Spring Boot中使用 Spring Security 构建权限系统的示例代码

 更新时间:2017年08月14日 09:01:46   作者:Yuicon  
本篇文章主要介绍了Spring Boot中使用 Spring Security 构建权限系统的示例代码,具有一定的参考价值,有兴趣的可以了解一下

Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。

权限控制是非常常见的功能,在各种后台管理里权限控制更是重中之重.在Spring Boot中使用 Spring Security 构建权限系统是非常轻松和简单的.下面我们就来快速入门 Spring Security .在开始前我们需要一对多关系的用户角色类,一个restful的controller.

参考项目代码地址

- 添加 Spring Security 依赖

首先我默认大家都已经了解 Spring Boot 了,在 Spring Boot 项目中添加依赖是非常简单的.把对应的spring-boot-starter-*** 加到pom.xml文件中就行了

<dependency>
   <groupId>org.springframework.boot</groupId>
   <artifactId>spring-boot-starter-security</artifactId>
</dependency>

- 配置 Spring Security

简单的使用 Spring Security 只要配置三个类就完成了,分别是:

UserDetails

这个接口中规定了用户的几个必须要有的方法

public interface UserDetails extends Serializable {

 //返回分配给用户的角色列表
 Collection<? extends GrantedAuthority> getAuthorities();
 
 //返回密码
 String getPassword();

 //返回帐号
 String getUsername();

 // 账户是否未过期
 boolean isAccountNonExpired();

 // 账户是否未锁定
 boolean isAccountNonLocked();

 // 密码是否未过期
 boolean isCredentialsNonExpired();

 // 账户是否激活
 boolean isEnabled();
}

UserDetailsService

这个接口只有一个方法 loadUserByUsername,是提供一种用 用户名 查询用户并返回的方法。

public interface UserDetailsService {
 UserDetails loadUserByUsername(String var1) throws UsernameNotFoundException;
}

WebSecurityConfigurerAdapter

这个内容很多,就不贴代码了,大家可以自己去看.

我们创建三个类分别继承上述三个接口

此 User 类不是我们的数据库里的用户类,是用来安全服务的.

/**
 * Created by Yuicon on 2017/5/14.
 */
public class User implements UserDetails {

 private final String id;
 //帐号,这里是我数据库里的字段
 private final String account;
 //密码
 private final String password;
 //角色集合
 private final Collection<? extends GrantedAuthority> authorities;

 User(String id, String account, String password, Collection<? extends GrantedAuthority> authorities) {
  this.id = id;
  this.account = account;
  this.password = password;
  this.authorities = authorities;
 }

 //返回分配给用户的角色列表
 @Override
 public Collection<? extends GrantedAuthority> getAuthorities() {
  return authorities;
 }

 @JsonIgnore
 public String getId() {
  return id;
 }

 @JsonIgnore
 @Override
 public String getPassword() {
  return password;
 }
 
 //虽然我数据库里的字段是 `account` ,这里还是要写成 `getUsername()`,因为是继承的接口
 @Override
 public String getUsername() {
  return account;
 }
 // 账户是否未过期
 @JsonIgnore
 @Override
 public boolean isAccountNonExpired() {
  return true;
 }
 // 账户是否未锁定
 @JsonIgnore
 @Override
 public boolean isAccountNonLocked() {
  return true;
 }
 // 密码是否未过期
 @JsonIgnore
 @Override
 public boolean isCredentialsNonExpired() {
  return true;
 }
 // 账户是否激活
 @JsonIgnore
 @Override
 public boolean isEnabled() {
  return true;
 }
}

继承 UserDetailsService

/**
 * Created by Yuicon on 2017/5/14.
 */
@Service
public class UserDetailsServiceImpl implements UserDetailsService {
 
 // jpa
 @Autowired
 private UserRepository userRepository;

 /**
  * 提供一种从用户名可以查到用户并返回的方法
  * @param account 帐号
  * @return UserDetails
  * @throws UsernameNotFoundException
  */
 @Override
 public UserDetails loadUserByUsername(String account) throws UsernameNotFoundException {
  // 这里是数据库里的用户类
  User user = userRepository.findByAccount(account);

  if (user == null) {
   throw new UsernameNotFoundException(String.format("没有该用户 '%s'.", account));
  } else {
   //这里返回上面继承了 UserDetails 接口的用户类,为了简单我们写个工厂类
   return UserFactory.create(user);
  }
 }
}

UserDetails 工厂类

/**
 * Created by Yuicon on 2017/5/14.
 */
final class UserFactory {

 private UserFactory() {
 }

 static User create(User user) {
  return new User(
    user.getId(),
    user.getAccount(),
    user.getPassword(),
   mapToGrantedAuthorities(user.getRoles().stream().map(Role::getName).collect(Collectors.toList()))
  );
 }
 
 //将与用户类一对多的角色类的名称集合转换为 GrantedAuthority 集合
 private static List<GrantedAuthority> mapToGrantedAuthorities(List<String> authorities) {
  return authorities.stream()
    .map(SimpleGrantedAuthority::new)
    .collect(Collectors.toList());
 }
}

重点, 继承 WebSecurityConfigurerAdapter 类

/**
 * Created by Yuicon on 2017/5/14.
 */
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

 // Spring会自动寻找实现接口的类注入,会找到我们的 UserDetailsServiceImpl 类
 @Autowired
 private UserDetailsService userDetailsService;

