SpringBoot集成Spring Security(5)——权限控制

最新推荐文章于 2025-08-11 11:26:11 发布
最新推荐文章于 2025-08-11 11:26:11 发布
阅读量3.2w 收藏 121
点赞数 32
CC 4.0 BY-SA版权
分类专栏: # Spring Security 5 文章标签: springboot spring_security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/yuanlaijike/article/details/80327880
本文介绍如何实现基于角色的权限管理系统,包括创建权限表、定义权限实体类和服务层,并通过自定义PermissionEvaluator来判断用户是否有访问特定URL的权限。

在第一篇中,我们说过,用户<–>角色<–>权限三层中,暂时不考虑权限,在这一篇,是时候把它完成了。

为了方便演示,这里的权限只是对角色赋予权限,也就是说同一个角色的用户,权限是一样的。当然了,你也可以精细化到为每一个用户设置权限,但是这不在本篇的探讨范围,有兴趣可以自己实验,原理都是一样的。

源码地址:https://github.com/jitwxs/blog_sample

文章目录

一、数据准备

1.1 创建 sys_permission 表

让我们先创建一张权限表,名为 sys_permission

CREATE TABLE `sys_permission` (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `url` varchar(255) DEFAULT NULL,
  `role_id` int(11) DEFAULT NULL,
  `permission` varchar(255) DEFAULT NULL,
  PRIMARY KEY (`id`),
  KEY `fk_roleId` (`role_id`),
  CONSTRAINT `fk_roleId` FOREIGN KEY (`role_id`) REFERENCES `sys_role` (`id`) ON DELETE CASCADE ON UPDATE CASCADE
) ENGINE=InnoDB AUTO_INCREMENT=5 DEFAULT CHARSET=utf8;

内容就是两条数据,url+role_id+permission 唯一标识了一个角色访问某一 url 时的权限,其中权限暂定为 c、r、u、d,即增删改查。

sys_permission表

1.2 创建 POJO、Mapper、Service

(1)pojo

package jit.wxs.entity;

import java.io.Serializable;
import java.util.Arrays;
import java.util.List;

/**
 * 权限实体类
 * @author jitwxs
 * @since 2018/5/15 18:11
 */
public class SysPermission implements Serializable {
    static final long serialVersionUID = 1L;

    private Integer id;

    private String url;

    private Integer roleId;

    private String permission;

    private List permissions;

    // 省略除permissions外的getter/setter

    public List getPermissions() {
        return Arrays.asList(this.permission.trim().split(","));
    }

    public void setPermissions(List permissions) {
        this.permissions = permissions;
    }
}

这里需要注意的时相比于数据库,多了一个 permissions 属性,该字段将 permission 按逗号分割为了 list。

(2)mapper

import jit.wxs.entity.SysPermission;
import org.apache.ibatis.annotations.Mapper;
import org.apache.ibatis.annotations.Select;

import java.util.List;

@Mapper
public interface SysPermissionMapper {
    @Select("SELECT * FROM sys_permission WHERE role_id=#{roleId}")
    List<SysPermission> listByRoleId(Integer roleId);
}

import jit.wxs.demo.entity.SysRole;
import org.apache.ibatis.annotations.Mapper;
import org.apache.ibatis.annotations.Select;

@Mapper
public interface SysRoleMapper {
    @Select("SELECT * FROM sys_role WHERE id = #{id}")
    SysRole selectById(Integer id);

    @Select("SELECT * FROM sys_role WHERE name = #{name}")
    SysRole selectByName(String name);
}

(3)Service

SysPermissionService 中有一个方法,根据 roleId 获取所有的 SysPermission

package jit.wxs.service;

import jit.wxs.entity.SysPermission;
import jit.wxs.mapper.SysPermissionMapper;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;

import java.util.List;

@Service
public class SysPermissionService {
    @Autowired
    private SysPermissionMapper permissionMapper;

    /**
     * 获取指定角色所有权限
     */
    public List<SysPermission> listByRoleId(Integer roleId) {
        return permissionMapper.listByRoleId(roleId);
    }
}

import jit.wxs.demo.entity.SysRole;
import jit.wxs.demo.mapper.SysRoleMapper;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;

@Service
public class SysRoleService {
    @Autowired
    private SysRoleMapper roleMapper;

    public SysRole selectById(Integer id) {
        return roleMapper.selectById(id);
    }

    public SysRole selectByName(String name) {
        return roleMapper.selectByName(name);
    }
}

1.3 修改接口

@Controller
public class LoginController {
    ...

    @RequestMapping("/admin")
    @ResponseBody
    @PreAuthorize("hasPermission('/admin','r')")
    public String printAdminR() {
        return "如果你看见这句话,说明你访问/admin路径具有r权限";
    }

    @RequestMapping("/admin/c")
    @ResponseBody
    @PreAuthorize("hasPermission('/admin','c')")
    public String printAdminC() {
        return "如果你看见这句话,说明你访问/admin路径具有c权限";
    }
}

让我们修改下我们要访问的接口,@PreAuthorize("hasPermission('/admin','r')")是关键,参数1指明了访问该接口需要的url,参数2指明了访问该接口需要的权限

二、PermissionEvaluator

我们需要自定义对 hasPermission() 方法的处理,就需要自定义 PermissionEvaluator,创建类 CustomPermissionEvaluator,实现 PermissionEvaluator 接口。

import jit.wxs.entity.SysPermission;
import jit.wxs.service.SysPermissionService;
import jit.wxs.service.SysRoleService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.access.PermissionEvaluator;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.userdetails.User;
import org.springframework.stereotype.Component;

import java.io.Serializable;
import java.util.Collection;
import java.util.List;

@Component
public class CustomPermissionEvaluator implements PermissionEvaluator {
    @Autowired
    private SysPermissionService permissionService;
    @Autowired
    private SysRoleService roleService;

    @Override
    public boolean hasPermission(Authentication authentication, Object targetUrl, Object targetPermission) {
        // 获得loadUserByUsername()方法的结果
        User user = (User)authentication.getPrincipal();
        // 获得loadUserByUsername()中注入的角色
        Collection<GrantedAuthority> authorities = user.getAuthorities();

        // 遍历用户所有角色
        for(GrantedAuthority authority : authorities) {
            String roleName = authority.getAuthority();
            Integer roleId = roleService.selectByName(roleName).getId();
            // 得到角色所有的权限
            List<SysPermission> permissionList = permissionService.listByRoleId(roleId);

            // 遍历permissionList
            for(SysPermission sysPermission : permissionList) {
                // 获取权限集
                List permissions = sysPermission.getPermissions();
                // 如果访问的Url和权限用户符合的话,返回true
                if(targetUrl.equals(sysPermission.getUrl())
                        && permissions.contains(targetPermission)) {
                    return true;
                }
            }

        }

        return false;
    }

    @Override
    public boolean hasPermission(Authentication authentication, Serializable serializable, String s, Object o) {
        return false;
    }
}

hasPermission() 方法中,参数 1 代表用户的权限身份,参数 2 参数 3 分别和 @PreAuthorize("hasPermission('/admin','r')") 中的参数对应,即访问 url 和权限

思路如下:

  1. 通过 Authentication 取出登录用户的所有 Role

  2. 遍历每一个 Role,获取到每个Role的所有 Permission

  3. 遍历每一个 Permission,只要有一个 Permissionurl 和传入的url相同,且该 Permission 中包含传入的权限,返回 true

  4. 如果遍历都结束,还没有找到,返回false

下面就是在 WebSecurityConfig 中注册 CustomPermissionEvaluator

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
	...
    /**
     * 注入自定义PermissionEvaluator
     */
    @Bean
    public DefaultWebSecurityExpressionHandler webSecurityExpressionHandler(){
        DefaultWebSecurityExpressionHandler handler = new DefaultWebSecurityExpressionHandler();
        handler.setPermissionEvaluator(new CustomPermissionEvaluator());
        return handler;
    }
	...
}

三、运行程序

当我使用角色为 ROLE_USER 的用户仍然能访问,因为该用户访问 /admin 路径具有 r 权限:

