基于spring-security框架的权限控制+注解方式设置权限

已于 2022-01-19 16:35:04 修改
阅读量1.4k 收藏 5
点赞数
分类专栏: 后端开发(偏java向)经验交流 文章标签: java
于 2021-06-14 22:12:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xy294636185/article/details/117913609
版权

一般需要4张基础表和3张对应关系表。

菜单表 对应角色关系用Set表示:
/**
 * 菜单
 */
public class Menu implements Serializable {
    private Integer id;
    private String name;  //菜单名称
    private String linkUrl;  //访问路径
    private String path;  //菜单项对应的路由路径
    private Integer priority;  //优先级排序
    private String description;  //描述
    private String icon;  //图标
    private Set<Role> roles = new HashSet<Role>(0);  //角色集合
    private List<Menu> children = new ArrayList<Menu>();  //子菜单集合
    private Integer parentMenuId;  //父菜单Id
}
权限表 对应角色关系用Set表示:
/**
 * 权限
 */
public class Permission implements Serializable {
    private Integer id;
    private String name;
    private String keyword;
    private String description;
    private Set<Role> roles = new HashSet<Role>(0);
}
用户表 对应角色关系用Set表示:
/**
 * 用户
 */
public class User implements Serializable {
    private Integer id;
    private Date birthDay;  //生日
    private String gender;  //性别
    private String username;  //用户名。唯一
    private String password;  //密码
    private String remark;  //备注
    private String station;  //状态
    private String telephone;  //联系电话
    private Set<Role> roles = new HashSet<Role>(0);  //对应角色集合
}
角色表 对应用户,权限和菜单关系用Set表示:
/**
 * 角色
 */
public class Role implements Serializable {
    private Integer id;
    private String name;  //角色名称
    private String keyword;  //角色关键字,用于权限控制
    private String description;  //描述
    private Set<User> users = new HashSet<User>(0);
    private Set<Permission> permissions = new HashSet<Permission>(0);
    private LinkedHashSet<Menu> menus = new LinkedHashSet<Menu>(0);
}

附建表语句:

/*
Navicat MySQL Data Transfer

Source Server         : xuyu
Source Server Version : 50515
Source Host           : localhost:3306
Source Database       : authentic

Target Server Type    : MYSQL
Target Server Version : 50515
File Encoding         : 65001

Date: 2021-06-16 23:08:42
*/

SET FOREIGN_KEY_CHECKS=0;

-- ----------------------------
-- Table structure for t_menu
-- ----------------------------
DROP TABLE IF EXISTS `t_menu`;
CREATE TABLE `t_menu` (
  `id` int(11) DEFAULT NULL,
  `name` varchar(255) DEFAULT NULL,
  `linkUrl` varchar(255) DEFAULT NULL,
  `path` varchar(255) DEFAULT NULL,
  `priority` varchar(255) DEFAULT NULL,
  `icon` varchar(255) DEFAULT NULL,
  `desc` varchar(255) DEFAULT NULL,
  `parentMenuId` int(11) DEFAULT NULL,
  `level` varchar(255) DEFAULT NULL
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

-- ----------------------------
-- Records of t_menu
-- ----------------------------
INSERT INTO `t_menu` VALUES ('1', '预约管理', 'ordersettinglist.html', '/3-1', null, null, null, null, '1');
INSERT INTO `t_menu` VALUES ('2', '权限管理', 'permission.html', '/6-1', null, null, null, '1', '1');
INSERT INTO `t_menu` VALUES ('3', '菜单管理', 'menu.html', '/6-1', null, null, null, null, '2');

-- ----------------------------
-- Table structure for t_permission
-- ----------------------------
DROP TABLE IF EXISTS `t_permission`;
CREATE TABLE `t_permission` (
  `id` int(11) DEFAULT NULL,
  `name` varchar(255) DEFAULT NULL,
  `keyword` varchar(255) DEFAULT NULL,
  `desc` varchar(255) DEFAULT NULL
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

-- ----------------------------
-- Records of t_permission
-- ----------------------------
INSERT INTO `t_permission` VALUES ('1', '新增检查项', 'CHECKITEM_ADD', null);
INSERT INTO `t_permission` VALUES ('2', '删除检查项', 'CHECKITEM_DELETE', null);

-- ----------------------------
-- Table structure for t_role
-- ----------------------------
DROP TABLE IF EXISTS `t_role`;
CREATE TABLE `t_role` (
  `id` int(11) DEFAULT NULL,
  `name` varchar(255) DEFAULT NULL,
  `keyword` varchar(255) DEFAULT NULL,
  `desc` varchar(255) DEFAULT NULL
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

-- ----------------------------
-- Records of t_role
-- ----------------------------
INSERT INTO `t_role` VALUES ('1', '管理员', 'ROLE_ADMIN', null);
INSERT INTO `t_role` VALUES ('2', '用户', 'ROLE_USER', null);

-- ----------------------------
-- Table structure for t_role_menu
-- ----------------------------
DROP TABLE IF EXISTS `t_role_menu`;
CREATE TABLE `t_role_menu` (
  `role_id` int(11) DEFAULT NULL,
  `menu_id` int(11) DEFAULT NULL
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

-- ----------------------------
-- Records of t_role_menu
-- ----------------------------

-- ----------------------------
-- Table structure for t_role_permission
-- ----------------------------
DROP TABLE IF EXISTS `t_role_permission`;
CREATE TABLE `t_role_permission` (
  `role_id` int(11) DEFAULT NULL,
  `permission_id` int(11) DEFAULT NULL
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

-- ----------------------------
-- Records of t_role_permission
-- ----------------------------

-- ----------------------------
-- Table structure for t_user
-- ----------------------------
DROP TABLE IF EXISTS `t_user`;
CREATE TABLE `t_user` (
  `id` int(11) DEFAULT NULL,
  `birthday` varchar(255) DEFAULT NULL,
  `gender` varchar(255) DEFAULT NULL,
  `username` varchar(255) DEFAULT NULL,
  `password` varchar(255) DEFAULT NULL
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

-- ----------------------------
-- Records of t_user
-- ----------------------------

-- ----------------------------
-- Table structure for t_user_role
-- ----------------------------
DROP TABLE IF EXISTS `t_user_role`;
CREATE TABLE `t_user_role` (
  `user_id` int(11) DEFAULT NULL,
  `role_id` int(11) DEFAULT NULL
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

-- ----------------------------
-- Records of t_user_role
-- ----------------------------

导入springsecurity pom坐标:

        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-web</artifactId>
            <version>${spring.sercurity.version}</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-config</artifactId>
            <version>${spring.sercurity.version}</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-taglibs</artifactId>
            <version>${spring.sercurity.version}</version>
        </dependency>

spring配置文件:

spring-security.xml

需要在先springmvc中导入:<import resource="spring-security.xml"></import>

<beans>

    <!--配置那些资源匿名可以访问(不登录也可以访问)-->
    <!--<security:http security="none" pattern="/pages/**"></security:http>-->
    <security:http security="none" pattern="/login.html"></security:http>
    <security:http security="none" pattern="/css/**"></security:http>
    <security:http security="none" pattern="/img/**"></security:http>
    <security:http security="none" pattern="/js/**"></security:http>
    <security:http security="none" pattern="/plugins/**"></security:http>

    <!--auto-config自动配置,如果设置为true,表示自动应用一些默认配置,比如框架会提供一个默认的登录页面
    use-expressions 是否使用表达式-->
    <security:http auto-config="true" use-expressions="true">
        <!--设置在页面可以通过iframe访问受保护的页面,默认为不允许访问-->
        <security:headers>
            <security:frame-options policy="SAMEORIGIN"></security:frame-options>
        </security:headers>
        <!--配置拦截规则,/**表示拦截所有请求-->
        <!--pattern:描述拦截规则-->
        <!--access:指定所需访问角色或者访问权限-->
        <security:intercept-url pattern="/**" access="hasRole('ROLE_ADMIN')"></security:intercept-url>

        <!--只要认证通过节能访问-->
        <!--<security:intercept-url pattern="/index.jsp" access="isAuthenticated()" />-->
        <!--<security:intercept-url pattern="/a.html" access="isAuthenticated()" />-->
        <security:intercept-url pattern="/pages/**" access="isAuthenticated()" />

        /*********以下可以通过注解设置*************************/

        <!--拥有add权限就能访问-->
        <security:intercept-url pattern="/b.html" access="hasAuthority('add')" />

        <!--拥有ROLE_ADMIN角色节能访问c.htmlyemian-->
        <security:intercept-url pattern="/c.html" access="hasRole('ROLE_ADMIN')" />

        <!--如果我们要使用自己指定的页面作为登录页面,必须配置登录表单-->
        <security:form-login login-page="/login.html"
                             username-parameter="username"
                             password-parameter="password"
                             login-processing-url="/login.do"
                             default-target-url="/index.html"   登录成功默认页面
                             authentication-failure-url="/login.html"/>  登录失败页面
        <!--csrf:对应CsrfFilter过滤器 disabled:是否启用CsrfFilter过滤器,如果使用自定义登录页面需要关闭此项,否则登录操作会被禁止-->
        <security:cerf disabled="true"></security:cerf>

        <!--logout:退出登录-->
        <!--logout-url:退出登录操作对应的请求路径-->
        <!--logout-success-url:退出登陆后的跳转页面-->
        <security:logout logiut-url="/logout.do" logout-success-url="/login.html" invalidate-session="true" />    
    </security:http>

    <!--配置认证管理器-->
    <security:authentication-manager>
        <!--配置认证提供者-->
        <security:authentication-provider user-service-ref="userService">
            <!--&lt;!&ndash;配置一个用户,后期需要从数据库查询用户&ndash;&gt;-->
            <!--<security:user-service>-->
                <!--<security:user name="admin" password="{noop}1234" authorities="ROLE_ADMIN"/>-->
            <!--</security:user-service>-->

            <!--指定密码进行加密的对象-->
            <security:password-encoder ref="passwordEncoder"></security:password-encoder>
        </security:authentication-provider>
    </security:authentication-manager>

    <bean id="userService" class="com.xuyu.service.SpringSecurityUserService"></bean>

    <!--配置密码加密对象-->
    <bean id="passwordEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoding"/>

    <!--开启spring注解-->
    <context:annotation-config></context:annotation-config>
</beans>

只需要Service实现security框架提供的UserDetailsService接口:

//实现security框架提供的接口
@Compoment
public class SpringSecurityUserService implements UserDetailsService {

    @Autowired
    private BCryptPasswordEncoder passwordEncoder;

    //模拟数据库中的用户信息
    public static Map<String, User> map = new HashMap<String,User>();
    public void initUserData(){
        User user = new User();
        user.setUsername("admin");
        user.setPassword(passwordEncoder.encode("admin"));  //加密

        User user1 = new User();
        user1.setUsername("yuangong");
        user1.setPassword("2123");

        map.put(user.getUsername(),user1);
        map.put(user1.getUsername(),user1);
    }

    //根据用户名查询用户信息
    public UserDetals loadUserByUsername(String username){
        System.out.println("用户输入的用户名为"+username);
        //根据用户名查询数据库获得用户信息(包含数据库中存储的密码信息)
        User user = map.get(username);
        if(user == null){
            //用户不存在
            return null;
        }else {
            //将用户信息返回给框架
            //框架会进行密码比对(页面提交的密码和数据中查询的密码进行比对)
            ArrayList<GrantedAuthority> list = new ArrayList<GrantedAuthority>();  //授权,后期需要查询数据库
            list.add(new SimpleGrantedAuthority("permission_A"));  //授权
            list.add(new SimpleGrantedAuthority("permission_B"));

            if(username.equals("admin")) {  //只有admin才能登录
                list.add(new SimpleGrantedAuthority("ROLE_ADMIN"));  //授予角色
            }
            security.core.userdetails.User securityUser = new security.core.userdetails.User(username,user.getPassword(),list);
            return securityUser;
        }
    }
}

