SpringBoot2.0 整合 SpringSecurity 框架實(shí)現(xiàn)用戶權(quán)限安全管理方法
一、Security簡介
1、基礎(chǔ)概念
Spring Security是一個(gè)能夠?yàn)榛赟pring的企業(yè)應(yīng)用系統(tǒng)提供聲明式的安全訪問控制解決方案的安全框架。它提供了一組可以在Spring應(yīng)用上下文中配置的Bean,充分利用了Spring的IOC,DI,AOP(面向切面編程)功能,為應(yīng)用系統(tǒng)提供聲明式的安全訪問控制功能,減少了為安全控制編寫大量重復(fù)代碼的工作。
2、核心API解讀
1)、SecurityContextHolder
最基本的對(duì)象,保存著當(dāng)前會(huì)話用戶認(rèn)證,權(quán)限,鑒權(quán)等核心數(shù)據(jù)。SecurityContextHolder默認(rèn)使用ThreadLocal策略來存儲(chǔ)認(rèn)證信息,與線程綁定的策略。用戶退出時(shí),自動(dòng)清除當(dāng)前線程的認(rèn)證信息。
初始化源碼:明顯使用ThreadLocal線程。
private static void initialize() { if (!StringUtils.hasText(strategyName)) { strategyName = "MODE_THREADLOCAL"; } if (strategyName.equals("MODE_THREADLOCAL")) { strategy = new ThreadLocalSecurityContextHolderStrategy(); } else if (strategyName.equals("MODE_INHERITABLETHREADLOCAL")) { strategy = new InheritableThreadLocalSecurityContextHolderStrategy(); } else if (strategyName.equals("MODE_GLOBAL")) { strategy = new GlobalSecurityContextHolderStrategy(); } else { try { Class<?> clazz = Class.forName(strategyName); Constructor<?> customStrategy = clazz.getConstructor(); strategy = (SecurityContextHolderStrategy)customStrategy.newInstance(); } catch (Exception var2) { ReflectionUtils.handleReflectionException(var2); } } ++initializeCount; }
2)、Authentication
源代碼
public interface Authentication extends Principal, Serializable { Collection<? extends GrantedAuthority> getAuthorities(); Object getCredentials(); Object getDetails(); Object getPrincipal(); boolean isAuthenticated(); void setAuthenticated(boolean var1) throws IllegalArgumentException; }
源碼分析
1)、getAuthorities,權(quán)限列表,通常是代表權(quán)限的字符串集合;
2)、getCredentials,密碼,認(rèn)證之后會(huì)移出,來保證安全性;
3)、getDetails,請求的細(xì)節(jié)參數(shù);
4)、getPrincipal, 核心身份信息,一般返回UserDetails的實(shí)現(xiàn)類。
3)、UserDetails
封裝了用戶的詳細(xì)的信息。
public interface UserDetails extends Serializable { Collection<? extends GrantedAuthority> getAuthorities(); String getPassword(); String getUsername(); boolean isAccountNonExpired(); boolean isAccountNonLocked(); boolean isCredentialsNonExpired(); boolean isEnabled(); }
4)、UserDetailsService
實(shí)現(xiàn)該接口,自定義用戶認(rèn)證流程,通常讀取數(shù)據(jù)庫,對(duì)比用戶的登錄信息,完成認(rèn)證,授權(quán)。
public interface UserDetailsService { UserDetails loadUserByUsername(String var1) throws UsernameNotFoundException; }
5)、AuthenticationManager
認(rèn)證流程頂級(jí)接口??梢酝ㄟ^實(shí)現(xiàn)AuthenticationManager接口來自定義自己的認(rèn)證方式,Spring提供了一個(gè)默認(rèn)的實(shí)現(xiàn),ProviderManager。
public interface AuthenticationManager { Authentication authenticate(Authentication var1) throws AuthenticationException; }
二、與SpringBoot2整合
1、流程描述
1)、三個(gè)頁面分類,page1、page2、page3
2)、未登錄授權(quán)都不可以訪問
3)、登錄后根據(jù)用戶權(quán)限,訪問指定頁面
4)、對(duì)于未授權(quán)頁面,訪問返回403:資源不可用
2、核心依賴
<dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency>
3、核心配置
