权限实现Security--@PreAuthorize

最新推荐文章于 2025-01-05 18:00:59 发布
最新推荐文章于 2025-01-05 18:00:59 发布
阅读量1.4k 收藏 5
点赞数 1
文章标签: java spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Mrs_DongDong/article/details/131834374
版权
该文介绍了如何使用SpringSecurity的@PreAuthorize注解结合自定义权限校验类实现方法级别权限控制,以及如何创建基于角色和菜单的权限系统。通过CustomUserDetailsService加载用户、角色和菜单信息,使用@HasRole和@HasMenuPermission注解进行权限控制。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

当使用 @PreAuthorize 注解结合自定义权限校验类实现基于方法级别的权限控制时,以下是一个完整的示例:

首先,在 SecurityService 类中添加权限校验方法 hasPermission

public boolean hasPermission(int userId, int departmentId) {
    User user = userDao.getUserById(userId);
    if (user != null) {
        return user.getDepartmentId() == departmentId && isDepartmentManager(userId, departmentId);
    }
    return false;
}

private boolean isDepartmentManager(int userId, int departmentId) {
    // 根据 userId 和 departmentId 判断该用户是否为部门经理
    // 返回 true 或 false
}

然后,在授权方法上添加 @PreAuthorize 注解:

@PreAuthorize("@securityService.hasPermission(#userId, #departmentId)")
public void grantPermission(int userId, int departmentId) {
    User user = userDao.getUserById(userId);
    if (user != null && user.getDepartmentId() == departmentId) {
        // 进行授权操作
    }
}

接下来,配置 Spring Security,以启用注解的权限控制。在 Spring Security 配置类中添加如下配置:

@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    // 配置其他 Spring Security 相关的配置

    @Bean
    public SecurityService securityService(UserDao userDao) {
        return new SecurityService(userDao);
    }
}

最后,使用 @Autowired 注解将 SecurityService 注入到其他类中,并调用授权方法:

@Autowired
private SecurityService securityService;
@Autowired
private UserDao userDao;

public void someMethod(int userId, int departmentId) {
    if (securityService.hasPermission(userId, departmentId)) {
        User user = userDao.getUserById(userId);
        if (user != null && user.getDepartmentId() == departmentId) {
            securityService.grantPermission(userId, departmentId);
        }
    } else {
        // 没有权限进行授权
    }
}

这样,通过 @PreAuthorize 注解和自定义的权限校验类,实现了基于方法级别的权限控制。在调用 grantPermission 方法之前,会自动进行权限判断,只有具有权限的用户才能执行授权操作。

接下来, 我们将定义一个基于Spring Security的角色和菜单权限控制的案例:

  1. 创建菜单实体类 Menu
public class Menu {
    private int id;
    private String name;
    private String url;
    // 其他属性

    // 省略构造函数、getter和setter方法
}
  1. 创建角色实体类 Role
public class Role {
    private int id;
    private String name;
    private List<Menu> menus;
  
    // 省略构造函数、getter和setter方法
}
  1. 创建用户实体类 User
public class User {
    private int id;
    private String username;
    private String password;
    private List<Role> roles;
  
    // 省略构造函数、getter和setter方法
}
  1. 创建用于查询用户、角色和菜单信息的相关接口:
public interface UserDao {
    User getUserByUsername(String username);
    // 其他数据库操作方法
}

public interface RoleDao {
    Role getRoleById(int roleId);
    // 其他数据库操作方法
}

public interface MenuDao {
    List<Menu> getAllMenus();
    // 其他数据库操作方法
}
  1. 创建一个实现Spring Security的 UserDetailsService 接口的类 CustomUserDetailsService
@Service
public class CustomUserDetailsService implements UserDetailsService {
    @Autowired
    private UserDao userDao;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        User user = userDao.getUserByUsername(username);
        if (user == null) {
            throw new UsernameNotFoundException("Invalid username or password.");
        }
        return new org.springframework.security.core.userdetails.User(user.getUsername(), user.getPassword(),
                getAuthorities(user.getRoles()));
    }

    private List<GrantedAuthority> getAuthorities(List<Role> roles) {
        List<GrantedAuthority> authorities = new ArrayList<>();
        for (Role role : roles) {
            authorities.add(new SimpleGrantedAuthority("ROLE_" + role.getName()));
            for (Menu menu : role.getMenus()) {
                authorities.add(new SimpleGrantedAuthority(menu.getUrl()));
            }
        }
        return authorities;
    }
}

