一文详细讲解SpringBoot 动态权限校验实现方案

最新推荐文章于 2024-10-10 11:11:42 发布
最新推荐文章于 2024-10-10 11:11:42 发布
阅读量198 收藏
点赞数 3
文章标签: spring boot 后端 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zy_zeros/article/details/136286449
版权

1背景
简单先说一下需求吧,这样也好让看的人知道到底适不适合自己。

实现自定义的登录认证。
登录成功,生成token并将token 交由redis管理。
登录后对用户访问的接口进行接口级别权限认证。
springSecurity提供的注解权限校验适合的场景是系统中仅有固定的几个角色,且角色的凭证不可修改(如果修改需要改动代码)。

@PreAuthorize(“hasAuthority(‘ROLE_TELLER’)”)
public Account post(Account account, double amount);
注:ROLE_TELLER是写死的。

后端系统的访问请求有以下几种类型:

登录、登出(可自定义url)
匿名用户可访问的接口(静态资源,demo示例等)
其他接口(在登录的前提下,继续判断访问者是否有权限访问)
2环境搭建
依赖引入,包括springSecurity、redis、redis session需要的依赖:

org.springframework.boot spring-boot-starter-security 2.3.4.RELEASE org.springframework.session spring-session-data-redis 2.3.1.RELEASE org.springframework.boot spring-boot-starter-data-redis 2.3.4.RELEASE 注:springBoot版本也是2.3.4.RELEASE,如果有版本对应问题,自行解决。有用到swagger,为了便于测试。
新建springSecurity配置类
新建 WebSecurityConfig.java 继承自 WebSecurityConfigurerAdapter,过滤匿名用户可访问的接口。

WebSecurityConfig作为springSecurity的主配置文件。

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
/**

  • Swagger等静态资源不进行拦截
    /
    @Override
    public void configure(WebSecurity web) {
    web.ignoring().antMatchers(
    "/    .html",
    “/favicon.ico”,
    “//*.html",
    "/    /.css",
    "/**/    .js”,
    “/error”,
    “/webjars/",
    "/resources/    ”,
    “/swagger-ui.html”,
    “/swagger-resources/“,
    “/v2/api-docs”);
    }
    @Override
    protected void configure(HttpSecurity http) throws Exception {
    http.authorizeRequests()
    //配置一些不需要登录就可以访问的接口
    .antMatchers(”/demo/    ”, “/about/**”).permitAll()
    //任何尚未匹配的URL只需要用户进行身份验证
    .anyRequest().authenticated()
    .and()
    .formLogin()//允许用户进行基于表单的认证
    .loginPage(“/mylogin”);
    }

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
}
图片
注:证明可以访问静态资源不会被拦截

自定义登录认证
springSecurity是基于过滤器进行安全认证的。

我们需要自定义:

登录过滤器:负责过滤登录请求,再交由自定义的登录认证管理器处理。
登录成功处理类:顾名思义,登录成功后的一些处理(设置返回信息提示“登录成功!”,返回数据类型为json)。
登录失败处理类:类似登录成功处理类。Ps:登录成功处理类和失败处理类有默认的实现可以不自定义。但是建议自定义,因为返回的信息为英文,一般情况不符合要求。
登录认证管理器:根据过滤器传过来的登录参数,进行登录认证,认证后授权。
新建登录成功处理类
需要实现 AuthenticationSuccessHandler

@Component
public class CustomAuthenticationSuccessHandler implements AuthenticationSuccessHandler {
private static final Logger LOGGER = LoggerFactory.getLogger(CustomAuthenticationSuccessHandler.class);

@Override
public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException {
response.setContentType(MediaType.APPLICATION_JSON_VALUE);
response.setCharacterEncoding(StandardCharsets.UTF_8.toString());
//登录成功返回的认证体,具体格式在后面的登录认证管理器中
String responseJson = JackJsonUtil.object2String(ResponseFactory.success(authentication));
if (LOGGER.isDebugEnabled()) {
LOGGER.debug(“登录成功!”);
}
response.getWriter().write(responseJson);
}
1
2
3
4
5
6
7
8
9
10
11
12
13
}
新建登录失败处理类
实现 AuthenticationFailureHandler

@Component
public class CustomAuthenticationFailureHandler implements AuthenticationFailureHandler {
private static final Logger LOGGER = LoggerFactory.getLogger(CustomAuthenticationFailureHandler.class);

@Override
public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException e) throws IOException {
String errorMsg;
if (StringUtils.isNotBlank(e.getMessage())) {
errorMsg = e.getMessage();
} else {
errorMsg = CodeMsgEnum.LOG_IN_FAIL.getMsg();
}
response.setContentType(MediaType.APPLICATION_JSON_VALUE);
response.setCharacterEncoding(StandardCharsets.UTF_8.toString());
String responseJson = JackJsonUtil.object2String(ResponseFactory.fail(CodeMsgEnum.LOG_IN_FAIL,errorMsg));
if (LOGGER.isDebugEnabled()) {
LOGGER.debug(“认证失败!”);
}
response.getWriter().write(responseJson);
}

