1709
在前面讲解了认证中所有常用配置,主要是对 http.formLogin()进行操作。而在配置类中 http.authorizeRequests()主要是对 url 进行控制,也就是我们所说的授权(访问控制)。url 匹配规则 . 权限控制方法通过上面的格式可以有很多 url 匹配规则和很多权限控制方法。这些内容进行各种组合就形成了 Spring Security 中的授权。在所有匹配规则中取所有规则的交集。配置顺序影响了之后授权效果,越是具体的应该放在前面,越是笼统的应该放到后面。
Spring security认证授权
11-30
Spring security认证授权例子,自动创建数据库,在SysUser类增加字段,即可动态增加数据库对应表sys_user字段(前提是要删除原表,启动应用时才会重建表)
SpringSecurity授权
小钟不想敲代码
05-28 5407
SpringSecurity授权
3.spring security授权流程
weixin_45974277的博客
02-26 3679
Spring Security授权流程如下: 分析授权流程: 1. 拦截请求,已认证用户访问受保护的web资源将被SecurityFilterChain中的 FilterSecurityInterceptor 的子类拦截。 2. 获取资源访问策略,FilterSecurityInterceptor会从 SecurityMetadataSource 的子类 DefaultFilterInvocationSecurityMetadataSource 获取要访问当前资源所需要的权限 Collection.
SpringSecurity授权基本流程
qq_44760653的博客
04-10 1814
SpringSecurity授权基本流程
Spring Security 自定义授权服务器实践
分享技术干货和灵感、推荐新书和好玩的项目、分享Java面试题
08-18 4697
在之前我们已经对接过了GitHub、Gitee客户端,使用OAuth2 Client能够快速便捷的集成第三方登录,集成第三方登录一方面降低了企业的获客成本,同时为用户提供更为便捷的登录体验。但是随着企业的发展壮大,越来越有必要搭建自己的OAuth2服务器。OAuth2不仅包括前面的OAuth客户端,还包括了授权服务器,在这里我们要通过最小化配置搭建自己的授权服务器。授权服务器主要提供OAuth Client注册、用户认证、token分发、token验证、token刷新等功能。......
SpringSecurity授权
Littewood的博客
07-24 3305
SpringSecurity授权介绍
Spring security授权
ChatYU的博客
12-23 2870
基于角色的授权:以用户所属角色为基础进行授权,如管理员、普通用户等,通过为用户分配角色来控制其对资源的访问权限。基于资源的授权:以资源为基础进行授权,如 URL、方法等,通过定义资源所需的权限,来控制对该资源的访问权限。Spring Security 提供了多种实现授权的机制,最常用的是使用基于注解的方式,建立起访问资源和权限之间的映射关系。其中最常用的两个注解是@Secured和。@Secured注解是更早的注解,基于角色的授权比较适用,基于SpEL。
spring security认证授权流程
weixin_47618391的博客
05-27 5295
在上面的示例代码中,我们实现了UserDetails接口,并指定了用户的角色和密码等详细信息。认证和授权是任何安全体系中的两个主要功能,而在现代Web开发中,Spring Security是最受欢迎和广泛使用的安全框架之一。在本篇文章中,我们将全面介绍Spring Security的认证和授权机制,并提供详细的步骤和示例代码。认证令牌是Spring Security中的核心概念,它包含有关用户身份的信息。用户在认证成功后,Spring Security将使用保存的认证令牌来确定用户是否有权访问特定的资源。
SpringSecurity授权
weixin_51992178的博客
10-23 1213
用户登录后会根据用户的身份进行角色划分,比如登录图书馆系统,一般就有管理员和普通学生等不同角色。用户的一个操作实际上就是在访问我们提供的`接口`(编写的对应访问路径的 Servlet),比如登陆,就需要调用`/login`接口,退出登陆就要调用/`logout`接口,因此,决定用户能否使用某个功能,只需要决定用户是否能够访问对应的 Servlet。
SpringSecurity授权(访问控制)
wyy的博客
10-30 5434
一、 访问控制url匹配 在前面讲解了认证中所有常用配置,主要是对httpSecurity.formLogin()进行操作。而在配置类中httphttpSecurity.authorizeRequests()主要是对url进行控制,也就是我们所说的授权(访问控制)。httpSecurity.authorizeRequests()也支持连缀写法,可以有很多url匹配规则和很多权限控制方法。这些内容进行各种组合就形成了Spring Security中的授权。 在所有匹配规则中取所有规则的交集。配置顺序影响了之
Spring Security 控制授权的方法
08-27
本篇文章主要介绍了Spring Security 控制授权的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
spring security 认证授权实现
10-14
项目包含认证实现和jwt结合内容 项目使用redis cluster 和mybatis-plus 技术 项目包含建库脚本,一键使用,现成的认证授权框架 本项目不包含oauth2.0开放授权的内容
SpringSecurity.zip
06-08
Spring Securityspring家族一员。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转...
Spring Security Oauth2.0认证授权专题
06-19
Spring boot+Spring Security Oauth2.0,Sprint cloud+Spring Security Oauth2集成。四种认证方式。附带有代码,和案例,案例,还有视频链接。我保证看完就回,如果视频链接失效,评论回复我,我单独再给你一份。
Spring 当中存在的八大模式
weixin_61635597的博客
05-20 714
在这个最后的篇章中,我要表达我对每一位读者的感激之情。你们的关注和回复是我创作的动力源泉,我从你们身上吸取了无尽的灵感与勇气。我会将你们的鼓励留在心底,继续在其他的领域奋斗。
基于SpringBoot的网盘系统设计与实现
weixin_39735974的博客
05-20 676
随近几年互联网中的信息量呈现爆炸式增长,传统的通过移动硬盘、局域网等方式存储数据已经不能满足当前网络数据的存储要求,现有的方式数据的管理难度大,数据的存储成本高,企业开始将传统的存储方式转向云盘、网盘存储。本文针对互联网用户申请注册网盘系统用户后,可以上传和分析文档、图片、视频等文件为主要业务流程,分析了云盘系统所需要实现的功能需求,根据需求分析的结果,最终论证了开发系统的必要性。相关的技术栈进行开发,通过电脑浏览器可进行系统的访问,后端数据存储使用开源的。云盘系统具有良好的学术价值和商业前景。
SpringCloud系列(26)--OpenFeign超时控制
最新发布
m0_64284147的博客
05-22 681
OpenFeign超时控制
Spring ----> IOC
wuweixiaoyue的博客
05-20 964
loC是什么:控制(控制权)反转,是一种思想,Spring是其一种实现方式(具体表示为DI),下面讲解都以Spring为例子是什么控制权:这取决于实现方式,此处因为管理的是对象,所以控制权指的是【创建和拿出对象的控制权】控制权反转是什么意思:由【谁用谁创建,自给自足】,变为【由Spring帮我们统一创建】此处是BookController需要BookService对象,所以他自己创建了。
spring security授权
09-10
Spring Security提供了一种灵活的授权机制,可以让开发者定义哪些用户可以访问应用程序的特定资源。...这只是Spring Security授权的基本概念和使用方法,你可以根据实际需求进行更详细的配置和自定义。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值