security.springboot之授权

最新推荐文章于 2024-05-17 13:52:50 发布
最新推荐文章于 2024-05-17 13:52:50 发布
阅读量862 收藏 24
点赞数 18
文章标签: spring boot 数据库 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53535434/article/details/135776436
版权
授权的方式包括 web 授权和方法授权, web 授权是通过 url 拦截进行授权,方法授权是通过 方法拦截进行授权。他 们都会调用accessDecisionManager 进行授权决策,若为 web 授权则拦截器为 FilterSecurityInterceptor ;若为方法授权则拦截器为MethodSecurityInterceptor 。如果同时通过 web 授权和方法授权则先执行 web 授权,再执行方 法授权,最后决策通过,则允许访问资源,否则将禁止访问

数据库环境

t_user 数据库创建如下表:
角色表: 
CREATE TABLE `t_role` (
`id` varchar(32) NOT NULL,
`role_name` varchar(255) DEFAULT NULL,
`description` varchar(255) DEFAULT NULL,
`create_time` datetime DEFAULT NULL,
`update_time` datetime DEFAULT NULL,
`status` char(1) NOT NULL,
PRIMARY KEY (`id`),
UNIQUE KEY `unique_role_name` (`role_name`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8
insert into `t_role`(`id`,`role_name`,`description`,`create_time`,`update_time`,`status`) values
('1','管理员',NULL,NULL,NULL,'');
用户角色关系表: 
CREATE TABLE `t_user_role` (
`user_id` varchar(32) NOT NULL,
`role_id` varchar(32) NOT NULL,
`create_time` datetime DEFAULT NULL,
`creator` varchar(255) DEFAULT NULL,
PRIMARY KEY (`user_id`,`role_id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8
insert into `t_user_role`(`user_id`,`role_id`,`create_time`,`creator`) values
('1','1',NULL,NULL);
权限表: 
CREATE TABLE `t_permission` (
`id` varchar(32) NOT NULL,
`code` varchar(32) NOT NULL COMMENT '权限标识符',
`description` varchar(64) DEFAULT NULL COMMENT '描述',
`url` varchar(128) DEFAULT NULL COMMENT '请求地址',
PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8
insert into `t_permission`(`id`,`code`,`description`,`url`) values ('1','p1','测试资源
1','/r/r1'),('2','p3','测试资源2','/r/r2');
角色权限关系表: 
CREATE TABLE `t_role_permission` (
`role_id` varchar(32) NOT NULL,
`permission_id` varchar(32) NOT NULL,
PRIMARY KEY (`role_id`,`permission_id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8
insert into `t_role_permission`(`role_id`,`permission_id`) values ('1','1'),('1','2');

修改UserDetailService

package com.itheima.security.springboot.dao;

import com.itheima.security.springboot.model.PermissionDto;
import com.itheima.security.springboot.model.UserDto;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.jdbc.core.BeanPropertyRowMapper;
import org.springframework.jdbc.core.JdbcTemplate;
import org.springframework.stereotype.Repository;

import java.util.ArrayList;
import java.util.List;

/**
 * @author Administrator
 * @version 1.0
 **/
@Repository
public class UserDao {

    @Autowired
    JdbcTemplate jdbcTemplate;

    //根据账号查询用户信息
    public UserDto getUserByUsername(String username){
        String sql = "select id,username,password,fullname,mobile from t_user where username = ?";
        //连接数据库查询用户
        List<UserDto> list = jdbcTemplate.query(sql, new Object[]{username}, new BeanPropertyRowMapper<>(UserDto.class));
        if(list !=null && list.size()==1){
            return list.get(0);
        }
        return null;
    }

    //根据用户id查询用户权限
    public List<String> findPermissionsByUserId(String userId){
        String sql = "SELECT * FROM t_permission WHERE id IN(\n" +
                "\n" +
                "SELECT permission_id FROM t_role_permission WHERE role_id IN(\n" +
                "  SELECT role_id FROM t_user_role WHERE user_id = ? \n" +
                ")\n" +
                ")\n";

