写在前面

思考:为什么需要鉴权呢?

系统开发好上线后,API接口会暴露在互联网上会存在一定的安全风险,例如:爬虫、恶意访问等。因此,我们需要对非开放API接口进行用户鉴权,鉴权通过之后再允许调用。

准备

spring-boot:2.1.4.RELEASE

spring-security-oauth2:2.3.3.RELEASE(如果要使用源码,不要随意改动这个版本号,因为2.4往上的写法不一样了)

mysql:5.7

效果展示

这边只用了postman做测试,暂时未使用前端页面来对接,下个版本角色菜单权限分配的会有页面的展示

1、访问开放接口 http://localhost:7000/open/hello

2、不带token访问受保护接口 http://localhost:7000/admin/user/info

3、登录后获取token,带上token访问,成功返回了当前的登录用户信息

实现

oauth2一共有四种模式,这边就不做讲解了,网上搜一搜,千篇一律

因为现在只考虑做单方应用的,所以使用的是密码模式。

后面会出一篇SpringCloud+Oauth2的文章,网关鉴权

讲一下几个点吧

1、拦截器配置动态权限

新建一个 MySecurityFilter类,继承AbstractSecurityInterceptor,并实现Filter接口

初始化,自定义访问决策管理器

@PostConstruct

 public void init(){

        super.setAuthenticationManager(authenticationManager);

        super.setAccessDecisionManager(myAccessDecisionManager);

  }

自定义 过滤器调用安全元数据源

@Override

public SecurityMetadataSource obtainSecurityMetadataSource() {

    return this.mySecurityMetadataSource;

}

先来看一下自定义过滤器调用安全元数据源的核心代码

以下代码是用来获取到当前请求进来所需要的权限(角色)

/**

     * 获得当前请求所需要的角色

     * @param object

     * @return

     * @throws IllegalArgumentException

     */

    @Override

    public Collection<ConfigAttribute> getAttributes(Object object) throws IllegalArgumentException {

        String requestUrl = ((FilterInvocation) object).getRequestUrl();

        if (IS_CHANGE_SECURITY) {

            loadResourceDefine();

        }

        if (requestUrl.indexOf("?") > -1) {

            requestUrl = requestUrl.substring(0, requestUrl.indexOf("?"));

        }

        UrlPathMatcher matcher = new UrlPathMatcher();

        List<Object> list = new ArrayList<>();  //无需权限的,直接返回

        list.add("/oauth/**");

        list.add("/open/**");

        if(matcher.pathsMatchesUrl(list,requestUrl))

            return null;

        Set<String> roleNames = new HashSet();

        for (Resc resc: resources) {

            String rescUrl = resc.getResc_url();

            if (matcher.pathMatchesUrl(rescUrl, requestUrl)) {

                if(resc.getParent_resc_id() != null && resc.getParent_resc_id().intValue() == 1){   //默认权限的则只要登录了,无需权限匹配都可访问

                    roleNames = new HashSet();

                    break;

                }

                Map map = new HashMap();

                map.put("resc_id", resc.getResc_id());

                // 获取能访问该资源的所有权限(角色)

                List<RoleRescDTO> roles = roleRescMapper.findAll(map);

                for (RoleRescDTO rr : roles)

                    roleNames.add(rr.getRole_name());

            }

        }

        Set<ConfigAttribute> configAttributes = new HashSet();

        for(String roleName:roleNames)

            configAttributes.add(new SecurityConfig(roleName));

        log.debug("【所需的权限(角色)】:" + configAttributes);

        return configAttributes;

    }

再来看一下自定义访问决策管理器核心代码,这段代码主要是判断当前登录用户(当前登录用户所拥有的角色会在最后一项写到)是否拥有该权限角色

@Override

    public void decide(Authentication authentication, Object o, Collection<ConfigAttribute> configAttributes) throws AccessDeniedException, InsufficientAuthenticationException {

        if(configAttributes == null){   //属于白名单的,不需要权限

            return;

        }

        Iterator<ConfigAttribute> iterator = configAttributes.iterator();

        while (iterator.hasNext()){

            ConfigAttribute configAttribute = iterator.next();

            String needPermission = configAttribute.getAttribute();

            for (GrantedAuthority ga: authentication.getAuthorities()) {

                if(needPermission.equals(ga.getAuthority())){   //有权限,可访问

                    return;

                }

            }

        }

        throw new AccessDeniedException("没有权限访问");

    }

2、自定义鉴权异常返回通用结果

为什么需要这个呢,如果不配置这个,对于前端,后端来说都很难去理解鉴权失败返回的内容,还不能统一解读,废话不多说,先看看不配置和配置了的返回情况

(1)未自定义前,没有携带token去访问受保护的API接口时,返回的结果是这样的

(2)我们规定一下,鉴权失败的接口返回接口之后,变成下面这种了,是不是更利于我们处理和提示用户

好了,来看一下是在哪里去配置的吧

我们资源服务器OautyResourceConfig,重写下下面这部分的代码,来自定义鉴权异常返回的结果

大伙可以参考下这个 https://blog.csdn.net/Pastxu/article/details/124538364

@Override

    public void configure(ResourceServerSecurityConfigurer resources) throws Exception {

        resources.authenticationEntryPoint(authenticationEntryPoint)    //token失效或没携带token时

                .accessDeniedHandler(requestAccessDeniedHandler);   //权限不足时

    }

3、获取当前登录用户

第一种:使用JWT携带用户信息,拿到token后再解析

暂不做解释

第二种:写一个SecurityUser实现UserDetails接口(这个工程中使用的是这一种)

原来的只有UserDetails接口只有username和password,这里我们加上我们系统中的User

protected User user;

    public SecurityUser(User user) {

        this.user = user;

    }

    public User getUser() {

        return user;

    }

在BaseController,每个Controller都会继承这个的,在里面写给getUser()的方法,只要用户带了token来访问,我们可以直接获取当前登录用户的信息了

protected User getUser() {

        try {

            SecurityUser userDetails = (SecurityUser) SecurityContextHolder.getContext().getAuthentication()

                    .getPrincipal();

            User user = userDetails.getUser();

            log.debug("【用户:】:" + user);

            return user;

        } catch (Exception e) {

        }

        return null;

    }

那么用户登录成功后,如何去拿到用户的角色集合等呢,这里面就要实现UserDetailsService接口了

@Service

public class TokenUserDetailsService implements UserDetailsService{

    @Autowired

    private LoginService loginService;

    @Override

    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

        User user = loginService.loadUserByUsername(username);  //这个我们拎出来处理

        if(Objects.isNull(user))

            throw new UsernameNotFoundException("用户名不存在");

        return new SecurityUser(user);

    }

}

然后在我们的安全配置类中设置UserDetailsService为上面的我们自己写的就行

@Override

    protected void configure(AuthenticationManagerBuilder auth) throws Exception {

        auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder());

    }

最后我们只需要在loginService里面实现我们的方法就好,根据我们的实际业务处理判断该用户是否存在等

@Override

    public User loadUserByUsername(String username){

        log.debug(username);

        Map map = new HashMap();

        map.put("username",username);

        map.put("is_deleted",-1);

        User user = userMapper.findByUsername(map);

        if(user != null){

            map = new HashMap();

            map.put("user_id",user.getUser_id());

            //查询用户的角色

            List<UserRoleDTO> userRoles = userRoleMapper.findAll(map);

            user.setRoles(listRoles(userRoles));

            //权限集合

            Collection<? extends GrantedAuthority> authorities = merge(userRoles);

            user.setAuthorities(authorities);

            return user;

        }

        return null;

    }

 

大功告成啦,赶紧动起手来吧!

附上源码地址:https://gitee.com/jae_1995/spring-boot-oauth2

数据库文件在这

点个小赞呗

SpringBoot整合SpringSecurityOauth2实现鉴权-动态权限的更多相关文章

  1. SpringBoot整合SpringSecurity示例实现前后分离权限注解

    SpringBoot 整合SpringSecurity示例实现前后分离权限注解+JWT登录认证 作者:Sans_ juejin.im/post/5da82f066fb9a04e2a73daec 一.说 ...

  2. SpringBoot整合Shiro实现基于角色的权限访问控制(RBAC)系统简单设计从零搭建

    SpringBoot整合Shiro实现基于角色的权限访问控制(RBAC)系统简单设计从零搭建 技术栈 : SpringBoot + shiro + jpa + freemark ,因为篇幅原因,这里只 ...

  3. SpringBoot整合spring-security-oauth2完整实现例子

    SpringBoot整合spring-security-oauth2完整实现例子 技术栈 : springboot + spring-security + spring-oauth2 + mybati ...

  4. SpringBoot系列: Web应用鉴权思路

    ==============================web 项目鉴权============================== 主要的鉴权方式有:1. 用户名/密码鉴权, 然后通过 Sess ...

  5. SpringBoot使用token简单鉴权

    本文使用SpringBoot结合Redis进行简单的token鉴权. 1.简介 刚刚换了公司,所以最近有些忙碌,所以一直没有什么产出,最近朋友问我登录相关的,所以这里先写一篇简单使用token鉴权的文 ...

  6. springboot整合security实现基于url的权限控制

    权限控制基本上是任何一个web项目都要有的,为此spring为我们提供security模块来实现权限控制,网上找了很多资料,但是提供的demo代码都不能完全满足我的需求,因此自己整理了一版. 在上代码 ...

  7. Springboot 整合ApachShiro完成登录验证和权限管理

    1.前言 做一个系统最大的问题就是安全问题以及权限的问题,如何正确的选择一个安全框架对自己的系统进行保护,这方面常用的框架有SpringSecurity,但考虑到它的庞大和复杂,大多数公司还是会选择 ...

  8. Spring Security入门(3-6)Spring Security 的鉴权 - 自定义权限前缀

  9. 凭借SpringBoot整合Neo4j,我理清了《雷神》中错综复杂的人物关系

    原创:微信公众号 码农参上,欢迎分享,转载请保留出处. 哈喽大家好啊,我是Hydra. 虽然距离中秋放假还要熬过漫长的两天,不过也有个好消息,今天是<雷神4>上线Disney+流媒体的日子 ...

随机推荐

  1. canvasToTempFilePath: fail SecurityError: The operations is insecure

    我这里报这个错是因为canvas用到的图片有跨域问题.解决了跨域就对了. 值得一提的是:我用hbuilderX开发的h5.在内置浏览器调试时一切正常.到了部署上线后才报的这个错.

  2. go源码阅读 - container/ring

    相比于List,环的结构有些特殊,环的头部就是尾部,所以每个元素可以代表自身这个环.环其实是一个双向回环链表.type Ring struct { next, prev *Ring Value int ...

  3. VSCode 前端常用插件集合

    Visual Studio Code 是由微软开发的一款免费.跨平台的文本编辑器.由于其卓越的性能和丰富的功能,它很快就受到了大家的喜爱. 但工欲善其事必先利其器,以下是本人为前端开发收集的常用的vs ...

  4. CentOS下Apache Doris Oracle ODBC外表使用指南

    1.软件环境 操作系统:CentOS 7.8 Apache Doris :0.15 Postgresql数据库:oracle 19c UnixODBC:2.3.1 Oracle ODBC :insta ...

  5. 用python爬虫,对12306网站进行模拟登陆

    from selenium import webdriver from time import sleep from PIL import Image from selenium.webdriver ...

  6. -2.输入加速(cin,cout)

    + ios::sync_with_stdio(false);//加速几百毫秒 cin.tie(0); // 接近scanf cout.tie(0);

  7. 攻防世界-MISC:ext3

    这是攻防世界新手练习区的第九题,题目如下: 点击下载附件1,通过题目描述可知这是一个Linux系统光盘,用010editor打开,搜索flag,发现存在flag.txt文件 将该文件解压,找到flag ...

  8. Bugku CTF练习题---MISC---眼见非实

    Bugku CTF练习题---MISC---眼见非实 flag:flag{F1@g} 解题步骤: 1.观察题目,下载附件 2.拿到手以后发现是一个压缩包,打开是一个Word文档,观察其中的内容,除了开 ...

  9. 浅谈 Linux IO

    公众号关注 「开源Linux」 回复「学习」,有我为您特别筛选的学习资料~ 来源于:360云计算 1 前言 Linux IO是文件存储的基础.本文参考了网上博主的一些文章,主要总结了LinuxIO的基 ...

  10. psexec.py规避杀软

    前言 在内网渗透中,当获取到一个账号密码后,经常会使用impacket套件中的psexec.py进行远程连接并执行命令,但是因为用的人多了,杀软也对psexec.py特征进行了拦截,也就导致了如果使用 ...