devbox
Monodyee
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

SpringSecurity 权限系统设计!

作者:Monodyee | 2024-04-20 23:33:38

springsecurity权限表设计

思维导图如下:

07c63e20ce4a4d858a809dc494e7fed7.jpeg

RBAC权限分析

RBAC 全称为基于角色的权限控制,本段将会从什么是RBAC,模型分类,什么是权限,用户组的使用,实例分析等几个方面阐述RBAC

思维导图

绘制思维导图如下

04a7d55996d601bc376e67fc3dcb62d6.jpeg

什么是RBAC

RBAC 全称为用户角色权限控制,通过角色关联用户,角色关联权限,这种方式,间阶的赋予用户的权限,如下图所示

9de7ba9152c568d19fd0505137c6cdff.jpeg

对于通常的系统而言,存在多个用户具有相同的权限,在分配的时候,要为指定的用户分配相关的权限,修改的时候也要依次的对这几个用户的权限进行修改,有了角色这个权限,在修改权限的时候,只需要对角色进行修改,就可以实现相关的权限的修改。这样做增加了效率,减少了权限漏洞的发生。

模型分类

对于RBAC模型来说,分为以下几个模型 分别是RBAC0,RBAC1,RBAC2,RBAC3,这四个模型,这段将会依次介绍这四个模型,其中最常用的模型有RBAC0.

RBAC0

RBAC0是最简单的RBAC模型,这里面包含了两种。

用户和角色是多对一的关系,即一个用户只充当一种角色,一个角色可以有多个角色的担当。用户和角色是多对多的关系,即,一个用户可以同时充当多个角色,一个角色可以有多个用户。 

此系统功能单一,人员较少,这里举个栗子,张三既是行政,也负责财务,此时张三就有俩个权限,分别是行政权限,和财务权限两个部分。

RBAC1

相对于RBAC0模型来说,增加了子角色,引入了继承的概念。

c4579255a657a559360c2be09a172355.jpeg

RBAC2 模型

这里RBAC2模型,在RBAC0模型的基础上,增加了一些功能,以及限制

角色互斥

即,同一个用户不能拥有两个互斥的角色,举个例子,在财务系统中,一个用户不能拥有会计员和审计这两种角色。

基数约束

即,用一个角色,所拥有的成员是固定的,例如对于CEO这种角色,同一个角色,也只能有一个用户。

先决条件

即,对于该角色来说,如果想要获得更高的角色,需要先获取低一级别的角色。举个栗子,对于副总经理和经理这两个权限来说,需要先有副总经理权限,才能拥有经理权限,其中副总经理权限是经理权限的先决条件。

运行时互斥

即,一个用户可以拥有两个角色,但是这俩个角色不能同时使用,需要切换角色才能进入另外一个角色。举个栗子,对于总经理和专员这两个角色,系统只能在一段时间,拥有其一个角色,不能同时对这两种角色进行操作。

RBAC3模型

即,RBAC1,RBAC2,两者模型全部累计,称为统一模型。

345c8a35a82ee302acc65becbff5c1d5.jpeg

什么是权限

权限是资源的集合,这里的资源指的是软件中的所有的内容,即,对页面的操作权限,对页面的访问权限,对数据的增删查改的权限。举个栗子。对于下图中的系统而言,

6164da0d9e099465487cbacd706acd0b.jpeg

拥有,计划管理,客户管理,合同管理,出入库通知单管理,粮食安全追溯,粮食统计查询,设备管理这几个页面,对这几个页面的访问,以及是否能够访问到菜单,都属于权限。

用户组的使用

对于用户组来说,是把众多的用户划分为一组,进行批量授予角色,即,批量授予权限。举个栗子,对于部门来说,一个部门拥有一万多个员工,这些员工都拥有相同的角色,如果没有用户组,可能需要一个个的授予相关的角色,在拥有了用户组以后,只需要,把这些用户全部划分为一组,然后对该组设置授予角色,就等同于对这些用户授予角色。

优点:减少工作量,便于理解,增加多级管理,等。

插播一条广告:需要开通正版IDEA的可以联系我,56元一年,正版授权,官网可查有效期,有需要的加我微信:poxiaozhiai6,备注:820。

SpringSecurity 简单使用

首先添加依赖

  1. <dependency>
  2.     <groupId>org.springframework.boot</groupId>
  3.     <artifactId>spring-boot-starter-security</artifactId>
  4. </dependency>

然后添加相关的访问接口

  1. package com.example.demo.web;
  2.  
  3. import org.springframework.web.bind.annotation.RequestMapping;
  4. import org.springframework.web.bind.annotation.RestController;
  5.  
  6. @RestController
  7. @RequestMapping("/test")
  8. public class Test {
  9.     @RequestMapping("/test")
  10.     public String test(){
  11.         return "test";
  12.     }
  13. }

最后启动项目,在日志中查看相关的密码

23e46116663ae63790fd1f3042e47a7d.jpeg

访问接口,可以看到相关的登录界面

d7a88b553328fe5933b1b3a1785b15c6.jpeg

输入用户名和相关的密码

  1. 用户名:user
  2. 密码 984cccf2-ba82-468e-a404-7d32123d0f9c

ca367bd152491f1e1080b86f7d496092.jpeg

登录成功

增加用户名和密码

在配置文件中,书写相关的登录和密码

  1. spring:
  2.   security:
  3.     user:
  4.       name: ming
  5.       password: 123456
  6.       roles: admin

在登录页面,输入用户名和密码,即可正常登录。

基于内存的认证

需要自定义类继承 WebSecurityConfigurerAdapter 代码如下

  1. package com.example.demo.config;
  2.  
  3. import org.springframework.context.annotation.Bean;
  4. import org.springframework.context.annotation.Configuration;
  5. import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
  6. import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
  7. import org.springframework.security.crypto.password.NoOpPasswordEncoder;
  8. import org.springframework.security.crypto.password.PasswordEncoder;
  9.  
  10. @Configuration
  11. public class MyWebSecurityConfig extends WebSecurityConfigurerAdapter {
  12.     @Bean
  13.     PasswordEncoder passwordEncoder(){
  14.         return NoOpPasswordEncoder.getInstance();
  15.     }
  16.  
  17.     @Override
  18.     protected void configure(AuthenticationManagerBuilder auth) throws Exception {
  19.         auth.inMemoryAuthentication()
  20.                 .withUser("admin").password("123").roles("admin");
  21.     }
  22. }

即,配置的用户名为admin,密码为123,角色为admin

HttpSecurity

这里对一些方法进行拦截

  1. package com.ming.demo.interceptor;
  2.  
  3. import org.springframework.beans.factory.annotation.Autowired;
  4. import org.springframework.context.annotation.Bean;
  5. import org.springframework.context.annotation.Configuration;
  6. import org.springframework.http.HttpMethod;
  7. import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
  8. import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
  9. import org.springframework.security.config.annotation.web.builders.HttpSecurity;
  10. import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
  11. import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
  12. import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
  13. import org.springframework.security.crypto.password.PasswordEncoder;
  14. import org.springframework.security.web.authentication.rememberme.TokenBasedRememberMeServices;
  15.  
  16. @Configuration
  17. @EnableWebSecurity
  18. public class SecurityConfig  extends WebSecurityConfigurerAdapter {
  19.     //基于内存的用户存储
  20.     @Override
  21.     public void configure(AuthenticationManagerBuilder auth) throws Exception {
  22.         auth.inMemoryAuthentication()
  23.                 .withUser("itguang").password("123456").roles("USER").and()
  24.                 .withUser("admin").password("{noop}" + "123456").roles("ADMIN");
  25.     }
  26.  
  27.     //请求拦截
  28.     @Override
  29.     protected void configure(HttpSecurity http) throws Exception {
  30.         http.authorizeRequests()
  31.                 .anyRequest().permitAll()
  32.                 .and()
  33.                 .formLogin()
  34.                 .permitAll()
  35.                 .and()
  36.                 .logout()
  37.                 .permitAll();
  38.     }
  39.  
  40. }