        List<PermissionDto> list = jdbcTemplate.query(sql, new Object[]{userId}, new BeanPropertyRowMapper<>(PermissionDto.class));
        List<String> permissions = new ArrayList<>();
        list.forEach(c -> permissions.add(c.getCode()));
        return permissions;
    }
}

修改UserDetailService

package com.itheima.security.springboot.service;

import com.itheima.security.springboot.dao.UserDao;
import com.itheima.security.springboot.model.UserDto;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;

import java.util.List;

/**
 * @author Administrator
 * @version 1.0
 **/
@Service
public class SpringDataUserDetailsService implements UserDetailsService {

    @Autowired
    UserDao userDao;

    //根据 账号查询用户信息
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

        //将来连接数据库根据账号查询用户信息
        UserDto userDto = userDao.getUserByUsername(username);
        if(userDto == null){
            //如果用户查不到,返回null,由provider来抛出异常
            return null;
        }
        //根据用户的id查询用户的权限
        List<String> permissions = userDao.findPermissionsByUserId(userDto.getId());
        //将permissions转成数组
        String[] permissionArray = new String[permissions.size()];
        permissions.toArray(permissionArray);
        UserDetails userDetails = User.withUsername(userDto.getUsername()).password(userDto.getPassword()).authorities(permissionArray).build();
        return userDetails;
    }
}

Web授权

在上面例子中我们完成了认证拦截,并对 /r/** 下的某些资源进行简单的授权保护,但是我们想进行灵活的授权控
制该怎么做呢?通过给 http.authorizeRequests() 添加多个子节点来定制需求到我们的 URL ,如下代码: 
@Override
protected void configure(HttpSecurity http) throws Exception {
http
    .authorizeRequests() (1)
    .antMatchers("/r/r1").hasAuthority("p1") (2)
    .antMatchers("/r/r2").hasAuthority("p2") (3)
    .antMatchers("/r/r3").access("hasAuthority('p1') and hasAuthority('p2')") (4)
    .antMatchers("/r/**").authenticated() (5)
    .anyRequest().permitAll() (6)
    .and()
    .formLogin()
    // ...
}
1 http.authorizeRequests() 方法有多个子节点,每个 macher 按照他们的声明顺序执行。
2 )指定 "/r/r1"URL ,拥有 p1 权限能够访问
3 )指定 "/r/r2"URL ,拥有 p2 权限能够访问
4 )指定了 "/r/r3"URL ,同时拥有 p1 p2 权限才能够访问
5 )指定了除了 r1 r2 r3 之外 "/r/**" 资源,同时通过身份认证就能够访问,这里使用 SpEL Spring Expression Language)表达式。。
6 )剩余的尚未匹配的资源,不做保护。
注意
规则的顺序是重要的 , 更具体的规则应该先写 . 现在以 / admin 开始的所有内容都需要具有 ADMIN 角色的身份验证用 户, 即使是 / admin / login 路径 ( 因为 / admin / login 已经被 / admin / ** 规则匹配 , 因此第二个规则被忽略 ).
(错误的写法)
.antMatchers("/admin/**").hasRole("ADMIN")
.antMatchers("/admin/login").permitAll()
因此 , 登录页面的规则应该在 / admin / ** 规则之前 . 例如 .
(正确的)
.antMatchers("/admin/login").permitAll()
.antMatchers("/admin/**").hasRole("ADMIN")
保护 URL 常用的方法有:
authenticated() 保护 URL ,需要用户登录
permitAll() 指定 URL 无需保护,一般应用与静态资源文件
hasRole(String role) 限制单个角色访问,角色将被增加 “ROLE_” . 所以 ”ADMIN” 将和 “ROLE_ADMIN” 进行比较 .
hasAuthority(String authority) 限制单个权限访问
hasAnyRole(String… roles) 允许多个角色访问 .
hasAnyAuthority(String… authorities) 允许多个权限访问 .
access(String attribute) 该方法使用 SpEL 表达式 , 所以可以创建复杂的限制 .
hasIpAddress(String ipaddressExpression) 限制 IP 地址或子网

方法授权

现在我们已经掌握了使用如何使用 http.authorizeRequests() web 资源进行授权保护,从 Spring Security2.0
本开始,它支持服务层方法的安全性的支持。本节学习 @PreAuthorize,@PostAuthorize, @Secured 三类注解。
我们可以在任何 @Configuration 实例上使用 @EnableGlobalMethodSecurity 注释来启用基于注解的安全性。

以下内容将启用Spring Security@Secured 注释

例如:
@EnableGlobalMethodSecurity(securedEnabled = true)
public class MethodSecurityConfig {// ...}
然后向方法(在类或接口上)添加注解就会限制对该方法的访问。 Spring Security 的原生注释支持为该方法定义了 一组属性。 这些将被传递给AccessDecisionManager 以供它作出实际的决定: 
public interface BankService {
    @Secured("IS_AUTHENTICATED_ANONYMOUSLY")
    public Account readAccount(Long id);
    @Secured("IS_AUTHENTICATED_ANONYMOUSLY")
    public Account[] findAccounts();
    @Secured("ROLE_TELLER")
    public Account post(Account account, double amount);
}
以上配置标明 readAccount findAccounts 方法可匿名访问,底层使用 WebExpressionVoter 投票器,可从 AffirmativeBased第 23 行代码跟踪。
post 方法需要有 TELLER 角色才能访问,底层使用 RoleVoter 投票器。

