个人技术总结——SpringSecurity基于JWT的动态权限验证

最新推荐文章于 2025-09-15 13:31:39 发布
原创 最新推荐文章于 2025-09-15 13:31:39 发布 · 921 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring #java #后端

本文详细介绍了如何使用SpringSecurity实现动态权限管理,包括基本鉴权逻辑、鉴权全流程和JWT获取用户角色信息。通过建立用户、角色、资源的三级动态管理,实现了动态权限验证,并使用JWT进行身份验证,确保了权限安全。此外,还分享了在抽象SecurityConfig类时遇到的问题及解决过程。
这个作业属于哪个课程 软件工程实践2022年春-W班
这个作业要求在哪里 软件工程实践总结&个人技术博客
这个作业的目标 课程回顾与总结
个人技术总结
其他参考文献

文章目录

一、技术概述

  绝大多数的软件应用都离不开权限安全,但是权限安全相关的代码在每个项目中又十分类似,因此我就编写了一个基于SpringSecurity的支持动态权限验证的权限安全模块的脚手架,并应用在我们的项目之中。

二、技术详述

1. 基本鉴权逻辑

  首先要说明,该权限模块支持用户、角色、资源三级的动态权限管理,并且基于JWT可支持OAuth2.0的认证模型。因此我们第一步需要建出这三张主表以及关联表。
在这里插入图片描述在这里插入图片描述
在这里插入图片描述

  鉴权原理是查找用户所含有的所有角色中是否拥有对应资源的访问权限,最终都要靠resource表中的url进行鉴权,这里url是通配符匹配url,因为真正在判断url时我们使用Spring提供的AntPathRequestMatcher通配符匹配器对当前访问的资源路径进行判断和鉴权。

在这里插入图片描述

	@Bean("dynamicSecurityService")
    public DynamicSecurityService dynamicSecurityService(UmsResourceService umsResourceService){
   
   
        return ()->{
   
   
            Map<RequestMatcher, List<ConfigAttribute>> map = new ConcurrentHashMap<>();
			//获取所有的资源和角色的对应关系
            List<ResourceRoleBO> list = umsResourceService.getAllResourceRole();
            for (ResourceRoleBO resource : list) {
   
   
                //通配符匹配器
                map.put(new AntPathRequestMatcher(resource.getUrl()),
                        //所有角色信息
                        resource.getRoleList().stream()
                            .map(role->new org.springframework.security.access.SecurityConfig(role.getName()))
                            .collect(Collectors.toList())
                        );
            }
            return map;
        };
    }

获取资源和角色sql语句

<select id="getAllResourceRole" resultMap="AllResourceRole">
        SELECT
            r.`id`,
            r.`name`,
            r.`url`,
            rl.`name` rl_name
        FROM ums_resource r
                 LEFT JOIN ums_role_resource_relation rrr ON rrr.`resource_id`=r.`id`
                 LEFT JOIN ums_role rl ON rl.`id`=rrr.`role_id`
        WHERE rl.`name` IS NOT NULL
        ORDER BY r.`id`
</select>

@Data
public class ResourceRoleBO extends UmsResource {
   
   

    private List<UmsRole> roleList;
}

@Data
@EqualsAndHashCode(callSuper = false)
@TableName("ums_resource")
@ApiModel(value="UmsResource对象", description="")
public class UmsResource implements Serializable {
   
   

    private static final long serialVersionUID=1L;
最低0.47元/天 解锁文章
EncounterMe
关注
SpringBoot+SpringSecurity+Jwt权限认证---认证
python6_quanzhan的博客
12-10 638
1. 整体逻辑 1. SpringSecurity认证的逻辑规则 启动项目时,SpringBoot自动检索所有带@Configuration的注解,所以就将我们的WebSecurityConfig给加载了,这个config中,我们需要在configure(AuthenticationManagerBuilder auth)方法中注册一个继承自UserDetailsService的接口,这个接口中只有一个方法,那就是使用username获取到数据库中用户信息并返回成UserDetail实体。这个方法需要.
Spring Security+JWT实现用户验证与授权
ljrgtdxh_777的博客
04-27 587
在我们项目中涉及不同“角色”,包括游客,普通用户和管理员。游客不需要经过任何验证,可以使用部分功能,如查看系统提供的地图钉。另外两种角色则必须使用正确的账号密码登录,且普通用户不能访问部分管理员才能访问的请求。针对这样的需求,后端需要对三种角色(以及未来可能新增的其他角色)进行分类处理。游客与其他角色的区别在于,因此可以借助网站通用手段“token”加以鉴别:用户若登录则获得一个唯一标识的token,并在之后请求中都携带该token用于验证。而针对普通用户和管理员用户,则需要,用于后续判断。
SpringSecurity+JWT实现高效认证授权
最新发布
a1353914278的博客
09-15 1119
本项目实现了基于Spring Security和JWT的认证授权系统,支持角色颗粒化权限管理。采用无状态设计,通过JWT令牌进行身份验证,避免了会话管理的复杂性。安全上下文是Spring Security中的核心概念,用于存储当前认证用户的信息和权限。它允许在应用的任何地方访问当前用户的认证信息。
springcloud微服务体系(一)— 基于security和jwt实现认证及鉴权服务
热门推荐
BecauseSy的博客
05-22 2万+
文章目录知识点讲解具体实现一、业务流程 知识点讲解 传统的单体应用体系下,应用是一个整体,一般针对所有的请求都会进行权限校验。请求一般会通过一个权限的拦截器进行权限的校验,在登录时将用户信息缓存到 session 中,后续访问则从缓存中获取用户信息 但在微服务架构下,一个应用会被拆分成若干个微应用,每个微应用都需要对访问进行鉴权,每个微应用都需要明确当前访问用户以及其权限。尤其当访问来源不只是浏览...
Spring boot 与 spring Security 结合JWT实现动态权限管理
qq_36528022的博客
10-17 3599
Spring boot 与 spring Security 结合JWT实现动态权限管理 spring boot 与spring security 结合jwt实现动态权限管理 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。 新的改变 我们对Markdown编辑器进行了一些...
Spring Security基于jwt实现权限校验
Instanceztt的博客
12-01 1681
在中我实现了基于jwt实现的认证,本文在此基础上继续实现权限认证二 代码实现用户认证成功生成jwt时将权限信息加载到jwt中..................................................................................................定义和用于认证成功从jwt中解析jwt中的权限信息.....................................jwt校验成功后解析jwt并加载到安全上下文中.........
基于springboot+springSecurity+jwt实现的基于token的权限管理的一个demo,适合新手
02-24
本示例项目——"基于springboot+springSecurity+jwt实现的基于token的权限管理的一个demo",旨在为新手提供一个易于理解的学习平台,来掌握如何在Spring Boot应用中实现用户认证与授权。下面将详细介绍这个项目所...
精选资源
单点登录SSO解决方案之SpringSecurity+JWT实现.docx
10-26
### 单点登录SSO解决方案之SpringSecurity+JWT实现 #### 一、单点登录(SSO)概述 单点登录(Single Sign-On,简称SSO)是一种认证机制,允许用户仅通过一次登录就能访问同一域下的多个应用程序和服务。这种机制...
Spring Boot+Spring Security+JWT 实现token验证
xue317378914的专栏
06-06 1万+
Spring Boot+Spring Security+JWT 实现token验证什么是JWTJWT的工作流程JWT的主要应用场景JWT的结构SpringBoot+Spring Security和JWT的集成实现token验证引入JWT依赖JWT的生成和解析工具类Spring Security配置登录生成tokentoken的校验演示总结 通常情况下,把API直接暴露出去是风险很大的,不说别的,直接被机器攻击就喝一壶的。那么一般来说,对API要划分出一定的权限级别,然后做一个用户的鉴权,依据鉴权结果给予用
(五)Spring Boot学习——spring security +jwt使用(前后端分离模式)
朝屯暮蒙vi的博客
02-10 2082
2.不带token则在控制器中对用户密码进行验证,因为在loadUserByUsername方法中设置了对用户名密码的验证,所以使用UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(loginName, password);验证结果是true的。我使用的是springboot3.3.5 springsecurity是6.x的 jwt 0.12.6。
Spring Security OAuth2+JWT动态权限
a294634473的博客
09-21 1489
Spring Security OAuth2+JWT动态权限)前言权限校验思路Gateway校验tokensecurity注解控制权限自定义FilterInvocationSecurityMetadataSource(推荐)FilterInvocationSecurityMetadataSourceAccessDecisionManagerSecurityOauthService配置ResourceServerConfigurerAdapter 前言 有好多同学再问我 Security 鉴权方法的问题。在
JWT格式的Token动态库封装,包括获取token,验证token,获取token中保存的内容
03-28
JWT格式的Token动态库封装,包括获取token,验证token,获取token中保存的内容,验证了Token是否正确,验证了Token的ip是否相同,验证了Token的过期时间
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证
08-26
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证,可根据注解的格式不同,做到角色权限控制,角色加资源权限控制等,粒度比较细化。 @PreAuthorize("hasAnyRole('ADMIN','USER')"):具有admin或user角色的用户可以访问。 @PreAuthorize("hasRole('ADMIN') and hasRole('USER')"):具有admin和user角色的用户可以访问 文章地址:https://blog.youkuaiyun.com/fuu123f/article/details/108233463
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
主要介绍了Springboot+SpringSecurity+JWT实现用户登录和权限认证示例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
基于springBoot+springSecurity+jwt实现前后端分离用户权限认证
12-09
主要基于前后端分离情况下用户权限认证, 当用户登录认证成功后,每个用户会获取到自己的token,在请求其他接口时只需携带token即可,后端会通过token来识别用户身份。springSecurity也有很多种权限认证方式,本项目主要实现基于接口授权,也就是说通过注解给controller赋予权限,用户只有拥有某个接口的权限才能成功访问这个接口,从而实现不同用户拥有不同访问权限;
Springboot+Spring security +jwt认证+动态授权
程序员一博
05-11 440
RBAC是基于角色的访问控制。一般分为用户(user), 角色(role),权限(permission)三个实体,角色(role)和权限(permission)是多对多的关系,用户(user)和角色(role)也是多对多的关系。用户(user)和权限(permission) 之间没有直接的关系,都是通过角色作为代理,才能获取到用户(user)拥有的权限。一般情况下, 使用5张表就够了 https://www.bilibili.com/video/BV15a411A7kP?p=17&t=87 .
SpringBoot+SpringSecurity+RBAC+JWT实现动态权限框架
weixin_43867933的博客
07-01 2002
一、创建数据库表 DROP TABLE IF EXISTS ; CREATE TABLE ( bigint(20) NOT NULL AUTO_INCREMENT, varchar(64) DEFAULT NULL, varchar(64) DEFAULT NULL, varchar(500) DEFAULT NULL COMMENT ‘头像’, varchar(100) DEFAULT NULL COMMENT ‘邮箱’, varchar(200) DEFAULT NULL COMMENT
SpringSecurity (5) SpringBoot + JWT + CSRF 动态权限的实现
O_o
05-26 2892
本文介绍在 SpringSecurity + SpringBoot Web 架构下, 如何实现动态权限.
springBoot整合spring security+JWT实现单点登录与权限管理前后端分离--筑基中期
qq_43788185的博客
09-05 1902
写在前面 在前一篇文章当中,我们介绍了springBoot整合spring security单体应用版,在这篇文章当中,我将介绍springBoot整合spring secury+JWT实现单点登录与权限管理。 本文涉及的权限管理模型是基于资源的动态权限管理。数据库设计的表有 user 、role、user_role、permission、role_permission。 单点登录当中,关于访问者信息的存储有多种解决方案。如将其以key-value的形式存储于redis数据库中,访问者令牌中存放key。校验
基于Spring Security的JWT认证实现
该文件标题“spring-security-jwt”明确指向一个使用 Spring Security 框架结合 JWT 技术实现用户身份验证权限控制的项目或代码示例。从描述来看,该项目专注于展示如何利用 Spring Security 提供的安全能力,并...
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值