Spring Security实现用户权限限制

最新推荐文章于 2024-05-22 16:49:19 发布
最新推荐文章于 2024-05-22 16:49:19 发布
阅读量1.5k 收藏 5
点赞数
文章标签: spring java spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_56219549/article/details/122234932
版权

Spring Security官网:https://spring.io/projects/spring-security#learn.

一、Spring Security简述

Spring Security 是一个功能强大且高度可定制的身份验证和访问控制框架。它是保护基于 Spring 的应用程序的事实上的标准。

Spring Security 是一个专注于为 Java 应用程序提供身份验证和授权的框架。与所有 Spring 项目一样,Spring Security 的真正强大之处在于它可以轻松扩展以满足自定义要求。

二、使用Spring Security

准备一个数据库
在这里插入图片描述
准备application.properties

#关闭缓存
spring.thymeleaf.cache=false

server.port=8081

#数据库配置
spring.datasource.driver-class-name=com.mysql.jdbc.Driver
spring.datasource.url=jdbc:mysql://localhost:3306/security?characterEncoding=UTF-8&useSSL=false
spring.datasource.username=root
spring.datasource.password=123456

准备pom.xml文件

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>
    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.0.9.RELEASE</version>
        <relativePath/> <!-- lookup parent from repository -->
    </parent>
    <groupId>com.cao</groupId>
    <artifactId>springsecurity</artifactId>
    <version>0.0.1-SNAPSHOT</version>
    <name>springsecurity</name>
    <description>Demo project for Spring Boot</description>

    <properties>
        <java.version>1.8</java.version>
    </properties>

    <dependencies>
        <!--引入mybatis-->
        <dependency>
            <groupId>org.mybatis.spring.boot</groupId>
            <artifactId>mybatis-spring-boot-starter</artifactId>
            <version>2.1.3</version>
        </dependency>
        <!--引入mysql-->
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
            <version>5.1.47</version>
        </dependency>
        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>
        <!--thymeleaf-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-thymeleaf</artifactId>
        </dependency>
        <!--spring-boot-starter-security-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <!--thymeleaf整合spring security-->
        <dependency>
            <groupId>org.thymeleaf.extras</groupId>
            <artifactId>thymeleaf-extras-springsecurity5</artifactId>
            <version>3.0.4.RELEASE</version>
        </dependency>

    </dependencies>

    <build>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
            </plugin>
        </plugins>

            <resources>
                <resource>
                    <directory>src/main/java</directory>
                    <includes>
                        <include>**/*.xml</include>
                    </includes>
                </resource>
            </resources>
    </build>
</project>

准备实体类

package com.jsxl.pojo;

import lombok.Data;

@Data
public class User {
    private Integer id;
    private String name;
    private String password;
    private String auth;
}

准备UserMapper

package com.jsxl.mapper;

import com.jsxl.pojo.User;
import org.apache.ibatis.annotations.Param;
import org.springframework.stereotype.Repository;


@Repository
public interface UserMapper {
    //登录
    User login(@Param("name") String ugh, @Param("password") String password);
    //根据名字获取权限
    User findUserByAuth(@Param("name") String name);
}

准备UserMapper.xml

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd" >
<mapper namespace="com.jsxl.mapper.UserMapper">

    <select id="login" resultType="com.jsxl.pojo.User">
        select *
        from security.user
        where name = #{name}
          and password = #{password};
    </select>

    <select id="findUserByAuth" resultType="com.jsxl.pojo.User">
        select *
        from security.user
        where name = #{name}
    </select>
</mapper>

UserService

package com.jsxl.service;

import com.jsxl.mapper.UserMapper;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.stereotype.Service;

@Service("userDetailsService")//这里需要指定
public class UserService implements UserDetailsService {

    @Autowired
    private UserMapper userMapper;

    @Override
    public UserDetails loadUserByUsername(String name) throws UsernameNotFoundException {
        com.jsxl.pojo.User user = userMapper.findUserByAuth(name);
        if (user == null) {
            //数据库中没有,认证失败
            throw new UsernameNotFoundException("没有找到该用户");
        }
        //权限拆分,字符串拆分成数组
        String[] arr = user.getAuth().split(",");
        //这里需要对密码进行加密,也可以使用java自带的MD5加密,通过工具类AuthorityUtils对数组进行转换
        return new User(user.getName(), new BCryptPasswordEncoder().encode(user.getPassword()), AuthorityUtils.createAuthorityList(arr));
    }
}