在上述代码中,CustomUserDetailsService 类实现了 UserDetailsService 接口,并根据用户名从数据库中加载用户信息。同时,根据用户的角色和菜单信息分配相应的权限。

  1. 创建一个基于角色的权限控制注解 @HasRole
@Target({ ElementType.TYPE, ElementType.METHOD })
@Retention(RetentionPolicy.RUNTIME)
@PreAuthorize("hasRole(@authentication, #role)")
public @interface HasRole {
    String value();
}
  1. 在控制器层(Controller)中使用 @HasRole 来实现基于角色的权限控制:
@Controller
public class MyController {

    @GetMapping("/admin")
    @HasRole("ADMIN")
    public String adminPage() {
        return "admin";
    }

    @GetMapping("/user")
    @HasRole("USER")
    public String userPage() {
        return "user";
    }

    // 其他方法
}

使用 @HasRole 注解来标记方法,通过传入指定的角色名称实现对应角色的权限控制。

除此之外,还需要在 Spring Security 的配置类中进行相关配置:

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    private CustomUserDetailsService userDetailsService;

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder());
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
            .antMatchers("/admin").hasRole("ADMIN")
            .antMatchers("/user").hasRole("USER")
            .anyRequest().authenticated()
            .and()
            .formLogin()
            .permitAll()
            .and()
            .logout()
            .permitAll();
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
}

在上述代码中,我们通过 configure(HttpSecurity http) 方法配置了针对 /admin/user 路径的访问权限,只有具有指定角色的用户才能访问相应的页面。同时,我们还配置了基于表单的登录和登出功能。

在上面的代码中,我们实现了基于角色的权限控制和登录认证,但还没有包含菜单权限控制。接下来我们将添加菜单权限控制的功能。

  1. CustomUserDetailsService 中,我们需要从数据库加载所有菜单信息:
@Service
public class CustomUserDetailsService implements UserDetailsService {
    @Autowired
    private UserDao userDao;
    @Autowired
    private MenuDao menuDao;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        User user = userDao.getUserByUsername(username);
        if (user == null) {
            throw new UsernameNotFoundException("Invalid username or password.");
        }
        List<Menu> menus = menuDao.getAllMenus();
        return new org.springframework.security.core.userdetails.User(user.getUsername(), user.getPassword(),
                getAuthorities(user.getRoles(), menus));
    }

    private List<GrantedAuthority> getAuthorities(List<Role> roles, List<Menu> allMenus) {
        List<GrantedAuthority> authorities = new ArrayList<>();
        for (Role role : roles) {
            authorities.add(new SimpleGrantedAuthority("ROLE_" + role.getName()));
            for (Menu menu : role.getMenus()) {
                authorities.add(new SimpleGrantedAuthority(menu.getUrl()));
            }
        }
        for (Menu menu : allMenus) {
            if (!hasAuthority(authorities, menu.getUrl())) {
                authorities.add(new SimpleGrantedAuthority(menu.getUrl()));
            }
        }
        return authorities;
    }

    private boolean hasAuthority(List<GrantedAuthority> authorities, String authority) {
        for (GrantedAuthority grantedAuthority : authorities) {
            if (authority.equals(grantedAuthority.getAuthority())) {
                return true;
            }
        }
        return false;
    }
}

在上述代码中,我们在 getAuthorities 方法中将所有菜单的 url 作为权限添加到用户的权限列表中。通过检查用户的权限列表,如果不包含菜单的 url,则将其添加到用户的权限列表中。

  1. 在控制器层的方法上添加菜单权限控制的注解 @HasMenuPermission
@Target({ ElementType.TYPE, ElementType.METHOD })
@Retention(RetentionPolicy.RUNTIME)
@PreAuthorize("hasAuthority(#menuUrl)")
public @interface HasMenuPermission {
    String value();
}
  1. 在控制器层中使用 @HasMenuPermission 注解来实现菜单权限控制:
@Controller
public class MyController {

    @GetMapping("/admin")
    @HasRole("ADMIN")
    public String adminPage() {
        return "admin";
    }

    @GetMapping("/user")
    @HasRole("USER")
    public String userPage() {
        return "user";
    }

    @GetMapping("/menu1")
    @HasMenuPermission("/menu1")
    public String menu1Page() {
        return "menu1";
    }

    @GetMapping("/menu2")
    @HasMenuPermission("/menu2")
    public String menu2Page() {
        return "menu2";
    }

    // 其他方法
}

使用 @HasMenuPermission 注解标记方法,并传入相应菜单的 url,实现菜单级别的权限控制。

通过以上步骤,我们实现了基于角色和菜单的权限控制和登录认证,@HasRole 注解用于角色的权限控制,@HasMenuPermission 注解用于菜单的权限控制。

请注意,以上示例中的内容是一个简化的示例,实际项目中可能涉及到更复杂的业务逻辑和数据库操作。这个示例提供了一个基本框架,你可以根据实际需求进行扩展和优化。

Mrs_DongDong
关注
基于STM32的智能婴儿床控制系统设计(手机APP+蓝牙无线控制)(210)
08-21 2053
项目充分运用先进的嵌入式技术物联网理念,打造出一款集安全性、便利性、舒适性于一体的智能婴儿床控制系统,旨在减轻育儿负担,提高育儿效率,保障婴幼儿健康成长,满足现代家庭对高品质育儿生活的追求。
60道计算机网络高频题整理(附答案背诵版)
IT6666_it的博客
06-05 707
*帅地注:**这个一般会结合项目来问你,一般不会突然单独问这个,问的时候,最好可以举例子哈,自己在项目中测试过是最好的说服力,下面会举一个简单的案例。SQL 注入就是通过把 SQL 命令插入到 We b表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令的。1). SQL注入攻击的总体思路(1). 寻找到SQL注入的位置(2). 判断服务器类型后台数据库类型(3). 针对不通的服务器数据库特点进行SQL注入攻击2). SQL注入攻击实例。
手机号码段大全
04-05
国内所有手机号段的地理分布
手机解锁密码大全
ty_baby的专栏
01-18 9241
三、GSM手机密笈 (一)摩托罗拉 摩托罗拉所有机锁:按MENU+5+1/2  T190解锁密码: 20010903  T191解锁密码:19980722  3X8/2X88/998/8088/L2000/7689/T189/C289等初始密码为1234 ;话机密码为000000 ;解锁方法:如无测试卡,则先输入1234,如密码已更改,先按Menu键会出现“修改开锁密码”,按OK键,然后输入
手机密码大全!
unp的专栏
10-24 2931
好文章,不多说了。不过各位在试验某些功能的时候还是谨慎为妙。        解话机锁:*2767*2878#/*2767*7377#   三星码片复位:*2767*3855# 也可用于解机锁或卡锁   三星显温度、电池容量:*#0228#   三星调显示屏对比度:*#0523#   三星软件版本:*#9999#   三星A100-A188看版本:*#0837#   摩托罗拉T2688解所有锁:19
手机密码锁机的朋友不用再去营业厅解锁.自己搞定(未测试)
记事本
11-25 4492
(注意:本文为网上收集,仅仅为个人收藏,如果强行使用造成严重后果本人不负任何责任!强烈建议:锁了机还是拿到营业厅解锁)手机密码锁机的朋友不用再去营业厅解锁.自己搞定解话机锁:*2767*2878#/*2767*7377#   三星码片复位:*2767*3855# 也可用于解机锁或卡锁   三星显温度、电池容量:*#0228#   三星调显示屏对比度:*#0523#   三星软件版本:*#9999#
