摘要:它提供了一組可以在應用上下文中配置的,為應用系統提供聲明式的安全訪問控制功能,減少了為企業系統安全控制編寫大量重復代碼的工作。需注意的一點是表達式認為每個角色名字前都有一個前綴。這個可以修飾也可修飾中的方法。
Spring Security是一個能夠為基于Spring的企業應用系統提供聲明式的安全訪問控制解決方案的安全框架。它提供了一組可以在Spring應用上下文中配置的Bean,為應用系統提供聲明式的安全訪問控制功能,減少了為企業系統安全控制編寫大量重復代碼的工作。
權限控制是非常常見的功能,在各種后臺管理里權限控制更是重中之重.在Spring Boot中使用 Spring Security 構建權限系統是非常輕松和簡單的.下面我們就來快速入門 Spring Security .在開始前我們需要一對多關系的用戶角色類,一個restful的controller.
參考項目代碼地址
- 添加 Spring Security 依賴首先我默認大家都已經了解 Spring Boot 了,在 Spring Boot 項目中添加依賴是非常簡單的.把對應的
spring-boot-starter-*** 加到pom.xml 文件中就行了
- 配置 Spring Securityorg.springframework.boot spring-boot-starter-security
簡單的使用 Spring Security 只要配置三個類就完成了,分別是:
UserDetails
這個接口中規定了用戶的幾個必須要有的方法
public interface UserDetails extends Serializable { //返回分配給用戶的角色列表 Collection extends GrantedAuthority> getAuthorities(); //返回密碼 String getPassword(); //返回帳號 String getUsername(); // 賬戶是否未過期 boolean isAccountNonExpired(); // 賬戶是否未鎖定 boolean isAccountNonLocked(); // 密碼是否未過期 boolean isCredentialsNonExpired(); // 賬戶是否激活 boolean isEnabled(); }
UserDetailsService
這個接口只有一個方法 loadUserByUsername,是提供一種用 用戶名 查詢用戶并返回的方法。
public interface UserDetailsService { UserDetails loadUserByUsername(String var1) throws UsernameNotFoundException; }
WebSecurityConfigurerAdapter
這個內容很多,就不貼代碼了,大家可以自己去看.
我們創建三個類分別繼承上述三個接口
此 User 類不是我們的數據庫里的用戶類,是用來安全服務的.
/** * Created by Yuicon on 2017/5/14. * https://segmentfault.com/u/yuicon */ public class User implements UserDetails { private final String id; //帳號,這里是我數據庫里的字段 private final String account; //密碼 private final String password; //角色集合 private final Collection extends GrantedAuthority> authorities; User(String id, String account, String password, Collection extends GrantedAuthority> authorities) { this.id = id; this.account = account; this.password = password; this.authorities = authorities; } //返回分配給用戶的角色列表 @Override public Collection extends GrantedAuthority> getAuthorities() { return authorities; } @JsonIgnore public String getId() { return id; } @JsonIgnore @Override public String getPassword() { return password; } //雖然我數據庫里的字段是 `account` ,這里還是要寫成 `getUsername()`,因為是繼承的接口 @Override public String getUsername() { return account; } // 賬戶是否未過期 @JsonIgnore @Override public boolean isAccountNonExpired() { return true; } // 賬戶是否未鎖定 @JsonIgnore @Override public boolean isAccountNonLocked() { return true; } // 密碼是否未過期 @JsonIgnore @Override public boolean isCredentialsNonExpired() { return true; } // 賬戶是否激活 @JsonIgnore @Override public boolean isEnabled() { return true; } }
繼承 UserDetailsService
/** * Created by Yuicon on 2017/5/14. * https://segmentfault.com/u/yuicon */ @Service public class UserDetailsServiceImpl implements UserDetailsService { // jpa @Autowired private UserRepository userRepository; /** * 提供一種從用戶名可以查到用戶并返回的方法 * @param account 帳號 * @return UserDetails * @throws UsernameNotFoundException */ @Override public UserDetails loadUserByUsername(String account) throws UsernameNotFoundException { // 這里是數據庫里的用戶類 User user = userRepository.findByAccount(account); if (user == null) { throw new UsernameNotFoundException(String.format("沒有該用戶 "%s".", account)); } else { //這里返回上面繼承了 UserDetails 接口的用戶類,為了簡單我們寫個工廠類 return UserFactory.create(user); } } }
UserDetails 工廠類
/** * Created by Yuicon on 2017/5/14. * https://segmentfault.com/u/yuicon */ final class UserFactory { private UserFactory() { } static User create(User user) { return new User( user.getId(), user.getAccount(), user.getPassword(), mapToGrantedAuthorities(user.getRoles().stream().map(Role::getName).collect(Collectors.toList())) ); } //將與用戶類一對多的角色類的名稱集合轉換為 GrantedAuthority 集合 private static ListmapToGrantedAuthorities(List authorities) { return authorities.stream() .map(SimpleGrantedAuthority::new) .collect(Collectors.toList()); } }