/** * EnableWebSecurity注解使得SpringMVC集成了Spring Security的web安全支持 */ @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { /** * 權(quán)限配置 */ @Override protected void configure(HttpSecurity http) throws Exception { // 配置攔截規(guī)則 http.authorizeRequests().antMatchers("/").permitAll() .antMatchers("/page1/**").hasRole("LEVEL1") .antMatchers("/page2/**").hasRole("LEVEL2") .antMatchers("/page3/**").hasRole("LEVEL3"); // 配置登錄功能 http.formLogin().usernameParameter("user") .passwordParameter("pwd") .loginPage("/userLogin"); // 注銷成功跳轉(zhuǎn)首頁 http.logout().logoutSuccessUrl("/"); //開啟記住我功能 http.rememberMe().rememberMeParameter("remeber"); } /** * 自定義認(rèn)證數(shù)據(jù)源 */ @Override protected void configure(AuthenticationManagerBuilder builder) throws Exception{ builder.userDetailsService(userDetailService()) .passwordEncoder(passwordEncoder()); } @Bean public UserDetailServiceImpl userDetailService (){ return new UserDetailServiceImpl () ; } /** * 密碼加密 */ @Bean public BCryptPasswordEncoder passwordEncoder(){ return new BCryptPasswordEncoder(); } /* * 硬編碼幾個(gè)用戶 @Autowired public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { auth.inMemoryAuthentication() .withUser("spring").password("123456").roles("LEVEL1","LEVEL2") .and() .withUser("summer").password("123456").roles("LEVEL2","LEVEL3") .and() .withUser("autumn").password("123456").roles("LEVEL1","LEVEL3"); } */ }
4、認(rèn)證流程
@Service public class UserDetailServiceImpl implements UserDetailsService { @Resource private UserRoleMapper userRoleMapper ; @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { // 這里可以捕獲異常,使用異常映射,拋出指定的提示信息 // 用戶校驗(yàn)的操作 // 假設(shè)密碼是數(shù)據(jù)庫查詢的 123 String password = "$2a$10$XcigeMfToGQ2bqRToFtUi.sG1V.HhrJV6RBjji1yncXReSNNIPl1K"; // 假設(shè)角色是數(shù)據(jù)庫查詢的 List<String> roleList = userRoleMapper.selectByUserName(username) ; List<GrantedAuthority> grantedAuthorityList = new ArrayList<>() ; /* * Spring Boot 2.0 版本踩坑 * 必須要 ROLE_ 前綴, 因?yàn)?hasRole("LEVEL1")判斷時(shí)會(huì)自動(dòng)加上ROLE_前綴變成 ROLE_LEVEL1 , * 如果不加前綴一般就會(huì)出現(xiàn)403錯(cuò)誤 * 在給用戶賦權(quán)限時(shí),數(shù)據(jù)庫存儲(chǔ)必須是完整的權(quán)限標(biāo)識(shí)ROLE_LEVEL1 */ if (roleList != null && roleList.size()>0){ for (String role : roleList){ grantedAuthorityList.add(new SimpleGrantedAuthority(role)) ; } } return new User(username,password,grantedAuthorityList); } }
5、測試接口
@Controller public class PageController { /** * 首頁 */ @RequestMapping("/") public String index (){ return "home" ; } /** * 登錄頁 */ @RequestMapping("/userLogin") public String loginPage (){ return "pages/login" ; } /** * page1 下頁面 */ @PreAuthorize("hasAuthority('LEVEL1')") @RequestMapping("/page1/{pageName}") public String onePage (@PathVariable("pageName") String pageName){ return "pages/page1/"+pageName ; } /** * page2 下頁面 */ @PreAuthorize("hasAuthority('LEVEL2')") @RequestMapping("/page2/{pageName}") public String twoPage (@PathVariable("pageName") String pageName){ return "pages/page2/"+pageName ; } /** * page3 下頁面 */ @PreAuthorize("hasAuthority('LEVEL3')") @RequestMapping("/page3/{pageName}") public String threePage (@PathVariable("pageName") String pageName){ return "pages/page3/"+pageName ; } }
6、登錄界面
這里要和Security的配置文件相對(duì)應(yīng)。
<div align="center"> <form th:action="@{/userLogin}" method="post"> 用戶名:<input name="user"/><br> 密 碼:<input name="pwd"><br/> <input type="checkbox" name="remeber"> 記住我<br/> <input type="submit" value="Login"> </form> </div>
三、源代碼地址
GitHub地址:知了一笑 https://github.com/cicadasmile/middle-ware-parent 碼云地址:知了一笑 https://gitee.com/cicadasmile/middle-ware-parent
總結(jié)
以上所述是小編給大家介紹的SpringBoot2.0 整合 SpringSecurity 框架實(shí)現(xiàn)用戶權(quán)限安全管理方法,希望對(duì)大家有所幫助,如果大家有任何疑問請給我留言,小編會(huì)及時(shí)回復(fù)大家的。在此也非常感謝大家對(duì)腳本之家網(wǎng)站的支持!
