权限,授权

最新推荐文章于 2022-12-28 13:06:14 发布
最新推荐文章于 2022-12-28 13:06:14 发布
阅读量518 收藏
点赞数
分类专栏: java SpringSecurit
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yuzheh521/article/details/106741930
版权

Spring Security

登录先执行认证

1

//登录认证
public class TokenLoginFilter extends UsernamePasswordAuthenticationFilter {}

在这里插入图片描述
得到用户名密码
在这里插入图片描述

执行会调用 1.1

根据用户名查询用户信息和所具有的权限,然后通过security对象返回

@Service("userDetailsService")
public class UserDetailsServiceImpl implements UserDetailsService {
/***
     * 根据账号获取用户信息,
     * @param username:
     * @return: org.springframework.security.core.userdetails.UserDetails
     */}

登录过程中会查数据库 调用

package com.yzh.aclservice.service.impl;
import com.yzh.aclservice.entity.User;
import com.yzh.aclservice.service.PermissionService;
import com.yzh.aclservice.service.UserService;
import com.yzh.serurity.entity.SecurityUser;

import org.springframework.beans.BeanUtils;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;

import java.util.List;

/**
 * <p>
 * 自定义userDetailsService - 认证用户详情
 * </p>
 *
 */
//实现security的实现类
@Service("userDetailsService")
public class UserDetailsServiceImpl implements UserDetailsService {

    @Autowired
    private UserService userService;

    @Autowired
    private PermissionService permissionService;

    /***
     * 根据账号获取用户信息
     * @param username:
     * @return: org.springframework.security.core.userdetails.UserDetails
     */
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        // 从数据库中取出用户信息
        User user = userService.selectByUsername(username);

        // 判断用户是否存在
        if (null == user){
            //throw new UsernameNotFoundException("用户名不存在!");
        }
        // 返回UserDetails实现类
        com.yzh.serurity.entity.User curUser = new com.yzh.serurity.entity.User();
        BeanUtils.copyProperties(user,curUser);
        //查询权限
        List<String> authorities = permissionService.selectPermissionValueByUserId(user.getId());
        SecurityUser securityUser = new SecurityUser(curUser);
        securityUser.setPermissionValueList(authorities);
        return securityUser;
    }

}

2.如果认证正确

会执行认证过滤器的
successfulAuthentication方法

//登录认证
public class TokenLoginFilter extends UsernamePasswordAuthenticationFilter {}

得到用户信息,根据用户信息得到token值,并且把用户名,和权限信息生成一个token值,
并且把查询出来的权限,和用户信息放到redis中,用户名作为key
然后把token 返回

 /**
     * 登录成功
     * @param req
     * @param res
     * @param chain
     * @param auth
     * @throws IOException
     * @throws ServletException
     */
    @Override
    protected void successfulAuthentication(HttpServletRequest req, HttpServletResponse res, FilterChain chain,
                                            Authentication auth) throws IOException, ServletException {
        SecurityUser user = (SecurityUser) auth.getPrincipal();
        String token = tokenManager.createToken(user.getCurrentUserInfo().getUsername());
        //用户信息放入缓存
        redisTemplate.opsForValue().set(user.getCurrentUserInfo().getUsername(), user.getPermissionValueList());

        ResponseUtil.out(res, R.ok().data("token", token));
    }

如果认证失败调用
认证中的失败方法

/**
     * 登录失败
     * @param request
     * @param response
     * @param e
     * @throws IOException
     * @throws ServletException
     */
    @Override
    protected void unsuccessfulAuthentication(HttpServletRequest request, HttpServletResponse response,
                                              AuthenticationException e) throws IOException, ServletException {
        ResponseUtil.out(response, R.error());
    }

package com.yzh.serurity.filter;


import com.fasterxml.jackson.databind.ObjectMapper;
import com.yzh.serurity.entity.SecurityUser;
import com.yzh.serurity.entity.User;
import com.yzh.serurity.security.TokenManager;
import com.yzh.utils.ResponseUtil;
import com.yzh.utils.ordervo.R;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;
import org.springframework.security.web.util.matcher.AntPathRequestMatcher;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.ArrayList;

/**
 * <p>
 * 登录过滤器,继承UsernamePasswordAuthenticationFilter,对用户名密码进行登录校验
 * </p>
 *
 * @author qy
 * @since 2019-11-08
 */
//登录认证
public class TokenLoginFilter extends UsernamePasswordAuthenticationFilter {

    private AuthenticationManager authenticationManager;
    private TokenManager tokenManager;
    private RedisTemplate redisTemplate;

    public TokenLoginFilter(AuthenticationManager authenticationManager, TokenManager tokenManager, RedisTemplate redisTemplate) {
        this.authenticationManager = authenticationManager;
        this.tokenManager = tokenManager;
        this.redisTemplate = redisTemplate;
        this.setPostOnly(false);
        //当前登录请求地址
        this.setRequiresAuthenticationRequestMatcher(new AntPathRequestMatcher("/admin/acl/login","POST"));
    }
    //得到登录时候的账号密码
    @Override
    public Authentication attemptAuthentication(HttpServletRequest req, HttpServletResponse res)
            throws AuthenticationException {
        try {
            User user = new ObjectMapper().readValue(req.getInputStream(), User.class);

            return authenticationManager.authenticate(new UsernamePasswordAuthenticationToken(user.getUsername(), user.getPassword(), new ArrayList<>()));
        } catch (IOException e) {
            throw new RuntimeException(e);
        }

    }

    /**
     * 登录成功
     * @param req
     * @param res
     * @param chain
     * @param auth
     * @throws IOException
     * @throws ServletException
     */
    @Override
    protected void successfulAuthentication(HttpServletRequest req, HttpServletResponse res, FilterChain chain,
                                            Authentication auth) throws IOException, ServletException {
        SecurityUser user = (SecurityUser) auth.getPrincipal();
        String token = tokenManager.createToken(user.getCurrentUserInfo().getUsername());
        //用户信息放入缓存
        redisTemplate.opsForValue().set(user.getCurrentUserInfo().getUsername(), user.getPermissionValueList());

        ResponseUtil.out(res, R.ok().data("token", token));
    }

    /**
     * 登录失败
     * @param request
     * @param response
     * @param e
     * @throws IOException
     * @throws ServletException
     */
    @Override
    protected void unsuccessfulAuthentication(HttpServletRequest request, HttpServletResponse response,
                                              AuthenticationException e) throws IOException, ServletException {
        ResponseUtil.out(response, R.error());
    }
}

认证后授权过滤器

授权过滤器

在这里插入图片描述
1
从heard 获得token信息,根据用户获取redis中的权限信息,然后给用户授权

/取信息判断有没有权限,进行授权处理
    private UsernamePasswordAuthenticationToken getAuthentication(HttpServletRequest request) {
        // token置于header里
        String token = request.getHeader("token");
        if (token != null && !"".equals(token.trim())) {
            // 解析Tocken
            String userName = tokenManager.getUserFromToken(token);
            //根据用户从redis中取出
            List<String> permissionValueList = (List<String>) redisTemplate.opsForValue().get(userName);
            //封装权限
            Collection<GrantedAuthority> authorities = new ArrayList<>();

            for(String permissionValue : permissionValueList) {
                if(StringUtils.isEmpty(permissionValue)) continue;
                SimpleGrantedAuthority authority = new SimpleGrantedAuthority(permissionValue);
                authorities.add(authority);
            }

            if (!StringUtils.isEmpty(userName)) {
                //封装
                return new UsernamePasswordAuthenticationToken(userName, token, authorities);
            }
            return null;
        }
        return null;
    }

package com.yzh.serurity.filter;
import com.yzh.serurity.security.TokenManager;
import com.yzh.utils.ResponseUtil;
import com.yzh.utils.ordervo.R;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.web.authentication.www.BasicAuthenticationFilter;
import org.springframework.util.StringUtils;
import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.ArrayList;
import java.util.Collection;
import java.util.List;

/**
 * <p>
 * 访问过滤器
 * </p>
 *
 * @author qy
 * @since 2019-11-08
 */
//授权
public class TokenAuthenticationFilter extends BasicAuthenticationFilter {
    private TokenManager tokenManager;
    private RedisTemplate redisTemplate;

    public TokenAuthenticationFilter(AuthenticationManager authManager, TokenManager tokenManager,RedisTemplate redisTemplate) {
        super(authManager);
        this.tokenManager = tokenManager;
        this.redisTemplate = redisTemplate;
    }

    @Override
    protected void doFilterInternal(HttpServletRequest req, HttpServletResponse res, FilterChain chain)
            throws IOException, ServletException {
        logger.info("================="+req.getRequestURI());
        if(req.getRequestURI().indexOf("admin") == -1) {
            chain.doFilter(req, res);
            return;
        }

        UsernamePasswordAuthenticationToken authentication = null;
        try {
            authentication = getAuthentication(req);
        } catch (Exception e) {
            ResponseUtil.out(res, R.error());
        }

        if (authentication != null) {
            SecurityContextHolder.getContext().setAuthentication(authentication);
        } else {
            ResponseUtil.out(res, R.error());
        }
        chain.doFilter(req, res);
    }
  //取信息判断有没有权限,进行授权处理
    private UsernamePasswordAuthenticationToken getAuthentication(HttpServletRequest request) {
        // token置于header里
        String token = request.getHeader("token");
        if (token != null && !"".equals(token.trim())) {
            String userName = tokenManager.getUserFromToken(token);

            List<String> permissionValueList = (List<String>) redisTemplate.opsForValue().get(userName);
            Collection<GrantedAuthority> authorities = new ArrayList<>();
            for(String permissionValue : permissionValueList) {
                if(StringUtils.isEmpty(permissionValue)) continue;
                SimpleGrantedAuthority authority = new SimpleGrantedAuthority(permissionValue);
                authorities.add(authority);
            }

            if (!StringUtils.isEmpty(userName)) {
                return new UsernamePasswordAuthenticationToken(userName, token, authorities);
            }
            return null;
        }
        return null;
    }
}

根据用户id获取用户菜单

//根据用户id获取用户菜单
    @Override
    public List<String> selectPermissionValueByUserId(String id) {

        List<String> selectPermissionValueList = null;
        if(this.isSysAdmin(id)) {
            //如果是系统管理员,获取所有权限
            selectPermissionValueList = baseMapper.selectAllPermissionValue();
        } else {
            selectPermissionValueList = baseMapper.selectPermissionValueByUserId(id);
        }
        return selectPermissionValueList;
    }

    @Override
    public List<JSONObject> selectPermissionByUserId(String userId) {
        List<Permission> selectPermissionList = null;
        if(this.isSysAdmin(userId)) {
            //如果是超级管理员,获取所有菜单
            selectPermissionList = baseMapper.selectList(null);
        } else {
            selectPermissionList = baseMapper.selectPermissionByUserId(userId);
        }

        List<Permission> permissionList = PermissionHelper.bulid(selectPermissionList);
        List<JSONObject> result = MemuHelper.bulid(permissionList);
        return result;
    }

    /**
     * 判断用户是否系统管理员
     * @param userId
     * @return
     */
    private boolean isSysAdmin(String userId) {
        User user = userService.getById(userId);

        if(null != user && "admin".equals(user.getUsername())) {
            return true;
        }
        return false;
    }

给角色分配菜单(权限)

 //=========================给角色分配菜单=======================
    @Override
    public void saveRolePermissionRealtionShipGuli(String roleId, String[] permissionIds) {
        //roleId角色id
        //permissionId菜单id 数组形式
        //1 创建list集合,用于封装添加数据
        List<RolePermission> rolePermissionList = new ArrayList<>();
        //遍历所有菜单数组
        for(String perId : permissionIds) {
            //RolePermission对象
            RolePermission rolePermission = new RolePermission();
            rolePermission.setRoleId(roleId);
            rolePermission.setPermissionId(perId);
            //封装到list集合
            rolePermissionList.add(rolePermission);
        }
        //添加到角色菜单关系表
        rolePermissionService.saveBatch(rolePermissionList);
    }
yzhSWJ
关注
专栏目录
android 6.0 权限授权方法
08-27
以下是两种在Android 6.0上进行权限授权的方法: 一、逐个请求权限 这种方法适用于应用需要逐一检查和请求不同权限的情况。首先定义每个权限对应的请求码,如`PERMISSION_READ_EXTERNAL_STORAGE`, `PERMISSION_...
Java中Json web token (JWT)的使用
热门推荐
UserGuan的博客
08-29 2万+
JWT是什么? 使用JWT的好处 使用io.jsonwebtoken包的方式 pom.xml导入的jar包 User实体 JjwtUtil类 TestJjwt测试类 打印的结果 使用com.auth0包的方式 pom.xml文件 User实体使用上面的 JWTInterceptor拦截器 spring-context.xml配置文件 web.xml配置文件 JWTUti......
day12---(06)整合JWT
DKPT的博客
10-20 157
1、是什么? JWT提供一个标准生成token的规则,生成的字符串,包含用户信息。 2、JWT规则 (1)JWT生成的token包含三部分 第一个部分 头信息。 第二个部分 主题内容。 第三个部分 签名哈希。 3、在项目中整合JWT (1)在common_utils添加JWT依赖 <dependencies> <!-- JWT--> <dependency> <groupId>io.jsonwebtoken</group
sso单点登录
sjgllllll的博客
03-04 1580
单点登录三种常见方式: 1.1. 单一服务器模式 早期单一服务器,用户认证。(session广播机制:session复制) 缺点:单点性能压力,无法扩展 1.2. SSO(single sign on)模式 分布式,SSO(single sign on)模式 1.在项目任何一个模块登录后,把数据放在两个地方:用redis+cookie (1)redis:在key生成唯一随机值(ip,用户id),在value中存储用户数据。 (2)cookie:把redis里面生成的key值放在cookie里面。 2.访
浅谈 Json Web Token
chrismurphy的博客
09-25 332
JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用 JWT 在用户和服务器之间传递安全可靠的信息。
JWT<json+web+token>具体实现(后端)
f234344435的博客
05-04 804
前言:jwt介绍看我的上一篇博客,里面很详情的介绍jwt的基础知识与应用场景JWT(json+web+token)的详情与细节_@小杨爱偷懒的博客-CSDN博客 1.添加pox依赖: <!-- JWT生成Token--> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version
禁止所有管理员权限授权
02-05
以管理员身份运行该vbs脚本,可以禁止所有的应用程序对管理员权限的请求(重启或注销后失效),正常模式下就连杀毒软件和木马都无法请求管理员权限! 开源,无危险。 注意:当vbs脚本应用程序----wscript.exe被结束...
审批权限授权书.docx
01-30
《审批权限授权书》是企业内部管理中一个重要的文档,主要用于明确各级管理人员的审批权限,确保公司的财务、业务流程规范有序。在这个文档中,我们主要关注以下几个关键知识点: 1. **授权人与被授权人**:授权人...
Android-一个用来处理Android动态权限授权的库
08-13
"Android-一个用来处理Android动态权限授权的库"正是为了解决这个问题而出现的。 该库名为"PermissionGrantor util",是专门为Android应用设计的一个工具类库,用于简化动态权限的请求和管理过程。在实际开发中,...
JSON Web Token (JWT)笔记(token实现单点登录功能)
qq_43813373的博客
04-05 3227
文章目录cookie(浏览器客户端)session(web服务端)单点登录三种方式 cookie(浏览器客户端) 百度百科-cookie(安全威胁) cookie是客户端技术,存储在本地浏览器中,每次发送请求带着cookie值发送。 Cookie,有时也用其复数形式Cookies。类型为“小型文本文件”,是某些网站为了辨别用户身份,进行Session跟踪而储存在用户本地终端上的数据(通常经过加密),由用户客户端计算机暂时或永久保存的信息。 简介 Cookie 并不是它的原意“甜饼”的意思, 而是一
【Spring Cloud】新闻头条微服务项目:使用JWT+MD5+Salt进行登录验证
赵四司机的博客
08-03 2795
主要介绍项目App端登录功能的实现,采用MD5加盐加密保证数据安全,采用全局过滤器实现jwt校验。
JWT
weixin_44557427的博客
09-08 406
一、 1. JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 2. 为什么使用JWT JWT的精髓在于:“去中心化”,数据是保存在客户端的。 3. JWT的工作原理 1. 是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,示例如下: {"UserName": "Chongchong","Role": ...
使用 io.jsonwebtoken 实现token的生成与解码
GetcharZp的博客
12-31 1万+
通过 jsonwebtoken 能够方便的生成token和进行token相关解码,参考文档:https://github.com/jwtk/jjwt#base64 ,详细的操作流程如下所示 导入io.jsonwebtoken依赖: <dependency> <groupId>io.jsonwebtoken</groupId> <artifac...
springboot实现JWT
weixin_41849346的博客
09-08 326
pom.xml <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <!-- JWT依赖 -->
JWT工具类封装JSON Web Token
摸鱼佬的博客
04-26 914
JWT工具类封装JSON Web Token一、maven依赖二、JWTUtil.java GitHub: link. 欢迎star 注意:本篇博客风格(不多比比就是撸代码!!!) 一、maven依赖 <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> &
import io.jsonwebtoken.Claims; import io.jsonwebtoken.Jws; import io.jsonwebtoken.Jwts; import io.js...
最新发布
weixin_35751412的博客
12-28 872
这些导入语句用于导入 JSON Web Token(JWT) 相关的类。 io.jsonwebtoken.Claims 类表示 JWT 中的载荷声明。载荷声明包含了 JWT 中包含的信息,如用户名、过期时间等。 io.jsonwebtoken.Jws 接口表示 JWT 的签名部分。 io.jsonwebtoken.Jwts 类提供了用于生成、解析和验证 JWT 的方法。 io.jsonwebto...
谷粒学院 P21 标题创建父项目时出现一系列Maven依赖爆红的解决办法
qq_50963067的博客
07-06 776
谷粒学院 P21 标题创建父项目时出现一系列Maven依赖爆红的解决办法 由于阿里云的部分依赖jar包未开源,所以导致Maven依赖无法直接导入,在IDEA中显示红色状态,那么解决办法是将这些jar包下载后,通过Maven命令的形式将jar包引入本地的Maven仓库 根据两位博主的解决办法,我在此提供本项目需要使用到的jar包 博主博客链接: https://blog.csdn.net/Airuiliya520/article/details/109017091 https://blog.csdn.net/
Spring Security使用总结
疯一样的女子
04-23 723
暑假的时候在学习了 Spring Security 并成功运用到了项目中。 在实践中摸索出了一套结合 json + jwt(json web token) + Spring Boot + Spring Security 技术的权限方案趁着国庆假期记录一下。 以下所有步骤的源码可以从我的github上取得。如果要了解,请阅读 readme.md。 各个技术的简要介绍 json : 与前端交...
jwt ---- json web token
weixin_44235759的博客
09-09 1601
之后的请求都会携带cooKie和session。cookie 和 session的缺点。编写token工具类。
MySQL 5.7 Yum 安装与权限授权教程
本教程将详细介绍如何通过YUM包管理器在Linux上安装MySQL 5.7,并进行必要的权限授权。 ### 一、安装前准备 在开始安装之前,首先我们需要检查系统中是否已经安装了MySQL的相关组件。可以通过执行`rpm -qa | grep ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

yzhSWJ

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值