11.springsecurity权限管理

已于 2022-02-24 10:25:27 修改
阅读量3.3k 收藏
点赞数 1
分类专栏: blog 文章标签: 安全 java web安全
于 2022-01-28 18:40:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45974277/article/details/122733734
版权

登录认证

1.首先开启登录认证,对static下的静态资源css、js、img、plugins全部放行

2.但是访问/admin/**下资源的需要开启实时的权限认证,会调用authService下的auth函数

3.antMatchers("/pages/**").authenticated()代表对pages下的资源,如果已经通过了权限认证,就可以访问

SecurityConfig:
package com.example.admin.config;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.builders.WebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;


@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    //使用BCrypt加密策略
    @Bean
    public BCryptPasswordEncoder bCryptPasswordEncoder() {
        return new BCryptPasswordEncoder();
    }

    public static void main(String[] args)
    {
        //加密策略 MD5 不安全 彩虹表  MD5 加盐
        String mszlu = new BCryptPasswordEncoder().encode("mszlu");
    }

    @Override
    public void configure(WebSecurity web) throws Exception
    {
        super.configure(web);
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception
    {
        //开启登录认证
        http.authorizeRequests()
                .antMatchers("/css/**").permitAll()
                .antMatchers("/img/**").permitAll()
                .antMatchers("/js/**").permitAll()
                .antMatchers("/plugins/**").permitAll()

                .antMatchers("/admin/**").access("@authService.auth(request,authentication)") //自定义service实现实时的权限认证
                .antMatchers("/pages/**").authenticated();

        //没有权限,会自动跳到登陆页,需要开启登录的页面
        http.formLogin()
                .loginPage("/login.html") //自定义的登录页面
                .loginProcessingUrl("/login") //登录处理接口
                .usernameParameter("username") //定义登录时的用户名的key 默认为username
                .passwordParameter("password") //定义登录时的密码key,默认是password

                .defaultSuccessUrl("/pages/main.html") //登录成功跳转的页面
                .failureUrl("/login.html") //登录失败跳转的页面
                .permitAll(); //和登录表单相关的接口/login通过

        //退出登录配置
        http.logout()
                .logoutUrl("/logout") //退出登录接口
                .logoutSuccessUrl("/login.html") //退出登录成功跳转的页面
                .permitAll(); //退出登录的接口放行

        http.httpBasic()
            .and()
            .csrf().disable() //csrf关闭 如果自定义登录 需要关闭
            .headers().frameOptions().sameOrigin();//支持iframe嵌套
    }
}

SecurityUserService:

登录的时候,会把username传递到这里

通过username查询admin,如果存在,将密码告诉springSecurity

如果不存在 返回Null,代表认证失败

package com.example.admin.service;

import com.example.admin.pojo.Admin;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;
import java.util.ArrayList;

@Service
public class SecurityUserService implements UserDetailsService
{
    @Autowired
    private AdminService adminService;
    //登录的时候,会把username传递到这里
    //通过username查询admin,如果存在,将密码告诉springSecurity
    //如果不存在 返回Null,代表认证失败
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException
    {
        Admin admin = adminService.findAdminByUsername(username);
        if(admin == null)
        {
            //登录失败
            return null;
        }
        UserDetails userDetails = new User(username,admin.getPassword(),new ArrayList<>());
        return userDetails;
    }
}

AuthService:
自定义service 来去实现实时的权限认证
package com.example.admin.service;
import com.example.admin.pojo.Admin;
import com.example.admin.pojo.Permission;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.stereotype.Service;
import org.thymeleaf.util.StringUtils;

import javax.servlet.http.HttpServletRequest;
import java.util.List;
//自定义service 来去实现实时的权限认证
@Service
public class AuthService
{
    @Autowired
    private AdminService adminService;

    //权限认证
    public boolean auth(HttpServletRequest request, Authentication authentication)
    {
        //请求路径
        String requestURI = request.getRequestURI();
        //匿名用户
        Object principal = authentication.getPrincipal();
        if(principal == null || "anonymousUser".equals(principal))
        {
            //未登录
            return false;
        }
        UserDetails userDetails = (UserDetails) principal;
        String username = userDetails.getUsername();
        Admin admin = adminService.findAdminByUsername(username);
        if(admin == null)
        {
            return false;
        }
        //最高权限者
        if(admin.getId() == 1)
        {
            return true;
        }
        Long id = admin.getId();
        List<Permission> permissionList = adminService.findPermissionByAdminId(id);

        //requestURI可能有?后面的参数传参,所以要分割一下
        requestURI = StringUtils.split(requestURI, "?")[0];
        for (Permission permission : permissionList)
        {
            //判断该用户有没有这个请求路径的权限
            if(requestURI.equals(permission.getPath()))
            {
                return true;
            }
        }
        return false;
    }
}

苏七qaq
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring security实现权限管理示例
08-31
总结来说,Spring Security提供了一套完整的解决方案,涵盖了用户认证、授权、会话管理等多个方面,是Java应用实现权限管理的理想选择。通过配置和编程接口,我们可以灵活地控制用户对系统资源的访问,从而保护应用...
3.springSecurity源码分析1
08-03
2. FilterChainProxy:SpringSecurity的核心组件,负责管理一系列过滤器(Filter)的执行顺序。在doFilter方法中,它会根据请求信息决定执行哪些过滤器,从而实现权限控制、认证、授权等功能。当...
spring security 用户授权/访问控制
swadian2008的博客
09-12 1782
授权的方式包括 web 授权和方法授权,web授权是通过 url 拦截进行授权,方法授权是通过方法拦截进行授权。他们都会调用 accessDecisionManager 进行授权决策,若为web授权则拦截器为FilterSecurityInterceptor;若为方法授权则拦截器为MethodSecurityInterceptor。如果同时通过web 授权和方法授权则先执行web授权,再执行方法授权,最后决策通过,则允许访问资源,否则将禁止访问。
Spring Security 访问控制的方式
qq_44131750的博客
04-17 1041
授权管理 anyRequest 看名字就知道,这个表示所有的请求。但是这个 anyRequest 有个坑点,不能配置 anyRequest 在 antMatchers 前面,一般这个 anyRequest 是放在放行规则的最后面 http // 验证策略 .authorizeRequests() // 放行登录 .antMatchers(HttpMethod.POST, "/doLogin").permitAll() .antM
(避坑)SpringSecurity关于使用.antMatchers放行接口不生效问题
最新发布
Sinder小德的博客
05-26 658
当你在yml文件中配置了ContextPath的时候,security中的放行接口就不用加上contextPath路径;
浅谈Spring Security 对于静态资源的拦截与放行
08-25
主要介绍了浅谈Spring Security 对于静态资源的拦截与放行,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Spring Security 对于静态资源放行
qq_43578141的博客
10-29 1107
Spring Security静态资源被拦截导致的前台报错
SpringSecurity静态资源放行,登陆页面配置,权限访问控制,自定义403
hd_cash的博客
05-13 9888
1:静态资源和无需权限页面放行 如果是static下的静态资源或者无需验证身份即可访问的页面,可以通过在SpringSecurity的配置类中配置放行: @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() //无需认证的为static下的静态资源,以及/index请求 .antMa
开启SpringMVC静态资源访问权限
冰点契约的博客
03-16 751
解决静态资源访问问题 在通常情况下我们会在web.xml中对DispatcherServlet进行配置,访问路径为/,表示缺省,servlet会对请求路径进行匹配查找对应的controller, 在没有配置静态资源访问的情况下,会被DispatcherServlet作为进行路径匹配调用Controller,如果未匹配成功,则返回404 开放资源访问权限 <mvc:resources mapping="/js/**" location="/js/"/> mapping:url路径 loc
Spring Boot+Spring Security访问静态资源(static)
毛毛的博客
02-28 647
因为Spring Boot自动配置了一些静态资源处理规则,所以可以不需要在配置addResourceHandlers。访问路径: 本地:http://localhost:ip/文件名+文件名后缀,服务器:域名/文件名+文件名后缀。访问的是src/main/resources/static/文件+文件名后缀。Spring Boot自动配置的静态资源规则和下面效果一样,所以不用配置。
话说Spring Security权限管理(源码详解)
08-31
权限管理Spring Security的核心功能之一,它确保只有具有相应权限的用户才能访问特定的资源或执行特定的操作。在Spring Security中,权限管理的实现涉及到多个组件,如`AccessDecisionManager`、`...
spring security自定义决策管理器
08-29
Spring Security 中,决策管理器是指 AccessDecisionManager 接口的实现类,它们负责对用户的访问请求进行授权判断。决策管理器可以根据不同的授权策略来确定用户是否有权限访问某个资源。 自定义决策管理器的...
基于Spring Security的细粒度权限管理系统设计源码
03-28
这是一个基于Spring Security框架的细粒度权限管理系统,使用Java语言开发,同时包含JavaScript、CSS、HTML等多种编程语言。该项目共包含2447个文件,其中主要文件类型包括JavaScript、PNG图片、CSS、HTML、JAR包、...
SpringBoot在使用Security和JWT时,应当怎么放行图片等静态资源#访问静态资源#静态资源放行#报错401
jingjiaohuan的博客
11-05 3369
springboot的文件上传总结,仅供学习
SpringSecuritySpringSecurity版本5.7.4静态资源放行失败解决,SpringBoot版本2.7.5
nifengdeshuye的博客
11-21 5258
Spring Security静态资源访问被拦截,无法实现。static目录无法访问,但其它的目录可以访问,或者配置SpringMVC的静态资源映射,映射到static目录。
Springboot+SpringSecurity权限控制学习笔记(四)静态权限的配置
weixin_42200841的博客
11-19 807
接上篇Springboot+SpringSecurity权限控制学习笔记(三) 静态权限的配置 上篇中的配置,不登录的情况下,我们能访问login和login.html两个url,登录后可以访问home users roles menus others等所有资源。 如果要控制用账号user登录只能访问home users roles,用admin账号可以访问所有资源。在WebSecurityConfig配置类添加几行配置 package com.xb.rbac.auth; import org.sprin
【第七篇】SpringSecurity中的权限管理
波波烤鸭的博客
05-07 2052
SpringSecurity中的权限管理   SpringSecurity是一个权限管理框架,核心是认证和授权,前面已经系统的给大家介绍过了认证的实现和源码分析,本文重点来介绍下权限管理这块的原理。 一、权限管理的实现   服务端的各种资源要被SpringSecurity权限管理控制我们可以通过注解和标签两种方式来处理。 放开了相关的注解后我们在Controller中就可以使用相关的注解来控制了 /** * JSR250 */ @Controller @RequestMapping("/user".
springsecurity忽视拦截静态资源
m0_67401270的博客
04-27 990
springsecurity项目中,引入了css和js后,发现,都被拦截了。 然后去百度,发现好多博客都是相互抄袭的,,神tm都没说清楚。。我,心态崩了 要么就是根本不起作用,要么就是404错误。 最后的解决方法是。 在static中再新建一个目录。把所有的静态资源放在这个新建的目录中,再去对这个新建的目录做拦截忽视。 结果成功了。 ...
SpringSecurity的简单入手
weixin_49390750的博客
06-16 1805
SpringSecurity的简单入手
Spring Security权限管理实战教程
"Spring securityJava应用中广泛使用的安全框架,用于实现高级的权限管理和认证机制。本示例将深入探讨如何使用Spring security来构建一个权限管理系统。" 在Spring security实现权限管理的过程中,主要包括以下...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值