运行结果

SpringBoot整合框架——集成SpringSecurity、shiro
m0_61506558的博客
11-04 964
Spring Security 是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型,他可以实现强大的Web安全控制,对于安全控制,我们仅需要引入spring-boot-starter-security 模块,进行少量的配置,即可实现强大的安全管理WebSecurityConfigurerAdapter:自定义Security策略AuthenticationManagerBuilder:自定义认证策略。
SpringBoot-Security
05-26
springboot security,两种配置一个是用config类,一个是用注解方式。数据库两个用户 admin/admin,neusoft/neusoft
JAVA学习篇——Spring Boot Security
zhang19971014的博客
04-20 8569
1. 关于Spring Boot Security Spring Boot Security是在Spring Boot中使用的,基于Spring Security的依赖项,其本质就是Spring Security框架加上了应用于Spring Boot工程的自动配置。 Spring Security是一款主要解决了认证和授权相关处理的安全框架。 认证:验证用户的身份,例如在登录过程中验证用户名与密码是否匹配。 授权:使得用户允许访问服务器端的某些资源,或禁止访问某些资源,例如管理员可以执行一些数据删除
快速搭建Springboot电商项目及支付宝微信支付集成实战
最新发布
weixin_42284380的博客
08-11 717
Spring Boot是现代Java应用开发的首选框架,旨在简化新Spring应用的初始搭建以及开发过程。它的核心特性包括:自动配置:自动配置功能帮助开发者减少样板配置代码,迅速启动项目。独立运行:Spring Boot应用是一个独立的单元,可以通过java -jar命令或传统的war部署方式运行。生产就绪特性:内置多种生产级别特性,例如健康检查、外部化配置、度量指标等。微服务支持:与Spring Cloud的良好集成,支持创建基于微服务的云应用。
Spring boot security
咖啡男孩之SRE之路
08-23 2344
本案例通过mybatis为持久层,自定义了用户和配套权限,在请求Spring boot web的controller方法时做不同权限的控制。代码在https://github.com/yejingtao/forblog.git的mydemo-security项目。   用户权限初始化脚本: --create schema create schema schema3; --create s
SpringBootSpringSecurity(安全)
热门推荐
爱学习的大雄的博客
03-16 1万+
SpringSecurity(安全) Spring Security是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型,他可以实现强大的Web安全控制,对于安全控制,我们仅需要引入spring-boot-starter-security模块,进行少量的配置,即可实现强大的安全管理! 记住几个类: WebSecurityConfigurerAdapter:自定义Security策略 AuthenticationManagerBuilder:自定义认证策略 @Enabl
springboot-Security
FA的博客
07-23 193
security
SpringBoot集成Spring Security登录管理 添加 session 共享【完整源码+数据库】
02-16
以上就是关于"SpringBoot集成Spring Security登录管理 添加 session 共享"的详细讲解。通过这个过程,我们可以创建一个安全且具有session共享功能的SpringBoot应用,为用户提供一致的登录体验。实际操作时,应根据...
【完整源码+数据库】 SpringBoot集成Spring Security登录管理 添加 session 共享
11-05
我们将基于给定的标签——SpringBootSpringSecurity、mysql、session共享和idea来构建一个完整的示例。 SpringBoot是一个轻量级的Java框架,它简化了创建独立的、生产级别的基于Spring的应用程序。通过内置的...
SpringBoot开发——整合Spring Security
bjzhang75的博客
09-11 1360
SpringBoot整合Spring Security
SpringBoot整合Spring Security【超详细教程】
m0_54883970的博客
07-28 519
SpringSecurity是一个功能强大且高度可定制的身份验证和访问控制框架。提供了完善的认证机制和方法级的授权功能。是一款非常优秀的权限管理框架。它的核心是一组过滤器链,不同的功能经由不同的过滤器。这篇文章就是想通过一个小案例将SpringSecurity整合到SpringBoot中去。要实现的功能就是在认证服务器上登录,然后获取Token,再访问资源服务器中的资源。SpringBoot整合SpringSecurity到这里就结束了。https如果我的文章对你有些帮助,不要忘了,,转发,。...
SpringBootSecurity
Amazing66的博客
07-21 4080
认证和授权 首先导入Srcurity依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 创建config包结构并创建Security类 在Secu.
Spring Boot Security(身份认证和请求授权)
swg321321的博客
07-30 2455
Spring Boot Security 架构,以及启动原理。包含UserDetail、UserDetailService、AuthenticationProvider、AuthenticationManger、AbstractSecurityInterceptor、AccessDecisionManager、AccessDecisionVoter、登录、退出链接、登录失败、登录成功处理。............
SpringBoot-SpringSecurity
qq_55293923的博客
