【Spring Security】| 从0到1编写一个权限认证 | 学会了吗?

news2025/1/19 8:01:12

目录

  • 一. 🦁 认证前的工作
    • 1. 添加依赖
    • 2. 创建数据库表(数据自行添加)
    • 3. 编写用户实体类
    • 4. 编写Dao接口
    • 5. 在启动类中添加 @MapperScan 注解
    • 6. 继续添加各种包
  • 二. 🦁 自定义逻辑认证原理—UserDetailsService
  • 三. 🦁 数据库认证
  • 四. 🦁 密文加密操作
  • 五. 🦁自定义表单登录
    • 1. 编写自定义页面
    • 2. 在Spring Security配置类自定义登录页面
    • 3. 配置登录成功跳转处理器
    • 4. 配置登录失败跳转处理器
    • 5. 编写退出登录跳转处理器
    • 6. 编写退出登录跳转配置
  • 六. 🦁 关闭csrf防护
  • ——————over————————
  • 七. 🦁 授权_RBAC
  • 八. 🦁 权限表设计
  • 九. 🦁 修改认证逻辑,认证成功后给用户授权
  • 十. 🦁 设置访问控制的三种方式
    • 1. 准备工作
    • 2. 配置类设置访问控制
    • 3. 自定义访问控制逻辑
    • 4. 注解设置访问控制

一. 🦁 认证前的工作

本次操作是基于SpringBoot项目的,使用Mybatis-Plus作为ORM框架,具体创建流程不再一一阐述。

1. 添加依赖

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
   </dependency>

2. 创建数据库表(数据自行添加)

CREATE TABLE `users` (
  `uid` int NOT NULL AUTO_INCREMENT,
  `username` varchar(255) CHARACTER SET utf8mb3 COLLATE utf8mb3_general_ci DEFAULT NULL,
  `password` varchar(255) CHARACTER SET utf8mb3 COLLATE utf8mb3_general_ci DEFAULT NULL,
  `phone` varchar(255) CHARACTER SET utf8mb3 COLLATE utf8mb3_general_ci DEFAULT NULL,
  PRIMARY KEY (`uid`) USING BTREE
) ENGINE=InnoDB AUTO_INCREMENT=3 DEFAULT CHARSET=utf8mb3 ROW_FORMAT=DYNAMIC;

3. 编写用户实体类

@Data
public class Users {
    private Integer id;
    private String username;
    private String password;
    private String phone;
}

4. 编写Dao接口

public interface UsersMapper extends BaseMapper<Users> {
}

5. 在启动类中添加 @MapperScan 注解

import org.mybatis.spring.annotation.MapperScan;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;

@SpringBootApplication
@MapperScan("com.lion.mysecuritydemo.mapper")
public class MysecuritydemoApplication {

    public static void main(String[] args) {
        SpringApplication.run(MysecuritydemoApplication.class, args);
    }

}

6. 继续添加各种包

在这里插入图片描述

二. 🦁 自定义逻辑认证原理—UserDetailsService

在项目中,认证逻辑一般是通过自定义实现的,将实现了UserDetailsService 接口的实现类放入Spring容器中,即可实现自定义逻辑认证。

实现UserDetailsService接口必须重写 loadUserByUsername方法,该方法定义了具体的认证逻辑,参数 username 是前端传来的用户名,我们需要根据传来的用户名查询到该用户(一般是从数据库查询),并将查询到的用户封装成一个UserDetails对象,该对象是Spring Security提供的用户对象,包含用户名、密码、权限。Spring Security会根据UserDetails对象中的密码和客户端提供密码进行比较。相同则认证通过,不相同则认证失败,详细流程如下图:

三. 🦁 数据库认证

数据库认证是最常用的,我们现在来看看数据库认证应该怎么写?

