SpringBoot集成SpringSecurity实现方法级权限控制

最新推荐文章于 2025-06-17 04:16:51 发布
原创 最新推荐文章于 2025-06-17 04:16:51 发布 · 658 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring boot #java #spring

本文介绍了如何在项目中通过Security框架实现方法级别的权限控制,包括用户登录验证、使用token获取权限、PreAuthorize注解的应用,以及权限验证的具体流程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

最近项目需求是想在项目中加入方法级别的权限控制,让有权限的用户访问指定方法。其实方法有很多,但是我们项目中使用的用户登录校验授权的框架是Security,所以直接使用这个安全框架中的方法权限功能。

首先你项目中要使用security这个安全框架去实现用户的登录及授权功能。用户登录完成之后,用户的数据会被保存在authentication全局上下文中。可以调用这个对象中的principal,强转为用户对象就可以直接拿到用户信息,如果用户信息保存到security中就很方便的实现方法级权限。

第一步:使用token获取用户所拥有的权限。

public LoginUser getLoginUserByToken(String token)
    {
        // 获取请求携带的令牌
        if (StringUtils.isNotEmpty(token))
        {
            try
            {
                Claims claims = parseToken(token);
                // 解析对应的权限以及用户信息
                String uuid = (String) claims.get("login_user_key");
                String userKey = getTokenKey(uuid);
                LoginUser user = redisUtils.get(userKey, LoginUser.class);
                return user;
            }
            catch (Exception e)
            {
            }
        }
        return null;
    }

用户的信息是保存在redis中,而security中保存的是用户基本信息,所以我们使用token,解析token,拼接正确的redis的key然后获取用户信息,此时返回的user中就会有该用户的基本权限字段。

public List<GrantedAuthority> getAuthentication(String token) {
        // 权限集合
        List<GrantedAuthority> authorities = new ArrayList<>();
        LoginUser user = tokenService.getLoginUserByToken(token);
        // 添加基于Permission的权限信息
        for (String permission : user.getPermissions()) {
            authorities.add(new SimpleGrantedAuthority(permission));
        }
        return authorities;
    }

将返回的权限集合添加到authorities的集合中,再讲这个list设置给

UsernamePasswordAuthenticationToken
List<GrantedAuthority> authentication = this.getAuthentication(token);
            UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(loginUser, null, authentication);

配置好之后,想在哪个方法上进行权限验证,加上注解即可实现

@GetMapping("getById") 
  @PreAuthorize("hasAnyAuthority('trainPlan:trainCourseTestDetails:view','trainPlan:trainCourseTestDetails:edit')")
    public void getById(Integer id) {

        System.out.println("测试成功");
    }
@PreAuthorize和hasAnyAuthority是security中自带的权限验证的注解,原理很简单,就是单纯的验证用户权限字符串中是否包含方法上的权限。

比如:这是前端需要权限校验的按钮,对接后台controller中的insert方法

<el-button v-if="hasPermission('bom:mainbom:mesBom:add')" type="primary" size="small"
						icon="el-icon-plus" @click="add()">新建</el-button>

前端在工具类中需要写入一个组件,目的就是获取登录用的权限字符串,然后对比,对比成功这个按钮就显示出来了,这样前端也相当于做了一个验证,没有权限的用户连这个按钮都看不到,组件如下:

export function hasPermission(key) {
  console.log(this.$store.state.userInfo);
  return (this.$store.state.userInfo.permissions || '[]').indexOf(key) !== -1 || false
}

当用户点新增按钮的时候后端的security就会从authentication中拿到用户的权限集合,然后判断用户的权限集合中是否在方法注解中的权限集合中存在,存在即可访问对应方法。注解中还有很多的其他类型注解,代表的意思都不一样,可根据场景选择。你也可以自定义注解去实现,百度上的方法有很多。

