通过Spring security进行权限设置

最新推荐文章于 2024-09-19 06:21:34 发布
最新推荐文章于 2024-09-19 06:21:34 发布
阅读量301 收藏
点赞数
文章标签: Spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_45317524/article/details/94988898
版权
本文介绍如何使用Spring Security实现基于角色的权限控制,包括配置文件的设置、过滤器的添加、服务层的继承以及JSP页面的修改,确保不同用户拥有合适的访问权限。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

当一个网页被访问时,有时候希望对于不同的用户给予不同的访问权限。比如管理员用户可以对数据库进行一些增删改操作,而只留给普通用户查询的操作,隐藏了其他功能。我们可以使用Spring security 来实现

1.导入jar包

如下在maven的pom.xml中添加下面信息,自动下载jar包。也可以手动导入jar包

<spring.security.version>5.0.1.RELEASE</spring.security.version>

 <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-web</artifactId>
            <version>${spring.security.version}</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-config</artifactId>
            <version>${spring.security.version}</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-core</artifactId>
            <version>${spring.security.version}</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-taglibs</artifactId>
            <version>${spring.security.version}</version>
        </dependency>

2.添加过滤器

在web.xml中添加

<filter>
    <filter-name>springSecurityFilterChain</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
  </filter>
  <filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

3.写spring security配置文件,并在web.xml中加载

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:security="http://www.springframework.org/schema/security"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xsi:schemaLocation="http://www.springframework.org/schema/beans
    http://www.springframework.org/schema/beans/spring-beans.xsd
    http://www.springframework.org/schema/security
    http://www.springframework.org/schema/security/spring-security.xsd">

    <security:global-method-security pre-post-annotations="enabled" jsr250-annotations="enabled" secured-annotations="enabled"></security:global-method-security>

    <!-- 配置不拦截的资源 -->
    <security:http pattern="/login.jsp" security="none"/>
    <security:http pattern="/failer.jsp" security="none"/>
    <security:http pattern="/css/**" security="none"/>
    <security:http pattern="/img/**" security="none"/>
    <security:http pattern="/plugins/**" security="none"/>
    <!--
    	配置具体的规则
    	auto-config="true"	不用自己编写登录的页面,框架提供默认登录页面
    	use-expressions="false"	是否使用SPEL表达式(没学习过)
    -->
    <security:http auto-config="true" use-expressions="true">
        <!-- 配置具体的拦截的规则 pattern="请求路径的规则" access="访问系统的人,必须有ROLE_USER的角色" -->
        <security:intercept-url pattern="/**" access="hasRole('ROLE_ADMIN')"/>

        <security:form-login login-page="/login.jsp"
                             login-processing-url="/login.do"
                            default-target-url="/index.jsp"
                            authentication-failure-url="/failer.jsp"
                            authentication-success-forward-url="/pages/main.jsp"/>

        <!-- 关闭跨域请求 -->
        <security:csrf disabled="true"/>

        <!--退出并跳转到首页-->
        <security:logout invalidate-session="true" logout-url="/logout.do" logout-success-url="/login.jsp"></security:logout>

    </security:http>

    <!-- 切换成数据库中的用户名和密码 -->
    <security:authentication-manager>
        <security:authentication-provider user-service-ref="userService">

            <!-- 配置加密的方式
            <security:password-encoder ref="passwordEncoder"/> -->
        </security:authentication-provider>
    </security:authentication-manager>

    <!-- 配置加密类 -->
    <bean id="passwordEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder"></bean>
    <!-- <bean id="webexpressionHandler" class="org.springframework.security.web.access.expression.DefaultWebSecurityExpressionHandler" />-->
    <!-- 提供了入门的方式,在内存中存入用户名和密码
    <security:authentication-manager>
    	<security:authentication-provider>
    		<security:user-service>
    			<security:user name="admin" password="{noop}admin" authorities="ROLE_USER"/>
    		</security:user-service>
    	</security:authentication-provider>
    </security:authentication-manager>
    -->

</beans>

在web.xml中添加:
<context-param> <param-name>contextConfigLocation</param-name> <param-value>classpath*:spring-security.xml</param-value> </context-param>

4.service层继承UserDetailsService类,改写方法(绕过了controller层的登陆管理)

 @Override
    public UserDetails loadUserByUsername(String name) {

        UserInfo userInfo= userDao.findByUserName(name);
        User user=null;
        if(userInfo!=null){

            List<Role> roles = roleDao.findRoleByUserId(userInfo.getId());
            userInfo.setRoleList(roles);
            user=new User(userInfo.getUsername(),"{noop}"+userInfo.getPassword(),getAuthority(roles));
        }
        return user;
    }

    private List<SimpleGrantedAuthority> getAuthority(List<Role> roles) {
        List<SimpleGrantedAuthority> list=new ArrayList<>();
        for(Role role:roles){
            list.add(new SimpleGrantedAuthority("ROLE_"+role.getRolename()));
        }
        return list;
    }
``

##  5.改写jsp页面
这个就是根据spring security的配置文件,改写相应的路径以及传参即可
Spring Security实现用户登录权限管理
weixin_43811598的博客
07-04 300
主要工作有: 1 认证----判断用户名和密码是否正确 2 授权----判断用户是否有权限执行某些操作 接下来是实现的步骤: 1 导jar包 导入spring.security对应jar包。 在pom.xml中标签下添加如下代码: <dependency> <groupId>org.springframework.security</groupId> &...
Spring Security进行权限控制
geejkse_seff的博客
08-02 1234
先自我介绍一下,小编13年上师交大毕业,曾经在小公司待过,去过华为OPPO等大厂,18年进入阿里,直到现在。因此我收集了一份《java开发全套学习资料》送给大家,初衷也很简单,就是希望帮助到想自学又不知道该从何学起的朋友,同时减轻大家的负担。springsecurity中在用户同步提交表单时设置了一个隐藏的token,不但会对用户提交的信息进行核实,还会对token进行核实,在异步提交的时候则需要自行在前端加入token提交。在用户提交表单时,不法网站可能窃取用户提交的信息进行提交从而造成安全问题。...
Spring security控制权限的几种方法
小飞侠的博客
01-06 658
使用springSecurity3的四种方法概述 那么在Spring Security3的使用中,有4种方法: 一种是全部利用配置文件,将用户、权限、资源(url)硬编码在xml文件中,已经实现过,并经过验证; 二种是用户和权限数据库存储,而资源(url)和权限的对应采用硬编码配置,目前这种方式已经实现,并经过验证。 三种是细分角色和权限,并将用户、角色、权限和资源均采用数据库存储,...
SpringSecurity后端访问权限和页面访问权限的动态设置
qq_45786340的博客
05-11 859
创建自定义过滤器调用安全性元数据类,实现FilterInvocationSecurityMetadataSource 接口 @Component public class CustomFilterInvocationSecurityMetadata implements FilterInvocationSecurityMetadataSource { @Autowired MenuServiceImpl menuService; AntPathMatcher antPathMatch
Spring安全权限管理(Spring Security
wangliang369的博客
10-08 287
1.Spring Security简要介绍 Spring Security以前叫做acegi,是后来才成为Spring的一个子项目,也是目前最为流行的一个安全权限管理框架,它与Spring紧密结合在一起。 Spring Security关注的重点是在企业应用安全层为您提供服务,你将发现业务问题领域存在着...
SpringSecurity专题(三)-实现自定义登录界面
刘树之的博客
09-02 759
文章目录1.页面准备1.1.login.jsp页面1.2.home.jsp页面1.3.其他页面2.SpringSecurity相关配置2.1.配置认证信息3.登录测试4.关闭csrf拦截5.csrf防护5.1.CsrfFilter源码查看5.2.在认证页面携带token请求6.注销 前面通过入门案例介绍,我们发现在SpringSecurity中如果我们没有使用自定义的登录界面,那么SpringSecurity会给我们提供一个系统登录界面。但真实项目中我们一般都会使用自定义的登录界面,本文我们就来介绍下如何实
springboot springsecurity动态权限控制
09-18
在这个“springboot springsecurity动态权限控制”的主题中,我们将深入探讨如何在Spring Boot项目中集成Spring Security,实现动态权限控制,让菜单权限的管理更加灵活和高效。 首先,我们需要理解Spring Security...
Spring Security如何使用URL地址进行权限控制
08-25
Spring Security如何使用URL地址进行权限控制 Spring Security是一个功能强大且广泛应用的Java安全框架,它提供了许多功能,包括身份验证、授权、加密等。其中,权限控制是Spring Security的一个重要组件,它允许...
用于学习SpringSecurity权限认证相关的设置
最新发布
05-03
在进行SpringSecurity权限认证相关设置时,开发者需要熟悉这些概念和组件,并根据应用的具体需求进行配置。通过深入学习和实践SpringSecurity中的权限认证,开发者可以构建出既安全又高效的应用程序。
Spring security实现登陆和权限角色控制
09-09
Spring Security通过`GrantedAuthority`来处理用户的权限。 ### 总结 通过以上步骤,你已经配置Spring Security来处理登录、权限和角色控制。当用户尝试访问受保护的资源时,Spring Security自动重定向到登录...
电商五十一、SpringSecurity框架入门-------------------入门demo自定义登陆页面
lbh19630726的博客
10-19 234
①新建一个HTML登陆页面。login.html文件。 在spring-security.xml文件中定义了:<form-login/>和<user name="admin" password="123456" authorities="ROLE_USER"/>,默认name=“username”的<input>是对应的<user>...
Spring Security怎么给方法配置权限的?
bangiao的博客
06-06 1599
目前在Spring Boot中基于方法的权限管理主要是通过注解来实现,我们需要通过:开启Spring Security提供的四个权限注解,以及@PreFilter,这四个注解支持权限表达式,功能比较丰富。:开启Spring Security提供的@Secured注解,该注解不支持权限表达式。:开启JSR-250提供的注解,主要包括@DenyAll@PermitAll以及三个注解,这些注解也不支持权限表达式。:在目标方法执行之后进行权限校验。:在目标方法执行之后对方法的返回结果进行过滤。
Spring Security 权限控制
2012年开始工作,全栈开发老兵,目前已是一个老师,分享这么多年的心得体会
09-19 3233
在前面的章节中,已经给大家介绍了Spring Security的很多功能,在这些众多功能中,我们知道其核心功能其实就是 认证+授权。
Spring Security实现权限认证与授权
b2105859的博客
02-12 2324
Spring Security实现认证与授权
Spring Security权限管理
lflcodeplus的博客
08-11 2554
Spring security权限管理
SpringSecurity(十二)---配置权限:应用限制
学习不止境的博客
10-26 1341
之前讲解了如何基于权限和角色配置访问。但是其中只应用了针对所有端点的配置。本章将介绍如何对特定的请求分组应用授权约束。在生产环境的应用程序中,不太可能对所有请求应用相同的规则。其中将具有只有某些特定用户才能调用的端点,而其他端点则可能每个用户都可以访问。根据业务需求,每个接口都有自己的自定义授权配置。 要选择应用授权配置的请求,可以使用匹配器方法。Spring Security提供了3种类型的匹配方法。首先看一个简单的示例,我们要创建一个暴露两个端点的应用程序,这两个端点是/hello和/xiao。我们希望
13.Spring security权限管理
热门推荐
EdSheeran的博客
04-14 1万+
文章目录*权限管理**13.1什么是权限管理**13.2Spring security权限管理策略**13.3核心概念**13.3.1角色与权限**13.3.2角色继承**13.3.3两种处理器**13.3.4前置处理器**投票器**决策器**13.3.5后置处理器**13.3.6权限数据**`ConfigAttribute`**`SecurityMetadataSource`**13.3.7权限表达式**`SecurityExpressionRoot`**`WebSecurityExpressionRo
SpringSecurity默认过滤器链解析之LogoutFilter(十)
欢谷悠扬
07-09 996
1.LogoutFilter 退出登录处理器 这个其实就是个专门处理退出登录请求的处理器, 默认的退出登录请求是/logout 。当然你也能自定义的。在继承WebSecurityConfigurerAdapter后重写configure(HttpSecurity http)方法,在这个方法里可以配置。 至于如何配置,网上很多,我这里就不讲了~ 源码解析: public void doFilter(ServletRequest req, ServletResponse res, FilterChain c
掌握Spring Security数据权限管理配置
通过这种方式,Spring Security可以与数据库进行交互,从数据库中读取用户和权限信息。 6. 加密用户密码: 为了安全考虑,用户的密码不应该以明文形式存储在数据库中。Spring Security提供了多种密码加密器,如`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值