(新)Spring Security如何实现授权(实战篇)

最新推荐文章于 2024-07-06 17:10:20 发布
最新推荐文章于 2024-07-06 17:10:20 发布
阅读量1k 收藏 10
点赞数 24
分类专栏: Spring Security 文章标签: spring java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_55772633/article/details/139812420
版权

一、权限系统的作用

例如一个学校图书馆的管理系统,如果是普通学生登录就能看到借书还书相关的功能,不可能让他看到并且去使用添加书籍信息,删除书籍信息等功能。但是如果是一个图书馆管理员的账号登录了,应该就能看到并使用添加书籍信息,删除书籍信息等功能。

总结起来就是不同的用户可以使用不同的功能。这就是权限系统要去实现的效果。

我们不能只依赖前端去判断用户的权限来选择显示哪些菜单哪些按钮。因为如果只是这样,如果有人知道了对应功能的接口地址就可以不通过前端,直接去发送请求来实现相关功能操作。

所以我们还需要在后台进行用户权限的判断,判断当前用户是否有相应的权限,必须具有所需权限才能进行相应的操作。

二、授权基本流程

在SpringSecurity中,会使用默认的FilterSecurityInterceptor来进行权限校验。在

FilterSecurityInterceptor中会从SecurityContextHolder获取其中的Authentication,然后获取其中的

权限信息。判断当前用户是否拥有访问当前资源所需的权限。

所以我们在项目中只需要把当前登录用户的权限信息也存入Authentication。

然后设置我们的资源所需要的权限即可。

三、授权基本实现

3.1限制访问资源所需权限

SpringSecurity为我们提供了基于注解的权限控制方案,这也是我们项目中主要采用的方式。我们可以使用注解去指定访问对应的资源所需的权限。

但是要使用它我们需要先开启相关配置。

1.开启配置:

(com.sangeng.config.SecurityConfig)

@EnableGlobalMethodSecurity(prePostEnabled = true)

2.然后就可以使用对应的注解。@PreAuthorize

(com.sangeng.controller.HelloController)

    @RequestMapping("hello")
    @PreAuthorize("hasAuthority('user')")
    public String hello(){
        return "hello world";
    }

3.2封装权限信息

我们前面在写UserDetailsServiceImpl的时候说过,在查询出用户后还要获取对应的权限信息,封装到UserDetails中返回。

我们先直接把权限信息写死封装到UserDetails中进行测试。

我们之前定义了UserDetails的实现类LoginUser,想要让其能封装权限信息就要对其进行修改

(com.sangeng.domain.LoginUser)


@Data
@NoArgsConstructor
public class LoginUser implements UserDetails {

    private User user;//封装用户信息

    private List<String> permissions;//存储权限信息

    public LoginUser(User user, List<String> list) {
        this.user = user;
        this.permissions = list;
    }
    //获取权限
    @JSONField(serialize = false) //忽略
    private List<SimpleGrantedAuthority> authorities;
    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        if (authorities != null){
            return authorities;
        }
        把permissions中字符串类型的权限信息转换成GrantedAuthority对象存入authorities
        authorities = permissions.stream()
                .map(SimpleGrantedAuthority::new)
                .collect(Collectors.toList());
        return authorities;
    }

    //获取密码
    @Override
    public String getPassword() {
        return user.getPassword();
    }

    //获取用户名
    @Override
    public String getUsername() {
        return user.getUserName();
    }

    //账户是否未过期
    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    //账户是否未锁定
    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    //密码是否未过期
    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    //账户是否可用
    @Override
    public boolean isEnabled() {
        return true;
    }

}

LoginUser修改完后我们就可以在UserDetailsServiceImpl中去把权限信息封装到LoginUser中了。我们写死权限进行测试,后面我们再从数据库中查询权限信息。


@Service
public class UserDetailsServiceImpl implements UserDetailsService {
    @Autowired
    UserMapper userMapper;
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

        // 根据用户名查询用户信息
        LambdaQueryWrapper wrapper = new LambdaQueryWrapper<User>().eq(User::getUserName, username);
        User user = userMapper.selectOne(wrapper);

        //如果没有该用户就抛出异常
        if (Objects.isNull(user)) {
            throw new RuntimeException("用户名或密码错误");
        }

        //TODO: 查询权限信息封装到LoginUser中
        ArrayList<String> list = new ArrayList<>();
        list.add("user");


        // 将用户信息封装到UserDetails实现类中
        return new LoginUser(user,list);
    }
}

在SpringSecurity中,会使用默认的FilterSecurityInterceptor来进行权限校验。在

FilterSecurityInterceptor中会从SecurityContextHolder获取其中的Authentication,然后获取其中的

权限信息。当前用户是否拥有访问当前资源所需的权限。

所以我们在项目中只需要把当前登录用户的权限信息也存入Authentication。

@Component
//OncePerRequestFilter特点是在处理单个HTTP请求时确保过滤器的 doFilterInternal 方法只被调用一次
public class JwtAuthenticationTokenFilter extends OncePerRequestFilter {
    @Autowired
    RedisCache redisCache;
    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {

        //1.在请求头中获取token
        String token = request.getHeader("token");

        //此处需要判断token是否为空
        if (!StringUtils.hasText(token)){
            //没有token放行 此时的SecurityContextHolder没有用户信息 会被后面的过滤器拦截
            filterChain.doFilter(request,response);
            return;
        }

        //2.解析token获取用户id
        String subject;
        try {
            Claims claims = JwtUtil.parseJWT(token);
            subject = claims.getSubject();
        } catch (Exception e) {
            //解析失败
            throw new RuntimeException("token非法");
        }
        //3.在redis中获取用户信息 注意:redis中的key是login:+userId
        String redisKey = "login:" + subject;
        LoginUser loginUser = redisCache.getCacheObject(redisKey);

        //此处需要判断loginUser是否为空
        if (Objects.isNull(loginUser)){
            throw new RuntimeException("用户未登录");
        }
        //4.将获取到的用户信息存入SecurityContextHolder 参数(用户信息,,权限信息)
        UsernamePasswordAuthenticationToken authenticationToken =
                new UsernamePasswordAuthenticationToken(loginUser, null, loginUser.getAuthorities());
        SecurityContextHolder.getContext().setAuthentication(authenticationToken);

        //5.放行
        filterChain.doFilter(request,response);
    }
}

测试 如下

四、从数据库查询权限信息

4.1RBAC权限模型

RBAC权限模型(Role-Based Access Control)即:基于角色的权限控制。这是目前最常被开发者使用也是相对易用、通用权限模型。

4.2准备工作

4.2.1建表语句:

CREATE TABLE `sys_menu` (
  `id` bigint NOT NULL AUTO_INCREMENT COMMENT '菜单ID',
  `menu_name` varchar(50) NOT NULL COMMENT '菜单名称',
  `parent_id` bigint DEFAULT '0' COMMENT '父菜单ID',
  `order_num` int DEFAULT '0' COMMENT '显示顺序',
  `path` varchar(200) DEFAULT '' COMMENT '路由地址',
  `component` varchar(255) DEFAULT NULL COMMENT '组件路径',
  `is_frame` int DEFAULT '1' COMMENT '是否为外链(0是 1否)',
  `menu_type` char(1) DEFAULT '' COMMENT '菜单类型(M目录 C菜单 F按钮)',
  `visible` char(1) DEFAULT '0' COMMENT '菜单状态(0显示 1隐藏)',
  `status` char(1) DEFAULT '0' COMMENT '菜单状态(0正常 1停用)',
  `perms` varchar(100) DEFAULT NULL COMMENT '权限标识',
  `icon` varchar(100) DEFAULT '#' COMMENT '菜单图标',
  `create_by` bigint DEFAULT NULL COMMENT '创建者',
  `create_time` datetime DEFAULT NULL COMMENT '创建时间',
  `update_by` bigint DEFAULT NULL COMMENT '更新者',
  `update_time` datetime DEFAULT NULL COMMENT '更新时间',
  `remark` varchar(500) DEFAULT '' COMMENT '备注',
  `del_flag` char(1) DEFAULT '0',
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=2034 DEFAULT CHARSET=utf8mb3 COMMENT='菜单权限表'

CREATE TABLE `sys_role` (
  `id` bigint NOT NULL AUTO_INCREMENT COMMENT '角色ID',
  `role_name` varchar(30) NOT NULL COMMENT '角色名称',
  `role_key` varchar(100) NOT NULL COMMENT '角色权限字符串',
  `role_sort` int NOT NULL COMMENT '显示顺序',
  `status` char(1) NOT NULL COMMENT '角色状态(0正常 1停用)',
  `del_flag` char(1) DEFAULT '0' COMMENT '删除标志(0代表存在 1代表删除)',
  `create_by` bigint DEFAULT NULL COMMENT '创建者',
  `create_time` datetime DEFAULT NULL COMMENT '创建时间',
  `update_by` bigint DEFAULT NULL COMMENT '更新者',
  `update_time` datetime DEFAULT NULL COMMENT '更新时间',
  `remark` varchar(500) DEFAULT NULL COMMENT '备注',
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=13 DEFAULT CHARSET=utf8mb3 COMMENT='角色信息表'

