- 1每帧纵享丝滑——ToDesk云电脑、网易云游戏、无影云评测分析及ComfyUI部署
- 2中国平安银行关于软件测试笔试试题(二)_下列叙述中,能够与需求分析、设计、编码相对应
- 3git的配置用户名和密码_git设置用户名和密码
- 4如何跟大厂面试官周旋下拔得头筹?大厂面试攻略配上这个职业规划方案是真的香!
- 5【数据结构(二)】顺序表与ArrayList
- 6小菜鸡ES6初探及babel使用(持续更新)_小菜鸡框架
- 7【leetcode面试经典150题】52. 有效的括号(C++)
- 8java.lang.OutOfMemoryError异常解决方法_java.lang.outofmemoryerror (no error message)
- 9Python经典实例:约瑟夫生者死者小游戏_30个人在一条船上需要15人下去数到9的下船
- 10Jenkins插件下载慢,插件地址替换,使用清华大学的地址_no protocol: http//mirrors.tuna.tsinghua.edu.cn/je
使用Spring Security实现RBAC权限模型 - 详细代码示例及表设计_springsecurity rbac
赞
踩
RBAC(Role-Based Access Control)是一种常用的权限模型,它基于用户角色来控制系统中的资源访问。在实际应用中,我们通常会使用Spring Security框架来实现RBAC权限控制。本文将介绍如何使用Spring Security实现RBAC权限模型,并提供详细的代码示例以及相关表设计。
- 表设计
在实现RBAC权限模型之前,我们需要先设计相关的表结构。下面是一个简单的表设计:
- user表:存储用户信息,包括用户名、密码等
- role表:存储角色信息,包括角色名称、角色描述等
- permission表:存储权限信息,包括权限名称、权限描述等
- user_role表:存储用户角色关系,包括用户ID和角色ID
- role_permission表:存储角色权限关系,包括角色ID和权限ID
- 配置Spring Security
在Spring Security中实现RBAC权限模型的关键在于配置安全拦截器链,即定义哪些URL需要哪些权限才能访问。下面是一个简单的配置示例:
- @Configuration
- @EnableWebSecurity
- public class SecurityConfig extends WebSecurityConfigurerAdapter {
-
- @Autowired
- private UserDetailsService userDetailsService;
-
- @Override
- protected void configure(HttpSecurity http) throws Exception {
- http
- .authorizeRequests()
- .antMatchers("/admin/**").hasRole("ADMIN")
- .antMatchers("/user/**").hasRole("USER")
- .anyRequest().authenticated()
- .and()
- .formLogin()
- .loginPage("/login")
- .permitAll()
- .and()
- .logout()
- .permitAll();
- }
-
- @Autowired
- public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
- auth
- .userDetailsService(userDetailsService)
- .passwordEncoder(passwordEncoder());
- }
-
- @Bean
- public PasswordEncoder passwordEncoder() {
- return new BCryptPasswordEncoder();
- }
- }
在上面的配置中,我们使用了@EnableWebSecurity注解启用了Spring Security,并通过configure(HttpSecurity http)方法配置了安全拦截器链。其中:
antMatchers("/admin/**").hasRole("ADMIN")表示/admin/**路径下的请求需要ADMIN角色才能访问antMatchers("/user/**").hasRole("USER")表示/user/**路径下的请求需要USER角色才能访问anyRequest().authenticated()表示其他请求需要认证后才能访问
另外,我们还需要通过configureGlobal(AuthenticationManagerBuilder auth)方法配置认证信息。在这个方法中,我们使用了自定义的UserDetailsService来获取用户信息,并使用BCryptPasswordEncoder加密器来加密密码。
- 实现UserDetailsService
在上面的配置中,我们使用了自定义的UserDetailsService来获取用户信息。下面是一个简单的示例:
- @Service
- public class CustomUserDetailsService implements UserDetailsService {
-
- @Autowired
- private UserRepository userRepository;
-
- @Override
- public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
- User user = userRepository.findByUsername(username);
- if (user == null) {
- throw new UsernameNotFoundException("User not found");
- }
- Set<GrantedAuthority> grantedAuthorities = new HashSet<>();
- for (Role role : user.getRoles()) {
- for (Permission permission : role.getPermissions()) {
- grantedAuthorities.add(new SimpleGrantedAuthority(permission.getName()));
- }
- }
- return new org.springframework.security.core.userdetails.User(user.getUsername(), user.getPassword(), grantedAuthorities);
- }
- }
在上面的实现中,我们通过UserRepository获取了用户信息,并将其转换为UserDetails对象返回。在这个过程中,我们还使用了用户的角色和权限信息来构建GrantedAuthority对象,该对象表示用户拥有的权限。
- 实现RBAC权限控制
除了上面的配置和实现之外,我们还需要在业务代码中实现RBAC权限控制。下面是一个简单的示例:
- @Controller
- public class UserController {
-
- @PreAuthorize("hasRole('USER')")
- @GetMapping("/user")
- public String user() {
- return "user";
- }
-
- @PreAuthorize("hasRole('ADMIN')")
- @GetMapping("/admin")
- public String admin() {
- return "admin";
- }
- }
在上面的示例中,我们通过@PreAuthorize注解来限制用户访问某些资源的权限。其中,hasRole('USER')表示当前用户需要USER角色才能访问,hasRole('ADMIN')表示当前用户需要ADMIN角色才能访问。
- 总结
本文介绍了如何使用Spring Security实现RBAC权限模型,包括表设计、配置Spring Security、实现UserDetailsService以及实现RBAC权限控制。希望本文对您有所帮助。