重點, 繼承 WebSecurityConfigurerAdapter 類
/** * Created by Yuicon on 2017/5/14. * https://segmentfault.com/u/yuicon */ @Configuration @EnableWebSecurity @EnableGlobalMethodSecurity(prePostEnabled = true) public class WebSecurityConfig extends WebSecurityConfigurerAdapter { // Spring會自動尋找實現接口的類注入,會找到我們的 UserDetailsServiceImpl 類 @Autowired private UserDetailsService userDetailsService; @Autowired public void configureAuthentication(AuthenticationManagerBuilder authenticationManagerBuilder) throws Exception { authenticationManagerBuilder // 設置UserDetailsService .userDetailsService(this.userDetailsService) // 使用BCrypt進行密碼的hash .passwordEncoder(passwordEncoder()); } // 裝載BCrypt密碼編碼器 @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } //允許跨域 @Bean public WebMvcConfigurer corsConfigurer() { return new WebMvcConfigurerAdapter() { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/**").allowedOrigins("*") .allowedMethods("GET", "HEAD", "POST","PUT", "DELETE", "OPTIONS") .allowCredentials(false).maxAge(3600); } }; } @Override protected void configure(HttpSecurity httpSecurity) throws Exception { httpSecurity // 取消csrf .csrf().disable() // 基于token,所以不需要session .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and() .authorizeRequests() .antMatchers(HttpMethod.OPTIONS, "/**").permitAll() // 允許對于網站靜態資源的無授權訪問 .antMatchers( HttpMethod.GET, "/", "/*.html", "/favicon.ico", "/**/*.html", "/**/*.css", "/**/*.js", "/webjars/**", "/swagger-resources/**", "/*/api-docs" ).permitAll() // 對于獲取token的rest api要允許匿名訪問 .antMatchers("/auth/**").permitAll() // 除上面外的所有請求全部需要鑒權認證 .anyRequest().authenticated(); // 禁用緩存 httpSecurity.headers().cacheControl(); } }- 控制權限到 controller
使用 @PreAuthorize("hasRole("ADMIN")") 注解就可以了
/** * 在 @PreAuthorize 中我們可以利用內建的 SPEL 表達式:比如 "hasRole()" 來決定哪些用戶有權訪問。 * 需注意的一點是 hasRole 表達式認為每個角色名字前都有一個前綴 "ROLE_"。所以這里的 "ADMIN" 其實在 * 數據庫中存儲的是 "ROLE_ADMIN" 。這個 @PreAuthorize 可以修飾Controller也可修飾Controller中的方法。 **/ @RestController @RequestMapping("/users") @PreAuthorize("hasRole("USER")") //有ROLE_USER權限的用戶可以訪問 public class UserController { @Autowired private UserRepository repository; @PreAuthorize("hasRole("ADMIN")")//有ROLE_ADMIN權限的用戶可以訪問 @RequestMapping(method = RequestMethod.GET) public List- 結語getUsers() { return repository.findAll(); } }
Spring Boot中 Spring Security 的入門非常簡單,很快我們就能有一個滿足大部分需求的權限系統了.而配合 Spring Security 的好搭檔就是 JWT 了,兩者的集成文章網絡上也很多,大家可以自行集成.因為篇幅原因有不少代碼省略了,需要的可以參考參考項目代碼
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/67598.html
摘要:框架具有輕便,開源的優點,所以本譯見構建用戶管理微服務五使用令牌和來實現身份驗證往期譯見系列文章在賬號分享中持續連載,敬請查看在往期譯見系列的文章中,我們已經建立了業務邏輯數據訪問層和前端控制器但是忽略了對身份進行驗證。 重拾后端之Spring Boot(四):使用JWT和Spring Security保護REST API 重拾后端之Spring Boot(一):REST API的搭建...
摘要:下一代服務端開發下一代服務端開發第部門快速開始第章快速開始環境準備,,快速上手實現一個第章企業級服務開發從到語言的缺點發展歷程的缺點為什么是產生的背景解決了哪些問題為什么是的發展歷程容器的配置地獄是什么從到下一代企業級服務開發在移動開發領域 《 Kotlin + Spring Boot : 下一代 Java 服務端開發 》 Kotlin + Spring Boot : 下一代 Java...
摘要:在逐步開發過程中,發現自己需求,用戶使用,頁面樣式,做得都不是很好。希望很和牛逼的人合作,一齊完善這個項目,能讓它變成可以使用的產品。自己也可以在此不斷學習,不斷累計新的知識,慢慢變強起來。 showImg(https://segmentfault.com/img/bVboKz5);#### 這一個什么項目 ##### 使用技術 Spring MVC Spring Security ...
摘要:負載均衡組件是一個負載均衡組件,它通常和配合使用。和配合,很容易做到負載均衡,將請求根據負載均衡策略分配到不同的服務實例中。和配合,在消費服務時能夠做到負載均衡。在默認的情況下,和相結合,能夠做到負載均衡智能路由。 2.2.1 簡介 Spring Cloud 是基于 Spring Boot 的。 Spring Boot 是由 Pivotal 團隊提供的全新 Web 框架, 它主要的特點...
摘要:截至年月日,將網站標記為不安全。管理密碼使用密碼哈希以純文本格式存儲密碼是最糟糕的事情之一。是中密碼哈希的主要接口,如下所示提供了幾種實現,最受歡迎的是和。 Spring Boot大大簡化了Spring應用程序的開發。它的自動配置和啟動依賴大大減少了開始一個應用所需的代碼和配置量,如果你已經習慣了Spring和大量XML配置,Spring Boot無疑是一股清新的空氣。 Spring ...
閱讀 3128·2021-09-22 15:50
閱讀 3330·2021-09-10 10:51
閱讀 3143·2019-08-29 17:10
閱讀 2918·2019-08-26 12:14
閱讀 1835·2019-08-26 12:00
閱讀 932·2019-08-26 11:44
閱讀 652·2019-08-26 11:44
閱讀 2817·2019-08-26 11:41