Spring Boot Security 保护你的程序
Spring Boot Security
本示例要内容
- 基于角色的权限访问控制
- 加密、解密
- 基于Spring Boot Security 权限管理框架保护应用程序
String Security介绍
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
快速上手
1.创建表
CREATE TABLE `user` (`id` bigint(11) NOT NULL AUTO_INCREMENT,`username` varchar(255) NOT NULL,`password` varchar(255) NOT NULL,PRIMARY KEY (`id`));CREATE TABLE `role` (`id` bigint(11) NOT NULL AUTO_INCREMENT,`name` varchar(255) NOT NULL,PRIMARY KEY (`id`));CREATE TABLE `user_role` (`user_id` bigint(11) NOT NULL,`role_id` bigint(11) NOT NULL);CREATE TABLE `role_permission` (`role_id` bigint(11) NOT NULL,`permission_id` bigint(11) NOT NULL);CREATE TABLE `permission` (`id` bigint(11) NOT NULL AUTO_INCREMENT,`url` varchar(255) NOT NULL,`name` varchar(255) NOT NULL,`description` varchar(255) NULL,`pid` bigint(11) NOT NULL,PRIMARY KEY (`id`));
2.添加maven依赖
<dependencies><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-security</artifactId></dependency><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-thymeleaf</artifactId></dependency><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-web</artifactId></dependency><dependency><groupId>org.thymeleaf.extras</groupId><artifactId>thymeleaf-extras-security4</artifactId></dependency><dependency><groupId>mysql</groupId><artifactId>mysql-connector-java</artifactId><scope>runtime</scope></dependency><dependency><groupId>org.projectlombok</groupId><artifactId>lombok</artifactId><optional>true</optional></dependency><dependency><groupId>com.baomidou</groupId><artifactId>mybatis-plus-boot-starter</artifactId><version>3.1.2</version></dependency></dependencies>
3.配置文件
spring:thymeleaf:encoding: UTF-8cache: falsedatasource:driver-class-name: com.mysql.cj.jdbc.Driverurl: jdbc:mysql://localhost:3306/easy_web?useSSL=false&serverTimezone=UTCusername: rootpassword: 123456
4.自定义UserDetailsService,实现用户登录功能
@Servicepublic class MyUserDetailsService implements UserDetailsService {@Autowiredprivate UserMapper userMapper;@Autowiredprivate RoleMapper roleMapper;@Overridepublic UserDetails loadUserByUsername(String userName) throws UsernameNotFoundException {//查数据库User user = userMapper.loadUserByUsername(userName);if (null != user) {List<Role> roles = roleMapper.getRolesByUserId(user.getId());user.setAuthorities(roles);}return user;}}
5.资源初始化
@Component@Slf4jpublic class MyInvocationSecurityMetadataSourceService implements FilterInvocationSecurityMetadataSource {@Autowiredprivate PermissionMapper permissionMapper;/*** 每一个资源所需要的角色 Collection<ConfigAttribute>决策器会用到*/private static HashMap<String, Collection<ConfigAttribute>> map = null;/*** 返回请求的资源需要的角色*/@Overridepublic Collection<ConfigAttribute> getAttributes(Object o) throws IllegalArgumentException {//object 中包含用户请求的request 信息HttpServletRequest request = ((FilterInvocation) o).getHttpRequest();for (Iterator<String> it = map.keySet().iterator(); it.hasNext(); ) {String url = it.next();log.info("url==>{},request==>{}", url, request.getRequestURI());if (new AntPathRequestMatcher(url).matches(request)) {return map.get(url);}}return new ArrayList<>();}@Overridepublic Collection<ConfigAttribute> getAllConfigAttributes() {//初始化 所有资源 对应的角色loadResourceDefine();return new ArrayList<>();}@Overridepublic boolean supports(Class<?> aClass) {return true;}/*** 初始化 所有资源 对应的角色*/public void loadResourceDefine() {map = new HashMap<>(16);//权限资源 和 角色对应的表 也就是 角色权限 中间表List<RolePermisson> rolePermissons = permissionMapper.getRolePermissions();//某个资源 可以被哪些角色访问for (RolePermisson rolePermisson : rolePermissons) {String url = rolePermisson.getUrl();String roleName = rolePermisson.getRoleName();ConfigAttribute role = new SecurityConfig(roleName);if (map.containsKey(url)) {map.get(url).add(role);} else {List<ConfigAttribute> list = new ArrayList<>();list.add(role);map.put(url, list);}}}}
6.决策器(也就是授权代码)
/*** 决策器*/@Componentpublic class MyAccessDecisionManager implements AccessDecisionManager {/*** 通过传递的参数来决定用户是否有访问对应受保护对象的权限** @param authentication 包含了当前的用户信息,包括拥有的权限。这里的权限来源就是前面登录时UserDetailsService中设置的authorities。* @param object 就是FilterInvocation对象,可以得到request等web资源* @param configAttributes configAttributes是本次访问需要的权限*/@Overridepublic void decide(Authentication authentication, Object object, Collection<ConfigAttribute> configAttributes) throws AccessDeniedException, InsufficientAuthenticationException {if (null == configAttributes || 0 >= configAttributes.size()) {return;} else {String needRole;for(Iterator<ConfigAttribute> iter = configAttributes.iterator(); iter.hasNext(); ) {needRole = iter.next().getAttribute();for(GrantedAuthority ga : authentication.getAuthorities()) {if(needRole.trim().equals(ga.getAuthority().trim())) {return;}}}throw new AccessDeniedException("当前访问没有权限");}}/*** 表示此AccessDecisionManager是否能够处理传递的ConfigAttribute呈现的授权请求*/@Overridepublic boolean supports(ConfigAttribute configAttribute) {return true;}/*** 表示当前AccessDecisionManager实现是否能够为指定的安全对象(方法调用或Web请求)提供访问控制决策*/@Overridepublic boolean supports(Class<?> aClass) {return true;}}
7.最后一步Security配置
@Configuration@EnableWebSecurity@Slf4jpublic class SecurityConfig extends WebSecurityConfigurerAdapter {@Autowiredprivate MyUserDetailsService userService;@Autowiredpublic void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {//校验用户auth.userDetailsService(userService).passwordEncoder(new PasswordEncoder() {//对密码进行加密@Overridepublic String encode(CharSequence charSequence) {log.info(charSequence.toString());return DigestUtils.md5DigestAsHex(charSequence.toString().getBytes());}//对密码进行判断匹配@Overridepublic boolean matches(CharSequence charSequence, String s) {String encode = DigestUtils.md5DigestAsHex(charSequence.toString().getBytes());boolean res = s.equals(encode);return res;}});}@Overrideprotected void configure(HttpSecurity http) throws Exception {http.authorizeRequests().antMatchers("/", "index", "/login", "/login-error", "/401", "/css/**", "/js/**").permitAll().anyRequest().authenticated().and().formLogin().loginPage("/login").failureUrl("/login-error").and().exceptionHandling().accessDeniedPage("/401");http.logout().logoutSuccessUrl("/");}}
8.编写个控件器测试user用户和admin用户权限
@Controllerpublic class MainController {@RequestMapping("/")public String root() {return "redirect:/index";}@RequestMapping("/index")public String index() {return "index";}@RequestMapping("/login")public String login() {return "login";}@RequestMapping("/login-error")public String loginError(Model model) {model.addAttribute("loginError", true);return "login";}@GetMapping("/401")public String accessDenied() {return "401";}@GetMapping("/user/common")public String common() {return "user/common";}@GetMapping("/user/admin")public String admin() {return "user/admin";}}
资料
Spring Boot Security 保护你的程序的更多相关文章
- Spring Boot Security OAuth2 实现支持JWT令牌的授权服务器
概要 之前的两篇文章,讲述了Spring Security 结合 OAuth2 .JWT 的使用,这一节要求对 OAuth2.JWT 有了解,若不清楚,先移步到下面两篇提前了解下. Spring Bo ...
- Spring Boot Security 整合 JWT 实现 无状态的分布式API接口
简介 JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案.JSON Web Token 入门教程 - 阮一峰,这篇文章可以帮你了解JWT的概念.本文重点讲解Spring Boo ...
- Spring Boot Security 整合 OAuth2 设计安全API接口服务
简介 OAuth是一个关于授权(authorization)的开放网络标准,在全世界得到广泛应用,目前的版本是2.0版.本文重点讲解Spring Boot项目对OAuth2进行的实现,如果你对OAut ...