使用如下代码可启用prePost注解的支持 

@EnableGlobalMethodSecurity(prePostEnabled = true)
public class MethodSecurityConfig {
// ...
} 
public interface BankService {
    @PreAuthorize("isAnonymous()")
    public Account readAccount(Long id);
    @PreAuthorize("isAnonymous()")
    public Account[] findAccounts();
    @PreAuthorize("hasAuthority('p_transfer') and hasAuthority('p_read_account')")
    public Account post(Account account, double amount);
}
以上配置标明 readAccount findAccounts 方法可匿名访问, post 方法需要同时拥有 p_transfer p_read_account
权限才能访问,底层使用 WebExpressionVoter 投票器,可从 AffirmativeBased 23 行代码跟踪。
零维展开智子
关注
  • 18
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
springboot-security.zip
07-04
Spring Security,这是一种基于 Spring AOP 和 Servlet 过滤器的安全框架。它提供全面的安全性解决方案,同时在 Web 请求级和方法调用级处理身份确认和授权
Spring Security的认证和授权
m0_74777020的博客
03-02 1120
Spring Security是为基于Spring的应用程序提供声明式安全保护的安全性框架。Spring Security提供了完整的安全性解决方案,它能够在Web请求级别和方法调用级别处理身份认证和授权。因为基于Spring框架,所以Spring Security充分利用了依赖注入(dependency injection,DI)和面向切面(AOP)的技术。Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。
SpringBoot集成Security实现权限控制
weixin_55347789的博客
02-01 717
主要有两个主要功能:“认证”,是建立一个他声明的主体的过程(一个“主体”一般是指用户,设备或一些可以在你的应用程序中执行动作的其他系统),通俗点说就是系统认为用户是否能登录。一般在拦截器中进行拦截用户信息进行认证。“授权"指确定一个主体是否允许在你的应用程序执行一个动作的过程,一般是在Security中进行接口权限配置,查看用户是否具有对应接口权限。通俗点讲就是系统判断用户是否有权限去做某些事情。相应语法:.successForwardUrl()登录成功后跳转地址.loginPage()登录页面。
代码审计.springboot.未授权访问
qq_34012951的博客
03-30 172
引入springsecurity进行验证。2、查看配置文件actuator。修复exclude添加禁用的路径。3、无需授权,访问env。禁用actuator。
SpringBoot配置属性之Security
qq_15706073的博客
07-13 665
SpringBoot配置属性之Security
SpringBoot整合SpringSecurity
Stu_Shaw的博客
01-18 2320
Mr.Shaw
详细介绍SpringBoot整合SpringSecurity
波波烤鸭的博客
12-05 5692
  本文我们来详细给小伙伴们介绍下SpringBoot整合SpringSecurity的过程,用到的技术为:SpringBoot2.2.1+SpringSecurity+SpringDataJPA+jsp来整合。 一、环境准备 1.创建SpringBoot项目   创建一个SpringBoot项目 2.导入基础依赖   导入基础的依赖 <parent> <groupId&...
SpringBoot 2.x Security security.basic.enabled=false 失效问题解决
关于代码的那些事
07-26 1239
Spring Security 是一个功能强大且高度可定制的身份验证和访问控制框架。它是用于保护基于 Spring 的应用程序的实际标准。 Spring Security致力于为 Java 应用程序提供身份验证和授权。与所有 Spring 项目一样,Spring Security 的真正强大之处在于可以轻松扩展以满足自定义要求。...
springboot中使用springsecurity
wang0907的博客
11-07 1210
1:概述 1.1:认证和授权的区别 认证就是证明你是谁,而授权是你能做什么,比如你要连接mysql数据库,此时需要用户名和密码,这个过程就是认证,而登陆之后你可以做什么操作,比如创建表,删除表,查询数据,等,这就是授权。其实这个过程对于所有的系统的都是通用的,你登录系统需要录入认证信息来登录,这就是认证,登录之后你能看到什么,干什么,这就是授权。 在系统中,认证对应的应该就是登录功能,而授权对应的就是权限控制功能。本文我们要分析的springsecurity就可以提供二者的功能。 2:实例程序 2.1:引入
Springboot整合SpringSecurity
weixin_59015876的博客
12-08 1653
Springboot,SpringSecurity
springboot-06-security.zip
11-30
springbootSpringSecurity-这里可以取到SpringBoot之----如何整合SpringSecurity框架之认证和授权源码,教程在我的文章里面。
springboot-security.docx
03-09
Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它是用于保护基于Spring的应用程序的事实上的...像所有Spring项目一样,Spring Security的真正强大之处在于它可以轻松扩展以满足定制需求的能力。
SpringBoot整合Spring Security.docx
07-03
Spring Security是一个功能强大且高度可定制的身份验证和...这篇文章就是想通过一个小案例将Spring Security整合到SpringBoot中去。要实现的功能就是在认证服务器上登录,然后获取Token,再访问资源服务器中的资源。
Spring Boot实现多数据源快速入门
HBLOG
05-15 266
多数据源既动态数据源,项目开发逐渐扩大,单个数据源、单一数据源已经无法满足需求项目的支撑需求。本文采用dynamic-datasource-spring-boot-starter实现多数据源,由于类上@DS("slave_1"),所以预期插入的slave_1mysql库。查询方法注解的@DS("master"),所以在mater库上根本查不到数据。本文使用2个mysql作为数据源,表都是一样的结构。然后修改service,增加切换数据源注解。可以注解在方法上或类上,配置下格式支持这几种。
spring boot常用的filter
htydowd的博客
05-13 292
由 HttpEncodingAutoConfiguration 注入。由 WebMvcAutoConfiguration 注入。由WebMvcAutoConfiguration注入。由 WsServerContainer 注入。
Spring Boot集成dubbo快速入门Demo
HBLOG
05-14 428
Apache Dubbo 是一款微服务开发框架,它提供了 RPC通信 与 微服务治理 两大关键能力。这意味着,使用 Dubbo 开发的微服务,将具备相互之间的远程发现与通信能力, 同时利用 Dubbo 提供的丰富服务治理能力,可以实现诸如服务发现、负载均衡、流量调度等服务治理诉求。同时 Dubbo 是高度可扩展的,用户几乎可以在任意功能点去定制自己的实现,以改变框架的默认行为来满足自己的业务需求。
【Java SpringSpring Boot 配置热部署
最新发布
m0_69442905的博客
05-17 147
MacOS IDEA 专业版 SpringBoot项目配置热部署
11. springboot授权访问可能导致 ( 2分) 口A. 配置不当而暴露的路由 口B. jolokia配置不当导致的rce 口C. 配置不当而暴露的系统用户 口D. 提取内存密码
05-05
A. 配置不当而暴露的路由。Spring Boot 默认会暴露一些常用的路由,如果没有适当的授权限制,攻击者可以通过这些路由直接访问应用程序中的敏感信息...因此,需要适当地配置 Spring Security 或其他授权机制来限制访问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

零维展开智子

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值