2. 程式人生 > >springboot+mybatis+spring security

springboot+mybatis+spring security

阿新 發佈:2019-02-07

1、不囉嗦,直接上乾貨
首先新建專案springboot-security匯入需要的maven座標

 <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>1.3.0.RELEASE</version>
    </parent>

    <properties>
 

        <start-class>com.us.example.Application</start-class>
        <maven.compiler.target>1.8</maven.compiler.target>
        <maven.compiler.source>1.8</maven.compiler.source>

        <mybatis.version>3.2.7</mybatis.version>
        <mybatis-spring.version
 
>1.2.2</mybatis-spring.version>
    </properties>

    <dependencies>
        <!--springboot-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency
 
>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-thymeleaf</artifactId>
        </dependency>


        <dependency>
            <groupId>org.thymeleaf.extras</groupId>
            <artifactId>thymeleaf-extras-springsecurity4</artifactId>
        </dependency>
        <!--db-->
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
            <version>6.0.5</version>
        </dependency>
        <dependency>
            <groupId>com.mchange</groupId>
            <artifactId>c3p0</artifactId>
            <version>0.9.5.2</version>
            <exclusions>
                <exclusion>
                    <groupId>commons-logging</groupId>
                    <artifactId>commons-logging</artifactId>
                </exclusion>
            </exclusions>
        </dependency>

        <!--mybatis-->
        <dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-jdbc</artifactId>
        </dependency>
        <dependency>
            <groupId>org.mybatis</groupId>
            <artifactId>mybatis</artifactId>
            <version>${mybatis.version}</version>
        </dependency>
        <dependency>
            <groupId>org.mybatis</groupId>
            <artifactId>mybatis-spring</artifactId>
            <version>${mybatis-spring.version}</version>
        </dependency>


    </dependencies>
    <build>
        <plugins>

            <!--&lt;!&ndash;打依賴包&ndash;&gt;-->
            <plugin>
                <groupId>org.apache.maven.plugins</groupId>
                <artifactId>maven-shade-plugin</artifactId>
                <version>2.3</version>
                <executions>
                    <execution>
                        <phase>package</phase>
                        <goals>
                            <goal>shade</goal>
                        </goals>
                    </execution>
                </executions>
            </plugin>
        </plugins>
    </build>

2、自定義配置FilterSecurityInterceptor,而這個攔截器需要注入自己定義的SecruityMetadataService
3、由2可知新建MySecruityMetadataService,這個類需要實現FilterInvocationSecurityMetadataSource介面,在這個類中有主要的三部分:第一:載入所有的許可權列表;第二:取到當前訪問的路徑;第三:拿到的路徑為訪問路徑的許可權列表

@Service
public class MySecruityMetadataService  implements
        FilterInvocationSecurityMetadataSource {

    @Autowired
    private PermissionDao permissionDao;

    private HashMap<String, Collection<ConfigAttribute>> map =null;

    /**
     * 載入資源,初始化資源變數
     */
    public void loadResourceDefine(){
        map = new HashMap<>();
        Collection<ConfigAttribute> array;
        ConfigAttribute cfg;
        List<Permission> permissions = permissionDao.findAll();
        for(Permission permission : permissions) {
            array = new ArrayList<>();
            cfg = new SecurityConfig(permission.getName());
            array.add(cfg);
            map.put(permission.getUrl(), array);
        }

    }

    @Override
    public Collection<ConfigAttribute> getAttributes(Object object) throws IllegalArgumentException {
        if(map ==null) loadResourceDefine();
        HttpServletRequest request = ((FilterInvocation) object).getHttpRequest();
        AntPathRequestMatcher matcher;
        String resUrl;
        for(Iterator<String> iter = map.keySet().iterator(); iter.hasNext(); ) {
            resUrl = iter.next();
            matcher = new AntPathRequestMatcher(resUrl);
            if(matcher.matches(request)) {
                return map.get(resUrl);
            }
        }
        return null;
    }

    @Override
    public Collection<ConfigAttribute> getAllConfigAttributes() {
        return null;
    }

    @Override
    public boolean supports(Class<?> clazz) {
        return true;
    }
}

4、回退到第二步,注入自己的MySecruityMetadataService,執行過濾器(呼叫父類,父類中會執行)

@Service
public class MyFilterSecurityInterceptor extends AbstractSecurityInterceptor implements Filter {


    @Autowired
    private FilterInvocationSecurityMetadataSource securityMetadataSource;

    @Autowired
    public void setMyAccessDecisionManager(MyAccessDecisionManager myAccessDecisionManager) {
        super.setAccessDecisionManager(myAccessDecisionManager);
    }


    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {

        FilterInvocation fi = new FilterInvocation(request, response, chain);
        invoke(fi);
    }


    public void invoke(FilterInvocation fi) throws IOException, ServletException {
    //fi裡面有一個被攔截的url
    //裡面呼叫MyInvocationSecurityMetadataSource的getAttributes(Object object)這個方法獲取fi對應的所有許可權
    //再呼叫MyAccessDecisionManager的decide方法來校驗使用者的許可權是否足夠
        InterceptorStatusToken token = super.beforeInvocation(fi);
        try {
            //執行下一個攔截器
            fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
        } finally {
            super.afterInvocation(token, null);
        }
    }


    @Override
    public void destroy() {

    }

    @Override
    public Class<?> getSecureObjectClass() {
        return FilterInvocation.class;

    }

    @Override
    public SecurityMetadataSource obtainSecurityMetadataSource() {
        return this.securityMetadataSource;
    }
}

5、配置自定義的MyUserDetailsService,查詢出此使用者的所有訪問許可權

@Service
public class CustomUserService implements UserDetailsService { //自定義UserDetailsService 介面

    @Autowired
    UserDao userDao;
    @Autowired
    PermissionDao permissionDao;

    public UserDetails loadUserByUsername(String username) {
        SysUser user = userDao.findByUserName(username);
        if (user != null) {
            List<Permission> permissions = permissionDao.findByAdminUserId(user.getId());
            List<GrantedAuthority> grantedAuthorities = new ArrayList <>();
            for (Permission permission : permissions) {
                if (permission != null && permission.getName()!=null) {

                GrantedAuthority grantedAuthority = new SimpleGrantedAuthority(permission.getName());
                grantedAuthorities.add(grantedAuthority);
                }
            }
            return new User(user.getUsername(), user.getPassword(), grantedAuthorities);
        } else {
            throw new UsernameNotFoundException("admin: " + username + " do not exist!");
        }
    }

}

6、在自定義的MyAccessDecisionManager中判斷自己通過使用者名稱查詢出來的許可權列表中是否包含通過訪問路徑查詢出來的許可權。

@Service
public class MyAccessDecisionManager implements AccessDecisionManager {
    @Override
    public void decide(Authentication authentication, Object object, Collection<ConfigAttribute> configAttributes) throws AccessDeniedException, InsufficientAuthenticationException {

        if(null== configAttributes || configAttributes.size() <=0) {
            return;
        }
        ConfigAttribute c;
        String needRole;
        for(Iterator<ConfigAttribute> iter = configAttributes.iterator(); iter.hasNext(); ) {
            c = iter.next();
            needRole = c.getAttribute();
            for(GrantedAuthority ga : authentication.getAuthorities()) {
                if(needRole.trim().equals(ga.getAuthority())) {
                    return;
                }
            }
        }
        throw new AccessDeniedException("no right");
    }



    @Override
    public boolean supports(ConfigAttribute attribute) {
        return true;
    }

    @Override
    public boolean supports(Class<?> clazz) {
        return true;
    }
}

7、頁面展示控制

         <div sec:authorize="hasRole('ROLE_ADMIN')">
          <!-- 使用者型別為ROLE_ADMIN 顯示 -->
              <p class="bg-info">恭喜您,您有 ROLE_ADMIN 許可權 </p>
          </div>