基于方法注解方式进行权限设置:

spring-security.xml  添加注解开关


    <!--开启spring注解-->
    <context:annotation-config></context:annotation-config>

    <mvc:anotation-driven></mvc:anotation-driven>
    <context:component-scan base-package="com.xuyu.controller"></context:component-scan>

    <!--开启方法注解方式权限控制-->
    <security:global-method-security pre-post-annotations="enable" />

 编写测试类

@RestController
@RequestMapping("/hello")
public class HelloController {

    @RequestMapping("/add")
    @PreAuthorize("hasAuthority('add')")  //调用此方法要求当前用户必须具有add权限
    public String add(){
        System.out.println("test");
        return "success";
    }

    @RequestMapping("/delete")
    @PreAuthorize("hasRole('ROLE_ADMIN')")  //调用此方法要求当前用户必须具有ROLE_ADMIN角色
    public String delete(){
        System.out.println("delete test");
        return "success";
    }
}

从数据库获取角色和权限信息版本:

实现spring security登录鉴权接口:
//此方法框架会在用户登录时调用
public class SpringSecurityUserService implements UserDetailsService {

    //使用dubbo通过网络远程调用服务提供方获取数据库中的信息

    @Autowired
    private UserSerivice userSerivice;

    //根据用户名查询数据库获取用户信息
    public UserDeails loadUserByUsername(String username){
        User user = userSerivice.findByUsername(username);
        if(user == null){
            return null;
        }
        //动态为当前用户授权
        List<GrantedAuthority> list = new ArrayList<GrantedAuthority>();
        Set<Role> roles = user.getRoles();
        for (Role role : roles) {
            //遍历角色集合,为用户授予角色
            list.add(new SimpleGrantedAuthority(role.getKeyword()));
            Set<Permission> permissions = role.getPermissions();
            for (Permission permission : permissions) {
                //遍历权限集合,为用户授权
                list.add(new SimpleGrantedAuthority(permission.getKeyword()));
            }
        }
        org.springframework.security.core.userdetails.User securityUser = new org.springframework.security.core.userdetails.User(username,user.getPassword(),list);
        return securityUser;
    }
}
@Service
@Transactional
public class UserSeriviceImpl implements UserSerivice {

    @Autowired
    private UserDao userDao;

    @Autowired
    private RoleDao roleDao;

    @Autowired
    private PermissionDao permissionDao;

    //根据用户名查询数据库获取用户信息,同时需要查询查询角色关联的权限信息
    public User findByUsername(String username){
        User user = userDao.findByUsername(username);  //查询用户基本信息。不包括用户的角色
        if(user == null){
            return null;
        }
        Integer userId = user.getId();
        //根据用户Id查询对应的角色
        Set<Role> roles = roleDao.findByUserId(userId);
        for (Role role : roles) {
            Integer roleId = role.getId();
            //根据角色Id查询关联的权限
            Set<Permission> permissions = permissionDao.findByRolreId(roleId);
            role.setPermissions(permissions);  //角色关联权限
        }
        user.setRoles(roles);  //让用户关联角色
        return user;
    }
}
UserDao.xml
<mapper namespace="com.xuyu.dao.UserDao">
    <select id="findByUsername" parameterType="String" resultType="com.xuyu.pojo.User">
        select * from t_user where username = ${username}
    </select>
</mapper>

RoleDao.xml:
<mapper namespace="com.xuyu.dao.RoleDao">
    <!--根据用户Id查询关联的角色-->
    <select id="findByUserId" parameterType="int" resultType="com.xuyu.pojo.Role">
        select a.* from t_role a,t_user_role b where a.id = b.role_id and b.user_id = #{user_id}
    </select>
</mapper>