即,这里完成了对所有的方法访问的拦截。

SpringSecurity 集成JWT

这是一个小demo,目的,登录以后返回jwt生成的token

导入依赖

添加web依赖

26eb7f1c75cc86458da7caf4dd8fb33e.jpeg

导入JWT和Security依赖

  1. <!-- https://mvnrepository.com/artifact/io.jsonwebtoken/jjwt -->
  2.         <dependency>
  3.             <groupId>io.jsonwebtoken</groupId>
  4.             <artifactId>jjwt</artifactId>
  5.             <version>0.9.1</version>
  6.         </dependency>
  7.         <!-- https://mvnrepository.com/artifact/org.springframework.boot/spring-boot-starter-security -->
  8.         <dependency>
  9.             <groupId>org.springframework.boot</groupId>
  10.             <artifactId>spring-boot-starter-security</artifactId>
  11.             <version>2.3.1.RELEASE</version>
  12.         </dependency>

创建一个JwtUser实现UserDetails

创建 一个相关的JavaBean

  1. package com.example.demo;
  2.  
  3. import org.springframework.security.core.GrantedAuthority;
  4. import org.springframework.security.core.userdetails.UserDetails;
  5.  
  6. import java.util.Collection;
  7.  
  8. public class JwtUser implements UserDetails {
  9.     private String username;
  10.     private String password;
  11.     private Integer state;
  12.     private Collection<? extends GrantedAuthority> authorities;
  13.     public JwtUser(){
  14.  
  15.     }
  16.  
  17.     public JwtUser(String username, String password, Integer state,  Collection<? extends GrantedAuthority> authorities){
  18.         this.username = username;
  19.         this.password = password;
  20.         this.state = state;
  21.         this.authorities = authorities;
  22.     }
  23.  
  24.     @Override
  25.     public Collection<? extends GrantedAuthority> getAuthorities() {
  26.         return authorities;
  27.     }
  28.  
  29.     @Override
  30.     public String getPassword() {
  31.         return this.password;
  32.     }
  33.  
  34.     @Override
  35.     public String getUsername() {
  36.         return this.username;
  37.     }
  38.  
  39.     @Override
  40.     public boolean isAccountNonExpired() {
  41.         return true;
  42.     }
  43.  
  44.     @Override
  45.     public boolean isAccountNonLocked() {
  46.         return true;
  47.     }
  48.  
  49.     @Override
  50.     public boolean isCredentialsNonExpired() {
  51.         return true;
  52.     }
  53.  
  54.     @Override
  55.     public boolean isEnabled() {
  56.         return true;
  57.     }
  58. }