8、最後還需要一個配置類繼承WebSecurityConfigurerAdapter,實現對請求進行過濾

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true) //開啟方法級別的許可權註解
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private MyFilterSecurityInterceptor myFilterSecurityInterceptor;
    @Autowired
    UserDetailsService customUserService;


    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(customUserService); //user Details Service驗證

    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/css/**").permitAll()
                .anyRequest().authenticated() //任何請求,登入後可以訪問
                .and()
                .formLogin()
                .loginPage("/login")
                .defaultSuccessUrl("/")
                .failureUrl("/login?error")
                .permitAll() //登入頁面使用者任意訪問
                .and()
                .logout().permitAll(); //登出行為任意訪問
        http.addFilterBefore(myFilterSecurityInterceptor, FilterSecurityInterceptor.class);
    }

}

8、開啟方法級別的註解許可權(第七配置類的@EnableGlobalMethodSecurity(prePostEnabled = true) //開啟方法級別的許可權註解)使用方式

  @RequestMapping("/admin")
    @ResponseBody
    @PreAuthorize("hasAnyRole('ROLE_ADMIN')")
    public String hello(){
        return "hello admin";
    }
----------------ITteenager

相關推薦

springboot+mybatis+spring security

1、不囉嗦,直接上乾貨 首先新建專案springboot-security匯入需要的maven座標 <parent> <groupId>org.springframework.boot</group

springbootspring security簡單使用

整理自是尚矽谷springboot高階 配置類(最重要的了) @EnableWebSecurity//這個註解組合註解裡面有@Configuration 所以不要配置@Configuration public class SecurityConfig extends WebSecurityC

springboot 整合spring security

轉載務必說明出處:https://blog.csdn.net/LiaoHongHB/article/details/83576911        spring security 是一種安全框架,主要的作用是認證和授權;其中認證則是判斷該使用者是誰,授權則

springboot使用Spring Security+OAuth2做許可權控制

文章來源:http://lxgandlz.cn/404.html     前面有一篇文章Spring+Spring Security+OAuth2實現REST API許可權控制,講了Spring+Spring Security+OAuth2來實現REST API許可權

SpringBoot整合Spring Security(1)——入門程式

因為專案需要,第一次接觸Spring Security,早就聽聞Spring Security強大但上手困難,今天學習了一天,翻遍了全網資料,才僅僅出入門道,特整理這篇文章來讓後來者少踩一點坑(本文附帶例項程式,請放心食用) 本篇文章環境:SpringBoot 2.0 + Mybatis + S

SpringBoot整合Spring-Security

1、新增依賴 // 新增spring security依賴 compile('org.springframework.boot:spring-boot-starter-security') //

SpringCloud+SpringBoot+OAuth2+Spring Security+Redis實現的微服務統一認證授權

因為目前做了一個基於Spring Cloud的微服務專案,所以瞭解到了OAuth2,打算整合一下OAuth2來實現統一認證。關於OAuth是一個關於授權的開放網路標準,目前的版本是2.0,這裡我就不多做介紹了。下面貼一下我學習過程中參考的資料。 理解OAuth 2.0——阮一峰 Spring

【轉】springboot整合spring security(一)

原文作者:王文健  來源:CSDN  轉自原文:https://blog.csdn.net/qq_29580525/article/details/79317969  但是原文有幾處錯誤,且本文也結合了其他自己的知識,可以說是上文的升級版本 一、Spring s

spring boot + mybatis + spring security(自定義登入介面)環境搭建

概述在前不久用了spring boot、mybatis、spring security搭建了一個工程,中間經歷了各種坑,最後得到一條經驗:spring的文件很詳細,入門最好以官方文件為準。這裡講的是以mav作為依賴管理工具pom搭建spring boot應用快捷的方式是在po

springboot整合spring-security實現登入控制的過程及其要點

前言 首先,整合spring-security的目的 1,實現登入控制; 2,防止同一賬號的同時多處登入。 3,實現臺介面的訪問許可權控制。 實現方式不止一種,選擇spring-security是因為它夠簡潔。 實現 闡述兩種實現方式--不用框架、採用spri

