2. 程式人生 > 實用技巧 >Spring Security(1)--- 許可權控制基本功能實現

Spring Security(1)--- 許可權控制基本功能實現

阿新 發佈:2020-08-05

前言

Spring Securityacegi進化而來,是一個安全許可權管理框架,功能十分的強大。

但也正是因為功能強大,使用起來就變的非常的麻煩,至少個人感覺很煩很煩,甚至覺得Spring Security是不是應該為常規的Java web應用出一個簡化版?相對而言Shiro就清爽很多,當然這裡不討論誰好誰壞,能解決專案的問題就好。

官方給出的示例中(包括網上一搜就找到的一堆資料)是不使用資料庫的,所有的許可權配置都寫死在配置檔案和程式碼中,這在實際專案中顯然是很難滿足的,難道老外的許可權需求真的如此簡單麼?

而想要實現許可權的動態可配,友好的提示資訊等,這些都需要自己去實現,這實現的過程還是很煩鎖的,特別是對Spring Security

還不是很熟的情況下。

目前網上的文章大多都是用xml配置來實現的,本文將全部使用JavaConfig的方式,也不會過多的講解Spring Security的內容,重在使用,能滿足當前專案的需求就好。

下面以一個最簡單的示例開始。

新增依賴

maven專案,第一步依然是新增我們需要的依賴。

在這個示例中,只是簡單的演示,並沒有涉及到資料庫,所以暫時只需要這些。嗯,另外模板引擎換成了thymeleaf,不再是我以前一直使用的velocity了,因為我發現thymeleaf有些地方更好用一些。

<dependencies>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-web</artifactId>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-security</artifactId>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-thymeleaf</artifactId>
    </dependency>
</dependencies>

系統許可權設計

在本示例中,有以下幾個頁面,區分不同的許可權:

  • 首頁 所有人都可以訪問
  • 登入頁 所有人可都可以訪問
  • 歡迎頁 登入後的使用者都可以訪問
  • 管理頁 只有管理員可訪問
  • 無許可權提醒頁 當一個使用者的訪問沒有許可權時,跳轉到該頁

確定了以上頁面,接下來就是建立相應的使用者了。

建立使用者物件

為了簡單起見,我們的使用者只需要使用者名稱、密碼以及一個對應的角色。

public class User {

    private String username;

    private String password;

    private String role;

}

使用者登入資料層

這裡我們並沒有真正的資料層,只是建立幾個模擬使用者資料:

public class UserDaoImpl implements UserDao {

    private static final Map<String, User> userMap = new HashMap<String, User>();

    static {

        User user = new User();
        user.setUsername("liyd");
        user.setPassword("123456");
        user.setRole("user");
        userMap.put(user.getUsername(), user);

        user = new User();
        user.setUsername("admin");
        user.setPassword("123456");
        user.setRole("admin");
        userMap.put(user.getUsername(), user);
    }

    @Override
    public User getUser(String username) {
        return userMap.get(username);
    }
}

前端展現

在展現層中,我們需要前面提到的幾個頁面,並增加一個Controller,程式碼如下:

@Controller
public class UserController {

    @RequestMapping(value = { "", "/index" }, method = RequestMethod.GET)
    public String home() {
        return "index";
    }

    @RequestMapping(value = "/user-page", method = RequestMethod.GET)
    public String userPage() {
        return "user-page";
    }

    @RequestMapping(value = "/admin-page", method = RequestMethod.GET)
    public String adminPage() {
        return "admin-page";
    }

    @RequestMapping(value = "/login", method = RequestMethod.GET)
    public String login() {
        return "login";
    }

    @RequestMapping("/403")
    public String forbidden() {
        return "403";
    }
}

可以看到都是簡單的跳轉到相應頁面,所有的頁面都在resources/templates下,這個就不細講了。

從上面可以看出/login只是做了一個登入頁跳轉,但是具體登入的驗證邏輯卻沒有,這是因為Spring Security要求使用者將此塊的功能必須委託給它來處理。

另外/403實際上是使用者訪問沒有許可權時跳轉的頁面,Spring Security會設定此時的http狀態碼為403,因此我們需要設定一個錯誤頁處理,當發現http狀態碼為403時跳轉到/403處理。

@Configuration
public class WebAppConf extends WebMvcConfigurerAdapter {

    @Bean
    public EmbeddedServletContainerCustomizer containerCustomizer() {

        return new EmbeddedServletContainerCustomizer() {

            @Override
            public void customize(ConfigurableEmbeddedServletContainer container) {

