springboo整合security——权限设置

最新推荐文章于 2024-01-03 09:50:38 发布
转载 最新推荐文章于 2024-01-03 09:50:38 发布 · 496 阅读 · 1 ·
CC 4.0 BY-SA版权
原文链接:https://blog.youkuaiyun.com/yuanlaijike/article/details/80327880

本文详细介绍了如何在Spring Boot项目中实现基于URL的权限管理,包括数据库表设计、实体类、Mapper、Service的创建,以及如何使用PermissionEvaluator进行权限验证。

文章目录

一、数据准备

1.1 创建permission 表

创建一张permission表

CREATE TABLE `permission` (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `url` varchar(255) DEFAULT NULL,
  `role_id` int(11) DEFAULT NULL,
  `permission` varchar(255) DEFAULT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

初始化两条数据

INSERT INTO chapter03.permission(id, url, role_id, permission) VALUES (1, ‘/admin’, 1, ‘c,r,u,d’);
INSERT INTO chapter03.permission(id, url, role_id, permission) VALUES (2, ‘/admin’, 2, ‘r’);

1.2 创建 entity、Mapper、Service

(1)、创建permission实体

package com.sl.entity;

import java.io.Serializable;
import java.util.Arrays;
import java.util.List;

/**
 * @author shuliangzhao
 * @Title: Permission
 * @ProjectName spring-boot-learn
 * @Description: TODO
 * @date 2019/8/6 19:22
 */
public class Permission implements Serializable {

    private Integer id;

    private String url;

    private Integer roleId;

    private String permission;

    private List<String> permissions;

    public List<String> getPermissions() {
        return Arrays.asList(this.permission.trim().split(","));
    }

    public void setPermissions(List<String> permissions) {
        this.permissions = permissions;
    }

    public Integer getId() {
        return id;
    }

    public void setId(Integer id) {
        this.id = id;
    }

    public String getUrl() {
        return url;
    }

    public void setUrl(String url) {
        this.url = url;
    }

    public Integer getRoleId() {
        return roleId;
    }

    public void setRoleId(Integer roleId) {
        this.roleId = roleId;
    }

    public String getPermission() {
        return permission;
    }

    public void setPermission(String permission) {
        this.permission = permission;
    }
}

这里需要注意的时相比于数据库,多了一个 permissions 属性,该字段将 permission 按逗号分割为了 list。
(2)、创建permissionMapper

@Mapper
public interface PermissionMapper {

    @Select("SELECT * FROM permission where role_id = #{id}")
    List<Permission> selectListById(Integer id);
}

(3)、创建permissionService

@Service
public class PermissionService {

    @Autowired
    private PermissionMapper permissionMapper;

    public List<Permission> selectListById(Integer id) {
         return permissionMapper.selectListById(id);
    }
}

1.3 修改接口

@Controller
public class LoginController {
    ...

    @RequestMapping("/admin")
    @ResponseBody
    @PreAuthorize("hasPermission('/admin','r')")
    public String printAdminR() {
        return "如果你看见这句话,说明你访问/admin路径具有r权限";
    }

    @RequestMapping("/admin/c")
    @ResponseBody
    @PreAuthorize("hasPermission('/admin','c')")
    public String printAdminC() {
        return "如果你看见这句话,说明你访问/admin路径具有c权限";
    }
}
让我们修改下我们要访问的接口,@PreAuthorize("hasPermission('/admin','r')")是关键,参数1指明了访问该接口需要的url,参数2指明了访问该接口需要的权限。

二、PermissionEvaluator

@Component
public class CustomPermissionEvaluator implements PermissionEvaluator {

    @Autowired
    private PermissionService permissionService;

    @Autowired
    private RoleService roleService;

    @Autowired
    private UserService userService;

    @Override
    public boolean hasPermission(Authentication authentication, Object targetUrl, Object permission) {
        // 获得loadUserByUsername()方法的结果
        /*String userName = (String) authentication.getPrincipal();
        User user = userService.selectByName(userName);*/
        // 获得loadUserByUsername()中注入的角色
        Collection<? extends GrantedAuthority> authorities = authentication.getAuthorities();
        // 遍历用户所有角色
        for (GrantedAuthority authority:authorities) {
            String roleName = authority.getAuthority();
            Integer rId = roleService.selectByName(roleName).getId();
            // 得到角色所有的权限
            List<Permission> permissions = permissionService.selectListById(rId);

            // permissions
            for (Permission per:permissions) {
                //获取权限集
                List<String> permissions1 = per.getPermissions();
                if (targetUrl.equals(per.getUrl()) && permissions1.contains(permission)) {
                    return true;
                }
            }
        }
        return false;
    }

    @Override
    public boolean hasPermission(Authentication authentication, Serializable targetId, String targetType, Object permission) {
        return false;
    }
}

在 hasPermission() 方法中,参数 1 代表用户的权限身份,参数 2 参数 3 分别和 @PreAuthorize(“hasPermission(’/admin’,‘r’)”) 中的参数对应,即访问 url 和权限。

思路如下:

  1. 通过 Authentication 取出登录用户的所有 Role
  2. 遍历每一个 Role,获取到每个Role的所有 Permission
  3. 遍历每一个 Permission,只要有一个 Permission 的 url 和传入的url相同,且该 Permission 中包含传入的权限,返回 true
  4. 如果遍历都结束,还没有找到,返回false

下面就是在 WebSecurityConfig 中注册 CustomPermissionEvaluator

@Bean
public DefaultWebSecurityExpressionHandler defaultWebSecurityExpressionHandler() {
DefaultWebSecurityExpressionHandler defaultWebSecurityExpressionHandler = new DefaultWebSecurityExpressionHandler();
defaultWebSecurityExpressionHandler.setPermissionEvaluator(customPermissionEvaluator);
return defaultWebSecurityExpressionHandler;
}

springBoot使用springSecurity入门详细配置,自定义登录,RBAC权限模型,数据库(JPA+mysql)验证登录,验证码,json格式交互等(下篇)
to_study的博客
12-18 3916
上篇:springBoot使用springSecurity入门详细配置,自定义登录,RBAC权限模型,数据库(mybatis+mysql)验证登录,验证码,json格式交互等(上篇) 写了: springBoot项目使用security 配置介绍 自定义登录页面 自定义登陆成功失败处理器 添加验证码验证过滤 下篇开始 1.自定义用户认证的数据来源,内存以及数据库 前面我们一直使用s...
Java面试考核题
weixin_47089371的博客
05-28 760
1.1Java基础 1.集合有哪些?数据结构?初始长度?扩容机制?哪些是线程安全的? hashmap的底层原理? 集合类型主要有3种:set(集)、list(列表)和map(映射)。 1、List(有序、可重复) List里存放的对象是有序的,同时也是可以重复的,List关注的是索引,拥有一系列和索引相关的方法,查询速度快。因为往list集合里插入或删除数据时,会伴随着后面数据的移动,所有插入删除数据速度慢。 2、Set(无序、不能重复) Set里存放的对象是无序,不能重复的,集合中的对象.
springboot集成shiro——使用RequiresPermissions注解无效
weixin_33938733的博客
10-12 1067
2019独角兽企业重金招聘Python工程师标准>>> ...
SpringBoot集成Spring Security(5)——权限控制
qq_39371480的博客
08-14 589
SpringBoot集成Spring Security(5)——权限控制   这里的权限只是对角色赋予权限,也就是说同一个角色的用户,权限是一样的。 1. 表结构 CREATE TABLE `sys_permission` ( `id` int(11) NOT NULL AUTO_INCREMENT, `url` varchar(50) DEFAULT NULL, `role_id` int(11) DEFAULT NULL, `permission` varchar(20) DEFAULT
Springboot权限管理
zkk的博客
09-05 2626
现在鉴权模块已经非常成熟,以上仅为个人心得和实践,还有很多改进的地方欢迎评论,后续还会补充通过Shiro框架实现的鉴权这一模块。
SpringBoot>15 - 自定义注解实现权限控制
热门推荐
cp026la的博客
01-16 1万+
简介: 较原始的项目中使用的是JSP页面标签结合后台方法上注解配合实现权限控制,目前前后端完全分离开发已经是主流模式,大型的项目中可能会用到 shiro 或者 spring security 做安全校验,但是在小型项目中可以使用自定义注解达到权限控制的要求。 误区: 很多人认为权限控制就是控制不同用户在页面上拥有不同的功能(即不同的按钮),这是用户体验范围,这种情况下,只要知道后端地址,还是...
SpringSecurity 自定义权限校验方法
weixin_46256404的博客
11-15 843
SpringSecurity 自定义权限校验方法
SpringBoot Controller 中常见注解
大虾的世界
09-06 1218
参考文章 参考样例: // 注册到swagger上的tags标签下 @Api(tags = SwaggerApiConfig.DELIVERY_ORDER) // 组合注解 @@Controller和@ResponseBody @RestController // 映射访问路径 @RequestMapping("/v1/{organizationId}/DeliveryOrder") pub...
SpringBoot 自定义注解实现权限控制
06-16 3728
Spring 自定义注解和实现
六、模块实现:权限管理模块(2)
jiantsing的专栏
09-05 735
权限管理模块 权限model类 在包“com.example.demo.model”中新建一个“Permission”类(如果自己添加model类时,只须定义好属性,然后利用eclipse的生成getter和setter功能,直接生成代码),代码如下: package com.example.demo.model; import com.baomidou.mybat...
权限管理
weixin_45715182的博客
07-02 785
权限分类 登录权限:根据用户名和密码登入 菜单权限:根据用户的权限级别显示菜单(只有当前用户能看见,其他用户看不到) 资源权限:同样的资源,A能点击,B不能点击
Spring security 方法级权限控制
山鬼谣的专栏
07-07 3000
环境 springboot:1.5 Intellij IDEA:2021.1 序言 以前只是用到架构师搭好的环境,具体怎么配置,怎么用并不是很清楚; 最近因为项目的原因,研究了下,虽然最终没有用上,但是研究的成果,我得记录下来; 步骤 这里假设已经是springboot项目 依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-st
实战3 认证成功返回token和用户授权
shieryue_2016的博客
12-18 1083
(1)封装token返回的数据信息@Data//用户编码//状态码//token令牌//token过期时间(2)编写token工具类@Data@Component//密钥// 过期时间 毫秒/*** 从数据声明生成令牌* @param claims 数据声明* @return 令牌*//*** 从令牌中获取数据声明* @param token 令牌* @return 数据声明*/try {claims =
SpringBoot第二十三篇:安全性之Spring Security
weixin_30722589的博客
08-14 394
作者:追梦1819 原文:https://www.cnblogs.com/yanfei1819/p/11350255.html 版权声明:本文为博主原创文章,转载请附上博文链接! 引言   系统的安全的重要性人人皆知,其也成为评判系统的重要标准。   Spring Security 是基于 Spring 的安全框架。传统的 Spring Security 框架需要配置大量的 xml 文...
SpringBoot+Mybatis+thymeleaf+shiro(注解实现!)实现角色权限管理配置,是小白?进来就对了!
weixin_48868742的博客
11-18 994
SpringBoot+Mybatis+thymeleaf+shiro(注解实现!)实现角色权限管理配置,是小白?进来就对了!
springboot整合security
qq_24271537的博客
03-20 290
转https://blog.youkuaiyun.com/qq_29580525/article/details/79317969?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522161622572116780261989975%2522%252C%2522scm%2522%253A%252220140713.130102334..%2522%257D&request_id=161622572116780261989975&biz_id=.
springboot整合spring-security(权限框架)
最新发布
豆豆的博客
01-03 1163
前面我们的登录页面都是使用的SpringSecurity默认的,我们可以在配置类中修改成我们自定义的登录页面这里的name属性默认是username和password,这里我们采用自定义的方式,/login是SpringSecurity默认的处理登录的Controller用户名:密码:
spring security
lin的博客
08-23 735
本文讲述spring Boot整合Spring Security在方法上使用注解实现权限控制,使用自定义UserDetailService,从MySQL中加载用户信息。使用Security自带的MD5加密,对用户密码进行加密。spring security 的验证流程: 用户发出请求 过滤器拦截(OauthAuthenticationFilter:doFilter) 取得请求资源所需权限(Secur
springboot +springsecurity 跳转登录界面_SpringBoot整合SpringSecurity实现前后分离权限注解+JWT登录认证...
weixin_39621044的博客
01-07 772
一.说明SpringSecurity是一个用于Java 企业级应用程序的安全框架,主要包含用户认证和用户授权两个方面.相比较Shiro而言,Security功能更加的强大,它可以很容易地扩展以满足更多安全控制方面的需求,但也相对它的学习成本会更高,两种框架各有利弊.实际开发中还是要根据业务和项目的需求来决定使用哪一种.JWT是在Web应用中安全传递信息的规范,从本质上来说是Token的演变,是一种...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值