编写工具类生成令牌

编写工具类,用来生成token,以及刷新token,以及验证token

  1. package com.example.demo;
  2.  
  3. import io.jsonwebtoken.Claims;
  4. import io.jsonwebtoken.Jwts;
  5. import io.jsonwebtoken.SignatureAlgorithm;
  6. import org.springframework.security.core.userdetails.UserDetails;
  7.  
  8. import java.io.Serializable;
  9. import java.util.Date;
  10. import java.util.HashMap;
  11. import java.util.Map;
  12.  
  13. public class JwtTokenUtil implements Serializable {
  14.     private String secret;
  15.     private Long expiration;
  16.     private String header;
  17.  
  18.     private String generateToken(Map<String, Object> claims) {
  19.         Date expirationDate = new Date(System.currentTimeMillis() + expiration);
  20.         return Jwts.builder().setClaims(claims).setExpiration(expirationDate).signWith(SignatureAlgorithm.HS512, secret).compact();
  21.     }
  22.  
  23.     private Claims getClaimsFromToken(String token) {
  24.         Claims claims;
  25.         try {
  26.             claims = Jwts.parser().setSigningKey(secret).parseClaimsJws(token).getBody();
  27.  
  28.         } catch (Exception e) {
  29.             claims = null;
  30.         }
  31.         return claims;
  32.     }
  33.  
  34.     public String generateToken(UserDetails userDetails) {
  35.         Map<String, Object> claims = new HashMap<>(2);
  36.         claims.put("sub", userDetails.getUsername());
  37.         claims.put("created"new Date());
  38.         return generateToken(claims);
  39.  
  40.     }
  41.  
  42.     public String getUsernameFromToken(String token) {
  43.         String username;
  44.         try {
  45.             Claims claims = getClaimsFromToken(token);
  46.             username = claims.getSubject();
  47.  
  48.         } catch (Exception e) {
  49.             username = null;
  50.  
  51.         }
  52.         return username;
  53.  
  54.     }
  55.  
  56.     public Boolean isTokenExpired(String token) {
  57.         try {
  58.             Claims claims = getClaimsFromToken(token);
  59.             Date expiration = claims.getExpiration();
  60.             return expiration.before(new Date());
  61.         } catch (Exception e) {
  62.             return false;
  63.         }
  64.     }
  65.  
  66.     public String refreshToken(String token) {
  67.         String refreshedToken;
  68.         try {
  69.             Claims claims = getClaimsFromToken(token);
  70.             claims.put("created"new Date());
  71.             refreshedToken = generateToken(claims);
  72.  
  73.         } catch (Exception e) {
  74.             refreshedToken = null;
  75.  
  76.         }
  77.         return refreshedToken;
  78.     }
  79.  
  80.     public Boolean validateToken(String token, UserDetails userDetails) {
  81.         JwtUser user = (JwtUser) userDetails;
  82.         String username = getUsernameFromToken(token);
  83.         return (username.equals(user.getUsername()) && !isTokenExpired(token));
  84.  
  85.     }
  86.  
  87. }

编写拦截器

编写Filter 用来检测JWT

  1. package com.example.demo;
  2.  
  3. import org.apache.commons.lang.StringUtils;
  4. import org.springframework.beans.factory.annotation.Autowired;
  5. import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
  6. import org.springframework.security.core.context.SecurityContextHolder;
  7. import org.springframework.security.core.userdetails.UserDetails;
  8. import org.springframework.security.core.userdetails.UserDetailsService;
  9. import org.springframework.security.web.authentication.WebAuthenticationDetailsSource;
  10. import org.springframework.stereotype.Component;
  11. import org.springframework.web.filter.OncePerRequestFilter;
  12.  
  13. import javax.servlet.FilterChain;
  14. import javax.servlet.ServletException;
  15. import javax.servlet.http.HttpServletRequest;
  16. import javax.servlet.http.HttpServletResponse;
  17. import java.io.IOException;
  18.  
  19. @Component
  20. public class JwtAuthenticationTokenFilter  extends OncePerRequestFilter {
  21.     @Autowired
  22.     private UserDetailsService userDetailsService;
  23.     @Autowired
  24.     private JwtTokenUtil jwtTokenUtil;
  25.  
  26.     @Override
  27.     protected void doFilterInternal(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, FilterChain filterChain) throws ServletException, IOException {
  28.         String authHeader = httpServletRequest.getHeader(jwtTokenUtil.getHeader());
  29.         if (authHeader != null && StringUtils.isNotEmpty(authHeader)) {
  30.             String username = jwtTokenUtil.getUsernameFromToken(authHeader);
  31.             if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {
  32.                 UserDetails userDetails = this.userDetailsService.loadUserByUsername(username);
  33.                 if (jwtTokenUtil.validateToken(authHeader, userDetails)) {
  34.                     UsernamePasswordAuthenticationToken authentication  =
  35.                     new UsernamePasswordAuthenticationToken(userDetails,null,userDetails.getAuthorities());
  36.                     authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(httpServletRequest));
  37.                     SecurityContextHolder.getContext().setAuthentication(authentication);
  38.  
  39.                 }
  40.             }
  41.         }
  42.         filterChain.doFilter(httpServletRequest, httpServletResponse);
  43.  
  44.     }
  45. }

