devbox
酷酷是懒虫
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

SpringSecurity授权基本流程_springsecurity授权流程

作者:酷酷是懒虫 | 2024-07-17 23:06:42

springsecurity授权流程

用户认证

​ 例如一个学校图书馆的管理系统,如果是普通学生登录就能看到借书还书相关的功能,不可能让他看到并且去使用添加书籍信息,删除书籍信息等功能。但是如果是一个图书馆管理员的账号登录了,应该就能看到并使用添加书籍信息,删除书籍信息等功能。

​ 总结起来就是不同的用户可以使用不同的功能。这就是权限系统要去实现的效果。

​ 我们不能只依赖前端去判断用户的权限来选择显示哪些菜单哪些按钮。因为如果只是这样,如果有人知道了对应功能的接口地址就可以不通过前端,直接去发送请求来实现相关功能操作。

​    所以我们还需要在后台进行用户权限的判断,判断当前用户是否有相应的权限,必须具有所需权限才能进行相应的操作。
 

授权基本流程

​    在SpringSecurity中,会使用默认的FilterSecurityInterceptor来进行权限校验。在FilterSecurityInterceptor中会从SecurityContextHolder获取其中的Authentication,然后获取其中的权限信息。当前用户是否拥有访问当前资源所需的权限。

​    所以我们在项目中只需要把当前登录用户的权限信息也存入Authentication。

​    然后设置我们的资源所需要的权限即可。

在SecurityConfig上添加注解@EnableGlobalMethodSecurity(prePostEnabled = true)开启注解功能

之后在Controller层需要添加权限的方法上添加注解

 

 定义了UserDetails的实现类LoginUser,想要让其能封装权限信息就要对其进行修改

 

  1. @Data
  2. @NoArgsConstructor //无参构造
  3.  
  4. public class LoginUser implements UserDetails {
  5.  
  6.     private User user;
  7.  
  8.     //存储权限信息
  9.     private List<String> permissions;
  10.  
  11.     //权限集合的转换
  12.     @Override
  13.     public Collection<? extends GrantedAuthority> getAuthorities() {
  14.         if(authorities!=null){
  15.             return authorities;
  16.         }
  17.  
  18.         //把permission中String类型的权限信息封装成SimpleGrantedAuthority对象
  19.         authorities = new ArrayList<>();
  20.         for (String permission : permissions) {
  21.             SimpleGrantedAuthority authority = new SimpleGrantedAuthority(permission);
  22.             authorities.add(authority);
  23.         }
  24.         return authorities;
  25.     }

(在此操作之前需编写mapper方法从数据库内查询到权限信息)

LoginUser修改完后我们就可以在UserDetailsServiceImpl中去把权限信息封装到LoginUser中了

 在过滤器中加入权限即可

 

  1. /**
  2.  * 过滤器
  3.  */
  4. @Configuration
  5. public class JwtAuthenticationTokenFilter extends OncePerRequestFilter {
  6.  
  7.     @Autowired
  8.     private RedisCache redisCache;
  9.  
  10.     @Override
  11.     protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
  12.         //获取token
  13.         String token = request.getHeader("token");
  14.         if(!StringUtils.hasLength(token)){
  15.            //放行
  16.            filterChain.doFilter(request,response);
  17.            return;
  18.         }
  19.         //解析token
  20.         String userid;
  21.         try {
  22.             Claims claims = JwtUtil.parseJWT(token);
  23.             //获取用户id
  24.             userid = claims.getSubject();
  25.         } catch (Exception e) {
  26.             e.printStackTrace();
  27.             throw new RuntimeException("token非法");
  28.         }
  29.         //从redis中获取用户信息
  30.         String redisKey="login:"+userid;
  31.         //通过key从redis获取数据
  32.         LoginUser loginUser = redisCache.getCacheObject(redisKey);
  33.         if(Objects.isNull(loginUser)){
  34.             throw new RuntimeException("用户未登录");
  35.         }
  36.  
  37.         //存入SecurityContextHolder
  38.         //TODO 获取权限信息封装到Authentication中
  39.         UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(loginUser,null,loginUser.getAuthorities());
  40.         SecurityContextHolder.getContext().setAuthentication(authenticationToken);
  41.         //放行
  42.         filterChain.doFilter(request,response);
  43.     }
  44. }

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/酷酷是懒虫/article/detail/842441
推荐阅读
相关标签

Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。

  

闽ICP备14008679号