                ErrorPage error403Page = new ErrorPage(HttpStatus.FORBIDDEN, "/403");

                container.addErrorPages(error403Page);
            }
        };
    }
}

新增許可權驗證

到上面那一步,系統功能已經差不多了,但是還缺少許可權驗證的配置。

其實許可權控制從你向maven的pom.xml中新增spring-boot-starter-security依賴開始就已經起作用了,

如果這時候你啟動專案訪問的話,會發現Spring Security已經將所有請求攔截並自動生成了一個登入框讓你登入。

但顯然這個登入框你是無法登入成功的,因為後臺具體登入的邏輯我們還沒有完成。

建立自定義的UserDetailsService

Spring Security的使用者資訊獲取最終是通過UserDetailsServiceloadUserByUsername方法來完成的,這個後面會細講,這裡先做了解。

根據上面的UserDao實現,我們建立自定義的CustomUserDetailService,至於角色的字首,我記得Spring Security 3.2.x版本是不需要你手動再加的,

這裡我用的是Spring Boot 1.3.3,Spring Security版本為4.0.3,不知道為什麼又要加上了,看AffirmativeBased裡面的原始碼除錯,確實是一個有字首一個沒字首,搞不懂Spring Security走的什麼路子。

public class CustomUserDetailsService implements UserDetailsService {

private static Map<String, User> userMap = new HashMap<String, User>();

    static {
        User user = new User("admin", "123456", "admin");
        userMap.put(user.getUsername(), user);
        user = new User("selfly", "123456", "user");
        userMap.put(user.getUsername(), user);

    }

    @Override
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
        User user = userMap.get(s);
        if (user == null) {
            throw new UsernameNotFoundException("not found");
        }
        List<SimpleGrantedAuthority> authorities = new ArrayList<SimpleGrantedAuthority>();
        authorities.add(new SimpleGrantedAuthority("ROLE_" + user.getRole()));
        LOG.info("username:{},role:{}", user.getUsername(), user.getRole());
        return new org.springframework.security.core.userdetails.User(user.getUsername(), user.getPassword(),
                authorities);
    }

}

配置Security

接下來就是配置Spring Security了,我們建立一個類SecurityConf,使用JavaConfig的方式,指定AuthenticationManager使用我們自己的CustomUserDetailsService來獲取使用者資訊,並設定首頁、登入頁等。

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConf extends WebSecurityConfigurerAdapter {

    @Bean
    public UserDetailsService userDetailsService() {
        return new CustomUserDetailsService();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService());
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .authorizeRequests()
                .antMatchers("/", "/index")
                .permitAll()
                .anyRequest()
                .authenticated()
                .and()
                .formLogin()
                .loginPage("/login")
                .defaultSuccessUrl("/user-page")
                .permitAll()
                .and()
                .logout()
                .permitAll();
    }
}

可以看到SecurityConf上添加了@EnableWebSecurity註解用來跟Spring mvc整合。同時它還繼承了WebSecurityConfigurerAdapter類用來重寫我們需要的配置。

新增角色許可權驗證

上面已經完成了系統的登入和驗證功能,但並沒有進行許可權的區分,要怎麼樣把普通使用者和管理使用者區分開呢?

很簡單,只需要增加@PreAuthorize註解即可。修改UserController,對/user/admin分別添加註解:

@RequestMapping(value = "/user", method = RequestMethod.GET)
@PreAuthorize("hasAnyRole('admin', 'user')")
public String userPage() {
    return "user-page";
}

@RequestMapping(value = "/admin", method = RequestMethod.GET)
@PreAuthorize("hasAnyRole('admin')")
public String adminPage() {
    return "admin-page";
}

啟動專案

現在,可以啟動專案,訪問http://localhost:8080,根據提示來登入檢查一下許可權是否正確。

當使用admin/123456登入時,所有的頁面都是允許訪問的。

當使用selfly/123456登入時,發現訪問/admin時跳到了/403頁面,提示沒有許可權,這說明我們的配置是正確的。

附件列表

相關推薦

Spring Security1--- 許可權控制基本功能實現

前言 Spring Security由acegi進化而來,是一個安全許可權管理框架,功能十分的強大。

Spring Security1入門體驗

Spring Security(1)入門體驗 Spring Security 和 Apache Shiro 都是安全框架,為Java應用程式提供身份認證和授權。本片文章將講述Security入門到專案實戰使用。其中包括簡單的登入和專案常用的許可權管理,許可權

Spring Security2----使用者登入認證資料庫實現

Spring Security認證架構 在這之前,先來了解一下Spring Security的認證架構,有篇不錯的分析文章,具體可以看這裡:https://my.oschina.net/u/865921/blog/159849。

spring學習1-IOC容器

IOC:控制反轉。程式碼中不需要顯示的new一個例項出來,只要指定好依賴的類名,剩餘交給spring容器去管理初始化等

Spring Security3----使用者密碼加密實現

前言 Spring Security系列二 使用者登入認證資料庫實現中,我們已經把對使用者的認證改成了資料庫實現功能上雖然完成了,但是使用者的密碼卻都是以明文儲存的,這在實際專案中安全係數上會有所欠缺。在本章中我們

spring學習1

先看容器部分,建立容器ContextLoader tomcat的ServletContext繼承於javax.servlet.ServletContext,javax.servlet.ServletContextListener監聽到tomcat啟動

Spring MVC1

技術標籤:javaspringmavenservlet Spring MVC1 傳遞與跳轉: pom.xml <?xml version="1.0" encoding="UTF-8"?>

爆破專欄丨Spring Security系列教程之Spring Security的四種許可權控制方式

前言 在前面的章節中,一一哥已經給大家介紹了Spring Security的很多功能,在這些眾多功能中,我們知道其核心功能其實就是認證+授權。

Spring筆記1

摘要:    bean1.xml: <?xml version=\"1.0\" encoding=\"UTF-8\"?> <beans xmlns=\"http://www.springframework.org/schema/beans\"

Spring Security7

您好,我是湘王,這是我的部落格園,歡迎您來,歡迎您再來~ 有時某些業務或者功能,需要在使用者請求到來之前就進行一些判斷或執行某些動作,就像在Servlet中的FilterChain過濾器所做的那樣,Spring Security也有類

Spring深入淺出,3種方法實現Bean初始化回撥Spring中@PostConstruct註解的配置

一、使用介面實現Bean初始化回撥 org.springframework.beans.factory.InitializingBean 介面提供了以下方法:

Spring Security 在前後端分離專案中的實踐1

1 概述 如今,前後端分離開發已經非常常見了。由於任務需要,要在基於 Spring Boot 的 Web 專案中整合 Spring Security 完成使用者模組的登入和認證等功能,但是在網上查閱的中文資料中,對前後端完全分離如

Java時間膠囊-Java基本語法1運算子和流程控制1

Java時間膠囊-Java基本語法1運算子和流程控制1 運算子 運算子是一種特殊的符號 用以表示資料的運算 賦值 比較

向您圖文並茂生動講解Spring AOP 原始碼1

前言 在Spring AOP - 註解方式使用介紹長文詳解中,作者介紹了Spring AOP 註解方式的使用方式。算是給咱們的Spring AOP 原始碼分析開了個頭,做了一點知識點的鋪墊。

流程控制之While1

while 條件: 迴圈體 如果條件為真,那麼迴圈體則執行,執行完畢後再次迴圈,重新判斷條件。。。如果條件為假,那麼迴圈體不執行,迴圈終止

Spring事務專題事務的基本概念,Mysql事務處理原理

前言 本專題大綱: 我重新整理了大綱,思考了很久,決定單獨將MySQL的事務實現原理跟Spring中的事務示例分為兩篇文章,因為二者畢竟沒有什麼實際關係,實際上如果你對MySQL的事務原理不感興趣也可以直接跳過本文,等

ansible筆記1:ansible的基本概念

一些基礎概念 ansible是什麼? 它是一個"配置管理工具",它是一個"自動化運維工具",如果你沒有使用過任何配置管理工具,不要害怕,看完這篇文章,你自然會對ansible有所瞭解。

jQuery選擇器之基本選擇器1

jQuery選擇器之基本選擇器1 基本選擇器主要有五種:分別為#id選擇器、.class選擇器、element選擇器、*選擇器和組合選擇器。

2020年的UWP1——通過Radio類控制Cellular

最近在做UWP的專案,在2020年相信這已經是相對小眾的技術了,但是在學習的過程中,發現某軟這麼幾年仍然添加了不少的API,開放了相當多的許可權。所以打算總結一下最近的一些經驗和收穫,介紹一下2020年的UWP。之前在

fabric2.0開發 基本環境安裝配置docker docker-compose go node git等1

轉載:https://blog.csdn.net/tank_ft/article/details/105298053 基本環境:Ubuntu16.04 linux 在安裝相關軟體之前建議沒有更換國內源的同學先更換我們服務上的原始檔