编写userDetailsService的实现类

在上方代码中,编写userDetailsService,类,实现其验证过程

  1. package com.example.demo;
  2.  
  3. import org.springframework.beans.factory.annotation.Autowired;
  4. import org.springframework.security.core.authority.SimpleGrantedAuthority;
  5. import org.springframework.security.core.userdetails.User;
  6. import org.springframework.security.core.userdetails.UserDetails;
  7. import org.springframework.security.core.userdetails.UserDetailsService;
  8. import org.springframework.security.core.userdetails.UsernameNotFoundException;
  9. import org.springframework.stereotype.Service;
  10.  
  11. import javax.management.relation.Role;
  12. import java.util.List;
  13.  
  14. @Service
  15. public class JwtUserDetailsServiceImpl  implements UserDetailsService {
  16.     @Autowired
  17.     private UserMapper userMapper;
  18.  
  19.     @Override
  20.     public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
  21.         User user = userMapper.selectByUserName(s);
  22.         if (user == null) {
  23.             throw new UsernameNotFoundException(String.format("'%s'.这个用户不存在", s));
  24.  
  25.         }
  26.         List<SimpleGrantedAuthority> collect = user.getRoles().stream().map(Role::getRolename).map(SimpleGrantedAuthority::new).collect(Collectors.toList());
  27.         return new JwtUser(user.getUsername(), user.getPassword(), user.getState(), collect);
  28.  
  29.     }
  30. }

编写登录

编写登录业务的实现类 其login方法会返回一个JWTUtils 的token

  1. @Service
  2. public class UserServiceImpl  implements UserService {
  3.     @Autowired
  4.     private UserMapper userMapper;
  5.  
  6.     @Autowired
  7.     private AuthenticationManager authenticationManager;
  8.  
  9.     @Autowired
  10.     private UserDetailsService userDetailsService;
  11.  
  12.     @Autowired
  13.     private JwtTokenUtil jwtTokenUtil;
  14.  
  15.     public User findByUsername(String username) {
  16.         User user = userMapper.selectByUserName(username);
  17.         return user;
  18.  
  19.     }
  20.  
  21.     public RetResult login(String username, String password) throws AuthenticationException {
  22.         UsernamePasswordAuthenticationToken upToken = new UsernamePasswordAuthenticationToken(username, password);
  23.         final Authentication authentication = authenticationManager.authenticate(upToken);
  24.         SecurityContextHolder.getContext().setAuthentication(authentication);
  25.         UserDetails userDetails = userDetailsService.loadUserByUsername(username);
  26.         return new RetResult(RetCode.SUCCESS.getCode(),jwtTokenUtil.generateToken(userDetails));
  27.  
  28.     }
  29. }