CREATE TABLE `sys_role_menu` (
  `role_id` bigint NOT NULL COMMENT '角色ID',
  `menu_id` bigint NOT NULL COMMENT '菜单ID',
  PRIMARY KEY (`role_id`,`menu_id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb3 COMMENT='角色和菜单关联表'

CREATE TABLE `sys_user_role` (
  `user_id` bigint NOT NULL COMMENT '用户ID',
  `role_id` bigint NOT NULL COMMENT '角色ID',
  PRIMARY KEY (`user_id`,`role_id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb3 COMMENT='用户和角色关联表'

4.2.2实体类

(com.sangeng.domain)

@Data
@EqualsAndHashCode(callSuper = false)
@Accessors(chain = true)
@TableName("sys_menu")
public class Menu implements Serializable {

    private static final long serialVersionUID = 1L;

    /**
     * 菜单ID
     */
    @TableId(value = "id", type = IdType.AUTO)
    private Long id;

    /**
     * 菜单名称
     */
    private String menuName;

    /**
     * 父菜单ID
     */
    private Long parentId;

    /**
     * 显示顺序
     */
    private Integer orderNum;

    /**
     * 路由地址
     */
    private String path;

    /**
     * 组件路径
     */
    private String component;

    /**
     * 是否为外链(0是 1否)
     */
    private Integer isFrame;

    /**
     * 菜单类型(M目录 C菜单 F按钮)
     */
    private String menuType;

    /**
     * 菜单状态(0显示 1隐藏)
     */
    private String visible;

    /**
     * 菜单状态(0正常 1停用)
     */
    private String status;

    /**
     * 权限标识
     */
    private String perms;

    /**
     * 菜单图标
     */
    private String icon;

    /**
     * 创建者
     */
    private Long createBy;

    /**
     * 创建时间
     */
    private LocalDateTime createTime;

    /**
     * 更新者
     */
    private Long updateBy;

    /**
     * 更新时间
     */
    private LocalDateTime updateTime;

    /**
     * 备注
     */
    private String remark;

    private String delFlag;


}

4.2.3代码实现

(com.sangeng.mapper)

public interface MenuMapper extends BaseMapper<Menu> {
    List<String> selectPermsByUserId (Long userId);

}

(classpath:mapper)

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="com.example.securitytest.mapper.MenuMapper">

    <select id="selectPermsByUserId" resultType="java.lang.String">
        select
            distinct perms
        from sys_user_role sur
                 left join sys_role sr on sur.role_id = sr.id
                 left join sys_role_menu srm on sur.role_id = srm.role_id
                 left join sys_menu sm on srm.menu_id = sm.id
        where user_id = #{userId} and sr.status = 0 and sm.status = 0
    </select>
</mapper>

然后我们可以在UserDetailsServiceImpl中去调用该mapper的方法查询权限信息封装到LoginUser对象中即可

@Service
public class UserDetailsServiceImpl implements UserDetailsService {
    @Autowired
    UserMapper userMapper;
    @Autowired
    MenuMapper menuMapper;
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

        // 根据用户名查询用户信息
        LambdaQueryWrapper wrapper = new LambdaQueryWrapper<User>().eq(User::getUserName, username);
        User user = userMapper.selectOne(wrapper);

        //如果没有该用户就抛出异常
        if (Objects.isNull(user)) {
            throw new RuntimeException("用户名或密码错误");
        }

        //TODO: 查询权限信息封装到LoginUser中
//        ArrayList<String> list = new ArrayList<>();
//        list.add("user");
        List<String> list = menuMapper.selectPermsByUserId(user.getId());


        // 将用户信息封装到UserDetails实现类中
        return new LoginUser(user,list);
    }
}

注意🍪此处需要注意修改HelloController中的权限 之前写的是@PreAuthorize("hasAuthority('user')") 要改为数据库中对应有的权限

