基于Spring Security与RBAC的权限管理系统实现

最新推荐文章于 2024-03-20 18:12:08 发布
最新推荐文章于 2024-03-20 18:12:08 发布
阅读量388 收藏 1
点赞数
文章标签: spring 数据库 mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yexuejianghan/article/details/129780479
版权

基于Spring Security的权限管理系统代码实现,其中使用MySQL数据库存储用户信息、角色信息和权限信息,并使用了用户-角色-权限三级设计。

首先,需要在MySQL数据库中创建三个表,分别是usersrolespermissions。创建表的SQL语句如下:

CREATE TABLE `users` (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `username` varchar(50) NOT NULL,
  `password` varchar(255) NOT NULL,
  `enabled` tinyint(1) NOT NULL,
  PRIMARY KEY (`id`),
  UNIQUE KEY `username` (`username`)
);

CREATE TABLE `roles` (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `name` varchar(50) NOT NULL,
  PRIMARY KEY (`id`),
  UNIQUE KEY `name` (`name`)
);

CREATE TABLE `permissions` (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `name` varchar(50) NOT NULL,
  PRIMARY KEY (`id`),
  UNIQUE KEY `name` (`name`)
);

CREATE TABLE `user_roles` (
  `user_id` int(11) NOT NULL,
  `role_id` int(11) NOT NULL,
  PRIMARY KEY (`user_id`,`role_id`),
  KEY `fk_user_roles_role` (`role_id`),
  CONSTRAINT `fk_user_roles_user` FOREIGN KEY (`user_id`) REFERENCES `users` (`id`),
  CONSTRAINT `fk_user_roles_role` FOREIGN KEY (`role_id`) REFERENCES `roles` (`id`)
);

CREATE TABLE `role_permissions` (
  `role_id` int(11) NOT NULL,
  `permission_id` int(11) NOT NULL,
  PRIMARY KEY (`role_id`,`permission_id`),
  KEY `fk_role_permissions_permission` (`permission_id`),
  CONSTRAINT `fk_role_permissions_role` FOREIGN KEY (`role_id`) REFERENCES `roles` (`id`),
  CONSTRAINT `fk_role_permissions_permission` FOREIGN KEY (`permission_id`) REFERENCES `permissions` (`id`)
);

上述SQL语句创建了usersrolespermissions三个表,以及两个关系表user_rolesrole_permissions,用于存储用户和角色、角色和权限之间的关联关系。

接下来,创建Spring Security的配置类SecurityConfig,配置用户认证、授权和注销等功能。具体代码如下:

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private UserDetailsService userDetailsService;

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder());
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/admin/**").hasRole("ADMIN")
                .antMatchers("/user/**").hasRole("USER")
                .antMatchers("/public/**").permitAll()
                .anyRequest().authenticated()
                .and()
                .formLogin()
                .and()
                .logout().logoutUrl("/logout").logoutSuccessUrl("/login").invalidateHttpSession(true).deleteCookies("JSESSIONID");
    }

    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring().antMatchers("/css/**", "/js/**", "/images/**");
    }
}

上述代码中,SecurityConfig类继承了WebSecurityConfigurerAdapter类,并使用了@EnableWebSecurity注解开启了Web Security功能。

configure(AuthenticationManagerBuilder auth)方法中,通过调用userDetailsService()方法并传入userDetailsService对象,来配置用户认证功能。这里使用了BCryptPasswordEncoder对象对密码进行加密。

configure(HttpSecurity http)方法中,使用authorizeRequests()方法配置了URL请求的访问规则。其中,antMatchers()方法用于匹配URL请求,hasRole()方法用于指定角色名称,permitAll()方法表示允许任何人访问,authenticated()方法表示需要认证才能访问。

接着,调用formLogin()方法启用了表单登录功能。默认情况下,Spring Security使用/login作为登录页面的URL。如果需要自定义登录页面,可以在formLogin()方法中使用loginPage()方法指定。

最后,调用logout()方法配置了注销功能。其中,logoutUrl()方法指定了注销URL,logoutSuccessUrl()方法指定了注销成功后跳转的页面,invalidateHttpSession()方法用于使HTTP Session失效,deleteCookies()方法用于删除指定名称的cookie。

接下来,创建CustomUserDetailsService类,实现UserDetailsService接口,用于从MySQL数据库中查询用户信息。具体代码如下:

@Service
public class CustomUserDetailsService implements UserDetailsService {

    @Autowired
    private UserRepository userRepository;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        User user = userRepository.findByUsername(username);
        if (user == null) {
            throw new UsernameNotFoundException("User not found");
        }
        return new CustomUserDetails(user);
    }
}

上述代码中,使用@Service注解将CustomUserDetailsService类注册为Spring Bean。在loadUserByUsername()方法中,调用userRepository.findByUsername()方法查询指定用户名的用户信息,并将查询结果封装为CustomUserDetails对象返回。

接下来,创建CustomUserDetails类,实现UserDetails接口,用于封装用户信息和角色信息。具体代码如下:

public class CustomUserDetails implements UserDetails {

    private User user;
    private List<Role> roles;

    public CustomUserDetails(User user) {
        this.user = user;
        this.roles = new ArrayList<>(user.getRoles());
    }

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        List<GrantedAuthority> authorities = new ArrayList<>();
        for (Role role : roles) {
            authorities.add(new SimpleGrantedAuthority("ROLE_" + role.getName()));
            for (Permission permission : role.getPermissions()) {
                authorities.add(new SimpleGrantedAuthority(permission.getName()));
            }
        }
        return authorities;
    }

    @Override
    public String getPassword() {
        return user.getPassword();
    }

    @Override
    public String getUsername() {
        return user.getUsername();
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return user.isEnabled();
    }
}

上述代码中,CustomUserDetails类实现了getAuthorities()方法,用于获取用户拥有的权限。在这个方法中,遍历用户拥有的所有角色和权限,并将它们封装为SimpleGrantedAuthority对象,添加到authorities集合中返回。

最后,创建UserRepository接口,继承JpaRepository接口,用于定义查询用户信息的方法。具体代码如下:

@Repository
public interface UserRepository extends JpaRepository<User, Long> {

    User findByUsername(String username);
}

上述代码中,使用@Repository注解将UserRepository接口注册为Spring Bean。在UserRepository接口中,定义了findByUsername()方法,用于根据用户名查询用户信息。

至此,基于Spring Security的权限管理系统代码实现完成。

夜雪江寒
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringSecurityRBAC角色权限控制
user__kk的博客
09-12 1098
RBAC 全称为用户角色权限控制,通过角色关联用户,角色关联权限,这种方式,间阶的赋予用户的权限。对于通常的系统而言,存在多个用户具有相同的权限,在分配的时候,要为指定的用户分配相关的权限,修改的时候也要依次的对这几个用户的权限进行修改,有了角色这个权限,在修改权限的时候,只需要对角色进行修改,就可以实现相关的权限的修改。这样做增加了效率,减少了权限漏洞的发生。权限是资源的集合,这里的资源指的是软件中的所有的内容,即,对页面的操作权限,对页面的访问权限,对数据的增删查改的权限
RBAC权限管理系统
Pcccy的博客
08-12 1673
RBAC权限模型,即:基于角色的权限控制,模型中有几个关键的术语:用户:系统接口及访问的操作者。权限:能够访问某接口或者做某操作的授权资格。角色:具有一类相同操作权限的用户的总称。一个用户拥有一个角色,一个角色拥有多个权限。自主访问控制(DAC:Discretionary Access Control)强制访问控制(MAC:Mandatory Access Control)基于属性的权限验证(ABAC:Attribute-Based Control)...
RBAC 权限管理系统
hj1993的博客
04-22 293
【代码】RBAC 权限管理系统。
RBAC用户角色权限管理
qq_51386003的博客
08-22 4930
RBAC(Role-Based Access Control,基于角色的访问控制),就是用户通过角色与权限进行关联。简单地说,一个用户拥有若干角色,每一个角色拥有若干权限。这样,就构造成“用户-角色-权限”的授权模型。在这种模型中,用户与角色之间,角色与权限之间,一般者是多对多的关系。可以看出角色表起到了一个承接的作用把权限下发给每一个角色,而用户可以选择角色来间接的获取权限User(用户):每个用户都有唯一的UID识别,并被授予不同的角色Role(角色):不同角色具有不同的权限
SpringSecurity实现RBAC权限验证
weixin_45881125的博客
03-20 1776
基于角色的访问控制(RBAC)是一种访问控制策略,用于管理系统、应用程序或网络中的用户对资源的访问权限RBAC 将用户分配给角色,然后将权限分配给角色,而不是直接将权限分配给个别用户。这种方式简化了权限管理,特别是在大型组织或系统中,可以更轻松地管理权限。角色(Roles):角色是一组具有相似职责或权限需求的用户集合。例如,一个企业应用可能有角色如“管理员”、“普通用户”、“审计员”等。
用户权限管理体系 (RBAC)
帆的博客
09-06 1972
RBAC
整合Spring+Spring security基于RBAC模型实现通用的权限控制和用户管理系统(适合新手了解学习权限相关技术)
06-21
本项目基于Spring,整合Springsecurity模块,实现用户管理和权限控制,是一套较为通用的权限控制功能,主要内容如下: 1.登录,包括“记住我”的功能; 2.加密,存储的密码不采用明文,初始密码1234; 3.拦截器...
管理系统系列--pre基于spring securityRBAC权限管理系统.zip
02-25
《基于Spring SecurityRBAC权限管理系统详解》 在IT领域,权限管理是系统设计中不可或缺的一部分,特别是对于大型企业级应用来说,权限控制至关重要。本文将深入探讨如何使用Spring Security框架构建一个基于Role...
基于SpringBoot+SpringSecurityRBAC管理系统源码+数据库+项目说明.zip
12-20
这是一款基于SpringBoot+SpringSecurityRBAC权限管理系统。原本只想着做成基于SpringSecurity权限管理系统,但随着功能的增加感觉有些刹不住车了,之后可能会往后台管理系统方向发展。无任何重度依赖,非常适合...
基于SpringBoot和SpringSecurityRBAC后台权限管理系统设计源码
最新发布
04-19
本源码为基于SpringBoot和SpringSecurityRBAC后台权限管理系统设计,共包含535个文件,其中js文件151个,java文件96个,gif图片76张,css文件66个,html文件52个,PNG图片22张,map文件14个,xml文件13个,svg文件...
基于RBAC权限管理模型的实现
02-12
本资源是基于RBAC权限管理模型思想实现的完整JAVA代码,有数据库脚本,对于基于RBAC思想的开发具有很好的启发与帮助作用。
spring-security-rbac:Spring Security实现RBAC权限管理
05-15
Spring Security实现RBAC权限管理 一简介 在企业应用中,认证和授权是非常重要的一部分内容,业界最出名的两个框架就是大名鼎鼎的 Shiro和Spring Security。由于Spring Boot非常的流行,选择Spring Security做认证和授权的 人越来越多,今天我们就来看看用SpringSpring Security如何实现基于RBAC权限管理。 二、基础概念RBAC RBAC是Role Based Access Control的缩写,是基于角色的访问控制。一般都是分为用户(user), 角色(role),权限(permission)三个实体,角色(role)和权限(permission)是多对多的 关系,用户(user)和角色(role)也是多对多的关系。用户(user)和权限(permission) 之间没有直接的关系,都是通过角色作为代理,才能获
pre:基于Spring Boot,Spring SecurityRBAC权限管理系统,做更简洁的后台管理系统
03-11
系统介绍预基于Spring Boot,Spring Security,Vue的前预先分离的RBAC权限管理系统,项目支持数据权限管理,支持重定向配置动态路由,第三方社交登录,努力做最简单的后台管理系统。基于Spring Boot 2.2.2,Spring ...
SpringSecurity从入门到放弃之RBAC权限认证(二)
qq_33479841的博客
06-06 3555
上文写到了SpringSecurity从入门到放弃之JWT认证登陆(一),该文章介绍了spring security的登陆原理以及整合JWT的登陆案例,本文将基于上文,介绍spring securtity整合RBAC权限模型,实现按权访问接口。
基于Spring Security实现权限管理系统
热门推荐
要坚持,要认真。
11-06 7万+
基于Spring Security实现权限管理系统 稍微复杂一点的后台系统都会涉及到用户权限管理。何谓用户权限?我的理解就是,权限就是对数据(系统的实体类)和数据可进行的操作(增删查改)的集中管理。要构建一个可用的权限管理系统,涉及到三个核心类:一个是用户User,一个是角色Role,最后是权限Permission。接下来本文将介绍如何基于Spring Security 4.0一步一步构建起一个接...
基于SecurityRBAC权限控制数据库模型设计
hq.zheng的博客
04-19 488
基于角色的权限访问控制(Role-Based Access Control)作为传统访问控制(自主访问,强制访问)的有前景的代替受到广泛的关注。在RBAC中,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限。在一个组织中,角色是为了完成各种工作而创造,用户则依据它的责任和资格来被指派相应的角色,用户可以很容易地从一个角色被指派到另一个角色。角色可依新的需求和系统的合并而赋予新的权限,而权限也可根据需要而从某角色中回收。角色与角色的关系可以建立起来以囊括更广泛的客观情况。
Spring SecurityRBAC模型
yinyin_xiao的博客
08-23 1796
Spring Security基于RBAC模型实现权限管理
tp6 RBAC权限控制的实现(源码)
xy_702593469的博客
12-17 1560
public function login(){ $username=Session::get('username'); if(!empty($username)){ return redirect('show'); } return View::fetch('login'); } public function dologin(Request $request){ $check = $request->checkToken('__token_.
万字长文,SpringSecurity
mySoul
06-30 954
思维导图如下 RBAC权限分析 RBAC 全称为基于角色的权限控制,本段将会从什么是RBAC,模型分类,什么是权限,用户组的使用,实例分析等几个方面阐述RBAC 思维导图 绘制思维导图如下 什么是RBAC RBAC 全称为用户角色权限控制,通过角色关联用户,角色关联权限,这种方式,间阶的赋予用户的权限,如下图所示 对于通常的系统而言,存在多个用户具有相同的权限,在分配的时候,要为指定的用户分配相关的权限,修改的时候也要依次的对这几个用户的权限进行修改,有了角色这个权限,在修改权限的时候,只需要对角色进
spring security权限管理基于rbac模型的一个实现
05-18
因此,我们可以考虑基于RBAC(基于角色的访问控制)模型来实现Spring Security权限管理RBAC模型是一种广泛应用的访问控制模型,通过将用户、角色和权限三者之间的关系建立起来,实现对系统资源的控制。 下面是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值