这里需要继承UserDetailsService实现loadUserByUsername方法

public interface UserDetailsService {
/** *根据用户名定位用户。在实际实现中,搜索*可能区分大小写,也可能不区分大小写,这取决于*实现实例的配置方式。在这种情况下,返回的<code>UserDetails</code> *对象的用户名可能与*实际请求的用户名不同。* * @param username用户名。* * @return一个完全填充的用户记录(never <code>null</code>) * * 
@抛出UsernameNotFoundException如果用户不能被找到或用户没有*被授予的权限*/
	UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;
}

AuthorityUtils工具类作用,可在源码中查看

	 * Creates a array of GrantedAuthority objects from a comma-separated string
	 * representation (e.g. "ROLE_A, ROLE_B, ROLE_C").
	 * 创建一个被授予权限的数组,由逗号分隔的字符串表示
	 * (例如:“ROLE_A,ROLE_B,ROLE_C”)

Controller

package com.jsxl.controller;

import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.PathVariable;
import org.springframework.web.bind.annotation.RequestMapping;


@Controller
public class RouterController {

    @RequestMapping({"/", "/index"})
    public String index() {
        return "index";
    }

    @RequestMapping("/toLogin")
    public String toLogin() {
        return "views/login";
    }

    @RequestMapping("/level1/{id}")
    public String level1(@PathVariable("id") int id) {
        return "views/level1/" + id;
    }

    @RequestMapping("/level2/{id}")
    public String level2(@PathVariable("id") int id) {
        return "views/level2/" + id;
    }

    @RequestMapping("/level3/{id}")
    public String level3(@PathVariable("id") int id) {
        return "views/level3/" + id;
    }
}

SecurityConfig

package com.jsxl.config;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;


@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private UserDetailsService userDetailsService;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //首页所有人可以访问,功能页有相应权限才能访问
        //链式编程
        //请求授权的规则
        http.authorizeRequests()
                .antMatchers("/","/toLogin").permitAll()
                .antMatchers("/level1/**").hasAuthority("vip1")
                .antMatchers("/level2/**").hasAuthority("vip2")
                .antMatchers("/level3/**").hasAuthority("vip3");

        //没有权限,默认到登录页面
        http.formLogin()//自定义编写登录页面
                .loginPage("/login")//登录页面设置
                .loginProcessingUrl("/login")//登录访问路径
                .defaultSuccessUrl("/index")//登陆成功后的路径
                .usernameParameter("name")
                .passwordParameter("password");


        //防止网站攻击
        http.csrf().disable();//登出可能存在失败的原因
        //注销功能
        http.logout().logoutSuccessUrl("/toLogin");
        //开启记住我功能
        http.rememberMe().rememberMeParameter("remember");

    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService).passwordEncoder(new BCryptPasswordEncoder());
    }
}

configure2个方法源码

*重载这个方法来配置{@link HttpSecurity}。
通常子类*不应该通过调用super来调用这个方法,因为它可能会覆盖它们的*配置。
默认的配置是:http.authorizeRequests().anyRequest().authenticated(). ().formLogin(). ().httpBasic();
	// @formatter:off
	protected void configure(HttpSecurity http) throws Exception {
		logger.debug("Using default configure(HttpSecurity). If subclassed this will potentially override subclass configure(HttpSecurity).");

		http
			.authorizeRequests()
				.anyRequest().authenticated()
				.and()
			.formLogin().and()
			.httpBasic();
	}
	
/**
使用默认实现{@link #authenticationManager()}尝试*获得一个{@link  #authenticationManager}。
如果被重写,* {@link AuthenticationManagerBuilder}应该被用来指定* {@link AuthenticationManager}。
 {@link #authenticationManagerBean()}方法可以用来将结果* {@link AuthenticationManager}公开为一个Bean。
 {@link #userDetailsServiceBean()}可以*被用来公开最后一个使用{@link AuthenticationManagerBuilder}创建的{@link UserDetailsService}作为Bean。
  {@link UserDetailsService}也会自动在* {@link HttpSecurity#getSharedObject(Class)}上填充,以便与其他* {@link SecurityContextConfigurer}(即RememberMeConfigurer)一起使用。
例如,可以使用以下配置在内存中注册  
在内存中公开一个UserDetailsService的身份验证:  

configure(AuthenticationManagerBuilder auth) {  
身份验证使用名为。的用户在内存中启用基于身份验证  
“user&quot; 和“;admin&quot;  
.inMemoryAuthentication () .withUser(“user&quot) .password(“password&quot) .roles(“user&quot), ()  
.withUser(“admin&quot) .password(“password&quot) .roles(“USER&quot;,“admin&quot);  
}  

将UserDetailsService公开为一个Bean  
 */
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
		this.disableLocalConfigureAuthenticationBldr = true;
	}

spring boot启动类

package com.jsxl;

import org.mybatis.spring.annotation.MapperScan;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;

@SpringBootApplication
@MapperScan("com.jsxl.mapper")
public class SpringsecurityApplication {

    public static void main(String[] args) {
        SpringApplication.run(SpringsecurityApplication.class, args);
    }
}

测试结果
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

git代码下载:https://gitee.com/jsxlliar/spring_security.git.

jsxllht
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
spring security用户权限项目
12-19
基于spring mvc mybatis spring security 和jquery easy-ui的用户权限管理项目。
Spring Security用户权限进行管理
theVicTory的博客
11-03 2403
基于角色的访问控制 隐式访问控制:根据用户的角色判断是否具有某项操作 显示访问控制:为用户分配某种权限,根据权限判断是否可以进行某种操作。与具体角色无关,权限控制更加灵活 认证( authentication ):是建立主体( principal) 的过程。"主体"不仅指用户,还可以是其他执行操作的系统或设备。 授权(authorization ):或称为"访问控制(access-control), 是指决定是否允许主体在应用程序中执行操作 Spring SecuritySpring中常用的安全服务框架,
springboot整合security实现权限控制
最新发布
Amour恋空的博客
05-22 1246
Spring Security 的前身是 Acegi Security ,是。Spring Security 为基于J2EE企业应用软件提供了全面安全服务。特别是使用领先的J2EE解决方案-Spring框架开发的企业软件项目。人们使用Spring Security有很多种原因,不过通常吸引他们的是在J2EE Servlet规范或EJB规范中找不到典型企业应用场景的解决方案。特别要指出的是他们不能再WAR 或 EAR 级别进行移植。
使用Spring Security进行用户权限控制
take_OO的博客
09-14 1870
系统比较简单,所以只有用户表, 角色表和域表, 没有权限表. 各个域的用户是隔离的, 因为前后端分离, 控制起来格外不方便, 不过好歹是用filter实现了,bug还很多改天再说. 现在的问题就是登录 ,前端获取登录用户以及权限拦截 .其中比较花时间的是用户登录. 登录可以使用AuthenticationProvider 或者UserDetailsService实现,我倾向于使用前者,
SpringSecurity(用户认证权限)的使用
qq_44255146的博客
12-27 180
SpringSecurity(用户认证权限)的使用 1、添加maven依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 2、创建配置类SecurityConfig.java @Configuration public
spring security解决用户权限的方案
11-12
使用spring security解决用户权限的方案
SpringSecurity权限控制实现原理解析
08-24
SpringSecurity 权限控制实现原理是指在应用程序中对用户的操作权限进行控制和限制,以确保应用程序的安全性和可靠性。权限控制是指在应用程序中对用户的操作权限进行控制和限制,包括对数据的访问控制、对功能的...
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
总的来说,Spring Boot + Spring Security + JWT的组合提供了一个强大且可扩展的用户认证和权限管理系统,适用于各种现代Web应用。在实际开发中,根据项目需求,可能还需要考虑如密码加密、刷新令牌、多因素认证等...
Vue 动态路由的实现Springsecurity 按钮级别的权限控制
10-16
主要介绍了Vue 动态路由的实现以及 Springsecurity 按钮级别的权限控制的相关知识,本文通过实例代码给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
Spring Security 3多用户登录实现
04-13
**Spring Security 3 多用户登录实现详解** Spring Security 是一个强大的、高度可定制的身份验证和访问控制框架,广泛应用于Java EE平台上的安全解决方案。在本文中,我们将深入探讨如何在Spring Security 3中实现...
SpringBoot集成Spring Security实现角色继承【完整源码+数据库】
02-16
在本文中,我们将深入探讨如何在SpringBoot项目中集成Spring Security实现角色继承,并提供一个完整的源码示例。这将特别适用于初学者和开发者,帮助他们更好地理解Spring Security的安全特性。 首先,让我们理解...
使用springSecurity进行权限管理
weixin_44203609的博客
08-06 195
1、加入所需要的依赖 <!-- SpringSecurity 对 Web 应用进行权限管理 --> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-web</artifactId> <version>
SpringSecurity权限管理基本概念和整体架构介绍
写写平时的技术与感想
05-23 3311
Spring Security是⼀个功能强⼤、可⾼度定制的身份验证和访问控制框架。它是保护基于Spring的应⽤程序的事实标准。Spring Security是⼀个⾯向Java应⽤程序提供身份验证和安全性的框架。与所有Spring项⽬⼀样,Spring Security的真正威⼒在于它可以轻松地扩展以满⾜定制需求。是⼀个功能强⼤、可⾼度定制的身份验证和访问控制的框架。或者说⽤来实现系统中权限管理的框架。
Spring Security 中的四种权限控制方式
2401_84048542的博客
04-04 825
Spring Security 支持在 URL 和方法权限控制时使用 SpEL 表达式,如果表达式返回值为 true 则表示需要对应的权限,否则表示不需要对应的权限。可以看到,SecurityExpressionRoot 有两个实现类,表示在应对 URL 权限控制和应对方法权限控制时,分别对 SpEL 所做的拓展,例如在基于 URL 路径做权限控制时,增加了 hasIpAddress 选项。| authentication | 从 SecurityContext 中提取出来的用户对象 |
Spring Security:让你告别复杂的权限管理功能3
d2916172682的博客
12-24 351
基于角色的授权:以用户所属角色为基础进行授权,如管理员、普通用户等,通过为用户分配角色来控制其对资源的访问权限。基于资源的授权:以资源为基础进行授权,如 URL、方法等,通过定义资源所需的权限,来控制对该资源的访问权限Spring Security 提供了多种实现授权的机制,最常用的是使用基于注解的方式,建立起访问资源和权限之间的映射关系。其中最常用的两个注解是@Secured和。@Secured注解是更早的注解,基于角色的授权比较适用,基于SpEL。
SpringBoot集成SpringSecurity(八、无权限响应Json)
伍妖捌的小屋
05-16 650
前言 在配置权限章节中,我们看到当用户没有权限时,浏览器中显示下面代码,这显然对用户来说不友好,因为根本看不懂这些。接下来,我们通过json的形式,响应一个友好的提示。 Whitelabel Error Page This application has no explicit mapping for /error, so you are seeing this as a fallback. Sun May 16 18:38:30 CST 2021 There was an unexpected erro
Spring Security 之方法级的权限管控 @PreAuthorize 使用详解
热门推荐
LoveSummer
01-22 1万+
默认情况下, Spring Security 并不启用方法级的安全管控. 启用方法级的管控后, 可以针对不同的方法通过注解设置不同的访问条件.Spring Security 支持三种方法级注解, 分别是 JSR-205 注解 /@Secured 注解 / prePostEnabled 注解. 这些注解不仅可以直接加 controller 方法上, 也可以注解 Service 或 DAO 类中的方法.
怎么实现对登录用户访问权限的拦截
qq_49195366的博客
10-26 349
*** 自定义注解}
SpringSecurity——Web权限方案用户授权(注解使用)
程序员阿皓的博客
05-01 241
SpringSecurity——Web权限方案用户授权(注解使用)
SpringSecurity实现权限控制
08-03
Spring Security中,权限控制可以通过四种常见的方式实现:[1]。其中,常见的方式包括基于URL的权限控制和基于方法的权限控制。基于URL的权限控制是通过配置URL的访问规则来限制用户的访问权限。而基于方法的权限...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

jsxllht

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值