基于Spring Security与RBAC的权限管理系统实现

最新推荐文章于 2024-03-20 18:12:08 发布
最新推荐文章于 2024-03-20 18:12:08 发布
阅读量381 收藏 1
点赞数
文章标签: spring 数据库 mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yexuejianghan/article/details/129780479
版权

基于Spring Security的权限管理系统代码实现,其中使用MySQL数据库存储用户信息、角色信息和权限信息,并使用了用户-角色-权限三级设计。

首先,需要在MySQL数据库中创建三个表,分别是usersrolespermissions。创建表的SQL语句如下:

CREATE TABLE `users` (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `username` varchar(50) NOT NULL,
  `password` varchar(255) NOT NULL,
  `enabled` tinyint(1) NOT NULL,
  PRIMARY KEY (`id`),
  UNIQUE KEY `username` (`username`)
);

CREATE TABLE `roles` (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `name` varchar(50) NOT NULL,
  PRIMARY KEY (`id`),
  UNIQUE KEY `name` (`name`)
);

CREATE TABLE `permissions` (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `name` varchar(50) NOT NULL,
  PRIMARY KEY (`id`),
  UNIQUE KEY `name` (`name`)
);

CREATE TABLE `user_roles` (
  `user_id` int(11) NOT NULL,
  `role_id` int(11) NOT NULL,
  PRIMARY KEY (`user_id`,`role_id`),
  KEY `fk_user_roles_role` (`role_id`),
  CONSTRAINT `fk_user_roles_user` FOREIGN KEY (`user_id`) REFERENCES `users` (`id`),
  CONSTRAINT `fk_user_roles_role` FOREIGN KEY (`role_id`) REFERENCES `roles` (`id`)
);

CREATE TABLE `role_permissions` (
  `role_id` int(11) NOT NULL,
  `permission_id` int(11) NOT NULL,
  PRIMARY KEY (`role_id`,`permission_id`),
  KEY `fk_role_permissions_permission` (`permission_id`),
  CONSTRAINT `fk_role_permissions_role` FOREIGN KEY (`role_id`) REFERENCES `roles` (`id`),
  CONSTRAINT `fk_role_permissions_permission` FOREIGN KEY (`permission_id`) REFERENCES `permissions` (`id`)
);

上述SQL语句创建了usersrolespermissions三个表,以及两个关系表user_rolesrole_permissions,用于存储用户和角色、角色和权限之间的关联关系。

接下来,创建Spring Security的配置类SecurityConfig,配置用户认证、授权和注销等功能。具体代码如下:

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private UserDetailsService userDetailsService;

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder());
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/admin/**").hasRole("ADMIN")
                .antMatchers("/user/**").hasRole("USER")
                .antMatchers("/public/**").permitAll()
                .anyRequest().authenticated()
                .and()
                .formLogin()
                .and()
                .logout().logoutUrl("/logout").logoutSuccessUrl("/login").invalidateHttpSession(true).deleteCookies("JSESSIONID");
    }

    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring().antMatchers("/css/**", "/js/**", "/images/**");
    }
}

上述代码中,SecurityConfig类继承了WebSecurityConfigurerAdapter类,并使用了@EnableWebSecurity注解开启了Web Security功能。

configure(AuthenticationManagerBuilder auth)方法中,通过调用userDetailsService()方法并传入userDetailsService对象,来配置用户认证功能。这里使用了BCryptPasswordEncoder对象对密码进行加密。

configure(HttpSecurity http)方法中,使用authorizeRequests()方法配置了URL请求的访问规则。其中,antMatchers()方法用于匹配URL请求,hasRole()方法用于指定角色名称,permitAll()方法表示允许任何人访问,authenticated()方法表示需要认证才能访问。

接着,调用formLogin()方法启用了表单登录功能。默认情况下,Spring Security使用/login作为登录页面的URL。如果需要自定义登录页面,可以在formLogin()方法中使用loginPage()方法指定。

最后,调用logout()方法配置了注销功能。其中,logoutUrl()方法指定了注销URL,logoutSuccessUrl()方法指定了注销成功后跳转的页面,invalidateHttpSession()方法用于使HTTP Session失效,deleteCookies()方法用于删除指定名称的cookie。

接下来,创建CustomUserDetailsService类,实现UserDetailsService接口,用于从MySQL数据库中查询用户信息。具体代码如下:

@Service
public class CustomUserDetailsService implements UserDetailsService {

    @Autowired
    private UserRepository userRepository;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        User user = userRepository.findByUsername(username);
        if (user == null) {
            throw new UsernameNotFoundException("User not found");
        }
        return new CustomUserDetails(user);
    }
}

上述代码中,使用@Service注解将CustomUserDetailsService类注册为Spring Bean。在loadUserByUsername()方法中,调用userRepository.findByUsername()方法查询指定用户名的用户信息,并将查询结果封装为CustomUserDetails对象返回。

接下来,创建CustomUserDetails类,实现UserDetails接口,用于封装用户信息和角色信息。具体代码如下:

public class CustomUserDetails implements UserDetails {

    private User user;
    private List<Role> roles;

    public CustomUserDetails(User user) {
        this.user = user;
        this.roles = new ArrayList<>(user.getRoles());
    }

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        List<GrantedAuthority> authorities = new ArrayList<>();
        for (Role role : roles) {
            authorities.add(new SimpleGrantedAuthority("ROLE_" + role.getName()));
            for (Permission permission : role.getPermissions()) {
                authorities.add(new SimpleGrantedAuthority(permission.getName()));
            }
        }
        return authorities;
    }

    @Override
    public String getPassword() {
        return user.getPassword();
    }

    @Override
    public String getUsername() {
        return user.getUsername();
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return user.isEnabled();
    }
}

上述代码中,CustomUserDetails类实现了getAuthorities()方法,用于获取用户拥有的权限。在这个方法中,遍历用户拥有的所有角色和权限,并将它们封装为SimpleGrantedAuthority对象,添加到authorities集合中返回。

最后,创建UserRepository接口,继承JpaRepository接口,用于定义查询用户信息的方法。具体代码如下:

@Repository
public interface UserRepository extends JpaRepository<User, Long> {

    User findByUsername(String username);
}

上述代码中,使用@Repository注解将UserRepository接口注册为Spring Bean。在UserRepository接口中,定义了findByUsername()方法,用于根据用户名查询用户信息。

至此,基于Spring Security的权限管理系统代码实现完成。

夜雪江寒
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringSecurityRBAC角色权限控制
user__kk的博客
09-12 980
RBAC 全称为用户角色权限控制,通过角色关联用户,角色关联权限,这种方式,间阶的赋予用户的权限。对于通常的系统而言,存在多个用户具有相同的权限,在分配的时候,要为指定的用户分配相关的权限,修改的时候也要依次的对这几个用户的权限进行修改,有了角色这个权限,在修改权限的时候,只需要对角色进行修改,就可以实现相关的权限的修改。这样做增加了效率,减少了权限漏洞的发生。权限是资源的集合,这里的资源指的是软件中的所有的内容,即,对页面的操作权限,对页面的访问权限,对数据的增删查改的权限
RBAC权限管理系统
Pcccy的博客
08-12 1651
RBAC权限模型,即:基于角色的权限控制,模型中有几个关键的术语:用户:系统接口及访问的操作者。权限:能够访问某接口或者做某操作的授权资格。角色:具有一类相同操作权限的用户的总称。一个用户拥有一个角色,一个角色拥有多个权限。自主访问控制(DAC:Discretionary Access Control)强制访问控制(MAC:Mandatory Access Control)基于属性的权限验证(ABAC:Attribute-Based Control)...
SpringSecurity实现RBAC权限验证
最新发布
weixin_45881125的博客
03-20 1696
基于角色的访问控制(RBAC)是一种访问控制策略,用于管理系统、应用程序或网络中的用户对资源的访问权限RBAC 将用户分配给角色,然后将权限分配给角色,而不是直接将权限分配给个别用户。这种方式简化了权限管理,特别是在大型组织或系统中,可以更轻松地管理权限。角色(Roles):角色是一组具有相似职责或权限需求的用户集合。例如,一个企业应用可能有角色如“管理员”、“普通用户”、“审计员”等。
RBAC 权限管理系统
hj1993的博客
04-22 280
【代码】RBAC 权限管理系统。
RBAC用户角色权限管理
qq_51386003的博客
08-22 4887
RBAC(Role-Based Access Control,基于角色的访问控制),就是用户通过角色与权限进行关联。简单地说,一个用户拥有若干角色,每一个角色拥有若干权限。这样,就构造成“用户-角色-权限”的授权模型。在这种模型中,用户与角色之间,角色与权限之间,一般者是多对多的关系。可以看出角色表起到了一个承接的作用把权限下发给每一个角色,而用户可以选择角色来间接的获取权限User(用户):每个用户都有唯一的UID识别,并被授予不同的角色Role(角色):不同角色具有不同的权限
整合Spring+Spring security基于RBAC模型实现通用的权限控制和用户管理系统(适合新手了解学习权限相关技术)
06-21
本项目基于Spring,整合Springsecurity模块,实现用户管理和权限控制,是一套较为通用的权限控制功能,主要内容如下: 1.登录,包括“记住我”的功能; 2.加密,存储的密码不采用明文,初始密码1234; 3.拦截器...
管理系统系列--pre基于spring securityRBAC权限管理系统.zip
02-25
管理系统系列--pre基于spring securityRBAC权限管理系统
基于SpringBoot+SpringSecurityRBAC管理系统源码+数据库+项目说明.zip
12-20
这是一款基于SpringBoot+SpringSecurityRBAC权限管理系统。原本只想着做成基于SpringSecurity权限管理系统,但随着功能的增加感觉有些刹不住车了,之后可能会往后台管理系统方向发展。无任何重度依赖,非常适合...
pre:基于Spring Boot,Spring SecurityRBAC权限管理系统,做更简洁的后台管理系统
03-11
系统介绍预基于Spring Boot,Spring Security,Vue的前预先分离的RBAC权限管理系统,项目支持数据权限管理,支持重定向配置动态路由,第三方社交登录,努力做最简单的后台管理系统。基于Spring Boot 2.2.2,Spring ...
Pre基于Spring Boot 、Spring SecurityRBAC权限管理系统, 做更简洁的后台管理系统。.zip
03-03
Java是一种高性能、跨平台的面向...自动内存管理(垃圾回收): Java具有自动内存管理机制,通过垃圾回收器自动回收不再使用的对象,使得开发者不需要手动管理内存,减轻了程序员的负担,同时也减少了内存泄漏的风险。
基于RBAC权限管理模型的实现
02-12
本资源是基于RBAC权限管理模型思想实现的完整JAVA代码,有数据库脚本,对于基于RBAC思想的开发具有很好的启发与帮助作用。
spring-security-rbac:Spring Security实现RBAC权限管理
05-15
Spring Security实现RBAC权限管理 一简介 在企业应用中,认证和授权是非常重要的一部分内容,业界最出名的两个框架就是大名鼎鼎的 Shiro和Spring Security。由于Spring Boot非常的流行,选择Spring Security做认证和授权的 人越来越多,今天我们就来看看用SpringSpring Security如何实现基于RBAC权限管理。 二、基础概念RBAC RBAC是Role Based Access Control的缩写,是基于角色的访问控制。一般都是分为用户(user), 角色(role),权限(permission)三个实体,角色(role)和权限(permission)是多对多的 关系,用户(user)和角色(role)也是多对多的关系。用户(user)和权限(permission) 之间没有直接的关系,都是通过角色作为代理,才能获
用户权限管理体系 (RBAC)
帆的博客
09-06 1958
RBAC
SpringSecurity从入门到放弃之RBAC权限认证(二)
qq_33479841的博客
06-06 3497
上文写到了SpringSecurity从入门到放弃之JWT认证登陆(一),该文章介绍了spring security的登陆原理以及整合JWT的登陆案例,本文将基于上文,介绍spring securtity整合RBAC权限模型,实现按权访问接口。
基于Spring Security实现权限管理系统
热门推荐
要坚持,要认真。
11-06 7万+
基于Spring Security实现权限管理系统 稍微复杂一点的后台系统都会涉及到用户权限管理。何谓用户权限?我的理解就是,权限就是对数据(系统的实体类)和数据可进行的操作(增删查改)的集中管理。要构建一个可用的权限管理系统,涉及到三个核心类:一个是用户User,一个是角色Role,最后是权限Permission。接下来本文将介绍如何基于Spring Security 4.0一步一步构建起一个接...
基于SecurityRBAC权限控制数据库模型设计
hq.zheng的博客
04-19 471
基于角色的权限访问控制(Role-Based Access Control)作为传统访问控制(自主访问,强制访问)的有前景的代替受到广泛的关注。在RBAC中,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限。在一个组织中,角色是为了完成各种工作而创造,用户则依据它的责任和资格来被指派相应的角色,用户可以很容易地从一个角色被指派到另一个角色。角色可依新的需求和系统的合并而赋予新的权限,而权限也可根据需要而从某角色中回收。角色与角色的关系可以建立起来以囊括更广泛的客观情况。
Spring SecurityRBAC模型
yinyin_xiao的博客
08-23 1778
Spring Security基于RBAC模型实现权限管理
tp6 RBAC权限控制的实现(源码)
xy_702593469的博客
12-17 1550
public function login(){ $username=Session::get('username'); if(!empty($username)){ return redirect('show'); } return View::fetch('login'); } public function dologin(Request $request){ $check = $request->checkToken('__token_.
spring security权限管理基于rbac模型的一个实现
05-18
Spring Security是一个基于Spring框架的安全框架,可用于实现各种安全策略,包括身份验证、授权、攻击防护等。在权限管理方面,Spring Security提供了一些基本的实现,例如使用注解控制权限、使用表达式控制权限等,但是这些实现都比较简单,无法满足复杂的权限管理需求。 因此,我们可以考虑基于RBAC(基于角色的访问控制)模型来实现Spring Security权限管理RBAC模型是一种广泛应用的访问控制模型,通过将用户、角色和权限三者之间的关系建立起来,实现对系统资源的控制。 下面是一个基于RBAC模型的Spring Security权限管理实现步骤: 1. 定义用户、角色和权限实体类,建立它们之间的关系。例如,一个用户可以有多个角色,一个角色可以包含多个权限。 2. 在数据库中建立用户、角色和权限的表,并将它们之间的关系存储在中间表中。 3. 使用Spring Security的UserDetailsService接口来实现用户认证,根据用户名从数据库中查询用户信息,包括用户对应的角色信息。 4. 使用Spring Security的AccessDecisionVoter接口来实现授权决策。在该接口的实现中,从数据库中查询当前用户对应的所有权限,并根据用户请求的资源路径和请求方法来判断用户是否有权限访问该资源。 5. 在Spring Security的配置中配置相应的过滤器链,例如UsernamePasswordAuthenticationFilter、BasicAuthenticationFilter等。同时,定义自己的过滤器,例如RoleBasedAuthorizationFilter,用于实现RBAC模型的权限控制。 6. 在Controller层使用注解进行权限控制,例如@PreAuthorize、@PostAuthorize等。 通过以上步骤,就可以基于RBAC模型来实现Spring Security权限管理。需要注意的是,RBAC模型的实现需要考虑到性能和安全性方面的问题,例如缓存用户权限信息、防止SQL注入等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值