如果你覺得本文對(duì)你有幫助,歡迎轉(zhuǎn)載,煩請注明出處,謝謝!
- SpringBoot項(xiàng)目實(shí)現(xiàn)關(guān)閉數(shù)據(jù)庫配置和springSecurity
- springboot+springsecurity如何實(shí)現(xiàn)動(dòng)態(tài)url細(xì)粒度權(quán)限認(rèn)證
- SpringSecurity整合springBoot、redis實(shí)現(xiàn)登錄互踢功能
- springboot+jwt+springSecurity微信小程序授權(quán)登錄問題
- springboot集成springsecurity 使用OAUTH2做權(quán)限管理的教程
- Springboot+SpringSecurity+JWT實(shí)現(xiàn)用戶登錄和權(quán)限認(rèn)證示例
- SpringBoot集成SpringSecurity和JWT做登陸鑒權(quán)的實(shí)現(xiàn)
- Springboot整合SpringSecurity的完整案例詳解
相關(guān)文章
springboot實(shí)現(xiàn)將自定義日志格式存儲(chǔ)到mongodb中
這篇文章主要介紹了springboot實(shí)現(xiàn)將自定義日志格式存儲(chǔ)到mongodb中的操作,具有很好的參考價(jià)值,希望對(duì)大家有所幫助。如有錯(cuò)誤或未考慮完全的地方,望不吝賜教2021-07-07java 正則表達(dá)式獲取兩個(gè)字符中間的字符串方法
今天小編就為大家分享一篇java 正則表達(dá)式獲取兩個(gè)字符中間的字符串方法,具有很好的參考價(jià)值,希望對(duì)大家有所幫助。一起跟隨小編過來看看吧2018-07-07Java前端Layer.open.btn驗(yàn)證無效解決方法
在本篇文章里我們給大家整理了一篇關(guān)于Java前端Layer.open.btn驗(yàn)證無效解決方法以及實(shí)例代碼,需要的朋友們可以參考學(xué)習(xí)下。2019-09-09java+vue3+el-tree實(shí)現(xiàn)樹形結(jié)構(gòu)操作代碼
基于springboot + vue3 elementPlus實(shí)現(xiàn)樹形結(jié)構(gòu)數(shù)據(jù)的添加、刪除和頁面展示,本文通過示例代碼給大家介紹的非常詳細(xì),感興趣的朋友跟隨小編一起看看吧2024-06-06IDEA 使用mybatis插件Free Mybatis plugin的步驟(推薦)
這篇文章主要介紹了IDEA 使用mybatis插件Free Mybatis plugin的相關(guān)知識(shí),本文給大家介紹的非常詳細(xì),對(duì)大家的學(xué)習(xí)或工作具有一定的參考借鑒價(jià)值,需要的朋友可以參考下2020-12-12springBoot啟動(dòng)報(bào)錯(cuò)log4j沖突的解決方案
這篇文章主要介紹了springBoot啟動(dòng)報(bào)錯(cuò)log4j沖突的解決方案,具有很好的參考價(jià)值,希望對(duì)大家有所幫助。2021-07-07處理Log4j2不能打印行號(hào)的問題(AsyncLogger)
這篇文章主要介紹了處理Log4j2不能打印行號(hào)的問題(AsyncLogger),具有很好的參考價(jià)值,希望對(duì)大家有所幫助。如有錯(cuò)誤或未考慮完全的地方,望不吝賜教2021-12-12從字節(jié)碼角度解析synchronized和反射實(shí)現(xiàn)原理
這篇文章主要介紹了從字節(jié)碼角度解析synchronized和反射的實(shí)現(xiàn)原理,有需要的朋友可以借鑒參考下,希望能夠有所幫助,祝大家多多進(jìn)步,早日升職加薪2023-08-08Spring中的@ConfigurationProperties在方法上的使用詳解
這篇文章主要介紹了Spring中的@ConfigurationProperties在方法上的使用詳解,@ConfigurationProperties應(yīng)該經(jīng)常被使用到,作用在類上的時(shí)候,將該類的屬性取值?與配置文件綁定,并生成配置bean對(duì)象,放入spring容器中,提供給其他地方使用,需要的朋友可以參考下2024-01-01