- Spring Boot Security配置教程
1.简介 在本文中,我们将了解Spring Boot对spring Security的支持. 简而言之,我们将专注于默认Security配置以及如何在需要时禁用或自定义它. 2.默认Security设 ...
- Spring Boot Security Oauth2之客户端模式及密码模式实现
Spring Boot Security Oauth2之客户端模式及密码模式实现 示例主要内容 1.多认证模式(密码模式.客户端模式) 2.token存到redis支持 3.资源保护 4.密码模式用户 ...
- boke练习: spring boot: security post数据时,要么关闭crst,要么添加隐藏域
spring boot: security post数据时,要么关闭crst,要么添加隐藏域 http.csrf().disable(); 或者: <input name="${_cs ...
- Spring Boot Security And JSON Web Token
Spring Boot Security And JSON Web Token 说明 流程说明 何时生成和使用jwt,其实我们主要是token更有意义并携带一些信息 https://github.co ...
- Spring Boot Security 使用教程
虽然,我在实际项目中使用的是 shiro 进行权限管理,但 spring boot security 早已大名鼎鼎,虽然他的入门要相对复杂一点,但是设计视乎更加吸引人. 本章节就是以一篇快速入门 sp ...
- Spring Boot Security JWT 整合实现前后端分离认证示例
前面两章节我们介绍了 Spring Boot Security 快速入门 和 Spring Boot JWT 快速入门,本章节使用 JWT 和 Spring Boot Security 构件一个前后端 ...
随机推荐
- Eclipse官方下载步骤
今天整理Eclipse项目时,发现自己的IDE不能用了,不兼容自己的JDK,于是决定去官网下载一个适合的IDE,由于官网全部都是英文,所以不是太容易找到,于是就想着出一篇博客帮助以后的人更好的更快的下 ...
- vue中,使用element ui的弹窗与echarts之间的问题
今天项目中有个需求,就是在页面中点击一个图标,弹出一个抽屉式的弹窗(弹窗是element UI的抽屉),弹窗里边是echarts呈现的数据,当我直接用echarts的时候,报错dom没有获取到: 这就 ...
- webpack4.0安装及使用(一)
前言 1.什么是webpack 本质上,webpack 是一个现代 JavaScript 应用程序的静态模块打包器(module bundler).当 webpack 处理应用程序时,它会递归地构建 ...
- 深入比特币原理(三)——交易的输入(input)与输出(output)
本节内容非常重要,如果你不能很好的掌握本节内容,你无法真正理解比特币的运行原理,请务必要学习清楚. 比特币的交易模型为UTXO(unspend transaction output),即只记录未花费的 ...
- 使用react-breadcrumbs-dynamic
这是完全独立于路由器的解决方案,你可以将其与任何版本的React Router(2或3或4)或任何其他用于React的路由库一起使用,或者完全不进行路由.您只需要指定面包屑项目及其道具的组件.然而道具 ...
- Spring MVC中的Controller是Serlvet吗?
1. Controller不是Servlet DispatcherServler是Spring MVC中的唯一Servlet,(这点可通过查看FrameworkServlet的子类确认) Servle ...
- iOS App Extension入门
转自简书:http://www.jianshu.com/p/8cf08db29356 iOS 10推出了很多新功能,其中有几个高调的变化:通知栏更加实用,电话可以防骚扰,iMessage变得更加有 ...
- [TimLinux] 命令 procps-ng 包内命令介绍
1. procps-ng包 System and process monitoring utilities. 2. 文件列表 free, pgrep, pkill, pmap, ps, pwdx, s ...
- CapSupport 的使用
CapSupport 是在CAP的操作上做了一些封装 目的是让事务同时执行或者同时回滚 startup services.AddCapSupport((optaion) => { optaion ...
- 【数据结构06】二叉平衡树(AVL树)
目录 一.平衡二叉树定义 二.这货还是不是平衡二叉树? 三.平衡因子 四.如何保持平衡二叉树平衡? 五.平衡二叉树插入节点的四种情况 六.平衡二叉树操作的代码实现 七.AVL树总结 @ 一.平衡二叉树 ...