快捷導(dǎo)航

SpringSecurity授權(quán)實(shí)現(xiàn)基本思路

更新時間：2024年10月16日 10:10:36 作者：每天進(jìn)步一......

本文介紹了SpringSecurity中使用FilterSecurityInterceptor進(jìn)行權(quán)限校驗(yàn)的基本方法,通過SecurityContextHolder獲取Authentication中的權(quán)限信息,感興趣的朋友跟隨小編一起看看吧

一、授權(quán)基本思路

在SpringSecurity中，會使用默認(rèn)的FilterSecurityInterceptor來進(jìn)行權(quán)限校驗(yàn)。在 FilterSecurityInterceptor中會從SecurityContextHolder獲取其中的Authentication，然后獲取其中的權(quán)限信息。當(dāng)前用戶是否擁有訪問當(dāng)前資源所需的權(quán)限。

所以我們在項(xiàng)目中只需要把當(dāng)前登錄用戶的權(quán)限信息也存入Authentication。然后設(shè)置我們的資源所需要的權(quán)限即可

二、實(shí)現(xiàn)過程

（1）開啟相關(guān)配置

@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig{
    .....
}

然后就可以使用對應(yīng)的注解。@PreAuthorize在各接口

@RestController
public class HelloController {
     @RequestMapping("/hello")
     @PreAuthorize("hasAuthority('test')")
     public String hello(){
         return "hello";
     }
 }

（2）自定義LoginUser，封裝權(quán)限信息

我們之前定義了UserDetails的實(shí)現(xiàn)類LoginUser，想要讓其能封裝權(quán)限信息就要對其進(jìn)行修改。

@Data
@NoArgsConstructor
public class LoginUser implements UserDetails{
    private User user;
    //查詢到的權(quán)限列表
    private List<String> list;
    public LoginUser(User user, List<String> list) {
        this.list = list;
        this.user = user;
    }
    //自定義一個權(quán)限列表的集合  中轉(zhuǎn)操作
    @JSONField(serialize = false)
    List<SimpleGrantedAuthority> authorities;
    //返回權(quán)限
    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        if (authorities != null) {
            return authorities;
        }
        authorities = new ArrayList<>();
        for (String item : list) {
            SimpleGrantedAuthority authority = new SimpleGrantedAuthority(item);
            authorities.add(authority);
        }
        return authorities;
    }
    //獲取密碼
    @Override
    public String getPassword() {
        return user.getPassword();
    }
    //獲取用戶名
    @Override
    public String getUsername() {
        return user.getUserName();
    }
    //判斷賬號是否未過期
    @Override
    public boolean isAccountNonExpired() {
        return true;
    }
    //判斷賬號是否沒有鎖定
    @Override
    public boolean isAccountNonLocked() {
        return true;
    }
    //判斷賬號是否沒有超時
    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }
    //判斷賬號是否可用
    @Override
    public boolean isEnabled() {
        return true;
    }
}

（3）從數(shù)據(jù)庫查詢權(quán)限信息

RBAC模型

我們可以在UserDetailsServiceImpl中去調(diào)用該mapper的方法查詢權(quán)限信息封裝到LoginUser對象中即可。

@Service
public class UserDetailServiceImpl implements UserDetailsService {
    @Autowired
    private UserMapper userMapper;
    @Autowired
    private MenuMapper menuMapper;
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        //1.查詢用戶信息
        QueryWrapper<User> queryWrapper = new QueryWrapper<>();
        queryWrapper.eq("user_name", username);
        User user = userMapper.selectOne(queryWrapper);
        //如果沒有查詢到用戶，就拋出異常
        if (Objects.isNull(user)) {
            throw new RuntimeException("用戶名或密碼錯誤");
        }
        //2.查詢用戶對應(yīng)的權(quán)限信息
//        List<String> list = new ArrayList<>();
//        list.add("select");
//        list.add("delete");
        List<String> list =  menuMapper.selectPermsByUserId(user.getId());
        //3.返回UserDetails對象
        return new LoginUser(user, list);
    }
}

到此這篇關(guān)于SpringSecurity授權(quán)實(shí)現(xiàn)的文章就介紹到這了,更多相關(guān)SpringSecurity授權(quán)內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: