在rbac项目中集成SpringSecurity

最新推荐文章于 2024-05-01 19:17:00 发布
最新推荐文章于 2024-05-01 19:17:00 发布
阅读量165 收藏
点赞数
文章标签: java spring servlet
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xu_2962466566/article/details/130797436
版权

在rbac项目中集成SpringSecurity

前提条件

注释:MvcJavaConfig,CheckLoginInterceptor,CheckPermissionInterceptor失效

* 添加依赖
<!--spring security 组件-->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

添加依赖之后发现验证码被拦截了。。。

* 添加SecurityConfig配置
SecurityConfig.java
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private UserDetailsService userDetailsService;

    @Autowired
    private CorsFilter corsFilter;

    @Autowired
    private JwtAuthenticationTokenFilter jwtAuthenticationTokenFilter;


    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                // 不需要认证
                .antMatchers("/api/login","/api/code","/api/logout")
                .permitAll()
                // 所有请求都必须被认证,必须登录后被访问
                .anyRequest()
                .authenticated();
        // 不基于session,关闭csrf
        http.csrf().disable();
    }

能够完成rbac项目认证功能

* 登录进去(但是没有认证)
* 认证
LoginUser.java
@Data
public class LoginUser implements UserDetails {

    @Getter
    private Employee employee;

    public LoginUser(Employee employee) {
        this.employee = employee;
    }

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return null;
    }

    @Override
    public String getPassword() {
        return employee.getPassword();
    }

    @Override
    public String getUsername() {
        return employee.getName();
    }

    /**
     * 账户是否未过期,过期无法验证
     */
    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    /**
     * 指定用户是否解锁,锁定的用户无法进行身份验证
     */
    @Override
    public boolean isAccountNonLocked() {
        return true;
    }


    /**
     * 账户是否未过期,过期无法验证
     */
    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    /**
     * 是否可用 ,禁用的用户不能身份验证
     */
    @Override
    public boolean isEnabled() {
        return true;
    }
}
UserDetailsServiceImpl.java
@Service
public class UserDetailsServiceImpl implements UserDetailsService {

    @Autowired
    private IEmployeeService employeeService;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

        Employee employee = employeeService.selectByUserName(username);
        Assert.notNull(employee,"登录用户:"+username + "不存在");
        // 构建UserDetails
        LoginUser loginUser = new LoginUser(employee);
        return loginUser;
    }
}
// 注释:username是接收浏览器的用户名
LoginServiceImpl.java
@Service
public class LoginServerImpl implements ILoginServer {

    @Autowired
    private RedisUtils redisUtils;

    @Autowired
    private PermissionMapper permissionMapper;

    @Autowired
    private EmployeeMapper employeeMapper;


    @Autowired
    private AuthenticationManager authenticationManager;

    @Override
    public Map<String, String> VerificationCode() {
        // 获取验证码
        Map<String, String> verifyCode = VerifyCodeUtil.generateVerifyCode();
        // 存放到Redis中
        String key = Constant.VerifyCode + verifyCode.get("uuid");
        String value = verifyCode.get("code");
        redisUtils.set(key,value,Constant.VERIFY_CODE_EXPIRES);
        // 封装验证码
        verifyCode.remove("code");
        return verifyCode;
    }

    @Override
    public Employee login(LoginInfoVo loginInfoVo) {
        // 1校验参数
        Assert.notNull(loginInfoVo,"非法参数");
        Assert.hasLength(loginInfoVo.getUsername(),"用户名长度不能为空");
        Assert.hasLength(loginInfoVo.getPassword(),"密码长度不能为空");
        // 2校验验证码
            // 用户传过来的验证码
        String userCode = loginInfoVo.getCode();
        String UserUuid = loginInfoVo.getUuid();
        Assert.notNull(userCode,"验证码不能为空");
            // 从Redis中获取验证码code
        String key = Constant.VerifyCode+UserUuid;
        String code = redisUtils.get(key);
            // 校验客户端穿传递过来的验证码
        Assert.state(VerifyCodeUtil.verification(userCode,code,true),"验证码不正确");