PermissionDao.xml
<mapper namespace="com.xuyu.dao.PermissionDao">
    <!--根据用户Id查询关联的角色-->
    <select id="findByRoleId" parameterType="int" resultType="com.xuyu.pojo.Permission">
        select a.* from t_permission a,t_role_permission b where a.id = b.permission_id and b.roleid = #{role_id}
    </select>
</mapper>

xy294636185
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
基于注解spring-security-login
11-14
基于注解spring-security-login,有兴趣的朋友可以自己下来研究
5.Spring Security安全注解
相互学习 共同进步
04-24 1227
Spring Security默认是禁用注解的,要想开启注解,需要在继承WebSecurityConfigurerAdapter的类上加@EnableGlobalMethodSecurity注解,并在该类中将AuthenticationManager定义为Bean如果要启用基于注解方法安全性,要在配置类上使用**@EnableGlobalMethodSecurity**设置了securedEnabled = true,此时Spring将会创建一个切点,并将带有@Secured注解方法防入切面中。
Spring Security注解详解】
最新发布
samsung_samsung的专栏
05-06 600
Spring Security 是一个强大的、高度可定制的身份验证和访问控制框架,广泛用于Java应用程序中以确保安全。它提供了多种注解来简化安全控制的实现,特别是在方法级别的权限控制上。
Spring Security(1)权限控制(表结构)与Spring Security概述
учёба
11-08 2458
1 权限控制 1.1 认证和授权 要操作系统的功能必须首先登录到系统才可以,而不同的用户可能拥有不同的权限,这就需要进行授权了。 认证:系统提供的用于识别用户身份的功能, 通常提供用户名和密码进行登录其实就是在进行认证,认证的目的是让系统知道你是谁。 授权:用户认证成功后,需要为用户授权,其实就是指定当前用户可以操作哪些功能。 1.2 权限模块数据模型 我们知道了认证和授权的概念,但是要实现最终的权限控制,就需要有一套表结构支撑 如下所示:里面有 用户表t_user、 权限表t_permission
SpringSecurity中对接口进行匿名访问自定义@Anonymous注解
小姜的博客
04-22 2604
注解仅对Spring MVC的控制方法生效,对于其他类型的接口,例如Spring Boot的REST端点、WebSocket端点等,需要根据具体的场景进行相应的配置。提问:我需要自定义一个注解@Anonymous来添加到接口的方法上,对该方法进行匿名访问,怎么实现?过滤器会拦截该请求,并将当前用户的身份设置为匿名用户,从而实现对该接口的匿名访问控制。如果匹配,则将当前用户的身份设置为匿名用户。对象,并将其设置为当前用户的身份,来实现匿名访问控制注解,表示该接口可以进行匿名访问。过滤器之前添加自定义的。
SpringSecurity学习总结
qq_44185887的博客
04-12 943
一、spring security 简介 认证:(你是谁)身份认证,使用系统的任何用户,系统对于他来讲必须要能够进行识别,这个识别的过程我们就称之为认证。在此过程中牵涉到两个表,用户表和角色表,他们能够确定用户的权限。 授权(你能干什么):对于一个指定的用户,系统必须能够知道他具体有什么权限权限表能够确定用户拥有什么权限。一个完整的系统,必须能够进行认证和鉴权,否则系统不具有安全性,系统的功能也不具有任何意义! 攻击防护:(防止伪造身份) <!--设置不拦截这个页面!-->
基于SpringCloud2.1+spring-security-oauth2+nacos+feign的微服务开发脚手架.zip
02-02
这是一个基于SpringCloud 2.1版本的微服务开发框架,结合了spring-security-oauth2用于权限管理和认证,Nacos作为服务注册与配置中心,以及Feign进行服务间的调用。让我们详细了解一下这些技术栈的核心概念和作用。 ...
基于 spring-security 实现 RBAC 权限模型-hello-security.zip
01-30
本项目 "基于 spring-security 实现 RBAC 权限模型-hello-security.zip" 提供了一个基础示例,帮助开发者了解如何在 Spring 应用程序中实施基于角色的访问控制(Role-Based Access Control,简称 RBAC)模型。...
SpringBoot集成Spring Security实现权限控制【完整源码+数据库】
02-16
SpringBoot集成Spring Security是现代Java应用中常见的安全框架组合,它们为开发者提供了强大的权限管理和访问控制功能。Spring Security是一个全面的、高度可配置的安全框架,它涵盖了认证、授权以及会话管理等多个...
Spring-Security-Demo-master.zip
07-15
这个"Spring-Security-Demo-master.zip"压缩包包含了基于Spring Boot和Spring Security实现的前后端分离登录认证及权限控制的示例代码。让我们深入探讨其中涉及的关键知识点。 1. **Spring Boot**:Spring Boot简化...
基于springboot+springSecurity+jwt实现的基于token的权限管理
02-24
这个基于"springboot+springSecurity+jwt实现的基于token的权限管理"的示例项目,旨在帮助开发者理解和实践这些技术。 首先,Spring Boot是Spring框架的简化版,它提供了快速构建和部署应用程序的能力。通过自动...
关于黑马SSM整合时使用spring-security框架做用户登录时出现的Access is denied的问题
weixin_44861708的博客
02-20 1066
可能会出现两个问题 1.login.jsp中form表单路径与spring-Security.xml中login-processing-url不一致 <form action="${pageContext.request.contextPath}/login.do" method="post"> <security:form-login lo...
SpringSecurity加密认证
Leon_Jinhai_Sun的博客
11-14 263
加密认证 在IOC容器中提供加密对象 <!--加密对象--> <bean id="passwordEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder"/> <!--设置Spring Security认证用户信息的来源--> <security:authentication-manager> <security:aut
spring security教程
下雨天__的专栏
11-27 1341
spring security的配置 首先,先把项目的整体结构以及整体配置贴出来,后面介绍中会将其中的功能模块一个一个的细讲解,稍安勿躁,一步一步的往下看: 本例使用springMVC+spring security进行测试,需要导入的jar包:       项目基本结构:     环境搭建,主要是三个配置文件:web.xml, applic
SpringSecurity从0到1搭建详细教程三——添加权限RBAC权限模型详解
m0_47743175的博客
11-24 468
SpringSecurity从0到1搭建详细教程三——添加权限RBAC权限模型详解
SpringSecurity-用户授权-注解使用
qq_43297569的博客
03-10 477
SpringSecurity-用户授权-注解使用,认证授权的注解使用(五个注解)@Secured,@PreAuthorize,@PostAuthorize
SpringSecurity登录验证和鉴权粗解
javaFrom0To100的博客
09-13 1042
SpringSecuritySpring家族中的一个安全管理框架,它的底层是一系列的拦截器和拦截规则,相当于一个拦截器链。
若依框架解读(前后端分离版)—— 1.Spring Security相关配置(@Anonymous注解
hwp_ing的博客
11-26 8018
可以看到这里实现了InitializingBean()接口,然后重写当中的afterPropertiesSet()方法,同时该类加上了@Configuration注解。我们可以了解到在项目启动后,会把所有加上@Anonymous注解的路径放入了urls集合,并且在配置类当中进行了配置。首先查看Security配置类SecurityConfig,如果我们想要放行自己写的接口是可以在此配置,也可以加上@Anonymous注解。因此我们才能在SecurityUtils工具了方便的在需要的地方获取用户信息。
SpringSecurity使用注解匿名访问接口
weixin_49390750的博客
08-24 752
SpringSecurity使用注解匿名访问接口
怎么Spring Security框架来进行权限控制
04-27
Spring Security 中,可以使用多种方式来实现权限控制,其中最常见的方式是基于 URL 的权限控制和基于方法权限控制。 基于 URL 的权限控制通常使用 Spring Security 的配置文件来定义需要保护的 URL 和访问...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值