百度360必应搜狗淘宝本站头条
分布式事务框架grpc框架shiro框架java日志框架框架图
当前位置:网站首页 > 技术文章 > 正文

SpringBoot2.0 整合 SpringSecurity 框架,实现用户权限安全管理

ccwgpt 2024-10-27 08:54 37 浏览 0 评论

一、Security简介

1、基础概念

Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring的IOC,DI,AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为安全控制编写大量重复代码的工作。

2、核心API解读

1)、SecurityContextHolder

最基本的对象,保存着当前会话用户认证,权限,鉴权等核心数据。SecurityContextHolder默认使用ThreadLocal策略来存储认证信息,与线程绑定的策略。用户退出时,自动清除当前线程的认证信息。

初始化源码:明显使用ThreadLocal线程。

private static void initialize() {
 if (!StringUtils.hasText(strategyName)) {
 strategyName = "MODE_THREADLOCAL";
 }
 if (strategyName.equals("MODE_THREADLOCAL")) {
 strategy = new ThreadLocalSecurityContextHolderStrategy();
 } else if (strategyName.equals("MODE_INHERITABLETHREADLOCAL")) {
 strategy = new InheritableThreadLocalSecurityContextHolderStrategy();
 } else if (strategyName.equals("MODE_GLOBAL")) {
 strategy = new GlobalSecurityContextHolderStrategy();
 } else {
 try {
 Class<?> clazz = Class.forName(strategyName);
 Constructor<?> customStrategy = clazz.getConstructor();
 strategy = (SecurityContextHolderStrategy)customStrategy.newInstance();
 } catch (Exception var2) {
 ReflectionUtils.handleReflectionException(var2);
 }
 }
 ++initializeCount;
}

2)、Authentication

源代码

public interface Authentication extends Principal, Serializable {
 Collection<? extends GrantedAuthority> getAuthorities();
 Object getCredentials();
 Object getDetails();
 Object getPrincipal();
 boolean isAuthenticated();
 void setAuthenticated(boolean var1) throws IllegalArgumentException;
}

源码分析

1)、getAuthorities,权限列表,通常是代表权限的字符串集合;
2)、getCredentials,密码,认证之后会移出,来保证安全性;
3)、getDetails,请求的细节参数;
4)、getPrincipal, 核心身份信息,一般返回UserDetails的实现类。

3)、UserDetails

封装了用户的详细的信息。

public interface UserDetails extends Serializable {
 Collection<? extends GrantedAuthority> getAuthorities();
 String getPassword();
 String getUsername();
 boolean isAccountNonExpired();
 boolean isAccountNonLocked();
 boolean isCredentialsNonExpired();
 boolean isEnabled();
}

4)、UserDetailsService

实现该接口,自定义用户认证流程,通常读取数据库,对比用户的登录信息,完成认证,授权。

public interface UserDetailsService {
 UserDetails loadUserByUsername(String var1) throws UsernameNotFoundException;
}

5)、AuthenticationManager

认证流程顶级接口。可以通过实现AuthenticationManager接口来自定义自己的认证方式,Spring提供了一个默认的实现,ProviderManager。

public interface AuthenticationManager {
 Authentication authenticate(Authentication var1) throws AuthenticationException;
}

二、与SpringBoot2整合

1、流程描述

1)、三个页面分类,page1、page2、page3
2)、未登录授权都不可以访问
3)、登录后根据用户权限,访问指定页面
4)、对于未授权页面,访问返回403:资源不可用

2、核心依赖

<dependency>
 <groupId>org.springframework.boot</groupId>
 <artifactId>spring-boot-starter-security</artifactId>
</dependency>