//        // 3登录
//        Employee employee = employeeMapper.login(loginInfoVo.getUsername(), loginInfoVo.getPassword());
//        // 4校验登录逻辑
//        Assert.notNull(employee,"用户名或者密码错误");
        // ------springSecurity 认证--------------------------

//        try {
            UsernamePasswordAuthenticationToken token = new UsernamePasswordAuthenticationToken(loginInfoVo.getUsername(), loginInfoVo.getPassword());
            Authentication authenticate = authenticationManager.authenticate(token);
            // 假如认证失败,会抛出异常
            // 正常跑下来,代码认证成功
            // TODO:
            // token.getPrincipal() --- > string:admin
            LoginUser loginUser = (LoginUser)authenticate.getPrincipal(); // loginUser
            Employee employee = loginUser.getEmployee();
//        }catch (Exception e){
//            e.printStackTrace();
//        }

        // ------springSecurity 认证--------------------------

        // 把用户的信息存储到Redis中
            // key 设计 rbac:login_employee:emp_id
            // value 存储的格式 json字符串
        String UserValue = JsonUtils.toJsonString(employee);
        String UserKey= Constant.LOGIN_EMPLOYEE_EMPID + employee.getId();
        redisUtils.set(UserKey,UserValue);

        // 存储当前用户的权限信息到Redis中
        // 通过员工表的id找到查询employee_role 找到 roleId,然后通过roleId去找role_permission到对应的permissionId,
        // 通过permissionId 查询对应permission表找到对应的权限信息
        List<String> selectExpressionByEmpId = permissionMapper.selectExpressionByEmpId(employee.getId());
        String PermissionValue = JsonUtils.toJsonString(selectExpressionByEmpId);
        String PermissionKey = Constant.LOGIN_PERMISSION_EMPID+employee.getId();
        redisUtils.set(PermissionKey,PermissionValue);

        return employee;
    }

    @Override
    public void logout(HttpServletRequest request) {
        // 从请求头中获取empId
        String userId = request.getHeader(Constant.LOGOUT_USER_ID);
        // 参数校验
        Assert.notNull(userId,"非法参数");
        long employeeId = Long.parseLong(userId);

        // 清除Redis中的数据
        redisUtils.del(Constant.LOGIN_PERMISSION_EMPID+employeeId); // 权限
        redisUtils.del(Constant.LOGIN_EMPLOYEE_EMPID+employeeId); // 用户
    }


}
SecurityConfig.java
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private UserDetailsService userDetailsService;

    @Autowired
    private CorsFilter corsFilter;

    @Autowired
    private JwtAuthenticationTokenFilter jwtAuthenticationTokenFilter;


    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                // 不需要认证
                .antMatchers("/api/login","/api/code","/api/logout")
                .permitAll()
                // 所有请求都必须被认证,必须登录后被访问
                .anyRequest()
                .authenticated();

        // 添加跨域过滤器在认证之前

        // 添加JWT filter
        http.addFilterBefore(jwtAuthenticationTokenFilter,
                UsernamePasswordAuthenticationFilter.class);
        // 添加CORS filter
        http.addFilterBefore(corsFilter,JwtAuthenticationTokenFilter.class);

        // 不基于session,关闭csrf
        http.csrf().disable();
    }

    // 身份认证接口
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        // 写UserDetailsService,告诉SS
        // 并且要告诉密码器
        auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder());
        }

    /**
     * 解决 无法直接注入 AuthenticationManager
     * @return
     * @throws Exception
     */
    @Bean
    public AuthenticationManager authenticationManager() throws Exception {
        return super.authenticationManager(); // 直接从父取
    }

    @Bean
    public PasswordEncoder passwordEncoder(){
        return NoOpPasswordEncoder.getInstance();
    }


}

现象:此时可以登录,但是有跨域问题和每个请求没有认证问题

* 添加跨域过滤器
MvcJavaConfigV2.java
@Configuration
public class MvcJavaConfigV2 implements WebMvcConfigurer {
	// 跨域配置
    @Bean
    public CorsFilter corsFilter(){
        CorsConfiguration configuration = new CorsConfiguration();
        configuration.setAllowCredentials(true);
        // 设置访问源地址
        configuration.addAllowedOrigin("*");
        // 设置访问同源请求头
        configuration.addAllowedHeader("*");
        // 设置访问同源请求方法
        configuration.addAllowedMethod("*");
        // 有效期为1800s
        configuration.setMaxAge(1800L);
        // 添加映射路径,拦截一切请求
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**",configuration);
        // 返回新的CorsFilter
        return new CorsFilter(source);
    }
}
JwtAuthenticationTokenFilter.java
/**
 * 这个过滤要添加SS中
 * 每个请求都要认证,添加过滤器(JwtAuthenticationTokenFilter.java)
 */
@Component
public class JwtAuthenticationTokenFilter extends OncePerRequestFilter {
    @Autowired
    private RedisUtils redisUtils;
    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        //
        String userId = request.getHeader(Constant.LOGOUT_USER_ID);
        String employeeJson = redisUtils.get(Constant.LOGIN_EMPLOYEE_EMPID + userId);
        if(!StringUtils.isEmpty(employeeJson)){
            // holder:袋子
            Employee employee=(Employee) JsonUtils.fromJson(employeeJson, Employee.class);
            LoginUser loginUser=new LoginUser(employee);
            // 告诉SS,我认证过了
            UsernamePasswordAuthenticationToken token=
                    new UsernamePasswordAuthenticationToken(loginUser,loginUser.getPassword(),loginUser.getAuthorities());
            SecurityContextHolder.getContext().setAuthentication(token);
        }
        filterChain.doFilter(request,response);
    }
}
SecurityConfig.java
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private UserDetailsService userDetailsService;

    @Autowired
    private CorsFilter corsFilter;

    @Autowired
    private JwtAuthenticationTokenFilter jwtAuthenticationTokenFilter;


    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                // 不需要认证
                .antMatchers("/api/login","/api/code","/api/logout")
                .permitAll()
                // 所有请求都必须被认证,必须登录后被访问
                .anyRequest()
                .authenticated();

        // 添加跨域过滤器在认证之前

        // 添加JWT filter(每个请求都要认证,添加过滤器(JwtAuthenticationTokenFilter))
        http.addFilterBefore(jwtAuthenticationTokenFilter,
                UsernamePasswordAuthenticationFilter.class);
        // 添加CORS filter
        http.addFilterBefore(corsFilter,JwtAuthenticationTokenFilter.class);

        // 不基于session,关闭csrf
        http.csrf().disable();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        // 写UserDetailsService,告诉SS
        // 并且要告诉密码器
        auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder());
        }

    /**
     * 解决 无法直接注入 AuthenticationManager
     * @return
     * @throws Exception
     */
    @Bean
    public AuthenticationManager authenticationManager() throws Exception {
        return super.authenticationManager(); // 直接从父取
    }

    @Bean
    public PasswordEncoder passwordEncoder(){
        return NoOpPasswordEncoder.getInstance();
    }


}

现象:现在是可以登录,并且可以得到认证…

网络大夫
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
基于SpringBoot+SpringSecurityRBAC管理系统,易读易懂.zip
12-26
以下是一份关于您的Java SpringBoot项目的简介描述: 准备好一起踏上这次深入JavaSpringBoot之旅了吗?如果您正在寻找一个现代化、高效且易于扩展的开发框架,那么这个SpringBoot项目将是您的理想选择。 主要特点: 快速开发:SpringBoot通过自动配置和约定大于配置的原则,大大简化了项目设置和开发过程。 易于扩展:SpringBoot与生俱来的灵活性使您可以轻松集成各种服务和数据库,以满足您日益增长的需求。 安全性:内置的安全特性,如OAuth2和Spring Security,确保您的应用程序安全无虞。 微服务支持:SpringBoot是微服务架构的理想选择,可以帮助您构建模块化、可扩展的应用程序。 社区支持:全球的开发者社区意味着您可以在遇到问题时找到大量的资源和支持。 目标受众 无论您是初出茅庐的Java新手,还是经验丰富的开发者,这个项目都将为您提供一个深入了解SpringBoot的机会。无论您是想学习新的技能,还是想提高现有应用程
SpringBoot2.3集成Spring Security(二) JWT认证
我是你妹她哥的博客
06-21 1651
思路:登录认证获取token提供一个controller,将controller的地址加到spring Security 的config不做权限控制,访问该controller,将用户名和密码的判断交给spring Security 的userDetailService处理,根据处理的返回结果决定是否生成对应的token值。。具体是怎么找到这个入口的,详情可以看步骤三。接口认证token值加入JWT生成的工具类Spring Security 提供多种认证方式,但我们需要熟悉的是。
SpringSecurity实现RBAC权限验证
weixin_45881125的博客
03-20 1342
基于角色的访问控制(RBAC)是一种访问控制策略,用于管理系统、应用程序或网络的用户对资源的访问权限。RBAC 将用户分配给角色,然后将权限分配给角色,而不是直接将权限分配给个别用户。这种方式简化了权限管理,特别是在大型组织或系统,可以更轻松地管理权限。角色(Roles):角色是一组具有相似职责或权限需求的用户集合。例如,一个企业应用可能有角色如“管理员”、“普通用户”、“审计员”等。
SpringBoot集成security(1)|(security入门)
Oaklkm的博客
11-18 699
本系列文章将会介绍springsecurit从入门到深入了解,并能够在项目实际运用。本系列文章大致分为几个阶段,第一阶段了解security,第二阶段实现在springboot集成登录,第三阶段接入Oauth2、JWT,第四阶段实现第三方授权登录等。到此springboot集成security,并且security已经能够安全的保护我们的接口不被无认证请求访问,而且还能配置用户密码。
使用Spring Security实现RBAC权限模型 - 详细代码示例及表设计
m0_49151953的博客
04-10 2201
RBAC(Role-Based Access Control)是一种常用的权限模型,它基于用户角色来控制系统的资源访问。本文介绍了如何使用Spring Security实现RBAC权限模型,包括表设计、配置Spring Security、实现UserDetailsService以及实现RBAC权限控制。在Spring Security实现RBAC权限模型的关键在于配置安全拦截器链,即定义哪些URL需要哪些权限才能访问。除了上面的配置和实现之外,我们还需要在业务代码实现RBAC权限控制。
Spring SecurityRBAC模型
yinyin_xiao的博客
08-23 1742
Spring Security基于RBAC模型实现权限管理
Spring Security实现RBAC权限模型练习
pikcacho_pkq的博客
02-09 2561
Spring Security的核心功能就是认证、授权、攻击防护,Spring Boot项目启动之后会自动进行配置,其核心就是一组链式过滤器。如下图所示,对于一个用户请求,Username Password Authentication Filter验证用户名和密码是否正确,通过就放行,然后Basic Authentication Filter就实现了去验证请求是否包含有权限认证的basic信息。FilterSecurityInterceptor验证请求是否能够访问REST API,如果不能够访问即被拒绝
SpringSecurity从入门到放弃之RBAC权限认证(二)
qq_33479841的博客
06-06 3362
上文写到了SpringSecurity从入门到放弃之JWT认证登陆(一),该文章介绍了spring security的登陆原理以及整合JWT的登陆案例,本文将基于上文,介绍spring securtity整合RBAC权限模型,实现按权访问接口。
SpringSecurityRBAC角色权限控制
user__kk的博客
09-12 728
RBAC 全称为用户角色权限控制,通过角色关联用户,角色关联权限,这种方式,间阶的赋予用户的权限。对于通常的系统而言,存在多个用户具有相同的权限,在分配的时候,要为指定的用户分配相关的权限,修改的时候也要依次的对这几个用户的权限进行修改,有了角色这个权限,在修改权限的时候,只需要对角色进行修改,就可以实现相关的权限的修改。这样做增加了效率,减少了权限漏洞的发生。权限是资源的集合,这里的资源指的是软件的所有的内容,即,对页面的操作权限,对页面的访问权限,对数据的增删查改的权限。
springboot 整合 Spring Security 篇(RBAC权限控制)
qq_30519365的博客
12-04 1327
主要在这个方法loadUserByUsername 从数据库读取用户的登录信息和权限信息import comthrow new UsernameNotFoundException("用户名不存在");} }throw new UsernameNotFoundException("用户名不存在");} }
Spring Security RBAC角色和权限
allway2的博客
09-21 1081
要执行操作,他们需要具有一定的权限或特权。这就是为什么将权限分配给角色而将角色分配给用户的原因。但是,我们需要进行更改以从数据库选择这些角色和权限。这样,开发人员可以使用表达式为 url 映射设置角色级别和权限级别设置,您将在下面看到。它可以代表一个自然人、一个自动帐户,甚至是另一个应用程序。这里要注意的一件有趣的事情是,我们添加了角色和权限作为权限。有了上述实体,让我们用适当的角色和权限填充数据库。在我们之前的帖子,我们总是使用一个角色来调用。话虽如此,以下是这些实体如何相互映射的说明。
SpringBoot+Vue前后端分离,使用SpringSecurity完美处理权限问题
10-12
转载他人 https://blog.csdn.net/u012702547/article/details/79010010 https://blog.csdn.net/u012702547/article/details/79019510
Spring Gateway+Security+OAuth2+RBAC 实现SSO统一认证平台
08-10
内容:完整集成Spring Gateway, Spring ...优点:全面包含了集成网关和认证鉴权的逻辑,本地运行起来就可以测试,代码完全可以引用到自己的项目,不用删改即可完成SSO+Gateway+OAuth2+RBAC+Nacos的平台架构搭建。
springsecurity-collection:springsecurity安全框架的一些使用
04-28
安全框架SpringSecurity的基本应用 test-ss-11 集成spring security 自定义认证成功和认证失败的handler 自定义访问拒绝的handler(权限不足) 自定义退出登录成功的handler MockUserList是模拟用户列表 authorize...
基于spring boot和spring security的媒资编目系统源码.zip
07-08
项目实现了基于Spring Boot搭建的web媒资编目系统 具有以下功能: 用户、项目、任务管理 基于RBAC架构的权限控制 编目、审核功能 未来计划集成功能: Elasticsearch全文检索 基于音频内容提取的自动化粗编目...
C#(C Sharp)学习笔记_类【十五】
追求细节,成就完美
05-01 466
类(Class)是面向对象程序设计(OOP,Object-Oriented Programming)实现信息封装的基础。类是一种用户定义的引用数据类型,也称类类型。每个类包含数据说明和一组操作数据或传递消息的函数。类的实例称为对象。
链表刷题集
yajunjiao的专栏
04-30 625
本文主要列举了一些刷的题,不多,有那么几道,也建议各位去建立自己的刷题集。积少成多。
Spring Cloud——LoadBalancer
最新发布
????
05-01 1584
这里只是简单的讲解了一下LoadBalancer如何使用,因为实际上我们使用的不是很多,主要还是使用OpenFeign。
d15(136-148)-勇敢开始Java,咖啡拯救人生
m0_73459387的博客
04-28 1204
对象哈希值的特点:同一个对象调用hashCode()返回的哈希值相同;HashMap的键依赖hashCode方法和equals方法保证键的唯一,存储自定义类型的对象时,重写这两个方法。实际上,Set系列集合的底层就是基于Map实现的,只是Set集合的元素要键数据,不要值数据。当12个位置都占满时就会扩容,大约扩容为原来的二倍,再把原数组数据转移到新数组。使用迭代器遍历集合时,又同时在删除集合的数据,程序就会出现并发修改异常的错误。基于哈希表实现,每个键值对额外多了一个双链表的机制,记录元素顺序(保证。
rbac权限管理springsecurity
09-06
Spring Security使用RBAC进行权限管理可以实现灵活的权限控制。 要在Spring Security实现RBAC权限管理,你可以按照以下步骤进行操作: 1. 定义角色和权限:首先,你需要定义系统的角色和权限。角色代表...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值