多余丿
关注
SpringBoot集成Security实现权限控制
weixin_55347789的博客
02-01 1368
主要有两个主要功能:“认证”,是建立一个他声明的主体的过程(一个“主体”一般是指用户,设备或一些可以在你的应用程序中执行动作的其他系统),通俗点说就是系统认为用户是否能登录。一般在拦截器中进行拦截用户信息进行认证。“授权"指确定一个主体是否允许在你的应用程序执行一个动作的过程,一般是在Security中进行接口权限配置,查看用户是否具有对应接口权限。通俗点讲就是系统判断用户是否有权限去做某些事情。相应语法:.successForwardUrl()登录成功后跳转地址.loginPage()登录页面。
Spring Boot实践 | 利用Spring Security快速实现权限控制
好记性不如烂笔头
06-12 1125
目录 开始之前 快速开始 使用内存签名服务 使用数据库签名服务 使用自定义签名服务 限制请求 强制使用HTTPS 防止跨站点伪造请求 用户认证功能 在java web工程中,一般使用Servlet过滤器(Filter)对于请求进行拦截,然后在Filter中通过自己的验证逻辑来决定是否放行请求。基于这一原理,常用的SpringMVC实现了自己的拦截器,同样的,Spring Sec...
Spring Boot + Spring Security + 自定义注解实现数据权限控制(含前后端代码)
最新发布
ldwtxwh的专栏
06-17 981
*** 租户字段名(默认tenant_id)*//*** 部门字段名(默认dept_id)*//*** 用户字段名(默认user_id)*//*** 数据范围类型*//*** 额外过滤条件*/// 数据范围枚举ALL, // 所有数据TENANT, // 当前租户DEPT, // 当前部门DEPT_AND_SUB, // 当前部门及子部门SELF, // 仅自己数据CUSTOM // 自定义条件2.2.2 字段权限注解/*** 角色类型。
Spring Boot 中使用 Spring Security 实现安全访问权限管理:详尽指南
一杯梅子酱的博客
07-02 2190
为了更细致地控制安全策略,我们可以创建一个配置类,扩展。Java47 auth10 .and()12 }1314 @Bean17 }1825 .and()27 .and()29 }30}如果你希望使用自定义的登录页面,可以通过以下配置:Java2 .loginPage("/custom-login") // 自定义登录页面URL3 .loginProcessingUrl("/login") // 处理登录请求的URL。
spring boot —— Spring Security定制权限管理
qq_45947664的博客
08-30 598
Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。提供了完善的认证机制和方法级授权功能。是一款非常优秀的权限管理框架。它的核心是一组过滤。类似于启动spring boot项目后,会先验证,如果没有登陆,会跳转到框架默认登录页面(封装好的,不用自己写)如果没有配置登录用户,那么终端会自动生成用户并打印随机生成的用户密码,如果有配置,就不会生成。...
Spring BootSpring Security的整合
聚娃科技开发者博客
07-12 1110
Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架,它是基于Spring框架的一个扩展,专注于为Java应用程序提供身份验证和授权功能。在现代Web应用中,安全性是至关重要的一环,Spring Security能够帮助我们轻松地集成各种认证机制和授权策略,保护应用程序免受恶意攻击和数据泄露。通过本文的介绍,我们学习了如何在Spring Boot应用中集成Spring Security,并实现基本的用户认证和授权功能。确保用户能够按预期访问和操作受保护的资源。
SpringBoot集成Spring Security实现权限控制【完整源码+数据库】
02-16
SpringBoot集成Spring Security是现代Java应用中常见的安全框架组合,它们为开发者提供了强大的权限管理和访问控制功能。Spring Security是一个全面的、高度可配置的安全框架,它涵盖了认证、授权以及会话管理等多个...
【完整源码+数据库】 SpringBoot集成Spring Security实现权限控制
11-05
SpringBoot集成Spring Security是现代Java应用中常见的安全框架组合,它们为开发者提供了强大的权限管理和访问控制功能。Spring Security是一个全面的、高度可配置的安全框架,它涵盖了认证、授权以及会话管理等多个...
SpringBoot集成Spring Security实现角色继承【完整源码+数据库】
02-16
总之,SpringBoot集成Spring Security的角色继承功能为企业级应用提供了灵活的权限管理。通过实践这个示例,不仅可以学习Spring Security的基础,还能掌握如何处理复杂的身份验证和授权场景。对于初学者来说,这是一...
SpringBoot+SpringSecurity整合(实现了登录认证和权限验证)完整案例,基于IDEA项目
02-16