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
}
新建登录认证管理器

实现 AuthenticationProvider ,负责具体的身份认证(一般数据库认证,在登录过滤器过滤掉请求后传入)

@Component
public class UserVerifyAuthenticationProvider implements AuthenticationProvider {
private PasswordEncoder passwordEncoder;
@Autowired
private UserService userService;
@Override
public Authentication authenticate(Authentication authentication) throws AuthenticationException {
String userName = (String) authentication.getPrincipal(); // Principal 主体,一般指用户名
String passWord = (String) authentication.getCredentials(); //Credentials 网络凭证,一般指密码
//通过账号去数据库查询用户以及用户拥有的角色信息
UserRoleVo userRoleVo = userService.findUserRoleByAccount(userName);
//数据库密码
String encodedP

最低0.47元/天 解锁文章
zy_zeros
关注
Springboot通过注解+切面实现接口权限校验
修行者Java的博客
03-19 979
先获取到注解@HasPermission 的内容,从redis中拿到当前用户的所有权限,如果当前用户不是超级管理员并且权限中不包含要请求的接口权限,就返回未授权。用户在登录时会查询数据库将所有权限存入redis,如果对该用户做权限修改时,同步修改redis,这样每次请求接口时,都能从redis中拿到最新的权限。1.首先创建注解 @HasPermission ,跟普通注解创建方式基本一致。另外,还有一种权限校验的方式,可以参考若依的开源,类似这种。2.创建一个切面,用来请求接口时做前置校验
微服务开发中,使用AOP和自定义注解实现权限校验
天草二十六
11-22 319
权限开关用户ID,需读取注解所在方法的入参值角色列表,限定方法访问所需的角色列表,这里默认是教师-teacher,就是说登录用户的角色必须含有教师角色。/*** 权限限制./*** 权限校验(默认true)/*** 入参-用户ID* @return/*** 角色列表(默认teacher-教师)* @return/*** 权限限制./*** 权限校验(默认true)/*** 入参-用户ID* @return/**
springboot整合Sa-Token实现登录认证和权限校验(万字长文)
2301_78646673的博客
02-03 6556
我本来是想写一篇介绍spring boot项目中整合Sa-Token来实现最常用的登录校验权限认证的,但是写着写着就变成官网的复制机了。我在本篇文章中大量复制了官网上的内容,原本只是想复制一些官方介绍就行了。但是这也从侧面说明了Sa-Token官网制作的确实是比较好的,基本上不需要额外的学习,只要你有做过登录和权限方面的项目经验,再看一遍官网的介绍就能直接上手了。我之前写过一个B2C模式的购物商台,分为用户端和管理端。管理端的登录和权限校验是用spring security写的。
Spring Security 之API 项目安全验证(基于basic-authentication)
weixin_34095889的博客
11-06 717
===================================Basic Authorization 规范===================================Request 头部:Authorization: Basic QWxpY2U6MTIzNDU2其中 QWxpY2U6MTIzNDU2 是user:pwd做 base64 编码, 格式是 user:pwd res...
Spring工具类AntPathMatcher地址进行拦截
shenlin1994的博客
01-11 300
符号 含义 ? 匹配任意单个字符 * 匹配任意数量的字符(包括0个字符,不包括"/") ** 匹配更多的目录(包括0个目录,包括"/") public static void main(String args[]) { AntPathMatcher matcher = new AntPathMatcher(); String url = "/blog/abcd.do"; System.out.println(matcher.match("/blog/**/*.d...
springboot+shiro实现权限校验及shiro讲解
baoaibao的博客
05-12 1189
背景 笔者在学习了张开涛老师讲解的shiro课程后,对其述内容做了自己的总结。由于张开涛–跟我学shiro一文中利用shiro配置文件简单的写了一个小Demo,所以笔者结合自己的理解采用springboot+mybatis+shiro的框写了一个单系统下、前后端分离的Demo。如有理解错误的地方,欢迎大家指正。 shiro简介 shiro是Apache旗下提供的一套JAVA安全框架,主要用于权限校验。其实spring也提供了一套权限架构即:Spring Security。在实际开发项目中,shiro所提供的
权限管理框架】一文看懂Shiro权限管理框架!
互联网小阿祥
11-03 3089
一文看懂Shiro权限管理框架!
SpringBootApplication
qq_45709935的博客
09-03 976
文章目录 文章目录 0.前言 1. @SpringBootApplication 2. Spring Bean 相关 2.1. @Autowired 2.2. @Component,@Repository,@Service, @Controller 2.3. @RestController 2.4. @Scope 2.5. @Configuration 3. 处理常见的 HTTP 请求类型 3.1. GET 请求 3.2. POST 请求 3.3. PUT 请求 3.4. DELETE 请求 3
SpringBoot 常用注解总结
许诗宇的博客
03-06 464
目录 @SpringBootApplication Spring Bean 相关 @Autowired @Component,@Repository,@Service,@Controller @RestController @Scope @Configuration 处理常见的 HTTP 请求类型 GET 请求 POST 请求 PUT 请求 DELETE 请求 PATCH 请求 前后端传值 @PathVariable和@RequestParam @RequestBody...
接近8000字的Spring/SpringBoot常用注解总结!安排!
m0_67698950的博客
06-15 192
可以毫不夸张地说,这篇文章介绍的 Spring/SpringBoot 常用注解基本已经涵盖你工作中遇到的大部分常用的场景。对于每一个注解我都说了具体用法,掌握搞懂,使用 SpringBoot 来开发项目基本没啥大问题了!为什么要写这篇文章?最近看到网上有一篇关于 SpringBoot 常用注解的文章被转载的比较多,我看了文章内容之后属实觉得质量有点低,并且有点会误导没有太多实际使用经验的人(这些人又占据了大多数)。所以,自己索性花了大概 两天时间简单总结一下了。整个目录如下,内容有点多:这里先单独拎出 注解
FactoryBean深入浅出(附源码讲解)
程序锋子的博客
12-28 1319
平常对 `FactoryBean` 的认识可能不是很深,这次花了点时间去学习了 `FactoryBean` ,通过本篇文章进行归纳和总结,希望能够帮到小伙伴们。本人是小白,能力有限,如果有哪个地方描述错误,希望有大佬帮忙指出,先在此谢过。
Java学习专栏!全网最牛!
weixin_70730532的博客
08-12 2667
00254:《SpringCloud Alibaba微服务实战十四 - SpringCloud Gateway集成Oauth2.0》00242:《SpringCloud Alibaba微服务实战二十四 - SpringCloud Gateway的全局异常处理》00251:《SpringCloud Alibaba微服务实战十五 - SpringCloud 容器化部署》00248:《SpringCloud Alibaba微服务实战十八 - Oauth2.0 自定义授权模式》00184:《TCP网络那点破事!..
面经准备(持续更新)
qq_40088655的博客
05-25 756
1. get和post的区别 GET 在浏览器回退时是无害的,而 POST 会再次提交请求。 GET 产生的 URL 地址可以被 Bookmark,而 POST 不可以。 GET 请求会被浏览器主动 cache,而 POST 不会,除非手动设置。 GET 请求只能进行 url 编码,而 POST 支持多种编码方式。 GET 请求参数会被完整保留在浏览器历史记录里,而 POST 中的参数不会被保留。 GET 请求在 URL 中传送的参数是有长度限制的,而 POST 么有。 对参数的
洗衣店订单管理:Spring Boot技术实现
最新发布
2401_85763803的博客
10-10 1523
所以产品在上线前必须反复测试,经过反复测试,修改,再测试,再修改,产品才能够不断完善。在整个系统测试中,根据需求文档和设计文档,逐一对功能进行检测并写好测试用例,有效避免残片缺陷,因为产品出现缺陷不仅影响功能,而且可以导致数据的不准确,导致产品质量的降低,经过测试,才能使得产品的稳定性和成熟度得到极大的提升,产品质量也才有保证。(2)该完整内容全面,管理方便可以及时的全面的处理各种错误,异常,这样避免了很多因用户的马虎操作而出现的失误,其操作方便,用户界面友好,能够上网的人都可以很好的进行操作。
Spring Boot ⽇志
WHabc2002的博客
10-05 1293
我们可以通过⽇志记录这个系统的运⾏状态,对数据进⾏分析, 设置不同的规则, 超过阈值时进⾏报警。如果我们的⽇志都放在⼀个⽂件中, 随着项⽬的运⾏, ⽇志⽂件会越来越⼤, 需要对⽇志⽂件进⾏分割。2.ERROR: 错误信息, 级别较⾼的错误⽇志信息, 但仍然不影响系统的继续运⾏。⽇志级别是开发⼈员⾃⼰设置的. 开发⼈员根据⾃⼰的理解来判断该信息的重要程度。2.⽇志对象的打印⽅法有很多种,我们可以先使⽤ info() ⽅法来输出⽇志。⽇志级别代表着⽇志信息对应问题的严重性, 为了更快的筛选符合⽬标的⽇志信息。
Spring Boot新闻推荐:实时数据处理
2401_85439108的博客
10-04 1122
在整个系统测试中,根据需求文档和设计文档,逐一对功能进行检测并写好测试用例,有效避免残片缺陷,因为产品出现缺陷不仅影响功能,而且可以导致数据的不准确,导致产品质量的降低,经过测试,才能使得产品的稳定性和成熟度得到极大的提升,产品质量也才有保证。近来,软件工程界趋向于一种新的观点,即认为软件生命周期每一阶段中都应包含测试,从而检验本阶段的成果是否接近预期的目标,尽可能早的发现错误并加以修正,如果不在早期阶段进行测试,错误的延时扩散常常会导致最后成品测试的巨大困难。至此,在功能的测试上也已经比较圆满的完成了。
使用 Spring Boot 在电商平台中动态调整促销信息
心猿意码
10-04 722
在电商平台上,促销活动是吸引用户的重要手段之一。然而,促销活动的状态(如开始、结束)可能会频繁变化,而这些变化需要实时反映在商品详情页上。如果每次促销状态改变都需要重新部署应用或者手动更改代码,这显然会非常麻烦。因此,我们需要一种机制来允许管理员在后台管理系统中动态地更新促销信息,并且这些更改能够立即生效。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值