SpringBoot整合Spring Security入門體驗

一、前言 Spring Security 和 Apache Shiro 都是安全框架,為Java應用程式提供身份認證和授權。 二者

SpringBoot整合Spring Security

#### 1、Spring Security介紹 > **Spring security**,是一個強大的和高度可定製的身份驗證和訪問控制框架。它是確保基於Spring的應用程式的標準 ——來自官方參考手冊 **Spring security** 和 **shiro** 一樣,具有認證、授權、

springBoot整合spring security實現許可權管理(單體應用版)--築基初期

## 寫在前面 在前面的學習當中,我們對spring security有了一個小小的認識,接下來我們整合目前的主流框架springBoot,實現許可權的管理。 在這之前,假定你已經瞭解了基於**資源的許可權管理模型**。資料庫設計的表有 user 、role、user_role、permission、ro

springBoot整合spring security+JWT實現單點登入與許可權管理前後端分離--築基中期

## 寫在前面 在前一篇文章當中,我們介紹了springBoot整合spring security單體應用版,在這篇文章當中,我將介紹springBoot整合spring secury+JWT實現單點登入與許可權管理。 本文涉及的許可權管理模型是**基於資源的動態許可權管理**。資料庫設計的表有 user

企業分布式微服務雲SpringCloud SpringBoot mybatis (六)Spring Boot中使用Spring Security進行安全控制

spring ron public 控制 應用 app ebs cloud 來源 準備工作 首先,構建一個簡單的Web工程,以用於後續添加安全控制,也可以用之前Chapter3-1-2做為基礎工程。若對如何使用Spring Boot構建Web應用,可以先閱讀《Spring

springBoot(23):spring-security-

spring boot 安全 一、簡介Web應用的安全管理,主要包括兩個方面的內容:身份認證、用戶授權,此處使用spring-cloud-security來說明。二、依賴管理<dependency> <groupId>org.springframework.clou

java電子商務系統源碼 Spring MVC+mybatis+spring boot+spring security

電子商務平臺 word 解決方案 功能 截圖 mybatis 互聯 包括 數據監控 鴻鵠雲商大型企業分布式互聯網電子商務平臺,推出PC+微信+APP+雲服務的雲商平臺系統,其中包括B2B、B2C、C2C、O2O、新零售、直播電商等子平臺。 分布式、微服務、雲架構電子商

企業分布式微服務雲SpringCloud SpringBoot mybatis (七)Spring Boot中使用JdbcTemplate訪問數據庫

ger sele 應該 創建 測試環境 oid reg tis eat 本文介紹在Spring Boot基礎下配置數據源和通過JdbcTemplate編寫數據訪問的示例。 數據源配置 在我們訪問數據庫的時候,需要先配置一個數據源,下面分別介紹一下幾種不同的數據庫配置方式。

企業分布式微服務雲SpringCloud SpringBoot mybatis (二)Spring Boot屬性配置文件詳解

public profile 功能 tps with oot oschina 基本 ava 相信很多人選擇Spring Boot主要是考慮到它既能兼顧Spring的強大功能,還能實現快速開發的便捷。我們在Spring Boot使用過程中,最直觀的感受就是沒有了原來自己整合S

企業分布式微服務雲SpringCloud SpringBoot mybatis (四)Spring Boot開發Web應用

我們 als rep .com inf 模型 uil java加密 min 靜態資源訪問 在我們開發Web應用的時候,需要引用大量的js、css、圖片等靜態資源。 默認配置 Spring Boot默認提供靜態資源目錄位置需置於classpath下,目錄名需符合如下規則: