微人事——Spring Security权限管理(二)

最新推荐文章于 2022-02-16 19:19:11 发布
原创 最新推荐文章于 2022-02-16 19:19:11 发布 · 394 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了一个权限管理系统的设计与实现过程,包括数据库设计、过滤器配置、角色权限验证等关键环节,并展示了如何通过Spring Security完成权限控制。

权限管理(二)

权限功能

1、数据库

因为是权限管理所以需要根据用户的role来查找所对应的权限menu
menu表

简单来说分为两步: 第一步,用户先从前端发起一个http请求,拿到http请求地址之后,我先去分析地址和数据库中的menu表中的哪一个url是相匹配的。就先看一下用户的请求地址跟这里边的哪一个是吻合的。

第一步的核心目的是根据用户的请求地址分析出来它所需要的角色,就是当前的请求需要哪些角色才能访问
第二步是去判断当前用户是否具备它需要的角色

2、UrlFilterInvocationSecurityMetadataSource类

通过当前的请求地址,获取该地址需要的用户角色
它的主要责任就是当访问一个url时,返回这个url所需要的访问权限

这个方法需要调用FilterInvocationSecurityMetadataSource接口

第一个方法:从filterInvocation里面可以获取当前请求的地址,拿到地址后,就要拿这个地址去menu里面的每一个项去匹配, 看是符合哪一个模式,然后再去看这个模式需要哪些角色

@Slf4j
@Component
public class UrlFilterInvocationSecurityMetadataSource implements FilterInvocationSecurityMetadataSource {

    @Autowired
    MenuRepository menuRepository;

    AntPathMatcher antPathMatcher = new AntPathMatcher();


    /**
     * 返回本次访问需要的权限,可以有多个权限
     * collection:当前请求需要的角色 o:实际上是一个filterInvocation对象
     * @return
     * @throws IllegalArgumentException
     */
    @Override
    public Collection<ConfigAttribute> getAttributes(Object o) throws IllegalArgumentException {
        String requestUrl = ((FilterInvocation) o).getRequestUrl();
        //这个方法每次请求都会调用
        List<Menu> allMenu = menuRepository.findAll();
        //比较request跟这menus里面的url是否一致 遍历menus 借助AntPathMatcher工具进行
        for(Menu menu:allMenu){
            if (antPathMatcher.match(menu.getUrl(),requestUrl)
                    && menu.getRoles().size()>0){
                List<Role> roles = menu.getRoles();
                int size = roles.size();
                String[] values = new String[size];
                for(int i = 0;i<size;i++){
                    values[i] = roles.get(i).getName();
                }
                log.info("当前访问路径是{},这个url所需要的访问权限是{}",requestUrl,values);
                return SecurityConfig.createList(values);
            }
        }

        //没有匹配上的资源,都是登陆访问
        log.info("当前访问路径是{},这个url所需要的访问权限是{}","ROLE_LOGIN");
        return SecurityConfig.createList("ROLE_LOGIN");
    }

    /**
     * 此处方法如果做了实现,返回了定义的权限资源列表,
     * Spring Security会在启动时校验每个ConfigAttribute是否配置正确,
     * 如果不需要校验,这里实现方法,方法体直接返回null即可。
     * @return
     */
    @Override
    public Collection<ConfigAttribute> getAllConfigAttributes() {
        return null;
    }

    /**
     * 方法返回类对象是否支持校验,
     * web项目一般使用FilterInvocation来判断,或者直接返回true
     * @param aClass
     * @return
     */
    @Override
    public boolean supports(Class<?> aClass) {
        return true;
    }
}

3、MenuService

public interface MenuService {
    List<Menu> getMenusByHrId(Integer id);
}

==getMenusByHrId(Integer id)==这个方法是通过Hr表中的id查询到每个用户所对应的menu,也就是权限,这里我们需要实现这个方法

@Service
public class MenuServiceImpl implements MenuService {
    @Autowired
    private MenuRepository menuRepository;
    @Autowired
    private MenuroleRepository menuroleRepository;
    @Autowired
    private HrRoleRepository hrRoleRepository;

    @Override
    public List<Menu> getMenusByHrId(Integer hrid) {
        List<hrRole> list = hrRoleRepository.findAllByHrid(hrid);
        List<Integer> rids = new ArrayList<>();
        for (hrRole hrrole:list){
            rids.add(hrrole.getRid());
        }
        List<MenuRole> mids = menuroleRepository.findByRidIn(rids);
        List<Integer> menus = new ArrayList<>();
        for (MenuRole menuRole:mids){
           menus.add(menuRole.getMid());
        }
        return menuRepository.findAllByIdIn(menus);
    }
}

public interface MenuRepository extends JpaRepository<Menu,Integer> {
    public List<Menu> findAllById(Integer id);
	//根据数组中的每一个元素查询Menu类
    List<Menu> findAllByIdIn(List<Integer> id);

}

public interface MenuroleRepository extends JpaRepository<MenuRole,Integer> {
    public List<MenuRole> findAllById(Integer id);
    public List<MenuRole> findByRidIn(List<Integer> Rids);
}

public interface HrRepository extends JpaRepository<Hr,Integer> {
    public Hr findByUsername(String username);
    public List<Role> findAllRolesById(Integer id);
}

4、UrlAccessDecisionManager类

判断当前用户是否具备这些角色,需要调用AccessDecisionManager

@Component
public class UrlAccessDecisionManager implements AccessDecisionManager {
    //Collection<ConfigAttribute> collection是是UrlFilterInvocationSecurityMetadataSource中的getAttributes方法传来的,
    // 表示当前请求需要的角色(可能有多个)

    /**
     *
     * @param authentication:包含了当前的用户信息,包括拥有的权限,
     *                      即之前UserDetailsService登录时候存储的用户对象
     * @param o:就是FilterInvocation对象,可以得到request等web资源
     *         configAttributes 是本次访问需要的权限。
     *         即上一步的 UrlFilterInvocationSecurityMetadataSource 中查询核对得到的权限列表
     * @param collection
     * @throws AccessDeniedException
     * @throws InsufficientAuthenticationException
     */
    //用户的角色在authentication里面,需要的角色在configAttributes里面,再去比较他们俩集合里面有没有包含关系就行
    @Override
    public void decide(Authentication authentication, Object o, Collection<ConfigAttribute> collection) throws AccessDeniedException, InsufficientAuthenticationException {
        //遍历需要的角色
        for (ConfigAttribute configAttribute : collection) {
            //它需要的角色
            String needRole = configAttribute.getAttribute();
            //如果它需要的角色是"ROLE_LOGIN"
            if ("ROLE_LOGIN".equals(needRole)) {
                //如果当前用户是匿名用户的实例的话,就是没登录
                if (authentication instanceof AnonymousAuthenticationToken) {
                    throw new AccessDeniedException("尚未登陆,请登陆");
                } else {
                    return;
                }
            }

            //获取当前登陆用户的角色
            Collection<? extends GrantedAuthority> authorities = authentication.getAuthorities();
            for (GrantedAuthority authority : authorities) {
                //如果这两个东西是相等的
                if (authority.getAuthority().equals(needRole))
                    return;
            }
        }

        throw new AccessDeniedException("权限不足,请联系管理员!");
    }

    @Override
    public boolean supports(ConfigAttribute configAttribute) {
        return true;
    }

    @Override
    public boolean supports(Class<?> aClass) {
        return true;
    }
}

5、修改HrService类

@Service
public class HrService implements UserDetailsService {

    @Autowired
    HrRepository hrRepository;
    @Autowired
    HrRoleRepository hrRoleRepository;
    @Autowired
    RoleRepository roleRepository;

    //通过Hr的id查询Role
    public List<Role> getHrRolesByHrid(Integer hrid){
        List<hrRole> list = hrRoleRepository.findAllByHrid(hrid);
        List<Role> roles = new ArrayList<>();
        for (hrRole hrrole:list){
            roles.add(roleRepository.findById(hrrole.getRid()).get());
        }
        return roles;
    }


    @Override
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
        Hr hr = hrRepository.findByUsername(s);
        if (hr == null){
            throw new UsernameNotFoundException("用户名不对");
        }
        //给用户设置角色
        hr.setRoles(getHrRolesByHrid(hr.getId()));
        return hr;
    }

}

6、配置webSecurityConfig类

通过==.withObjectPostProcessor()==讲这两个类注入

@Configuration
public class webSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    HrService hrService;
    @Autowired
    UrlFilterInvocationSecurityMetadataSource urlFilterInvocationSecurityMetadataSource;
    @Autowired
    UrlAccessDecisionManager urlAccessDecisionManager;
    @Autowired
    AccessDeniedHandler accessDeniedHandler;




    //明文显示密码
    @Bean
    public CustomPasswordEncoder passwordEncoder() {
        return new CustomPasswordEncoder();
    }

    //定义认证规则
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
       auth.userDetailsService(hrService)
              .passwordEncoder(new CustomPasswordEncoder());

    //    auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder()).withUser("user1").password(new BCryptPasswordEncoder().encode("123")).roles("USER");

    }


    /**
     * 通过withObjectPostProcessor将MyFilterInvocationSecurityMetadataSource和MyAccessDecisionManager注入进来
     * 此url先被UrlFilterInvocationSecurityMetadataSource处理,然后 丢给UrlAccessDecisionManager处理
     * 如果不匹配,返回 MyAccessDeniedHandler
     * @param http
     * @throws Exception
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                //剩下的其他请求都是登陆之后就能访问的
                .withObjectPostProcessor(new ObjectPostProcessor<FilterSecurityInterceptor>() {
                    @Override
                    public <O extends FilterSecurityInterceptor> O postProcess(O o) {
                        o.setAccessDecisionManager(urlAccessDecisionManager);
                        o.setSecurityMetadataSource(urlFilterInvocationSecurityMetadataSource);
                        return o;
                    }
                })
                //单表登陆
                .and().formLogin()
                //修改默认登陆的username
                .usernameParameter("username")
                //修改默认登陆的password
                .passwordParameter("password")
                //处理单表登陆的url路径
                .loginProcessingUrl("/doLogin")
                //默认看到的登录页面
                .loginPage("/login")
                //登陆成功的处理
                .successHandler(new AuthenticationSuccessHandler() {
                    @Override
                    public void onAuthenticationSuccess(HttpServletRequest req, HttpServletResponse resp, Authentication authentication) throws IOException, ServletException {
                        //如果登陆成功就返回一段json
                        resp.setContentType("application/json;charset=utf-8");
                        //这是往出写的
                        PrintWriter out = resp.getWriter();
                        //登陆成功的hr对象
                        Hr hr = (Hr) authentication.getPrincipal();
                        RespBean ok = RespBean.ok("登陆成功",hr);
                        //把hr写成字符串
                        String s = new ObjectMapper().writeValueAsString(ok);
                        //把字符串写出去
                        out.write(s);
                        out.flush();
                        out.close();
                    }
                })
                //登陆失败的处理
                .failureHandler(new AuthenticationFailureHandler() {
                    @Override
                    public void onAuthenticationFailure(HttpServletRequest req, HttpServletResponse resp, AuthenticationException e) throws IOException, ServletException {
                        //如果登陆失败就返回一段json
                        resp.setContentType("application/json;charset=utf-8");
                        PrintWriter out = resp.getWriter();
                        RespBean respBean = RespBean.error("登陆失败!");
                        if (e instanceof LockedException){
                            respBean.setMsg("账户被锁定,请联系管理员!");
                        }else if (e instanceof CredentialsExpiredException){
                            respBean.setMsg("密码过期,请联系管理员!");
                        }else if (e instanceof AccountExpiredException){
                            respBean.setMsg("账户过期,请联系管理员!");
                        }else if (e instanceof DisabledException){
                            respBean.setMsg("账户被禁用,请联系管理员!");
                        }else if (e instanceof  BadCredentialsException){
                            respBean.setMsg("用户名或者密码输入错误,请联系管理员!");
                        }
                        out.write(new ObjectMapper().writeValueAsString(respBean));
                        out.flush();
                        out.close();
                    }
                })
                //跟登陆相关的接口就能直接访问
                .permitAll()
                .and()
                .logout()
                //注销成功后的回调
                .logoutSuccessHandler(new LogoutSuccessHandler() {
                    @Override
                    public void onLogoutSuccess(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Authentication authentication) throws IOException, ServletException {
                        httpServletResponse.setContentType("application/json;charset=utf-8");
                        PrintWriter out = httpServletResponse.getWriter();
                        out.write(new ObjectMapper().writeValueAsString(RespBean.ok("注销成功!")));
                        out.flush();
                        out.close();
                    }
                })
                .permitAll()
                .and()
                //关闭csrf攻击
                .csrf().disable();
    }
}

这就是完整的webconfig了

7、测试

编写一个controller 测试一下

@RestController
public class HelloController {

    @GetMapping("/hello")
    public String hello(){
        return "欢迎进入登陆页面";
    }

    @GetMapping("/employee/basic/hello")
    public String hello2(){
        return "/emp/basic/hello";
    }

    @GetMapping("/employee/advanced/hello")
    public String hello3(){
        return "/emp/adv/hello";
    }
}

登陆
成功显示role
在这里插入图片描述
测试权限
成功
在这里插入图片描述
Spring Security在这里就全部完成了

人事-spring security登录认证分析
一个还在上学的程序缘
03-14 522
前言 vhr登录认证(1)用户名+密码+验证码(2)对于用户的角色认证 vhr采用了spring security做认证及授权,今天想来总结下整个登录的流程。 分析 上图可以先大概看下流程 (1)spring Security 中有一个非常重要的对象叫做 Authentication,我们可以在任何地方注入 Authentication 进而获取到当前登录用户信息,Authentication 本身是一个接口,它有很多实现类,最常用的就是 UsernamePasswordAuthenticationTok
人事第十天:spring security初体验
qq_41998938的博客
02-01 491
Spring SecuritySpring 家族中的一个安全管理框架,实际上,在 Spring Boot 出现之前,Spring Security 就已经发展了多年了,但是使用的并不多,安全管理这个领域,一直是 Shiro 的天下。 相对于 Shiro,在 SSM/SSH 中整合 Spring Security 都是比较麻烦的操作,所以,Spring Security 虽然功能比 Shiro...
springsecurity-collection:springsecurity安全框架的一些使用
04-28
安全框架SpringSecurity的基本应用 test-ss-11 集成spring security 自定义认证成功和认证失败的handler 自定义访问拒绝的handler(权限不足) 自定义退出登录成功的handler MockUserList是模拟用户列表 authorizeRequests对url进行统一的权限要求配置 test-ss-12 在test-ss-11 的基础上进一步扩展 增加了对session的管理 可使用redis或者mongodb进行session缓存 对session失效或者过期的处理 增加RBAC模型的实体类 user role permission(用户-角色-权限)再加上两个关系实体,对应数据库的5张表(用户表,角色表,权限表,用户角色关系表,角色权限关系表) 增加对api的访问控制 可通过注解 可通过congig类配置 增加在安全验证的情况下的单元
人事(3)- 动态权限控制(SpringCache、SpringSecurity
weixin_44021967的博客
08-11 474
文章目录前端设计:左侧菜单设计后台设计:动态权限控制动态权限控制扩展知识1: 前端设计:左侧菜单设计 将每一级的菜单放到数据库中,而不是写死到前端 enabled表示当前项是否启用。 keepAlive表示不显示这个标签的时候,这个标签是隐藏还是销毁。 requireAuth表示组件是否需要登录才能访问。 后台设计:动态权限控制 数据库:hr、hr_role、role、menu_role、menu 用户->角色->权限:在menu中定义了当前权限的url接口,例如员工奖惩对应的url为/pers
人事第十天:Spring Security基于数据库的认证
qq_41998938的博客
02-08 418
Spring Security中我们是在配置类中手动写死登录名和密码的,现在我们通过在数据库中预先填写好几个用户名和密码,等到登录的时候只需要去和数据库中的用户名和密码进行认证就可以了。 具体操作步骤如下: 填写web,Spirng Security,以及mybatis和mysql的相关依赖。 现在给出构建数据库的相关sql代码: 这里创建了三张表分别是:user(用户表) role(权限表) ...
springboot项目——基于springSecurity实现的前后端分离的企业级人事管理系统
10-03
《基于SpringSecuritySpringBoot企业级人事管理系统详解》 在当今的互联网开发环境中,SpringBoot以其简洁、高效的特点,已经成为构建后端服务的主流框架。而SpringSecurity作为Spring生态系统中的安全组件,为...
人事项目
04-24
人事管理系统——人事。主要目的是通过这个项目加强各个部门之间的协调从而提高工作效率。该项目是一个前后端分离的开发方式,前端使用vue来构建单页面应用, 单页面应用通过动态重写当前页面来与用户交互,而非...
Java WEB——人事管理系统
10-11
此外,为了实现用户认证和授权,可以利用Spring Security框架,它提供了强大的访问控制功能,可以根据角色、URL或特定条件来限制用户的访问权限。对于登录注册,通常会有Session管理和验证码机制,防止非法用户入侵...
基于Spring Boot的人事管理系统设计与实现
权限管理”是本系统的重要功能模块之一,通常基于Spring Security实现认证(Authentication)与授权(Authorization)机制。系统可设定不同角色(如管理员、HR专员、普通员工),并通过角色绑定菜单权限和API访问...
spring-boot+vue+Element UI的人事管理系统,采用前后端分离模式
最新发布
04-01
Spring Security可以用于权限管理,实现用户认证和授权,确保系统安全。 Vue.js是前端的明星框架,它强调简洁的语法和可复用性,使得开发者能够高效构建用户界面。在本项目中,Vue.js作为主要的视图层框架,通过...
人事——Spring Security权限管理(一)
Gsasuke的博客
01-18 351
权限管理(一) 我用的是Spring Security权限管理,分为“认证”以及“验证”。 “认证”就是登陆,“验证”就是根据权限授予一定的操作,也就是权限。 Spring Security大致的过程就是这样 这个图片不是我做的,是另一个博主做的我觉得很不错。 原地址: https://blog.youkuaiyun.com/zhaoxichen_10/article/details/88713799. (一)数据库设计 权限管理系统涉及到了三个数据库。 hr数据库是存储账户信息 menu是权限管理数据库 r
人事-权限管理继续完善
azto的博客
06-09 322
1 当用户直接输入地址的时候会被服务器要求重定向到http://localhost:8081/login 要求用户登录用才可以访问 当后端将http://localhost:8081/login返回给前端,前端会直接访问这个地址,就不经过node.js代理。没有代理就跨域了。 解决1 在login的接口上使用@CrossOrigin注释 解决2 protected void configure(HttpSecurity http) throws Exception 以上方法中加入以下代码
安全检查Tomcat
weixin_40674956的博客
02-16 577
接口安全检查 //主要是以下代码: @Bean public TomcatServletWebServerFactory servletContainer() { TomcatServletWebServerFactory tomcat = new TomcatServletWebServerFactory() { @Override protected void postProcessContext(Context context) { SecurityConstraint securityConstra
Spring Boot容器配置,使用内置Tomcat并添加HTTPS
午夜安全
07-13 1172
Spring Boot容器配置,Tomcat与HTTPS 1.Tomcat spring boot项目可以内置Tomcat,Jetty等容器。 2.HTTPS 使用java的工具keytool生成一个数字证书,命令如下: keytool -genkey -alias southwind0 -keyalg RSA -keysize 2048 -keystore sw.pl2 -validity 1000 这就生成了一个别名是southwind0、使用RSA算法加密、密钥长度2048、密钥存放位
java spring boot 入门(2)------基础配置
咸鱼梦想
07-27 362
Spring Boot 的简便创建方式 在线创建是Spri n g Boot 官方提供的一种包创建方式, 在浏览器中输入网址 “https://start.spring.io/ ”,成不成,看人品,我的网连不上它的server。 接下来说重点: 目录 不使用spring-boot-starter-parent @Spring BootApplication 定制banner web容器配置 Properties 配置 类型安全配置属性 YAML配置 profile 不使用spring
SpringBoot-SpringSecurity集成
BraveWangDev
11-04 9576
SpringSecurity的东西还是比较多的,为了尽可能的把项目中用得到的知识都列举出来,近期应该会持续更新SpringBoot-SpringSecurity相关知识首先我们说一下SpringBoot-SpringSecurity的简单集成 这节我们使用SpringSecurity自带的登陆验证页面本节代码根据SpringBoot初始化项目 : Maven构建SpringBoot项目 为基础一,
Spring Security源码解析
格局决定一切,智恒方远
03-20 1943
      现在流行的通用授权框架有apache的shiro和Spring家族的Spring Security,在涉及今天的服务鉴权时,需要利用我们的授权框架搭建自己的鉴权服务,今天总理了Spring Security,便于在服务架构体系中拓展.对于shiro之前用过,单体应用使用起来还是很灵活轻便的.##############################################...
springboot禁止不安全请求
weixin_45333124的博客
03-22 4978
一、项目场景: 在项目测试阶段,tomcat需要禁止一些不安全的请求,比如PUT、TRACE、OPTIONS等,这里自定义springboot中的tomcat配置类,实现禁用。 、 解决方法: 2.1、 外置的tomcat可以直接修改config.xml文件。 2.2、1.X版本的springboot @Configuration public class TomcatConfig { @Bean public EmbeddedServletContainerFactory servlet
Web安全-Tomcat禁用Web服务器内置不安全请求方法
acooly
11-23 2524
1. 背景说明 Web安全测试中,会要求屏蔽非必要的不安全Http请求方法。一般要求保留get和post,其他的方法一般屏蔽,比如:OPTIONS,DELETE等。 本文主要收集业务系统中,不同时期,我们框架的各版本的处理方案,都基于tomcat+spring各版本体系。 2. 解决思路 使用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值