資訊專欄INFORMATION COLUMN
摘要:它提供了一組可以在應(yīng)用上下文中配置的,為應(yīng)用系統(tǒng)提供聲明式的安全訪問控制功能,減少了為企業(yè)系統(tǒng)安全控制編寫大量重復(fù)代碼的工作。需注意的一點(diǎn)是表達(dá)式認(rèn)為每個(gè)角色名字前都有一個(gè)前綴。這個(gè)可以修飾也可修飾中的方法。
Spring Security是一個(gè)能夠?yàn)榛赟pring的企業(yè)應(yīng)用系統(tǒng)提供聲明式的安全訪問控制解決方案的安全框架。它提供了一組可以在Spring應(yīng)用上下文中配置的Bean,為應(yīng)用系統(tǒng)提供聲明式的安全訪問控制功能,減少了為企業(yè)系統(tǒng)安全控制編寫大量重復(fù)代碼的工作。
權(quán)限控制是非常常見的功能,在各種后臺(tái)管理里權(quán)限控制更是重中之重.在Spring Boot中使用 Spring Security 構(gòu)建權(quán)限系統(tǒng)是非常輕松和簡(jiǎn)單的.下面我們就來快速入門 Spring Security .在開始前我們需要一對(duì)多關(guān)系的用戶角色類,一個(gè)restful的controller.
參考項(xiàng)目代碼地址
- 添加 Spring Security 依賴首先我默認(rèn)大家都已經(jīng)了解 Spring Boot 了,在 Spring Boot 項(xiàng)目中添加依賴是非常簡(jiǎn)單的.把對(duì)應(yīng)的
spring-boot-starter-*** 加到pom.xml 文件中就行了
- 配置 Spring Securityorg.springframework.boot spring-boot-starter-security
簡(jiǎn)單的使用 Spring Security 只要配置三個(gè)類就完成了,分別是:
UserDetails
這個(gè)接口中規(guī)定了用戶的幾個(gè)必須要有的方法
public interface UserDetails extends Serializable {
//返回分配給用戶的角色列表
Collection getAuthorities();
//返回密碼
String getPassword();
//返回帳號(hào)
String getUsername();
// 賬戶是否未過期
boolean isAccountNonExpired();
// 賬戶是否未鎖定
boolean isAccountNonLocked();
// 密碼是否未過期
boolean isCredentialsNonExpired();
// 賬戶是否激活
boolean isEnabled();
}
UserDetailsService
這個(gè)接口只有一個(gè)方法 loadUserByUsername,是提供一種用 用戶名 查詢用戶并返回的方法。
public interface UserDetailsService {
UserDetails loadUserByUsername(String var1) throws UsernameNotFoundException;
}
WebSecurityConfigurerAdapter
這個(gè)內(nèi)容很多,就不貼代碼了,大家可以自己去看.
我們創(chuàng)建三個(gè)類分別繼承上述三個(gè)接口
此 User 類不是我們的數(shù)據(jù)庫里的用戶類,是用來安全服務(wù)的.
/**
* Created by Yuicon on 2017/5/14.
* https://segmentfault.com/u/yuicon
*/
public class User implements UserDetails {
private final String id;
//帳號(hào),這里是我數(shù)據(jù)庫里的字段
private final String account;
//密碼
private final String password;
//角色集合
private final Collection authorities;
User(String id, String account, String password, Collection authorities) {
this.id = id;
this.account = account;
this.password = password;
this.authorities = authorities;
}
//返回分配給用戶的角色列表
@Override
public Collection getAuthorities() {
return authorities;
}
@JsonIgnore
public String getId() {
return id;
}
@JsonIgnore
@Override
public String getPassword() {
return password;
}
//雖然我數(shù)據(jù)庫里的字段是 `account` ,這里還是要寫成 `getUsername()`,因?yàn)槭抢^承的接口
@Override
public String getUsername() {
return account;
}
// 賬戶是否未過期
@JsonIgnore
@Override
public boolean isAccountNonExpired() {
return true;
}
// 賬戶是否未鎖定
@JsonIgnore
@Override
public boolean isAccountNonLocked() {
return true;
}
// 密碼是否未過期
@JsonIgnore
@Override
public boolean isCredentialsNonExpired() {
return true;
}
// 賬戶是否激活
@JsonIgnore
@Override
public boolean isEnabled() {
return true;
}
}
繼承 UserDetailsService
/**
* Created by Yuicon on 2017/5/14.
* https://segmentfault.com/u/yuicon
*/
@Service
public class UserDetailsServiceImpl implements UserDetailsService {
// jpa
@Autowired
private UserRepository userRepository;
/**
* 提供一種從用戶名可以查到用戶并返回的方法
* @param account 帳號(hào)
* @return UserDetails
* @throws UsernameNotFoundException
*/
@Override
public UserDetails loadUserByUsername(String account) throws UsernameNotFoundException {
// 這里是數(shù)據(jù)庫里的用戶類
User user = userRepository.findByAccount(account);
if (user == null) {
throw new UsernameNotFoundException(String.format("沒有該用戶 "%s".", account));
} else {
//這里返回上面繼承了 UserDetails 接口的用戶類,為了簡(jiǎn)單我們寫個(gè)工廠類
return UserFactory.create(user);
}
}
}
UserDetails 工廠類
/**
* Created by Yuicon on 2017/5/14.
* https://segmentfault.com/u/yuicon
*/
final class UserFactory {
private UserFactory() {
}
static User create(User user) {
return new User(
user.getId(),
user.getAccount(),
user.getPassword(),
mapToGrantedAuthorities(user.getRoles().stream().map(Role::getName).collect(Collectors.toList()))
);
}
//將與用戶類一對(duì)多的角色類的名稱集合轉(zhuǎn)換為 GrantedAuthority 集合
private static List mapToGrantedAuthorities(List authorities) {
return authorities.stream()
.map(SimpleGrantedAuthority::new)
.collect(Collectors.toList());
}
}
重點(diǎn), 繼承 WebSecurityConfigurerAdapter 類
/**
* Created by Yuicon on 2017/5/14.
* https://segmentfault.com/u/yuicon
*/
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
// Spring會(huì)自動(dòng)尋找實(shí)現(xiàn)接口的類注入,會(huì)找到我們的 UserDetailsServiceImpl 類
@Autowired
private UserDetailsService userDetailsService;
@Autowired
public void configureAuthentication(AuthenticationManagerBuilder authenticationManagerBuilder) throws Exception {
authenticationManagerBuilder
// 設(shè)置UserDetailsService
.userDetailsService(this.userDetailsService)
// 使用BCrypt進(jìn)行密碼的hash
.passwordEncoder(passwordEncoder());
}
// 裝載BCrypt密碼編碼器
@Bean
public PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder();
}
//允許跨域
@Bean
public WebMvcConfigurer corsConfigurer() {
return new WebMvcConfigurerAdapter() {
@Override
public void addCorsMappings(CorsRegistry registry) {
registry.addMapping("/**").allowedOrigins("*")
.allowedMethods("GET", "HEAD", "POST","PUT", "DELETE", "OPTIONS")
.allowCredentials(false).maxAge(3600);
}
};
}
@Override
protected void configure(HttpSecurity httpSecurity) throws Exception {
httpSecurity
// 取消csrf
.csrf().disable()
// 基于token,所以不需要session
.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and()
.authorizeRequests()
.antMatchers(HttpMethod.OPTIONS, "/**").permitAll()
// 允許對(duì)于網(wǎng)站靜態(tài)資源的無授權(quán)訪問
.antMatchers(
HttpMethod.GET,
"/",
"/*.html",
"/favicon.ico",
"/**/*.html",
"/**/*.css",
"/**/*.js",
"/webjars/**",
"/swagger-resources/**",
"/*/api-docs"
).permitAll()
// 對(duì)于獲取token的rest api要允許匿名訪問
.antMatchers("/auth/**").permitAll()
// 除上面外的所有請(qǐng)求全部需要鑒權(quán)認(rèn)證
.anyRequest().authenticated();
// 禁用緩存
httpSecurity.headers().cacheControl();
}
}
- 控制權(quán)限到 controller
使用 @PreAuthorize("hasRole("ADMIN")") 注解就可以了
/**
* 在 @PreAuthorize 中我們可以利用內(nèi)建的 SPEL 表達(dá)式:比如 "hasRole()" 來決定哪些用戶有權(quán)訪問。
* 需注意的一點(diǎn)是 hasRole 表達(dá)式認(rèn)為每個(gè)角色名字前都有一個(gè)前綴 "ROLE_"。所以這里的 "ADMIN" 其實(shí)在
* 數(shù)據(jù)庫中存儲(chǔ)的是 "ROLE_ADMIN" 。這個(gè) @PreAuthorize 可以修飾Controller也可修飾Controller中的方法。
**/
@RestController
@RequestMapping("/users")
@PreAuthorize("hasRole("USER")") //有ROLE_USER權(quán)限的用戶可以訪問
public class UserController {
@Autowired
private UserRepository repository;
@PreAuthorize("hasRole("ADMIN")")//有ROLE_ADMIN權(quán)限的用戶可以訪問
@RequestMapping(method = RequestMethod.GET)
public List getUsers() {
return repository.findAll();
}
}
- 結(jié)語
Spring Boot中 Spring Security 的入門非常簡(jiǎn)單,很快我們就能有一個(gè)滿足大部分需求的權(quán)限系統(tǒng)了.而配合 Spring Security 的好搭檔就是 JWT 了,兩者的集成文章網(wǎng)絡(luò)上也很多,大家可以自行集成.因?yàn)槠蛴胁簧俅a省略了,需要的可以參考參考項(xiàng)目代碼
文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請(qǐng)注明本文地址:http://m.specialneedsforspecialkids.com/yun/67598.html
摘要:框架具有輕便,開源的優(yōu)點(diǎn),所以本譯見構(gòu)建用戶管理微服務(wù)五使用令牌和來實(shí)現(xiàn)身份驗(yàn)證往期譯見系列文章在賬號(hào)分享中持續(xù)連載,敬請(qǐng)查看在往期譯見系列的文章中,我們已經(jīng)建立了業(yè)務(wù)邏輯數(shù)據(jù)訪問層和前端控制器但是忽略了對(duì)身份進(jìn)行驗(yàn)證。 重拾后端之Spring Boot(四):使用JWT和Spring Security保護(hù)REST API 重拾后端之Spring Boot(一):REST API的搭建...
摘要:下一代服務(wù)端開發(fā)下一代服務(wù)端開發(fā)第部門快速開始第章快速開始環(huán)境準(zhǔn)備,,快速上手實(shí)現(xiàn)一個(gè)第章企業(yè)級(jí)服務(wù)開發(fā)從到語言的缺點(diǎn)發(fā)展歷程的缺點(diǎn)為什么是產(chǎn)生的背景解決了哪些問題為什么是的發(fā)展歷程容器的配置地獄是什么從到下一代企業(yè)級(jí)服務(wù)開發(fā)在移動(dòng)開發(fā)領(lǐng)域 《 Kotlin + Spring Boot : 下一代 Java 服務(wù)端開發(fā) 》 Kotlin + Spring Boot : 下一代 Java...
摘要:在逐步開發(fā)過程中,發(fā)現(xiàn)自己需求,用戶使用,頁面樣式,做得都不是很好。希望很和牛逼的人合作,一齊完善這個(gè)項(xiàng)目,能讓它變成可以使用的產(chǎn)品。自己也可以在此不斷學(xué)習(xí),不斷累計(jì)新的知識(shí),慢慢變強(qiáng)起來。 showImg(https://segmentfault.com/img/bVboKz5);#### 這一個(gè)什么項(xiàng)目 ##### 使用技術(shù) Spring MVC Spring Security ...
摘要:負(fù)載均衡組件是一個(gè)負(fù)載均衡組件,它通常和配合使用。和配合,很容易做到負(fù)載均衡,將請(qǐng)求根據(jù)負(fù)載均衡策略分配到不同的服務(wù)實(shí)例中。和配合,在消費(fèi)服務(wù)時(shí)能夠做到負(fù)載均衡。在默認(rèn)的情況下,和相結(jié)合,能夠做到負(fù)載均衡智能路由。 2.2.1 簡(jiǎn)介 Spring Cloud 是基于 Spring Boot 的。 Spring Boot 是由 Pivotal 團(tuán)隊(duì)提供的全新 Web 框架, 它主要的特點(diǎn)...
摘要:截至年月日,將網(wǎng)站標(biāo)記為不安全。管理密碼使用密碼哈希以純文本格式存儲(chǔ)密碼是最糟糕的事情之一。是中密碼哈希的主要接口,如下所示提供了幾種實(shí)現(xiàn),最受歡迎的是和。 Spring Boot大大簡(jiǎn)化了Spring應(yīng)用程序的開發(fā)。它的自動(dòng)配置和啟動(dòng)依賴大大減少了開始一個(gè)應(yīng)用所需的代碼和配置量,如果你已經(jīng)習(xí)慣了Spring和大量XML配置,Spring Boot無疑是一股清新的空氣。 Spring ...
閱讀 3136·2021-09-22 15:50
閱讀 3338·2021-09-10 10:51
閱讀 3153·2019-08-29 17:10
閱讀 2926·2019-08-26 12:14
閱讀 1842·2019-08-26 12:00
閱讀 956·2019-08-26 11:44
閱讀 657·2019-08-26 11:44
閱讀 2826·2019-08-26 11:41