真正的手机密码大全
平凡的世界
05-15 8074
手机一旦设的密码忘记了怎么办?很多人到手机修理的地方或者厂方去解锁,往往收取不菲的费用,其实很多手机只要自己输入解锁码就可以了。以下收集整理的满全了应该。一、各种品牌手机中英文对照 Acer::宏基 AIWA:爱华 alcatel(ALC):阿尔卡特 AMOI:夏新 APBW:亚太 APPLE:苹果 Arcoa:全虹 ASUS:华硕 AUX:奥克斯 BenQ:明基 Benten:巨腾 BIRD(B
国科大2024秋网络认证技术复习考点整理完整版
最新发布
m0_62957813的博客
01-05 793
国科大网络认证技术2024秋期末考点整理(无敌详细版)
商用密码应用解决方案编写指南
lavin1614
12-16 5094
随着互联网的兴起,基于数字证书的PKI技术得到大力发展,经过技术不断的发展创新,我国商用密码产业蓬勃发展。随着一系列密码算法标准、密码算法协议等行业标准的制定发布,我国商用密码标准体系逐渐成型。 密评是国家相关法律法规等明确要求的,已有大部分公司内部已经根据不同业务进行系统梳理,且陆续在开展各项密评工作。但据目前市场而言,大部分密码应用方案是无法完全符合要求的,那么该如何有效编写? 我们将分别以甲方、集成商、第三方角度进行分析,从项目、角色、标准、技术框架等方向提供相应建议,如有不同意见可联系小编进
6位密码字典 根据用户手机键盘习惯生的
11-26
根据用户手机键盘习惯生成的6为密码字典 如:123456 123123 112233 123321 147852 125874 等等 字典不大 都是精华 6位手机锁正确率百分之80
js验证手机号密码、短信验证码代码工具类
10-20
主要介绍了js验证手机号密码、短信验证码代码工具类,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
龙管家免手机号码查密码
10-30
龙管家免手机号码查密码
手机密码大全--不太懂的朋友请谨慎用
懒人部落
09-10 5706
解话机锁:*2767*2878#/×2767*7377#   三星码片复位:*2767*3855# 也可用于解机锁或卡锁   三星显温度、电池容量:*#0228#   三星调显示屏对比度:*#0523#   三星软件版本:*#9999#   三星A100-A188看版本:*#0837#   摩托罗拉T2688解所有锁:19980722   T2688/2988/988d没有中文:*#0000# O
常用正则验证 :手机号、验证码、密码、邮箱等验证
weixin_44296489的博客
05-17 3172
正则
注册约束手机号密码
wtfsb的博客
03-30 522
$("#showTooltips").click(function() { alert("准备提交注册……"); var tel=document.getElementById("telephone").value; var pas=document.getElementById("password").value; console...
iOS 一些常用的手机号密码、数字等判断
~玉麒麟~
01-12 570
//判断密码,6-16位 +(BOOL)CheckPassword:(NSString *)password { NSString *Regex = @".{6,16}"; NSPredicate *passwordTest = [NSPredicate predicateWithFormat:@"SELF MATCHES %@", Regex]; return [passw
注册;;手机号密码正则验证
不知道的博客
08-28 1098
package com.example.a01_rikao; import android.text.TextUtils; /**  * Created by yujie on 2017/11/28.  */ public class VerifyUtil {     /**      * 验证手机格式      */     public static boolean isMobile(Stri...
iOS正则表达式判断手机号密码
然而老干妈早就看穿了一切
06-29 689
密码规则:    //1. 密码不能全部为数字    //2. 密码不能全部为字母    //3. 密码必须包含字母数字    //4. 密码6-20位        NSString *phone=@"13400009999";          if ([self checkPhoneNumber:phone]) {         NSLog
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值