04-19 200
SpringBoot-SpringSecurity 简介 Spring Security 是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型,他可以实现强大的Web安全控制,对于安全控制,我们仅需要引入spring-boot-starter-security模块,进行少量的配置,即可实现强大的安全管理! 记住几个类: WebSecurityConfigurerAdapter:自定义Security策略 AuthenticationManagerBuilder:自定义认证
SpringSecurity权限控制
拒绝熬夜啊的博客
11-30 1376
文章目录SpringSecurity权限控制1 数据准备2 创建 POJO、Mapper、Service3 自定义PermissionEvaluator SpringSecurity权限控制 1 数据准备 创建 sys_permission 表并插入数据 CREATE TABLE `sys_permission` ( `id` int(11) NOT NULL AUTO_INCREMENT, `url` varchar(255) DEFAULT NULL, `role_id` int(1
SpringBootSpringSecurity
Clawww的学习笔记
03-30 258
SpringSecurity 在Web开发中,安全第一位。 安全不是一个功能性需求,也就是说如果不设置安全方面的功能,网站也一样能跑起来。 安全应该在什么时候考虑起来呢?应该在设计之初,因为不能存在安全的问题,比如网站漏洞,隐私泄露等,而且一旦架构确定,增加安全可能需要改动一些代码,所以在设计网站开发的一开始,就要考虑安全的问题。 涉及到安全方面的框架有Shiro和SpringSecuri...
Spring Boot 安全性:使用 Spring Security 实现用户认证与权限管理!
**My Coding Family**
04-27 1063
🏆 本文精选收录于《滚雪球学SpringBoot》专栏,专为零基础学习者量身打造。从Spring基础到项目实战,手把手带你掌握核心技术,助力你快速提升,迈向职场巅峰,开启财富自由之路🚀!无论你是刚入门的小白,还是已有基础的开发者,都能在这里找到适合自己的学习路径!    🌟 关注、收藏、订阅,持续更新中!和我们一起高速成长,突破自我!💡
SpringBoot SpringSecurity(一)
Alex
05-14 245
Spring Security是一款基于Spring的安全框架,主要包含认证和授权两大安全模块,和另外一款流行的安全框架Apache Shiro相比,它拥有更为强大的功能。Spring Security也可以轻松的自定义扩展以满足各种需求,并且对常见的Web安全攻击提供了防护支持。如果你的Web框架选择的是Spring,那么在安全方面Spring Security会是一个不错的选择。 下面记录讲解下SpringBoot集成SpringSecurtiy,SpringBoot版本2.1.6.RELEASE,S
Spring BootSpring BootSecurity安全控制
小哲的博客
03-23 1059
Spring BootSecurity安全控制 Spring Security是一个强大且高度可定制的身份验证和访问控制框架,完全基于Spring的应用程序的标准,Spring Security为基于JAVA EE的企业应用程序提供了一个全面的安全解决方案。 Spring Security是什么? Spring Security提供了一组可以在Spring应用上下文中配置的Bean,充分利用了S...
springboot整合springsecurity+vue
01-15
### 整合 Spring BootSpring Security 以及 Vue.js 实现前后端分离的安全认证 #### 后端部分 在后端,Spring Boot 提供了RESTful API 的实现和业务逻辑处理[^1]。为了保护这些API免受未授权访问的影响,集成Spring Security来负责身份验证和授权管理。 对于基于Token的身份验证机制,如JSON Web Token (JWT),可以通过自定义`JwtAuthenticationFilter`来进行拦截和解析令牌操作[^2]。此过滤器会检查HTTP头部携带的JWT有效性,并将其转换成可识别的身份信息以便后续权限校验流程继续执行下去。 另外,在配置类中通过重载`configure(HttpSecurity http)`方法设置不同URL模式对应的访问控制策略;例如,“/api/auth/**”路径下的资源允许匿名用户直接获取(通常用于登录注册等功能),而其余所有请求则需经过合法的身份验证过程才能成功调用相应服务接口。 ```java @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() .authorizeRequests() .antMatchers("/api/auth/**").permitAll() // 不需要认证即可访问 .anyRequest().authenticated(); // 所有其他请求均需认证 http.addFilterBefore(jwtAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class); } ``` #### 前端部分 前端采用Vue.js框架创建项目。当涉及到与后端交互时,特别是涉及敏感数据的操作(比如提交表单、查询个人信息等),应当始终附带有效的JWT到服务器端以证明当前用户的合法性。这一般是在发起Ajax请求前将token加入到headers字段里完成: ```javascript axios.interceptors.request.use(config => { const token = localStorage.getItem('jwt'); if(token){ config.headers['Authorization'] = `Bearer ${token}`; } return config; }); ``` 此外,考虑到用户体验方面的需求,还需要设计一套完整的页面跳转逻辑——即当检测到session过期或不存在有效凭证的情况下自动导向至登陆界面等待重新输入账号密码进行新一轮的身份确认工作。
评论 49
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值