SpringBoot集成Spring Security(5)——权限控制

最新推荐文章于 2025-07-15 15:32:16 发布
原创 最新推荐文章于 2025-07-15 15:32:16 发布 · 1.3k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#springboot #springsecurity

本文详细介绍了如何在 Spring Boot 项目中实现基于角色的权限控制,包括创建权限表、设计 POJO、Mapper 和 Service 层,以及自定义 PermissionEvaluator 实现细粒度的权限检查。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在第一篇中,我们说过,用户<–>角色<–>权限三层中,暂时不考虑权限,在这一篇,是时候把它完成了。

为了方便演示,这里的权限只是对角色赋予权限,也就是说同一个角色的用户,权限是一样的。当然了,你也可以精细化到为每一个用户设置权限,但是这不在本篇的探讨范围,有兴趣可以自己实验,原理都是一样的。

目录

一、数据准备

1.1 创建sys_permission表

1.2 创建POJO、Mapper、Service

1.3 修改接口

二、PermissionEvaluator

三、运行程序

一、数据准备

1.1 创建sys_permission表

让我们先创建一张权限表,名为sys_permission

CREATE TABLE `sys_permission` (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `url` varchar(255) DEFAULT NULL,
  `role_id` int(11) DEFAULT NULL,
  `permission` varchar(255) DEFAULT NULL,
  PRIMARY KEY (`id`),
  KEY `fk_roleId` (`role_id`),
  CONSTRAINT `fk_roleId` FOREIGN KEY (`role_id`) REFERENCES `sys_role` (`id`) ON DELETE CASCADE ON UPDATE CASCADE
) ENGINE=InnoDB AUTO_INCREMENT=5 DEFAULT CHARSET=utf8;

内容就是两条数据,url+role_id+permission唯一标识了一个角色访问某一url时的权限,其中权限暂定为c、r、u、d,即增删改查。

1.2 创建POJO、Mapper、Service

(1)pojo

package com.chwx.springbootspringsecurity.pojo;

import lombok.Data;

import javax.persistence.Column;
import javax.persistence.Id;
import javax.persistence.Table;
import javax.persistence.Transient;
import java.io.Serializable;
import java.util.Arrays;
import java.util.List;

@Table(name = "sys_permission")
@Data
public class SysPermission implements Serializable {
    static final long serialVersionUID = 1L;

    @Id
    private Integer id;

    private String url;

    @Column(name = "role_id")
    private Integer roleId;

    private String permission;

    @Transient
    private List permissions;

    // 省略除permissions外的getter/setter

    public List<String> getPermissions() {
        return Arrays.asList(this.permission.trim().split(","));
    }

    public void setPermissions(List permissions) {
        this.permissions = permissions;
    }
}

这里需要注意的时相比于数据库,多了一个permissions属性,该字段将permission按逗号分割为了list。

(2)mapper

package com.chwx.springbootspringsecurity.dao;

import com.chwx.springbootspringsecurity.pojo.SysPermission;
import org.apache.ibatis.annotations.Mapper;
import org.apache.ibatis.annotations.Select;

import java.util.List;

/**
 * @author ZY Wei
 * @date 2018/11/20 16:49
 */
@Mapper
public interface SysPermissionMapper {
    @Select("select * from sys_permission where role_id = #{roleId}")
    List<SysPermission> listByRoleId(Integer roleId);
}

(3)Service

package com.chwx.springbootspringsecurity.service;

import com.chwx.springbootspringsecurity.pojo.SysPermission;
import com.chwx.springbootspringsecurity.dao.SysPermissionMapper;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;

import java.util.List;

/**
 * @author ZY Wei
 * @date 2018/11/20 16:50
 */
@Service
public class SysPermissionService {
    @Autowired
    private SysPermissionMapper sysPermissionMapper;

    /**
     * 获取指定角色所有权限
     * @param roleId
     * @return
     */
    public List<SysPermission> listByRoleId(Integer roleId){
        return sysPermissionMapper.listByRoleId(roleId);
    }
}

Service中有一个方法,根据roleId获取所有的SysPermission

1.3 修改接口

@Controller
public class LoginController {
    ...

    @RequestMapping("/admin")
    @ResponseBody
    @PreAuthorize("hasPermission('/admin','r')")
    public String printAdminR() {
        return "如果你看见这句话,说明你访问/admin路径具有r权限";
    }

    @RequestMapping("/admin/c")
    @ResponseBody
    @PreAuthorize("hasPermission('/admin','c')")
    public String printAdminC() {
        return "如果你看见这句话,说明你访问/admin路径具有c权限";
    }
}

让我们修改下我们要访问的接口,重点是printAdmin()方法,@PreAuthorize("hasPermission('/admin','r')")是关键,它第一个参数指明了访问该接口需要的url,第二个参数指明了访问该接口需要的权限。

二、PermissionEvaluator

我们需要自定义对hasPermission()方法的处理,就需要自定义PermissionEvaluator,创建类CustomPermissionEvaluator,实现PermissionEvaluator接口。

package com.chwx.springbootspringsecurity.common;

import com.chwx.springbootspringsecurity.pojo.SysPermission;
import com.chwx.springbootspringsecurity.service.SysPermissionService;
import com.chwx.springbootspringsecurity.service.SysRoleService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.access.PermissionEvaluator;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.userdetails.User;
import org.springframework.stereotype.Component;

import java.io.Serializable;
import java.util.Collection;
import java.util.List;

/**
 * @author ZY Wei
 * @date 2018/11/20 16:57
 */
@Component
public class CustomPermissionEvaluator implements PermissionEvaluator {

    @Autowired
    private SysPermissionService sysPermissionService;
    @Autowired
    private SysRoleService sysRoleService;

    @Override
    public boolean hasPermission(Authentication authentication, Object o, Object o1) {
        //获取loadUserByUsername()方法结果
        User user = (User) authentication.getPrincipal();
        //获取loadUserByUsername()中注入的角色
        Collection<GrantedAuthority> authorities = user.getAuthorities();

        //遍历所有的角色
        for (GrantedAuthority authority : authorities){
            String roleName = authority.getAuthority();
            Integer roleId = sysRoleService.selectByName(roleName);
            //得到角色所有的权限
            List<SysPermission> permissionList = sysPermissionService.listByRoleId(roleId);

            //遍历permissionList
            for(SysPermission sysPermission : permissionList){
                //获取权限集
                List permissions = sysPermission.getPermissions();
                //如果访问的url和权限用户符合的话,返回true
                if(o.equals(sysPermission.getUrl()) && permissions.contains(o1)) {
                    return true;
                }
            }
        }

        return false;
    }

    @Override
    public boolean hasPermission(Authentication authentication, Serializable serializable, String s, Object o) {
        return false;
    }
}

hasPermission()方法中,参数1代表用户的权限身份,参数2参数3分别和@PreAuthorize("hasPermission('/admin','r')")中的参数对应,即访问url和权限。

思路如下:

通过Authentication取出登录用户的所有Role

遍历每一个Role,获取到每个Role的所有Permission

遍历每一个Permission,只要有一个Permission的url和传入的url相同,且该Permission中包含传入的权限,返回true

如果遍历都结束,还没有找到,返回false

下面就是在WebSecurityConfig中注册CustomPermissionEvaluator
 

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    ...
    /**
     * 注入自定义PermissionEvaluator
     */
    @Bean
    public DefaultWebSecurityExpressionHandler webSecurityExpressionHandler(){
        DefaultWebSecurityExpressionHandler handler = new DefaultWebSecurityExpressionHandler();
        handler.setPermissionEvaluator(new CustomPermissionEvaluator());
        return handler;
    }
    ...
}

三、运行程序

当我使用角色为ROLE_USER的用户仍然能访问,因为该用户访问/admin路径具有r权限:

SpringBoot整合框架——集成SpringSecurity、shiro
m0_61506558的博客
11-04 952
Spring Security 是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型,他可以实现强大的Web安全控制,对于安全控制,我们仅需要引入spring-boot-starter-security 模块,进行少量的配置,即可实现强大的安全管理WebSecurityConfigurerAdapter:自定义Security策略AuthenticationManagerBuilder:自定义认证策略。
SpringBoot开发——整合Spring Security
bjzhang75的博客
09-11 1349
SpringBoot整合Spring Security
SpringBoot整合Spring Security【超详细教程】
m0_52789121的博客
06-12 8715
Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。提供了完善的认证机制和方法级的授权功能。是一款非常优秀的权限管理框架。它的核心是一组过滤器链,不同的功能经由不同的过滤器。这篇文章就是想通过一个小案例将Spring Security整合到SpringBoot中去。要实现的功能就是在认证服务器上登录,然后获取Token,再访问资源服务器中的资源。什么叫做单点登录呢。就是在一个多应用系统中,只要在其中一个系统上登录之后,不需要在其它系统上登录也可以访问其内容。举个例子,京东那么复
Springboot集成SpringSecurity的介绍及使用
最新发布
810cheng
07-15 877
SpringSecurity介绍及使用
SpringBoot 权限控制(菜单控制,页面元素控制,url控制)
04-13
基于RBAC思想的权限控制,可先建立完整的库,也可以使用使用代码生成,包中提供两种方式, 代码先后顺序 菜单控制----》元素控制-------》url控制
springboot权限控制_spring Boot + shiro 简单实现,权限控制
weixin_39673002的博客
11-26 145
为什么用使用shiro Apache Shiro 是一款 Java 安全框架,不依赖任何容器,可运行在 Java SE 和 Java EE 项目中,它的主要作用是用来做身份认证、授权、会话管理和加密等操作。简单来说就是根据不同的权限干不同的事,看不同的东西话不多说直接上代码核心代码块 配置类 @Bean public ShiroFilterFactoryBean filterFacto...
springboot 实现权限管理(一)
热门推荐
qq_44654974的博客
01-22 1万+
一、背景 1、 为什么进行权限管理? 生活在形形色色的世界之中,我们各自扮演着各自的角色,拥有不同的权利和义务。映射在计算机系统之中,也一样需要 角色、权限 来进行对用户的分类,限制访问资源,保证资源地合理被使用,使人各司其职。 2、应用场景 假设 管理员可以对用户进行CRUD的管理,而普通用户往往只拥有对资源的查看,无法进行删除等高级权限。 3、SpringBoot实现主要的方式 (1)采用注解+拦截器 (2)Shiro框架 (3)Spring Security 4、重点理解 (1)理解用户、角色、权限
springboot权限控制系统
09-21
项目基于jdk1.8整合了springboot+mvc+mybatis(通用mapper)+druid+jsp+bootstrap等技术,springboot+Listener(监听器),Filter(过滤器),Interceptor(拦截器),Servlet,springmvc静态资源,文件上传下载,多数据源切换,缓存,quartz定时任务(没有具体业务实现)等技术点都在项目中实现了,可谓是麻雀虽小五脏俱全!项目也整合了redis做缓存,把pom.xml中spring-boot-starter-data-redis和com.xe.demo.common.support.redis包下的注释去掉,即可开启redis支持.
Java实战:Spring Boot中使用Spring Security进行权限控制
oandy0的博客
02-22 1629
本文将详细介绍如何在Spring Boot应用程序中使用Spring Security进行权限控制
SpringBoot集成Spring Security登录管理 添加 session 共享【完整源码+数据库】
02-16
以上就是关于"SpringBoot集成Spring Security登录管理 添加 session 共享"的详细讲解。通过这个过程,我们可以创建一个安全且具有session共享功能的SpringBoot应用,为用户提供一致的登录体验。实际操作时,应根据...
【完整源码+数据库】 SpringBoot集成Spring Security登录管理 添加 session 共享
11-05
我们将基于给定的标签——SpringBootSpringSecurity、mysql、session共享和idea来构建一个完整的示例。 SpringBoot是一个轻量级的Java框架,它简化了创建独立的、生产级别的基于Spring的应用程序。通过内置的...
springboot springsecurity动态权限控制
09-18
springboot springsecurity动态权限控制,实现数据库动态管理菜单权限
Spring Boot权限管理(最终)
08-17
Spring Boot权限管理
springboot权限管理
03-26
一般系统都会有多个角色,不同角色可访问的系统功能不同,通过给用户分配不同角色,决定用户可访问的系统功能。
SpringBoot集成Security实现权限控制
weixin_55347789的博客
02-01 1365
主要有两个主要功能:“认证”,是建立一个他声明的主体的过程(一个“主体”一般是指用户,设备或一些可以在你的应用程序中执行动作的其他系统),通俗点说就是系统认为用户是否能登录。一般在拦截器中进行拦截用户信息进行认证。“授权"指确定一个主体是否允许在你的应用程序执行一个动作的过程,一般是在Security中进行接口权限配置,查看用户是否具有对应接口权限。通俗点讲就是系统判断用户是否有权限去做某些事情。相应语法:.successForwardUrl()登录成功后跳转地址.loginPage()登录页面。
springboot整合security实现权限控制
Amour恋空的博客
05-22 1517
Spring Security 的前身是 Acegi Security ,是。Spring Security 为基于J2EE企业应用软件提供了全面安全服务。特别是使用领先的J2EE解决方案-Spring框架开发的企业软件项目。人们使用Spring Security有很多种原因,不过通常吸引他们的是在J2EE Servlet规范或EJB规范中找不到典型企业应用场景的解决方案。特别要指出的是他们不能再WAR 或 EAR 级别进行移植。
SpringBoot+SpringSecurity实现权限控制
weixin_46628668的博客
04-03 1073
上一篇文章已经实现了SpringBoot+SpringSecurity查询数据库自定义登录,接下来要实现权限控制。继续修改config(HttpSecurity http)方法: @Override protected void configure(HttpSecurity http) throws Exception { http.formLogin() .loginPage("/toLogin") .loginProcessingUrl("/l
springboot整合springsecurity+vue
01-15
### 整合 Spring Boot 和 Spring Security 以及 Vue.js 实现前后端分离的安全认证 #### 后端部分 在后端,Spring Boot 提供了RESTful API 的实现和业务逻辑处理[^1]。为了保护这些API免受未授权访问的影响,集成Spring Security来负责身份验证和授权管理。 对于基于Token的身份验证机制,如JSON Web Token (JWT),可以通过自定义`JwtAuthenticationFilter`来进行拦截和解析令牌操作[^2]。此过滤器会检查HTTP头部携带的JWT有效性,并将其转换成可识别的身份信息以便后续权限校验流程继续执行下去。 另外,在配置类中通过重载`configure(HttpSecurity http)`方法设置不同URL模式对应的访问控制策略;例如,“/api/auth/**”路径下的资源允许匿名用户直接获取(通常用于登录注册等功能),而其余所有请求则需经过合法的身份验证过程才能成功调用相应服务接口。 ```java @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() .authorizeRequests() .antMatchers("/api/auth/**").permitAll() // 不需要认证即可访问 .anyRequest().authenticated(); // 所有其他请求均需认证 http.addFilterBefore(jwtAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class); } ``` #### 前端部分 前端采用Vue.js框架创建项目。当涉及到与后端交互时,特别是涉及敏感数据的操作(比如提交表单、查询个人信息等),应当始终附带有效的JWT到服务器端以证明当前用户的合法性。这一般是在发起Ajax请求前将token加入到headers字段里完成: ```javascript axios.interceptors.request.use(config => { const token = localStorage.getItem('jwt'); if(token){ config.headers['Authorization'] = `Bearer ${token}`; } return config; }); ``` 此外,考虑到用户体验方面的需求,还需要设计一套完整的页面跳转逻辑——即当检测到session过期或不存在有效凭证的情况下自动导向至登陆界面等待重新输入账号密码进行新一轮的身份确认工作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值