其实就是按我们上面说的自定义一个MyUserDetailsService类,并且实现UserDetailsService接口,将其放入Spring容器中,如下:

@Service
public class MyUserDetailService implements UserDetailsService {

    @Autowired
    private UsersMapper usersDao;

    /**
     * 自定义认证逻辑(现在是数据库认证)
     * @param username
     * @return
     * @throws UsernameNotFoundException
     */
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
//        1. 查询用户
        QueryWrapper<Users> wrapper = new QueryWrapper<Users>().eq("username", username);
        Users users = usersDao.selectOne(wrapper);

        if (users == null){
            return  null;
        }
//        2. 封装成UserDetails对象
        UserDetails userDetails = User.withUsername(users.getUsername())
                .password(users.getPassword())
                .authorities("admin")               //授权操作
                .build();

        return userDetails;
    }
}

四. 🦁 密文加密操作

在这里插入图片描述

在实际开发中,为了数据安全性,在数据库中存放密码时不会存放原密码,而是会存放加密后的密码。而用户传入的参数是明文密

码。此时必须使用密码解析器才能将加密密码与明文密码做比对。Spring Security中的密码解析器是 PasswordEncoder 。

Spring Security要求容器中必须有 PasswordEncoder 实例,Spring Security官方推荐的密码解析器是 BCryptPasswordEncoder

我们在security配置类中加入如下一个方法即可:

  @Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();

    }

五. 🦁自定义表单登录

虽然Spring Security给我们提供了登录页面,但在实际项目中,更多的是使用自己的登录页面。Spring Security也支持用户自定义登

录页面。用法如下:

1. 编写自定义页面

<!doctype html>
<html lang="zh" xmlns:th="http://www.thymeleaf.org">
<head>
    <meta charset="UTF-8">
    <meta http-equiv="X-UA-Compatible" content="IE=edge,chrome=1">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>登录</title>
    <link href="/css/styles.css" rel="stylesheet" >
</head>
<body>
<div class="htmleaf-container">
    <div class="wrapper">
        <div class="container">
            <h1>Welcome</h1>
            <form class="form" action="/login" method="post">
                <input type="text" placeholder="用户名" name="username">
                <input type="password" placeholder="密码" name="password">
                <button type="submit" id="login-button">登录</button>
            </form>
        </div>
        <ul class="bg-bubbles">
            <li></li>
            <li></li>
            <li></li>
            <li></li>
            <li></li>
            <li></li>
            <li></li>
            <li></li>
            <li></li>
            <li></li>
        </ul>
    </div>
</div>
</body>
</html>

2. 在Spring Security配置类自定义登录页面

在Spring Security配置类里继承WebSecurityConfigurerAdapter类,重写protected void configure(HttpSecurity http) 方法,如下:

 @Override
    protected void configure(HttpSecurity http) throws Exception {
    //        自定义表单登录
        http.formLogin()
                .loginPage("/login.html")      // 自定义登录页面
                .usernameParameter("username") // 表单中的用户名项
                .passwordParameter("password") // 表单中的密码项
                .loginProcessingUrl("/login")  // 登录路径,表单向该路径提交,提交后自动执行UserDetailsService的方法
                .successHandler(new MyLoginSuccessHandler())               // 登录成功后跳转的路径
                .failureHandler(new MyLoginFailureHandler());              // 登录失败后跳转的路径
    }

这里使用的认证成功和失败跳转的处理方式是编写自定义成功和失败处理器(个人认为这个方法比较常用),因为登录成功后,如果除了跳转页面还需要执行一些自定义代码时,如:统计访问量,推送消息等操作时,可以自定义登录成功处理器。

3. 配置登录成功跳转处理器

public class MyLoginSuccessHandler implements AuthenticationSuccessHandler {

    @Override
    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
//        1. 拿到登录用户信息
        UserDetails principal = (UserDetails) authentication.getPrincipal();


//      做一些需要的事情




//        2. 重定向回到主页
        response.sendRedirect("/main");


    }
}

4. 配置登录失败跳转处理器

public class MyLoginFailureHandler implements AuthenticationFailureHandler {
    @Override
    public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException exception) throws IOException, ServletException {
         System.out.println("记录失败日 志...");
         response.sendRedirect("/fail");
    }
}