Maiko Star
关注
  • 24
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security实战例子
09-08
通过这个Spring Security实战例子,你可以深入了解Spring Security的配置、认证和授权机制,以及如何与数据库集成。实践是最好的老师,动手完成这四个小项目将有助于巩固理解,并为你在实际项目中应用Spring ...
全套Spring Security入门到项目实战课程
03-21
Spring Security权限控制实现 Spring Security与Web应用安全 Spring Security用户认证流程 Spring Security用户授权管理 Spring SecuritySpring集成 Spring Security最佳实践 Spring Security安全漏洞与防范
SpringSecurity实战代码
11-04
实战代码将带你深入理解并实际操作SpringSecurity的核心功能,包括用户认证与授权、注销、权限限制、"记住我"功能以及首页定制。 1. 用户认证与授权:在SpringSecurity中,认证过程是识别用户身份,而授权则是...
java中自定义Spring Security权限控制管理示例(实战篇)
08-31
通过以上步骤,我们就完成了Java中自定义Spring Security权限控制管理的实战示例,实现了对URL和HTTP方法的细粒度控制,满足了RESTful API的需求。这不仅提高了系统的安全性,也使得权限管理更加灵活和可扩展。
分布式架构单点登录+授权认证实战 CAS+SpringSecurity视频
11-13
实战课程围绕CAS(Central Authentication Service)和SpringSecurity两大组件,深入探讨如何在分布式环境中实现高效、安全的SSO与授权认证。 首先,CAS是开源的身份验证框架,主要负责用户的登录验证。在"搭建...
SpringBoot 如何处理跨域请求?你说的出几种方法?
2401_84419325的博客
07-02 880
1)什么是跨域请求?跨域请求(Cross-Origin Request)指的是在浏览器环境下,前端代码发起的请求与当前页面的域名(或端口、协议)不同。浏览器的同源策略(Same-Origin Policy)限制了从一个源(域名、协议、端口组成的组合)加载的文档或脚本如何与来自另一个源的资源进行交互。具体来说,如果一个页面加载自 http://domain1.com,则它的同源策略默认限制了对 http://domain2.com 发起的请求。2)为什么会出现跨域问题?
springboot基于Java的超市进销存系统+ LW+ PPT+源码+讲解
u014445459的博客
07-06 403
操作的多样性也变高了。由此可见,本系统在操作上是可行的。软件测试的方法有好几种,但目前主要采用的是包括以功能为主要测试方向的黑盒测试以及以逻辑为主要测试方向的白盒测试,这是两种不同的测试方法,针对的测试侧重点不同,本课题根据实际需求情况,选择以功能为主要的黑盒测试方法,同时测试是要遵循一定的规则来执行的,一个测试要执行其执行的依据一般是由测试用例来规定的,而测试用例一般是依据需求或说明书来综合制定的,测试在硬件出厂前是十分重要的一个过程,本课题由于时间和精力的关系,选择以实现的功能作为测试要点来进行测试。
学习springMVC
weixin_45621552的博客
07-03 442
JSR全称为 Java Specification Requests,表示 Java 规范提案。JSR-303是 Java 为 Java Bean 数据合法性校验提供的标准框架,它定义了一套可标注在成员变量,属性方法上的校验注解。Hibernate Validatior提供了这套标准的实现。-- 最7.0.1.Final --> </ dependency >-- 最7.0.1.Final --> </ dependency ></
springboot项目多模块工程==1搭建
最新发布
07-06 216
idea springboot 项目多模块工程搭建配置
Spring的核心概念理解案列
tt_love_coding的博客
07-06 159
小结:项目虽小,但是让我体会到了spring核心容器的功能,加深了对它的概念的理解和认识。以及项目编写的一些基本逻辑和结构,对jar包是手动管理的,后面会陆续学习用maven进行jar包管理的,使得开发更加的高效和便捷。com.itTony文件下有dao(实体)层,service(服务)层,编写的2个类(HelloSpring和TestSpring)和applicationContext.xml。在dao层写了个接口(UserDao),对用户名和密码进行bool值的判断。
SpringSecurity中文文档(Servlet Session Management)
znjy111的博客
07-01 1074
一旦您拥有了正在对请求进行身份验证的应用程序,就必须考虑如何在将来的请求中持久化和恢复结果身份验证。默认情况下,这是自动完成的,因此不需要额外的代码,尽管了解 requireExplicitSave在 HttpSecurity 中的含义非常重要。如果您愿意,您可以阅读更多关于 RequureExplicSave 正在做什么或者为什么它很重要的内容。否则,在大多数情况下您将完成本节。
Spring相关面试题(四)
m0_73179389的博客
07-06 332
接口实现XML配置注解实现
Spring Security6.3.0版本出现无法解析符号
Rverdoser的博客
07-03 209
检查配置:确保Spring Security的配置没有错误,比如正确配置了SecurityFilterChain或者自定义的SecurityConfigurer。Spring Security 6.3.0版本出现“无法解析的符号”错误通常意味着项目中缺少了必要的类或者资源,或者可能是因为项目的依赖关系配置不正确。检查环境:确保你的构建环境(如Maven或Gradle的版本)支持Spring Security 6.3.0版本。查看错误日志:仔细查看IDE的错误日志或控制台输出,了解无法解析的符号具体是什么。
Spring 6.1.10版本源码编译
訾尤的博客
07-05 244
spring 6.1.10源码编译
[附源码]最springboot线上电商|前后端分离|界面简洁
吉他程序员的博客
07-02 1009
今天小编给大家带来了一款可学习,可商用的,线上电商的网站源码,支持二开,无加密。代码的后端是SpringBoot技术栈(非jsp),前端是Angular。如果您需要定制需求请找小编。文章第六小节会贴上优秀代码案例。可以确认是不是主流编码风格。如果您正好有此需求源码,请联系小编,回复慢不及时的话请谅解!!!
如何使用缓存提升SpringBoot性能(EhCache和Redis方式)
三两肉的博客
07-03 978
缓存是指将文件或数据的副本存储在缓存或临时存储位置中,以便未来对该数据的请求可以更快地提供服务。当从存储中检索数据时,会在缓存中创建该数据的副本。如果再次需要该数据,可以从缓存中比从主存储器中更快地检索到该数据,主存储器可能涉及复杂的计算或较慢的访问速度。如何使用缓存提升SpringBoot性能(EhCache和Redis方式)
SpringBoot 中的参数校验:构建健壮应用的基石
超超IT的博客
07-02 477
在开发Web应用时,处理用户输入是不可避免的一环。然而,用户输入往往充满不确定性,可能是格式不正确、类型不匹配,甚至包含恶意内容。为了确保应用的稳定性和安全性,对输入参数进行有效校验显得尤为重要。Spring Boot,作为当前最流行的Java开发框架之一,通过其丰富的特性和集成的库,为我们提供了一套高效、灵活的参数校验机制。
SpringBoot3】使用Jasypt加密数据库用户名、密码等敏感信息
不积跬步无以至千里,不积小流无以成江海。一个喜欢学习分享的程序员
07-03 920
使用Jasypt(Java Simplified Encryption)进行数据加密和解密主要涉及几个步骤,包括引入依赖、配置加密密码、加密敏感信息、将加密信息存储到配置文件中,以及应用程序启动时自动解密。
Spring JDBC案例
2301_78349581的博客
07-01 255
2.完成AccountManage接口类,定义接口(插入add、更update、查询单个query、查询所有queryAll、删除delete)4.完成jdbcTemplateTest程序测试类,完成创建数据表,查询、插入、更、删除等操作。1.完成Account类中的定义私有变量(id,userName,balance)3.完成AccountManageImpl接口实现类。
SpringSecurity 实战
08-19
Spring Security是一个用于保护Java应用程序的框架,它提供了身份验证、授权和其他安全性功能。在实际应用中,我们可能需要自定义一些Spring Security的内部组件来满足我们的需求。其中一个需要自定义的组件是SecurityContextRepository,它用于存储和检索用户的安全上下文信息。 通过引用中提到的方式,我们可以重写Spring Security内部的缓存提供类SecurityContextRepository。另外,引用中提到了一种使用Spring官方推荐的配置方式,我们可以直接修改内部对象属性来修改几乎所有的对象,包括config、filter、handler等等。例如,在配置类中可以使用withObjectPostProcessor方法来自定义FilterSecurityInterceptor,并设置一些属性,如设置fsi.setPublishAuthorizationSuccess(true)和fsi.setAccessDecisionManager(new CustomAccessDecisionManager(cacheManager))。 另外,引用中提到了SecurityContextConfigurer配置类,它通过http.getSharedObject(SecurityContextRepository.class)获取对应的实现类。我们可以通过http.setSharedObject方法设置自定义的repository来重写默认的实现。在默认情况下,http.getSharedObject(SecurityContextRepository.class)为null,所以可以直接使用new HttpSessionSecurityContextRepository设置到SecurityContextPersistenceFilter。 综上所述,Spring Security实战篇涉及到自定义Spring Security的内部组件,比如SecurityContextRepository,可以通过不同的方式来实现。我们可以根据具体需求选择合适的方式进行配置和修改。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [Spring Security 实战篇](https://blog.csdn.net/qq_28911061/article/details/131271018)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值