最后配置Config

  1. @EnableGlobalMethodSecurity(prePostEnabled = true)
  2. @EnableWebSecurity
  3. public class WebSecurity extends WebSecurityConfigurerAdapter {
  4.     @Autowired
  5.     private UserDetailsService userDetailsService;
  6.     @Autowired
  7.     private JwtAuthenticationTokenFilter jwtAuthenticationTokenFilter;
  8.  
  9.     @Autowired
  10.     public void configureAuthentication(AuthenticationManagerBuilder authenticationManagerBuilder) throws Exception {
  11.         authenticationManagerBuilder.userDetailsService(this.userDetailsService).passwordEncoder(passwordEncoder());
  12.  
  13.     }
  14.  
  15.     @Bean(name = BeanIds.AUTHENTICATION_MANAGER)
  16.  
  17.     @Override
  18.     public AuthenticationManager authenticationManagerBean() throws Exception {
  19.         return super.authenticationManagerBean();
  20.     }
  21.  
  22.     @Bean
  23.     public PasswordEncoder passwordEncoder() {
  24.         return new BCryptPasswordEncoder();
  25.  
  26.     }
  27.  
  28.     @Override
  29.     protected void configure(HttpSecurity http) throws Exception {
  30.         http.csrf().disable().sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
  31.                 .and().authorizeRequests()
  32.                 .antMatchers(HttpMethod.OPTIONS, "/**").permitAll()
  33.                 .antMatchers("/auth/**").permitAll()
  34.                 .anyRequest().authenticated()
  35.                 .and().headers().cacheControl();
  36.  
  37.         http.addFilterBefore(jwtAuthenticationTokenFilter, UsernamePasswordAuthenticationFilter.class);
  38.  
  39.         ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry registry = http.authorizeRequests();
  40.  
  41.         registry.requestMatchers(CorsUtils::isPreFlightRequest).permitAll();
  42.  
  43.     }
  44.  
  45.     @Bean
  46.     public CorsFilter corsFilter() {
  47.         final UrlBasedCorsConfigurationSource urlBasedCorsConfigurationSource = new UrlBasedCorsConfigurationSource();
  48.         final CorsConfiguration cors = new CorsConfiguration();
  49.         cors.setAllowCredentials(true);
  50.         cors.addAllowedOrigin("*");
  51.         cors.addAllowedHeader("*");
  52.         cors.addAllowedMethod("*");
  53.         urlBasedCorsConfigurationSource.registerCorsConfiguration("/**", cors);
  54.         return new CorsFilter(urlBasedCorsConfigurationSource);
  55.  
  56.     }
  57. }

运行,返回token

运行,返回结果为token

551759f12906ca32d79d5873359cc570.jpeg

SpringSecurity JSON登录

这里配置SpringSecurity之JSON登录

这里需要重写UsernamePasswordAnthenticationFilter类,以及配置SpringSecurity

重写UsernamePasswordAnthenticationFilter

  1. public class CustomAuthenticationFilter extends UsernamePasswordAuthenticationFilter {
  2.  
  3.     @Override
  4.     public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
  5.  
  6.         //attempt Authentication when Content-Type is json
  7.         if(request.getContentType().equals(MediaType.APPLICATION_JSON_UTF8_VALUE)
  8.                 ||request.getContentType().equals(MediaType.APPLICATION_JSON_VALUE)){
  9.  
  10.             //use jackson to deserialize json
  11.             ObjectMapper mapper = new ObjectMapper();
  12.             UsernamePasswordAuthenticationToken authRequest = null;
  13.             try (InputStream is = request.getInputStream()){
  14.                 AuthenticationBean authenticationBean = mapper.readValue(is,AuthenticationBean.class);
  15.                 authRequest = new UsernamePasswordAuthenticationToken(
  16.                         authenticationBean.getUsername(), authenticationBean.getPassword());
  17.             }catch (IOException e) {
  18.                 e.printStackTrace();
  19.                 authRequest = new UsernamePasswordAuthenticationToken(
  20.                         """");
  21.             }finally {
  22.                 setDetails(request, authRequest);
  23.                 return this.getAuthenticationManager().authenticate(authRequest);
  24.             }
  25.         }
  26.  
  27.         //transmit it to UsernamePasswordAuthenticationFilter
  28.         else {
  29.             return super.attemptAuthentication(request, response);
  30.         }
  31.     }
  32. }

配置SecurityConfig

  1. @Override
  2. protected void configure(HttpSecurity http) throws Exception {
  3.     http
  4.             .cors().and()
  5.             .antMatcher("/**").authorizeRequests()
  6.             .antMatchers("/", "/login**").permitAll()
  7.             .anyRequest().authenticated()
  8.             //这里必须要写formLogin(),不然原有的UsernamePasswordAuthenticationFilter不会出现,也就无法配置我们重新的UsernamePasswordAuthenticationFilter
  9.             .and().formLogin().loginPage("/")
  10.             .and().csrf().disable();
  11.  
  12.     //用重写的Filter替换掉原有的UsernamePasswordAuthenticationFilter
  13.     http.addFilterAt(customAuthenticationFilter(),
  14.     UsernamePasswordAuthenticationFilter.class);
  15. }
  16.  
  17. //注册自定义的UsernamePasswordAuthenticationFilter
  18. @Bean
  19. CustomAuthenticationFilter customAuthenticationFilter() throws Exception {
  20.     CustomAuthenticationFilter filter = new CustomAuthenticationFilter();
  21.     filter.setAuthenticationSuccessHandler(new SuccessHandler());
  22.     filter.setAuthenticationFailureHandler(new FailureHandler());
  23.     filter.setFilterProcessesUrl("/login/self");
  24.  
  25.     //这句很关键,重用WebSecurityConfigurerAdapter配置的AuthenticationManager,不然要自己组装AuthenticationManager
  26.     filter.setAuthenticationManager(authenticationManagerBean());
  27.     return filter;
  28. }

这样就完成使用json登录SpringSecurity。

Spring Security 密码加密方式

需要在Config 类中配置如下内容

  1. /**
  2.      * 密码加密
  3.      */
  4.     @Bean
  5.     public BCryptPasswordEncoder passwordEncoder(){
  6.         return new BCryptPasswordEncoder();
  7.     }

即,使用此方法,对密码进行加密, 在业务层的时候,使用此加密的方法

  1. @Service
  2. @Transactional
  3. public class UserServiceImpl implements UserService {
  4.  
  5.     @Resource
  6.     private UserRepository userRepository;
  7.  
  8.     @Resource
  9.     private BCryptPasswordEncoder bCryptPasswordEncoder;  //注入bcryct加密
  10.     @Override
  11.     public User add(User user) {
  12.         user.setPassword(bCryptPasswordEncoder.encode(user.getPassword())); //对密码进行加密
  13.         User user2 = userRepository.save(user);
  14.         return user2;
  15.     }
  16.     @Override
  17.     public ResultInfo login(User user) {
  18.         ResultInfo resultInfo=new ResultInfo();
  19.         User user2 = userRepository.findByName(user.getName());
  20.         if (user2==null) {
  21.             resultInfo.setCode("-1");
  22.             resultInfo.setMessage("用户名不存在");
  23.             return resultInfo;
  24.         }
  25.  
  26.         //判断密码是否正确
  27.         if (!bCryptPasswordEncoder.matches(user.getPassword(),user2.getPassword())) {
  28.             resultInfo.setCode("-1");
  29.             resultInfo.setMessage("密码不正确");
  30.             return resultInfo;
  31.         }
  32.         resultInfo.setMessage("登录成功");
  33.         return resultInfo;
  34.     }
  35. }

即,使用BCryptPasswordEncoder 对密码进行加密,保存数据库

使用数据库认证

这里使用数据库认证SpringSecurity

设计数据表

这里设计数据表

46f3ed793743eabcd6b4cdc73a707878.jpeg

着重配置SpringConfig

  1. @Configurable
  2. public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
  3.     @Autowired
  4.     private UserService userService;    // service 层注入
  5.  
  6.     @Bean
  7.     PasswordEncoder passwordEncoder(){
  8.         return new BCryptPasswordEncoder();
  9.     }
  10.  
  11.     @Override
  12.     protected void configure(AuthenticationManagerBuilder auth) throws Exception {
  13.         // 参数传入Service,进行验证
  14.         auth.userDetailsService(userService);
  15.     }
  16.  
  17.     @Override
  18.     protected void configure(HttpSecurity http) throws Exception {
  19.         http.authorizeRequests()
  20.                 .antMatchers("/admin/**").hasRole("admin")
  21.                 .anyRequest().authenticated()
  22.                 .and()
  23.                 .formLogin()
  24.                 .loginProcessingUrl("/login").permitAll()
  25.                 .and()
  26.                 .csrf().disable();
  27.     }
  28. }

这里着重配置SpringConfig

小结

着重讲解了RBAC的权限配置,以及简单的使用SpringSecurity,以及使用SpringSecurity + JWT 完成前后端的分离,以及配置json登录,和密码加密方式。

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/Monodyee/article/detail/459947
推荐阅读
相关标签

Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。

  

闽ICP备14008679号