3、核心配置

/**
 * EnableWebSecurity注解使得SpringMVC集成了Spring Security的web安全支持
 */
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
 /**
 * 权限配置
 */
 @Override
 protected void configure(HttpSecurity http) throws Exception {
 // 配置拦截规则
 http.authorizeRequests().antMatchers("/").permitAll()
 .antMatchers("/page1/**").hasRole("LEVEL1")
 .antMatchers("/page2/**").hasRole("LEVEL2")
 .antMatchers("/page3/**").hasRole("LEVEL3");
 // 配置登录功能
 http.formLogin().usernameParameter("user")
 .passwordParameter("pwd")
 .loginPage("/userLogin");
 // 注销成功跳转首页
 http.logout().logoutSuccessUrl("/");
 //开启记住我功能
 http.rememberMe().rememberMeParameter("remeber");
 }
 /**
 * 自定义认证数据源
 */
 @Override
 protected void configure(AuthenticationManagerBuilder builder) throws Exception{
 builder.userDetailsService(userDetailService())
 .passwordEncoder(passwordEncoder());
 }
 @Bean
 public UserDetailServiceImpl userDetailService (){
 return new UserDetailServiceImpl () ;
 }
 /**
 * 密码加密
 */
 @Bean
 public BCryptPasswordEncoder passwordEncoder(){
 return new BCryptPasswordEncoder();
 }
 /*
 * 硬编码几个用户
 @Autowired
 public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
 auth.inMemoryAuthentication()
 .withUser("spring").password("123456").roles("LEVEL1","LEVEL2")
 .and()
 .withUser("summer").password("123456").roles("LEVEL2","LEVEL3")
 .and()
 .withUser("autumn").password("123456").roles("LEVEL1","LEVEL3");
 }
 */
}

4、认证流程

@Service
public class UserDetailServiceImpl implements UserDetailsService {
 @Resource
 private UserRoleMapper userRoleMapper ;
 @Override
 public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
 // 这里可以捕获异常,使用异常映射,抛出指定的提示信息
 // 用户校验的操作
 // 假设密码是数据库查询的 123
 String password = "$2a$10$XcigeMfToGQ2bqRToFtUi.sG1V.HhrJV6RBjji1yncXReSNNIPl1K";
 // 假设角色是数据库查询的
 List<String> roleList = userRoleMapper.selectByUserName(username) ;
 List<GrantedAuthority> grantedAuthorityList = new ArrayList<>() ;
 /*
 * Spring Boot 2.0 版本踩坑
 * 必须要 ROLE_ 前缀, 因为 hasRole("LEVEL1")判断时会自动加上ROLE_前缀变成 ROLE_LEVEL1 ,
 * 如果不加前缀一般就会出现403错误
 * 在给用户赋权限时,数据库存储必须是完整的权限标识ROLE_LEVEL1
 */
 if (roleList != null && roleList.size()>0){
 for (String role : roleList){
 grantedAuthorityList.add(new SimpleGrantedAuthority(role)) ;
 }
 }
 return new User(username,password,grantedAuthorityList);
 }
}

5、测试接口

@Controller
public class PageController {
 /**
 * 首页
 */
 @RequestMapping("/")
 public String index (){
 return "home" ;
 }
 /**
 * 登录页
 */
 @RequestMapping("/userLogin")
 public String loginPage (){
 return "pages/login" ;
 }
 /**
 * page1 下页面
 */
 @PreAuthorize("hasAuthority('LEVEL1')")
 @RequestMapping("/page1/{pageName}")
 public String onePage (@PathVariable("pageName") String pageName){
 return "pages/page1/"+pageName ;
 }
 /**
 * page2 下页面
 */
 @PreAuthorize("hasAuthority('LEVEL2')")
 @RequestMapping("/page2/{pageName}")
 public String twoPage (@PathVariable("pageName") String pageName){
 return "pages/page2/"+pageName ;
 }
 /**
 * page3 下页面
 */
 @PreAuthorize("hasAuthority('LEVEL3')")
 @RequestMapping("/page3/{pageName}")
 public String threePage (@PathVariable("pageName") String pageName){
 return "pages/page3/"+pageName ;
 }
}

6、登录界面

这里要和Security的配置文件相对应。

<div align="center">
 <form th:action="@{/userLogin}" method="post">
 用户名:<input name="user"/><br>
 密 码:<input name="pwd"><br/>
 <input type="checkbox" name="remeber"> 记住我<br/>
 <input type="submit" value="Login">
 </form>
</div>

来源:https://www.cnblogs.com/cicada-smile/p/11198651.html

相关推荐

RACI矩阵:项目管理中的角色与责任分配利器

作者:赵小燕RACI矩阵RACI矩阵是项目管理中的一种重要工具,旨在明确团队在各个任务中的角色和职责。通过将每个角色划分为负责人、最终责任人、咨询人和知情人四种类型,RACI矩阵确保每个人都清楚自己...

在弱矩阵组织中,如何做好项目管理工作?「慕哲制图」

慕哲出品必属精品系列在弱矩阵组织中,如何做好项目管理工作?【慕哲制图】-------------------------------慕哲制图系列0:一图掌握项目、项目集、项目组合、P2、商业分析和NP...

Scrum模式:每日站会(Daily Scrum)

定义每日站会(DailyScrum)是一个Scrum团队在进行Sprint期间的日常会议。这个会议的主要目的是为了应对Sprint计划中的不断变化,确保团队能够有效应对挑战并达成Sprint目标。为...

大家都在谈论的敏捷开发&amp;Scrum,到底是什么?

敏捷开发作为一种开发模式,近年来深受研发团队欢迎,与瀑布式开发相比,敏捷开发更轻量,灵活性更高,在当下多变环境下,越来越多团队选择敏捷开发。什么是敏捷?敏捷是一种在不确定和变化的环境中,通过创造和响应...

敏捷与Scrum是什么?(scrum敏捷开发是什么)

敏捷是一种思维模式和哲学,它描述了敏捷宣言中的一系列原则。另一方面,Scrum是一个框架,规定了实现这种思维方式的角色,事件,工件和规则/指南。换句话说,敏捷是思维方式,Scrum是规定实施敏捷哲学的...

敏捷项目管理与敏捷:Scrum流程图一览

敏捷开发中的Scrum流程通常可以用一个简单的流程图来表示,以便更清晰地展示Scrum框架的各个阶段和活动。以下是一个常见的Scrum流程图示例:这个流程图涵盖了Scrum框架的主要阶段和活动,其中包...

一张图掌握项目生命周期模型及Scrum框架

Mockito 的最佳实践(mock方法)

记得以前面试的时候,面试官问我,平常开发过程中自己会不会测试?我回答当然会呀,自己写的代码怎么不测呢。现在想想我好像误会他的意思了,他应该是想问我关于单元测试,集成测试以及背后相关的知识,然而当时说到...

EffectiveJava-5-枚举和注解(java枚举的作用与好处)

用enum代替int常量1.int枚举:引入枚举前,一般是声明一组具名的int常量,每个常量代表一个类型成员,这种方法叫做int枚举模式。int枚举模式是类型不安全的,例如下面两组常量:性别和动物种...

Maven 干货 全篇共:28232 字。预计阅读时间:110 分钟。建议收藏!

Maven简介Maven这个词可以翻译为“知识的积累”,也可以翻译为“专家”或“内行”。Maven是一个跨平台的项目管理工具。主要服务于基于Java平台的项目构建、依赖管理和项目信息管理。仔...

Java单元测试框架PowerMock学习(java单元测试是什么意思)

前言高德的技术大佬在谈论方法论时说到:“复杂的问题要简单化,简单的问题要深入化。”这句话让我感触颇深,这何尝不是一套编写代码的方法——把一个复杂逻辑拆分为许多简单逻辑,然后把每一个简单逻辑进行深入实现...

Spring框架基础知识-第六节内容(Spring高级话题)

Spring高级话题SpringAware基本概念Spring的依赖注入的最大亮点是你所有的Bean对Spring容器的存在是没有意识的。但是在实际的项目中,你的Bean必须要意识到Spring容器...

Java单元测试浅析(JUnit+Mockito)

作者:京东物流秦彪1.什么是单元测试(1)单元测试环节:测试过程按照阶段划分分为:单元测试、集成测试、系统测试、验收测试等。相关含义如下:1)单元测试:针对计算机程序模块进行输出正确性检验工作...

揭秘Java代码背后的质检双侠:JUnit与Mockito!

你有没有发现,现在我们用的手机App、逛的网站,甚至各种智能设备,功能越来越复杂,但用起来却越来越顺畅,很少遇到那种崩溃、卡顿的闹心事儿?这背后可不是程序员一拍脑袋写完代码就完事儿了!他们需要一套严谨...

单元测试框架哪家强?Junit来帮忙!

大家好,在前面的文章中,给大家介绍了以注解和XML的方式分别实现IOC和依赖注入。并且我们定义了一个测试类,通过测试类来获取到了容器中的Bean,具体的测试类定义如下:@Testpublicvoid...

取消回复欢迎 发表评论:

一周热门
最近发表
标签列表