 @Autowired
 public void configureAuthentication(AuthenticationManagerBuilder authenticationManagerBuilder) throws Exception {
  authenticationManagerBuilder
    // 设置UserDetailsService
    .userDetailsService(this.userDetailsService)
    // 使用BCrypt进行密码的hash
    .passwordEncoder(passwordEncoder());
 }

 // 装载BCrypt密码编码器
 @Bean
 public PasswordEncoder passwordEncoder() {
  return new BCryptPasswordEncoder();
 }

 //允许跨域
 @Bean
 public WebMvcConfigurer corsConfigurer() {
  return new WebMvcConfigurerAdapter() {
   @Override
   public void addCorsMappings(CorsRegistry registry) {
    registry.addMapping("/**").allowedOrigins("*")
      .allowedMethods("GET", "HEAD", "POST","PUT", "DELETE", "OPTIONS")
      .allowCredentials(false).maxAge(3600);
   }
  };
 }

 @Override
 protected void configure(HttpSecurity httpSecurity) throws Exception {
  httpSecurity
    // 取消csrf
    .csrf().disable()
    // 基于token,所以不需要session
    .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and()
    .authorizeRequests()
    .antMatchers(HttpMethod.OPTIONS, "/**").permitAll()
    // 允许对于网站静态资源的无授权访问
    .antMatchers(
      HttpMethod.GET,
      "/",
      "/*.html",
      "/favicon.ico",
      "/**/*.html",
      "/**/*.css",
      "/**/*.js",
      "/webjars/**",
      "/swagger-resources/**",
      "/*/api-docs"
    ).permitAll()
    // 对于获取token的rest api要允许匿名访问
    .antMatchers("/auth/**").permitAll()
    // 除上面外的所有请求全部需要鉴权认证
    .anyRequest().authenticated();
  // 禁用缓存
  httpSecurity.headers().cacheControl();
 }
}

- 控制权限到 controller

使用 @PreAuthorize("hasRole('ADMIN')") 注解就可以了

/**
 * 在 @PreAuthorize 中我们可以利用内建的 SPEL 表达式:比如 'hasRole()' 来决定哪些用户有权访问。
 * 需注意的一点是 hasRole 表达式认为每个角色名字前都有一个前缀 'ROLE_'。所以这里的 'ADMIN' 其实在
 * 数据库中存储的是 'ROLE_ADMIN' 。这个 @PreAuthorize 可以修饰Controller也可修饰Controller中的方法。
 **/
@RestController
@RequestMapping("/users")
@PreAuthorize("hasRole('USER')") //有ROLE_USER权限的用户可以访问
public class UserController {

 @Autowired
 private UserRepository repository;

 @PreAuthorize("hasRole('ADMIN')")//有ROLE_ADMIN权限的用户可以访问
 @RequestMapping(method = RequestMethod.GET)
 public List<User> getUsers() {
  return repository.findAll();
 }
}

- 结语

Spring Boot中 Spring Security 的入门非常简单,很快我们就能有一个满足大部分需求的权限系统了.而配合 Spring Security 的好搭档就是 JWT 了,两者的集成文章网络上也很多,大家可以自行集成.因为篇幅原因有不少代码省略了,需要的可以参考项目代码

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持脚本之家。

相关文章

  • Java之如何关闭流

    Java之如何关闭流

    这篇文章主要介绍了Java之如何关闭流问题,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教
    2022-11-11
  • Java获取文件夹下所有文件名称的方法示例

    Java获取文件夹下所有文件名称的方法示例

    这篇文章主要介绍了Java获取文件夹下所有文件名称的方法,涉及java针对文件与目录相关操作技巧,需要的朋友可以参考下
    2017-06-06
  • Java中的类加载器_动力节点Java学院整理

    Java中的类加载器_动力节点Java学院整理

    这篇文章主要为大家详细介绍了Java中类加载器的相关资料,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
    2017-06-06
  • Java实现线程插队的示例代码

    Java实现线程插队的示例代码

    在编写多线程的业务时,会遇到让一个线程优先于其他线程运行的情况,除了可以设置线程的优先级高于其他线程,还有更直接的方式:线程插队。本文将用Java实现线程插队,需要的可以参考一下
    2022-08-08
  • 详解Spring配置事务的五种方式

    详解Spring配置事务的五种方式

    这篇文章主要为大家详细介绍了Spring配置事务的五种方式,感兴趣的小伙伴们可以参考一下
    2016-06-06
  • Servlet 过滤器详细介绍

    Servlet 过滤器详细介绍

    这篇文章介绍了Servlet 过滤器,有需要的朋友可以参考一下
    2013-10-10
  • spring boot集成shiro详细教程(小结)

    spring boot集成shiro详细教程(小结)

    这篇文章主要介绍了spring boot 集成shiro详细教程,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
    2018-01-01
  • 简单了解java集合框架LinkedList使用方法

    简单了解java集合框架LinkedList使用方法

    这篇文章主要介绍了简单了解java集合框架LinkedList使用方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
    2020-08-08
  • 使用Springboot对配置文件中的敏感信息加密

    使用Springboot对配置文件中的敏感信息加密

    这篇文章主要介绍了使用Springboot对配置文件中的敏感信息加密方式,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教
    2021-08-08
  • 如何禁用IntelliJ IDEA的LightEdit模式(推荐)

    如何禁用IntelliJ IDEA的LightEdit模式(推荐)

    这篇文章主要介绍了如何禁用IntelliJ IDEA的LightEdit模式,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
    2020-04-04

最新评论