springboot整合security

最新推荐文章于 2025-04-17 17:52:16 发布
最新推荐文章于 2025-04-17 17:52:16 发布
阅读量260 收藏
点赞数
分类专栏: spring boot
原文链接:https://blog.youkuaiyun.com/qq_29580525/article/details/79317969?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522161622572116780261989975%2522%252C%2522scm%2522%253A%252220140713.130102334..%2522%257D&request_id=161622572116780261989975&biz_id=0&utm_med
版权
本文介绍了SpringSecurity框架的基础配置和使用方法,包括自定义UserDetailsService实现用户认证、配置WebSecurityConfigurerAdapter进行安全控制、以及如何实现权限验证。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

介绍:

Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。

提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。

转 https://blog.youkuaiyun.com/yuanlaijike/category_9283872.html

重要代码:

登录相关:

我们需要重写 loadUserByUsername 方法,参数是用户输入的用户名。返回值是UserDetails,这是一个接口,一般使用它的子类org.springframework.security.core.userdetails.User,它有三个参数,分别是用户名、密码和权限集。

@Service("userDetailsService")
public class CustomUserDetailsService implements UserDetailsService {
    @Autowired
    private SysUserService userService;

    @Autowired
    private SysRoleService roleService;

    @Autowired
    private SysUserRoleService userRoleService;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        Collection<GrantedAuthority> authorities = new ArrayList<>();
        // 从数据库中取出用户信息
        SysUser user = userService.selectByName(username);

        // 判断用户是否存在
        if(user == null) {
            throw new UsernameNotFoundException("用户名不存在");
        }

        // 添加权限
        List<SysUserRole> userRoles = userRoleService.listByUserId(user.getId());
        for (SysUserRole userRole : userRoles) {
            SysRole role = roleService.selectById(userRole.getRoleId());
            authorities.add(new SimpleGrantedAuthority(role.getName()));
        }

        // 返回UserDetails实现类
        return new User(user.getName(), user.getPassword(), authorities);
    }
}
首先将我们自定义的  userDetailsService 注入进来,在  configure() 方法中使用  auth.userDetailsService() 方法替换掉默认的 userDetailsService。 
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    private CustomUserDetailsService userDetailsService;

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService).passwordEncoder(new PasswordEncoder() {
            @Override
            public String encode(CharSequence charSequence) {
                return charSequence.toString();
            }

            @Override
            public boolean matches(CharSequence charSequence, String s) {
                return s.equals(charSequence.toString());
            }
        });
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                // 如果有允许匿名的url,填在下面
//                .antMatchers().permitAll()
                .anyRequest().authenticated()
                .and()
                // 设置登陆页
                .formLogin().loginPage("/login")
                // 设置登陆成功页
                .defaultSuccessUrl("/").permitAll()
                // 自定义登陆用户名和密码参数,默认为username和password
//                .usernameParameter("username")
//                .passwordParameter("password")
                .and()
                .logout().permitAll();

        // 关闭CSRF跨域
        http.csrf().disable();
    }

    @Override
    public void configure(WebSecurity web) throws Exception {
        // 设置拦截忽略文件夹,可以对静态资源放行
        web.ignoring().antMatchers("/css/**", "/js/**");
    }
}

授权:

@PreAuthorize("hasPermission('/admin','r')")是关键,参数1指明了访问该接口需要的url,参数2指明了访问该接口需要的权限

    @RequestMapping("/admin/c")
    @ResponseBody
    @PreAuthorize("hasPermission('/admin','c')")
    public String printAdminC() {
        return "如果你看见这句话,说明你访问/admin路径具有c权限";
    }

在 hasPermission() 方法中,参数 1 代表用户的权限身份,参数 2 参数 3 分别和 @PreAuthorize("hasPermission('/admin','r')") 中的参数对应,即访问 url 和权限。

思路如下:

通过 Authentication 取出登录用户的所有 Role

遍历每一个 Role,获取到每个Role的所有 Permission

遍历每一个 Permission,只要有一个 Permission 的 url 和传入的url相同,且该 Permission 中包含传入的权限,返回 true

如果遍历都结束,还没有找到,返回false

import jit.wxs.entity.SysPermission;
import jit.wxs.service.SysPermissionService;
import jit.wxs.service.SysRoleService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.access.PermissionEvaluator;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.userdetails.User;
import org.springframework.stereotype.Component;

import java.io.Serializable;
import java.util.Collection;
import java.util.List;

@Component
public class CustomPermissionEvaluator implements PermissionEvaluator {
    @Autowired
    private SysPermissionService permissionService;
    @Autowired
    private SysRoleService roleService;

    @Override
    public boolean hasPermission(Authentication authentication, Object targetUrl, Object targetPermission) {
        // 获得loadUserByUsername()方法的结果
        User user = (User)authentication.getPrincipal();
        // 获得loadUserByUsername()中注入的角色
        Collection<GrantedAuthority> authorities = user.getAuthorities();

        // 遍历用户所有角色
        for(GrantedAuthority authority : authorities) {
            String roleName = authority.getAuthority();
            Integer roleId = roleService.selectByName(roleName).getId();
            // 得到角色所有的权限
            List<SysPermission> permissionList = permissionService.listByRoleId(roleId);

            // 遍历permissionList
            for(SysPermission sysPermission : permissionList) {
                // 获取权限集
                List permissions = sysPermission.getPermissions();
                // 如果访问的Url和权限用户符合的话,返回true
                if(targetUrl.equals(sysPermission.getUrl())
                        && permissions.contains(targetPermission)) {
                    return true;
                }
            }

        }

        return false;
    }

    @Override
    public boolean hasPermission(Authentication authentication, Serializable serializable, String s, Object o) {
        return false;
    }
}


@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    ...
    /**
     * 注入自定义PermissionEvaluator
     */
    @Bean
    public DefaultWebSecurityExpressionHandler webSecurityExpressionHandler(){
        DefaultWebSecurityExpressionHandler handler = new DefaultWebSecurityExpressionHandler();
        handler.setPermissionEvaluator(new CustomPermissionEvaluator());
        return handler;
    }
    ...
}

​

 

​Spring Security 原理学习笔记  --转

https://blog.youkuaiyun.com/eleanoryss/article/details/113940766?ops_request_misc=&request_id=&biz_id=102&utm_term=springsecurity,loadUserByUsern&utm_medium=distribute.pc_search_result.none-task-blog-2~all~sobaiduweb~default-4-113940766.pc_search_result_hbase_insert

Authentication类:参与验证的要素(用户名、密码)在前端由表单提交,由网络传入后端后,会形成一个Authentication类的实例。该实例在进行验证前,携带了用户名、密码等信息;在验证成功后,则携带了身份信息、权限信息等

要加入想自定义的验证功能,就是向ProviderManager中加入一个自定义的AuthenticationProvider实例。我们想要实现从数据库中读取用户名、密码,与前端输入的信息进行对比验证。为了加入使用数据库进行验证的DaoAuthenticationProvider类(这个类在我们的代码中是透明的)实例,可以使用AuthenticationManagerBuilder类的userDetailsService(UserDetailsService)方法  ,

例如:   

protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService).

而我们需要掌握的,就是由Security框架提供的两个接口UserDetails和UserDetailsService。其中UserDetails接口中定义了用于验证的“用户详细信息”所需的方法

    Collection<? extends GrantedAuthority> getAuthorities();

    String getPassword();

    String getUsername();

。而UserDetailsService接口仅定义了一个方法loadUserByUsername(String username) 。这个方法由接口的实现类来具体实现,它的作用就是通过用户名username从数据库中查询,并将结果赋值给一个UserDetails的实现类实例。验证流程如下:

由于在上面的configure方法中调用了userDetailsService(customUserService)方法,因此在ProviderManager的验证链中加入了一个DaoAuthenticationProvider类的实例;
验证流程进行到DaoAuthenticationProvider时,它调用用户自定义的customUserService服务的loadUserByUsername方法,这个方法会从数据库中查询用户名是否存在;
若存在,则从数据库中返回的信息会组成一个UserDetails接口的实现类的实例,并将此实例返回给DaoAuthenticationProvider进行密码比对,比对成功则通过验证。
 

总结一下,鉴权过程就是在用户访问某资源链接时,首先读取资源表的记录,获取该资源链接的权限列表(若列表为空则说明该资源不需要额外的访问权限,任何用户都可访问)。再次,获取当前登录用户的权限信息(即Authentication类的getAuthorities())。最后,将两者进行匹配即可决定鉴权是否通过。
 

 

 

 

Spring Boot整合Spring Security
微赚淘客开发者博客
01-23 462
在我们深入研究整合过程之前,让我们先来了解一下Spring Security。是基于Spring框架的安全性解决方案,它提供了全面的安全性服务,包括身份验证(Authentication)、授权(Authorization)、攻击防护等。通过使用Spring Security,我们可以轻松地在我们的应用程序中实现各种安全功能,确保用户数据的保密性和完整性。通过以上简单的步骤,我们成功地将Spring Boot与Spring Security整合在一起,为我们的应用程序提供了强大的安全保障。
SpringBoot整合Security实现权限控制框架
H_bbo的博客
06-16 1064
目录 一、前言 二、环境准备2.1、数据库表2.2、导入依赖2.3、配置文件2.4、WebSecurityConfig Security的主要配置类:2.5、Security身份验证2.6、Security授权2.7、UserDetailsService2.7、MacLoginUrlAuthenticationEntryPoint2.8、MyAccessDeniedHandler2.9、MyLogoutSuccessHandler2.10、JWT的工具类 三、代码 entity 四、测试 五、总结.....
SpringBoot整合Spring Security
最新发布
qq_50465570的博客
04-17 882
Spring Security是一个Java框架,用于保护应用程序的安全性。它提供了一套全面的安全解决方案,包括身份验证、授权、防止攻击等功能。Spring Security基于过滤器链的概念,可以轻松地集成到任何基于Spring的应用程序中。它支持多种身份验证选项和授权策略,开发人员可以根据需要选择适合的方式。此外,Spring Security还提供了一些附加功能,如集成第三方身份验证提供商和单点登录,以及会话管理和密码编码等。
springboot整合security例子
12-13
在"springboot整合security例子"中,可能包含以下步骤: 1. **引入依赖**:在Spring Boot项目中,你需要在`pom.xml`文件中引入Spring Security的依赖,以便可以使用其提供的各种服务和组件。 2. **配置Security**...
springboot整合Security框架,实现用户权限管理
06-25
SpringBoot2整合 1、流程描述 1)、三个页面分类,page1、page2、page3 2)、未登录授权都不可以访问 3)、登录后根据用户权限,访问指定页面 4)、对于未授权页面,访问返回403:资源不可用 2、核心依赖 <groupId>org...
springboot整合security和vue
热门推荐
2010yhh
05-07 1万+
springboot整合security和vue 文章目录springboot整合security和vue1.security参考资料2.springboot整合security要点2.1获取登录用户信息2.2自定义登入登出url2.3自定义Handler返回json2.4记住我功能2.5验证码功能2.6限制登录次数2.7密码加密2.8后台提供接口,返回前端json,整合vue做前端登入登出3.测...
springBoot 整合 security
愿青春不负梦想
08-19 271
springBoot 整合 security
spring-boot-gateway 整合网关gateway +注册中心 有注释 打开可运行
04-08
spring-boot-gateway 整合网关gateway +注册中心 有注释 打开可运行 妈妈再也不用担心我的网关不会用了
spring-boot 整合 spring-security
不忘初心,方得始终
07-14 626
引入相关包; 配置代码(SecurityConfig ,UserDetailsServiceImpl ,UserSecurity ) 重点: config 配置 hasRole ("ADMIN")一定要在 authenticated 前面,也就是说配置规则遵从从上往下的顺序 request.getRequestDispatcher(newUrl).forward(request, respon...
springboot整合spring-security
qq_40834643的博客
01-16 2231
对以上代码进行简单描述,configure(HttpSecurity http)方法是授权认证,其目的是告诉有哪些权限的人才可以访问哪个页面,configure(AuthenticationManagerBuilder auth)方法是定义认证规则,其目的是定义哪些用户有权限,即给每个用户绑定权限。在web开发中,安全性问题比较重要,一般会使用过滤器或者拦截器的方式对权限等进行验证过滤。此博客根据b站up主,使用demo示例进行展示spring-security的一些功能作用。
Spring Boot:整合Spring Security
2401_83384536的博客
05-09 1232
Spring SecuritySpring 社区的一个顶级项目,也是 Spring Boot 官方推荐使用的安全框架。除了常规的认证(Authentication)和授权(Authorization)之外,Spring Security还提供了诸如ACLs,LDAP,JAAS,CAS等高级特性以满足复杂场景下的安全需求。另外,就目前而言,Spring Security和Shiro也是当前广大应用使用比较广泛的两个安全框架。
SpringBoot集成Security
weixin_45608165的博客
03-30 324
安全介绍 在 Web 开发中,安全一直是非常重要的一个方面。安全虽然属于应用的非功能性需求,但是应该在应用开发的初期就考虑进来。如果在应用开发的后期才考虑安全的问题,就可能陷入一个两难的境地:一方面,应用存在严重的安全漏洞,无法满足用户的要求,并可能造成用户的隐私数据被攻击者窃取;另一方面,应用的基本架构已经确定,要修复安全漏洞,可能需要对系统的架构做出比较重大的调整,因而需要更多的开发时间,影响应用的发布进程。因此,从应用开发的第一天就应该把安全相关的因素考虑进来,并在整个应用的开发过程中。 Spring
springboot 整合security
04-28
Spring Boot和Spring Security非常适合一起使用,可以帮助我们构建安全的Web应用程序。下面是Spring Boot整合Spring Security的几个步骤: 1. 在pom.xml文件中添加Spring SecuritySpring Security Web依赖。 2. 创建一个配置类来配置Spring Security。可以使用@EnableWebSecurity注解来启用Spring Security,并使用@Configuration注解将该类标记为配置类。 3. 在配置类中配置Spring Security,包括设置用户角色、密码加密方式、登录页面等。 4. 创建一个WebSecurityConfigurerAdapter类,用于配置Spring Security的过滤器链。可以使用configure(HttpSecurity http)方法来配置Spring Security,包括设置哪些URL需要保护、如何验证用户、如何处理登录等。 5. 创建一个自定义的UserDetailsService实现类,用于从数据库或其他数据源中获取用户信息。 6. 在配置类中将自定义的UserDetailsService实现类注入到AuthenticationManagerBuilder中,以便Spring Security可以使用它来验证用户身份。 7. 在WebSecurityConfigurerAdapter类中使用authenticationManager()方法来启用Spring Security的身份验证功能。 以上就是Spring Boot整合Spring Security的基本步骤,可以根据具体的需求进行调整和定制。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值