5. 编写退出登录跳转处理器

public class MyLogoutSuccessHandler implements LogoutSuccessHandler {
    @Override
    public void onLogoutSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
        System.out.println("清除一些数据...");
        response.sendRedirect("/login.html");
    }
}

6. 编写退出登录跳转配置

在系统中一般都有退出登录的操作。退出登录后,Spring Security进行了以下操作:

  • 清除认证状态

  • 销毁HttpSession对象

  • 跳转到登录页面

在Spring Security中,退出登录的写法如下:在security配置类里编写:

//        退出登录配置
        http.logout()
                .logoutUrl("/logout")                 // 退出登录路径
//                .logoutSuccessUrl("/login.html")     // 退出登录后跳转的路径
                .logoutSuccessHandler(new MyLogoutSuccessHandler())
                .clearAuthentication(true)          //清除认证状态,默认为true
                .invalidateHttpSession(true);      // 销毁HttpSession对象,默认为true

六. 🦁 关闭csrf防护

CSRF:

跨站请求伪造,通过伪造用户请求访问受信任的站点从而进行非法请求访问,是一种攻击手段。 Spring Security

为了防止CSRF攻击,默认开启了CSRF防护,这限制了除了GET请求以外的大多数方法。我们要想正常使用Spring Security需要突破CSRF防护。

我们这里直接关闭csrf防护即可,在security配置类添加如下代码:

http.csrf().disable();

到这里认证工作就全部完成啦,现在来完成授权工作的编写!!!

——————over————————

七. 🦁 授权_RBAC

在这里插入图片描述

授权即认证通过后,系统给用户赋予一定的权限,用户只能根据权限访问系统中的某些资源。

Resource-Based Access Control

基于资源的访问控制,即按资源(或权限)进行授权。比如在企业管理系统中,用户必须 具有查询报表权限才可以查询企业运营报

表。逻辑为:

if(主体.hasPermission("查询报表权限")){
 查询运营报表
}

这样在系统设计时就已经定义好查询报表的权限标识,即使查询报表所需要的角色变化为总经理和股东也不需要修改授权代码,系统

可扩展性强。该授权方式更加常用。

八. 🦁 权限表设计

在这里插入图片描述

用户角色,角色权限都是多对多关系,即一个用户拥有多个角色,一个角色属于多个用户;一个角色拥有多个权限,一个权限属于多

个角色。这种方式需要指定用户有哪些角色,而角色又有哪些权限。

如:

张三拥有总经理的角色,而总经理拥有查询工资、查询报表的权限,这样张三就拥有了查询工资、查询报表的权限。这样管理用户时只需管理少量角色,而管理角色时也只需要管理少量权限即可。
在这里插入图片描述

我们在原有的Users表上,再添加角色表和权限表:

// 角色
@Data
public class Role {
    private String rid;
    private String roleName;
    private String roleDesc;
}
// 权限
@Data
public class Permission {
    private String pid;
    private String permissionName;
    private String url;
}

并且在UsersDao接口添加findPermissionByUsername方法。

// 根据用户名查询权限
List<Permission> findPermissionByUsername(String username);

这个方法设计五表查询,需要自定义编写sql语句:

SELECT DISTINCT
		permission.pid,permission.permissionName,permission.url
	FROM
		users
		LEFT JOIN users_role ON users_role.uid = users.uid
		LEFT JOIN role ON role.rid = users_role.rid
		LEFT JOIN role_permission ON role_permission.rid = role.rid
		LEFT JOIN permission ON role_permission.pid = permission.pid
	WHERE
		username = #{username}

九. 🦁 修改认证逻辑,认证成功后给用户授权

@Service
public class MyUserDetailService implements UserDetailsService {

    @Autowired
    private UsersMapper usersDao;

    /**
     * 自定义认证逻辑(现在是数据库认证)
     * @param username
     * @return
     * @throws UsernameNotFoundException
     */
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
//        1. 查询用户
        QueryWrapper<Users> wrapper = new QueryWrapper<Users>().eq("username", username);
        Users users = usersDao.selectOne(wrapper);

        if (users == null){
            return  null;
        }
//        2. 查询用户权限
        List<Permission> permissions = usersDao.findPermissionByUsername(username);
        // 将自定义权限集合转为Security的权限类型集合
        List<GrantedAuthority> grantedAuthorities = new ArrayList<>();
        for (Permission permission : permissions) {
            grantedAuthorities.add(new SimpleGrantedAuthority(permission.getUrl()));
        }
//        3. 封装成UserDetails对象
        UserDetails userDetails = User.withUsername(users.getUsername())
                .password(users.getPassword())
                .authorities(grantedAuthorities)               //授权操作
                .build();

        return userDetails;
    }
}

十. 🦁 设置访问控制的三种方式

在这里插入图片描述

在给用户授权后,我们就可以给系统中的资源设置访问控制,即拥有什么权限才能访问什么资源。

1. 准备工作

编写控制器类,添加控制器方法资源

@RestController
public class MyController {
    @GetMapping("/reportform/find")
    public String findReportForm() {
        return "查询报表";
   }
    @GetMapping("/salary/find")
    public String findSalary() {
        return "查询工资";
   }
    @GetMapping("/staff/find")
    public String findStaff() {
        return "查询员工";
   }
}

2. 配置类设置访问控制

修改Security配置类:

// 权限拦截配置
http.authorizeRequests()
    .antMatchers("/login.html").permitAll() 			//表示任何权限都可以访问
    .antMatchers("/reportform/find").hasAnyAuthority("/reportform/find") 		// 给资源配置需要的权限
    .antMatchers("/salary/find").hasAnyAuthority("/salary/find")
    .antMatchers("/staff/find").hasAnyAuthority("/staff/find")
           .anyRequest().authenticated();  				//表示任何请求都需要认证后才能访问

3. 自定义访问控制逻辑

如果资源数量很多,一条条配置需要的权限效率较低。我们可以自定义访问控制逻辑,即访问资源时判断用户是否具有名为该资源

URL的权限。

@Service
public class MyAuthorizationService {
    // 自定义访问控制逻辑,返回值为是否可以访问资源

    public boolean hasPermission(HttpServletRequest request, Authentication authentication){
//        获取认证的用户
        UserDetails userDetails = (UserDetails) authentication.getPrincipal();
//        获取登录用户的权限
        Collection<? extends GrantedAuthority> authorities = userDetails.getAuthorities();
//        获取请求的URL路径
        String uri = request.getRequestURI();
//        将路径封装为权限对象
        GrantedAuthority grantedAuthority = new SimpleGrantedAuthority(uri);
        return  authorities.contains(grantedAuthority);
    }

}

4. 注解设置访问控制

除了配置类,在SpringSecurity中提供了一些访问控制的注解。这些注解默认都是不可用的,需要开启后使用。

有两个,一个**@Secured**,因为使用麻烦,这里不细说。

我们来说说**@PreAuthorize**。该注解可以在方法执行前判断用户是否具有权限

① 在启动类开启注解使用

在启动类上方添加:

@EnableGlobalMethodSecurity(prePostEnabled = true)

② 在控制器方法上添加注解

@PreAuthorize("hasAnyAuthority('/reportform/find')")
@GetMapping("/reportform/find")
public String findReportForm() {
    return "查询报表";
}

到这里,一个权限表就完成啦!!!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/422654.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Android Studio Flamingo | 2022.2.1 发布,快来看看有什么更新吧

原文链接 https://developer.android.com/studio/releases 新的 Android Studio 版本 Flamingo (火烈鸟) 已经发布&#xff0c;本次更改最有意思的点在于&#xff1a; Flamingo 自带的 JDK 是 JDK 17 而不再是 JDK 11&#xff0c;另外还有如 IDE 支持应用主题图标和动态颜色&am…

TikTok和国产抖音的发展路径和趋势

鑫优尚电子商务&#xff1a;以历史为镜子&#xff0c;我们可以知道变化。 纵观TikTok和国产抖音&#xff0c;我们会发现TikTok目前的发展路径和趋势与国产抖音的主线十分相似&#xff0c;直播也是如此。鑫优尚电子商务 国内抖音直播一般经历过四个时代&#xff1a;直播1.0时代…

AIGC周报|清华、北邮新研究:让文生图AI更懂你

AIGC通过借鉴现有的、人类创造的内容来快速完成内容创作。ChatGPT、Bard等AI聊天机器人以及DallE 2、Stable Diffusion等文生图模型都属于AIGC的典型案例。「AIGC技术周报」将为你带来最新的paper、博客等前瞻性研究。 OpenAGI&#xff1a;当大模型遇见领域专家 “愿原力与大型…

分子生物学 第五章 DNA损伤修复和突变

文章目录第五章 DNA损伤修复和突变第一节第二节 DNA损伤的类型1 造成DNA损伤的因素2 DNA损伤的类型3 DNA损伤修复机制3.1 直接修复3.2 切除修复3.3 双链断裂修复3.4 重组修复3.5 跨越合成第五章 DNA损伤修复和突变 第一节 损伤&#xff1a;比如碱基&#xff0c;甲基化 突变&…

JavaSE学习进阶day04_04 正则表达式和Lambda表达式

第六章 正则表达式&#xff08;超级重要&#xff09; 开发心得&#xff1a;看着正确数据&#xff0c;从左到右书写正则表达式 6.1 正则表达式的概念及演示 在Java中&#xff0c;我们经常需要验证一些字符串&#xff0c;例如&#xff1a;年龄必须是2位的数字、用户名必须是8位…

爬虫日常练习-协程方式爬取图片

文章目录前言代码设计前言 hello朋友们&#xff0c;欢迎回来。这里是无聊的网友。今天给大家分享另一种处理多任务的方法–协程 那么在开始之前我们首先要了解什么是协程。协程是在一个线程内&#xff1a;多个任务出现阻塞时&#xff0c;由envet_loop轮转查看阻塞状态&#…

Zeppelin0.9.0 连接 Hive 3.1.2(踩坑,亲测有效)

一、前提 已经安装好Hadoop、Hive&#xff08;可以启动hiveserver2&#xff09;、Zeppelin 1.启动Hadoop [roothurys24 ~]# start-all.sh 2.启动hiveserver2 [roothurys24 ~]# cd /opt/soft/hive312/conf/ [roothurys24 conf]# nohup ../bin/hive --service hiveserver2 &a…

kubernetes之Ingress介绍

Ingress 组成 ingress controller将新加入的Ingress转化成Nginx的配置文件并使之生效 ingress服务将Nginx的配置抽象成一个Ingress对象&#xff0c;每添加一个新的服务只需写一个新的Ingress的yaml文件即可工作原理 1.ingress controller通过和kubernetes api交互&#xff0…

【机器学习(五)】基于KNN模型对高炉发电量进行回归预测分析

文章目录专栏导读1、KNN简介2、KNN回归模型介绍3、KNN模型应用-高炉发电量预测3.1数据集信息&#xff1a;3.2属性信息3.3数据准备3.4数据标准化和划分数据集3.5寻找最佳K值3.6建立KNN模型预测4、完整代码专栏导读 ✍ 作者简介&#xff1a;i阿极&#xff0c;CSDN Python领域新星…

利用74373芯片进行单片机IO口扩展的方法介绍-成都控制设备订做

本文介绍用74373芯片进行微处理器IO口扩展的方法。 1.为什么要进行IO口扩展&#xff1f; 在电路设计的某些时候&#xff0c;微处理器&#xff08;如单片机&#xff09;IO口不够用了&#xff0c;此时该怎么办呢&#xff1f;利用辅助芯片进行IO口扩展是个简单直接的方法&#xff…

开源社与 Dev.Together 2022

思否与开源社携手11>2在 2023 年的春天&#xff0c;开源社走进了 Dev.Together 2022 的会场&#xff0c;一时间有种时空错觉。2022 年本该举办的开源聚会因为不可抗力的因素被延期&#xff0c;感谢思否一直坚持的理念&#xff1a;Dev.Together Summit 只做线下&#xff0c;将…

debian 10 安装神州通用数据库 V7.0

debian 10 安装神州通用数据库 V7.01、官方下载链接2、windows客户端下载链接3、官方安装手册4、安装前准备3.1、创建安装用户3.2、以root 用户修改神通数据库安装包的所有者为shentong 用户3.3、以root 用户创建神通数据库主目录并修改所有者为shentong 用户3.4、以root 用户临…

c/c++:顺序结构,if else分支语句,do while循环语句,switch case break语句

c/c:顺序结构&#xff0c;if else分支语句&#xff0c;do while循环语句&#xff0c;switch case break语句 2022找工作是学历、能力和运气的超强结合体&#xff0c;遇到寒冬&#xff0c;大厂不招人&#xff0c;此时学会c的话&#xff0c; 我所知道的周边的会c的同学&#xff…

一文读懂域名注册

本文深入浅出讲解域名的注册、建站和管理&#xff0c;通过文章可以了解以下问题&#xff1a; 域名注册及建站流程&#xff1b;域名注册的技术原理&#xff1b;域名管理&#xff08;修改 DNS 服务器、转入转出、自定义 DNSHost、whois 信息&#xff09;。 众所周知&#xff0c;…

【MYSQL】表的增删改查(基础)

文章目录&#x1f337; 1. 新增&#xff08;Create&#xff09;⭐️ 1.1 单行行数据 指定列插入⭐️ 1.2 多行数据 指定列插入&#x1f337; 2. 查询&#xff08;Retrieve&#xff09;⭐️ 2.1 全列查询⭐️ 2.2 指定列查询⭐️ 2.3 查询字段为表达式⭐️ 2.4 别名⭐️ 2.5 去…

十五、市场活动:excel导入

功能需求 ①用户在市场活动主页面,点击"导入"按钮,弹出导入市场活动的模态窗口; ②用户在导入市场活动的模态窗口选择要上传的文件,点击"导入"按钮,完成导入市场活动的功能. *只支持.xls *文件大小不超过5MB ③导入成功之后,提示成功导入记录条数,关闭…

(只需三步)如何用chatgpt自动生成思维导图

目录 chatgpt是可以生成思维导图的&#xff01;只需三步&#xff0c;非常简单&#xff01; 第一步&#xff1a;打开chatgpt&#xff0c;告诉它主题 第二步&#xff0c;完善思维导图 第三步&#xff1a;查看思维导图的效果 chatgpt是可以生成思维导图的&#xff01;只需三步&am…

21天学会C++:Day1----C++的发展史

CSDN的uu们&#xff0c;大家好。这里是C入门的第一讲。 座右铭&#xff1a;前路坎坷&#xff0c;披荆斩棘&#xff0c;扶摇直上。 博客主页&#xff1a; 姬如祎 收录专栏&#xff1a;C专题 目录 1. 什么是C 2. C的发展史 3. C的重要性 4. 如何学好C 4.1 别人如何学C 4…

海睿思分享 | 制造业数字化转型之业务场景驱动

在开始谈业务场景驱动之前&#xff0c;我们先介绍一下流程驱动和数据驱动的概念。 首先数据和流程在现代制造业相辅相成&#xff0c;流程中有数据&#xff0c;数据往往通过流程传递&#xff0c;而“驱动”是通过建立一定的驱动机制&#xff0c;改变以往人为的业务推进模式&…

Android UI设计经验分享,掌握设计技巧,让你的应用独树一帜

Android UI渲染是指Android应用程序中的用户界面如何被绘制。Android UI渲染很重要&#xff0c;因为渲染过程直接影响应用程序的性能和用户体验。 当用户在Android应用程序中进行交互时&#xff0c;应用程序会相应地创建并更新UI元素&#xff0c;例如TextView、Button、ImageV…