【SpringSecurity鉴权】

最新推荐文章于 2025-07-11 16:37:58 发布
最新推荐文章于 2025-07-11 16:37:58 发布
阅读量201 收藏
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 悦虎管理系统 文章标签: redis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_52150489/article/details/148978329

SpringSecurity鉴权

启用方法级安全控制​

package com.chinabuilder.framework.config;


/**
 * spring security配置
 *@EnableMethodSecurity 用于启用基于方法的权限控制。它的作用是通过 AOP(面向切面编程)在方法调用前后进行安全拦截。
 *
 */
@EnableMethodSecurity(prePostEnabled = true, securedEnabled = true)
@Configuration
public class SecurityConfig {
}

权限上下文传递工具​

// 在同一请求链路中 跨层级传递权限标识(如 "system:user:add")。
// 技术原理:
//        基于 RequestContextHolder + ThreadLocal 实现线程隔离的临时存储。
//        数据生命周期与 HTTP 请求绑定(SCOPE_REQUEST)。
//        典型场景:
//        拦截器中解析权限 → 存入上下文 → 业务层/日志中获取。
package com.chinabuilder.framework.security.context;

public class PermissionContextHolder
{
    private static final String PERMISSION_CONTEXT_ATTRIBUTES = "PERMISSION_CONTEXT";

    public static void setContext(String permission)
    {
        RequestContextHolder.currentRequestAttributes().setAttribute(PERMISSION_CONTEXT_ATTRIBUTES, permission,
                RequestAttributes.SCOPE_REQUEST);
    }

    public static String getContext()
    {
        return Convert.toStr(RequestContextHolder.currentRequestAttributes().getAttribute(PERMISSION_CONTEXT_ATTRIBUTES,
                RequestAttributes.SCOPE_REQUEST));
    }
}

自定义权限服务 ss

package com.chinabuilder.framework.web.service;

@Service("ss")
public class PermissionService
{
    /**
     * 验证用户是否具备某权限
     *
     * @param permission 权限字符串
     * @return 用户是否具备某权限
     */
    public boolean hasPermi(String permission)
    {
        if (StringUtils.isEmpty(permission))
        {
            return false;
        }
        LoginUser loginUser = SecurityUtils.getLoginUser();
        if (StringUtils.isNull(loginUser) || CollectionUtils.isEmpty(loginUser.getPermissions()))
        {
            return false;
        }
        PermissionContextHolder.setContext(permission);
        return hasPermissions(loginUser.getPermissions(), permission);
    }

    /**
     * 验证用户是否不具备某权限,与 hasPermi逻辑相反
     *
     * @param permission 权限字符串
     * @return 用户是否不具备某权限
     */
    public boolean lacksPermi(String permission)
    {
        return hasPermi(permission) != true;
    }

    /**
     * 验证用户是否具有以下任意一个权限
     *
     * @param permissions 以 PERMISSION_DELIMETER 为分隔符的权限列表
     * @return 用户是否具有以下任意一个权限
     */
    public boolean hasAnyPermi(String permissions)
    {
        if (StringUtils.isEmpty(permissions))
        {
            return false;
        }
        LoginUser loginUser = SecurityUtils.getLoginUser();
        if (StringUtils.isNull(loginUser) || CollectionUtils.isEmpty(loginUser.getPermissions()))
        {
            return false;
        }
        PermissionContextHolder.setContext(permissions);
        Set<String> authorities = loginUser.getPermissions();
        for (String permission : permissions.split(Constants.PERMISSION_DELIMETER))
        {
            if (permission != null && hasPermissions(authorities, permission))
            {
                return true;
            }
        }
        return false;
    }

    /**
     * 判断用户是否拥有某个角色
     *
     * @param role 角色字符串
     * @return 用户是否具备某角色
     */
    public boolean hasRole(String role)
    {
        if (StringUtils.isEmpty(role))
        {
            return false;
        }
        LoginUser loginUser = SecurityUtils.getLoginUser();
        if (StringUtils.isNull(loginUser) || CollectionUtils.isEmpty(loginUser.getUser().getRoles()))
        {
            return false;
        }
        for (SysRole sysRole : loginUser.getUser().getRoles())
        {
            String roleKey = sysRole.getRoleKey();
            if (Constants.SUPER_ADMIN.equals(roleKey) || roleKey.equals(StringUtils.trim(role)))
            {
                return true;
            }
        }
        return false;
    }

    /**
     * 验证用户是否不具备某角色,与 isRole逻辑相反。
     *
     * @param role 角色名称
     * @return 用户是否不具备某角色
     */
    public boolean lacksRole(String role)
    {
        return hasRole(role) != true;
    }

    /**
     * 验证用户是否具有以下任意一个角色
     *
     * @param roles 以 ROLE_NAMES_DELIMETER 为分隔符的角色列表
     * @return 用户是否具有以下任意一个角色
     */
    public boolean hasAnyRoles(String roles)
    {
        if (StringUtils.isEmpty(roles))
        {
            return false;
        }
        LoginUser loginUser = SecurityUtils.getLoginUser();
        if (StringUtils.isNull(loginUser) || CollectionUtils.isEmpty(loginUser.getUser().getRoles()))
        {
            return false;
        }
        for (String role : roles.split(Constants.ROLE_DELIMETER))
        {
            if (hasRole(role))
            {
                return true;
            }
        }
        return false;
    }

    /**
     * 判断是否包含权限
     *
     * @param permissions 权限列表
     * @param permission 权限字符串
     * @return 用户是否具备某权限
     */
    private boolean hasPermissions(Set<String> permissions, String permission)
    {
        return permissions.contains(Constants.ALL_PERMISSION) || permissions.contains(StringUtils.trim(permission));
    }
}
基于SpringSecurity实现了RBAC限校验的后台管理后端.zip
11-24
本项目是一个基于Spring Security机制实现的RBAC(基于角色的访问控制)限校验的后台管理后端系统。RBAC是一种在应用程序中实现限管理的有效方式,它将限与角色关联,通过角色的分配来控制用户对资源的...
Spring Cloud Gateway 整合 Spring Security 统一登录认证
02-24
在压缩包文件`spring_gateway_security_webflux`中,可能包含了示例代码或配置文件,用于演示如何在Spring Cloud Gateway中集成Spring Security,实现统一登录认证。这些资源可以帮助开发者更快地理解和实践上述...
SpringSecurity流程解析与动态 | 优快云新人第二弹
和耳朵
07-09 1394
如果不能谈情说爱,我们可以自怜自爱。 楔子 上一篇文我们讲过了SpringSecurity的认证流程,相信大家认真读过了之后一定会对SpringSecurity的认证流程已经明白个七八分了,本期是我们如约而至的动态篇,看这篇并不需要一定要弄懂上篇的知识,因为讲述的重点并不相同,你可以将这两篇看成两个独立的章节,从中撷取自己需要的部分。 祝有好收获。 本文代码: 码云地址 GitHub地址 1. ????SpringSecurity原理 上一篇文我们讲认证的时候曾经放了一个图,就是下图: 整
SpringSecurity】认证与框架SpringSecurity——授
低调做人,低调编码,神码都是浮云
06-24 1520
认证与框架SpringSecurity——授
spring security
07-15
Spring Security提供了多种方式来进行,其中最常用的方式是基于角色(Role)的和基于限(Permission)的。 基于角色的是指通过为用户分配不同的角色来控制其对资源的访问限。在Spring Security...
Redis基本全局命令
每篇博客都不是最终版,都会随着我的学习更新
07-11 200
Redis基本全局命令
Redis-哨兵选取主节点流程
ybq19513345431的博客
07-09 244
哨兵节点通过心跳包,判定redis服务器是否正常工作,若心跳包没有按时到达,说明redis服务器出现故障了.此时还需要再进行判定,不能排除是网络波动的影响,认为redis节点的出现故障.
Redis 客户端连接
wjs2024的博客
07-09 620
本文介绍了 Redis 客户端连接的相关知识,包括连接协议、连接方式、连接配置和连接管理等方面。了解这些知识有助于我们更好地使用 Redis,提高应用程序的性能和稳定性。在实际应用中,我们需要根据具体场景选择合适的连接方式和配置参数,以确保 Redis 连接的稳定性和高效性。
Redis底层数据结构
qinwenjng120的博客
07-11 845
通过添加的这些参数,可以更方便解析字符串。例如,如果用数组方式保存字符串,那么读取完整字符串就只能遍历数组里的各个字节数据,时间复杂度O(N)。但是SDS中预先记录了len后,就可以直接读取一定长度的字节,时间复杂度O(1),效率更高。另外,C语言中通常用字节数组保存字符串,那么还需要定义一个特殊的结束符\0表示这一个字符串结束。但是在Redis中,如果value中就包含\0这样的字符串,就会产生歧义。根据不同的键值,选择不同的编码方式(不同的底层数据结构), int | embstr | raw。
解锁Spring Boot多项目共享Redis:优雅Key命名结构指南
qq_36984455的博客
07-08 1033
Redis作为基于内存的数据结构存储系统,在现代软件开发中发挥着重要作用。本文探讨了SpringBoot项目与Redis的集成方法,重点分析了多项目共用Redis时面临的Key命名冲突问题。通过设计可读性强、唯一性高、可扩展性好的命名结构(如"项目名+模块名+业务标识+唯一ID"),可以有效避免Key冲突。文章还提出了使用自定义Key生成器和常量类管理Key前缀等实现方案,并通过实际案例展示了优化后的命名规范如何提升系统稳定性和维护效率。随着业务发展和技术进步,合理设置Redis的Key
四十四、NoSQL、Redis
吕呵呵的博客
07-08 953
NoSQL与Redis
Redis中的Pub/Sub、事务、索引、管道、脚本
向前
07-08 714
Redis高级功能摘要 Redis提供多种消息传递和数据处理机制:Pub/Sub实现发布-订阅模式,消息通过频道传递但不保证可靠性;事务支持命令打包执行但缺少原子性和隔离性,需配合WATCH实现乐观锁;索引功能允许基于JSON/HASH字段查询;管道技术优化批量请求处理;Lua脚本确保服务器端原子操作并支持缓存复用。这些功能扩展了Redis作为键值存储的能力,适用于不同场景,但需注意各自的限制,如Pub/Sub消息丢失风险、事务无回滚机制等。
网安系列【14】之Redis未授访问漏洞
缘友一世的博客
07-10 803
网安系列【14】之Redis未授访问漏洞
redission 实现滑动窗口(注解)推荐
qq_28461661的博客
07-10 181
/</</</
redis管道 -redis pipeline -redis pipelining
shuai的博客
07-10 817
Redis管道(pipeline)是一种提高性能的技术,允许一次性批量发送多个命令而不等待每个命令的响应。与原生批量命令(如mset/mget)相比,管道支持不同数据类型的命令混合执行,但不具备原子性。与事务相比,管道是非原子性的且不会阻塞其他命令。使用注意事项:1) 管道不保证原子性,出错会继续执行后续命令;2) 应控制批量命令规模(如每次10K条),避免占用过多内存。典型使用方式是通过文件存储命令并用redis-cli的--pipe参数执行。
redis升级
07-11 202
(# 可以安装到指定目录 make PREFIX=/usr/local/redis install、关闭开机自启:systemctl disable redis//开启redis服务。设置开机自启:systemctl enable redis //加入开机启动。启动redis:systemctl start redis。例如:旧redis安装目录在/usr/local/bin。关闭redis:systemctl stop redis。方式一、不新建安装目录:解压新的redis,执行安装。
Redis5.0.5 漏洞
BUTCHER
07-11 40
Redis 5.0.5 版本的 ‌CVE-2025-32023‌ 漏洞涉及 hyperloglog组件的越界写入问题,可导致远程代码执行(RCE)
redis的一些疑问
最新发布
07-11 148
什么时候会执行缓存移除呢?如果方法执行异常是否移除?如果缓存不存在还会移除么?这个移除会在redis的执行历史命令中监控到么?./redis-cli -a密码 MINITOR 监控redis的实时执行命令,大部分PING是类似心跳?使用这个实时监控命令,可以 使用grep管道过滤出指定的key来监控redis命令的执行第一次缓存存在的情况下,执行方法,会有一条del命令;第二次缓存不存在的情况下,执行方法,也会执行del命令;
CentOS 安装 Redis 简明指南
m0_64056556的博客
07-11 121
本文介绍了CentOS7和CentOS8系统下Redis的安装配置方法。在CentOS7中通过SCL软件库安装Redis5,需创建符号链接简化操作路径,并详细说明了配置文件修改要点;CentOS8可直接通过yum安装,使用systemctl管理服务。重点讲解了关键配置参数如bind、protected-mode、daemonize的设置方法,以及工作目录和日志路径的规范。最后强调了安全注意事项,包括远程访问需配置密码或防火墙、路径优化建议和日志监控要求。两种系统的安装方式都涵盖了服务启动、停止等基本操作指南
spring security
09-10
Spring Security是一个功能强大且广泛使用的开源安全框架,用于在Java应用程序中提供身份验证、授和其他安全功能。 在Spring Security中,是指对用户的访问进行验证和授的过程。它基于访问控制列表(ACL)和角色的概念来实现。 1. 首先,你需要配置Spring Security以启用功能。可以通过在Spring配置文件中添加相应的配置来实现,或者使用注解方式进行配置。 2. 一旦启用了Spring Security,你可以定义用户角色和限。角色是一组限的集合,而限则表示某个操作或资源的访问限。 3. 接下来,你需要定义一个认证提供者以验证用户的身份。这可以是基于数据库、LDAP、OAuth等不同的认证方式。 4. 当用户发起请求时,Spring Security会拦截该请求并进行身份验证。你可以配置要求用户进行登录,并提供用户名和密码来验证其身份。 5. 一旦用户身份验证成功,Spring Security会根据用户的角色和限来确定其是否有访问所请求的资源或执行某个操作。 6. 如果用户没有足够的限,则可以配置Spring Security以返回适当的错误信息或重定向到其他页面。 总之,Spring Security提供了一种强大且灵活的方法来实现功能,可以保护你的应用程序免受未经授的访问。你可以通过配置角色和限以及定义自定义的访问规则来满足你的具体需求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值