SpringBoot+SpringSecurity整合示例代码,实现了从数据库中获取信息进行登录认证和权限认证。 本项目为idea工程,请用idea2019导入(老版应该也可以)。 本项目用户信息所需sql文件,在工程的resources文件夹下,...
SpringBoot集成Spring security JWT实现接口权限认证 源码
03-24
详细介绍请看博客:https://blog.csdn.net/hyh17808770899/article/details/109733851 源码完全可行,于2022.03.14根据该博客创建,本资源内容包含项目源码、所关联的数据库表,以及postman测试接口JSON文档
Spring Security(16)——基于表达式的权限控制
dotedy的博客
10-16 1971
EL表达式hasPermissionPreFilterPreAuthorizeSpring Security  基于表达式的权限控制 目录 1.1      通过表达式控制URL权限 1.2      通过表达式控制方法权限 1.2.1     使用@PreAuthorize和@PostAuthorize进行访问控制 1.2.2     使用@PreFilter和@Post
springboot 整合 security(四) 方法级权限控制 @resource,@secured,@preAuthorize
TT_QY的博客
10-20 3476
在用户管理中,常常会有针对模块的权限控制,例如客户管理相关的功能只能管理员查看,管理员的操作权限只能给超级管理员等。更加精细的甚至涉及到某个接口,例如查询接口相对权限较宽松,增删改接口相对权限较严谨。 这个时候,就可以在用户登录后注入权限信息,再通过方法上的注解配置,来实现权限控制。 1,在我们的配置类上面加上开启权限控制的注解 里面有三种配置方式,只需开启一种就行,本文演示的是第三种,jsr250Enabled,使用区别在于方法上面的注解方式不一样。 @resource,@secured,@p
Spring Boot】用 Spring Security 实现后台登录及权限认证功能
Code · Cloud · Think · Repeat
08-03 2332
Spring Security 提供了声明式的安全访问控制解决方案(仅支持基于 Spring 的应用程序),对访问权限进行认证和授权,它基于 Spring AOP 和 Servlet 过滤器,提供了安全性方面的全面解决方案。
SpringSecurity权限管理
weixin_73412838的博客
01-07 1567
这个拓展点是整个SpringSecurity的核心部分;在实际开发过程中,最常规的方式是通过覆盖WebSecurityConfigurerAdapter中的protected void configure(HttpSecurity http)方法;通过Http来配置自定义的拦截规则,包含访问控制、界面及逻辑、退出页面及逻辑等;自定义登录http.loginPage()方法配置登录页,http.loginProcesingUrl()方法定制登录逻辑;
SpringBoot集成SpringSecurity从0到1搭建权限管理详细过程(认证+授权
weixin_47316183的博客
05-02 9261
最近工作需要给一个老系统搭建一套权限管理,选用的安全框架是SpringSecurity,基本上是结合业务从0到1搭建了一套权限管理,然后想着可以将一些核心逻辑抽取出来写一个权限通用Demo,特此记录下。
【业务功能篇112】Springboot + Spring Security 权限管理-登录模块开发实战
studyday1的博客
09-21 4098
Component@Override//状态码 401ServletUtils.renderString(response, JSON.toJSONString(BaseResponse.fail(code.toString(),"认证失败,无法访问系统资源")));/*** 用户登录对象**//*** 用户名*//*** 用户密码*//*** 验证码*//*** 唯一标识*/添加permissions属性和构造方法/*** 用户信息。
Spring security 方法级权限控制
山鬼谣的专栏
07-07 2886
环境 springboot:1.5 Intellij IDEA:2021.1 序言 以前只是用到架构师搭好的环境,具体怎么配置,怎么用并不是很清楚; 最近因为项目的原因,研究了下,虽然最终没有用上,但是研究的成果,我得记录下来; 步骤 这里假设已经是springboot项目 依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-st
spingsecurity中haspermission用法以及配置自定义PermissionEvaluator
热门推荐
xmj_0422的博客
08-13 1万+
一、原理剖析 先看一段官方文档对haspermission的描述(文档链接:https://docs.spring.io/spring-security/site/docs/5.2.7.BUILD-SNAPSHOT/reference/htmlsingle/#el-permission-evaluator) 开头的意思是haspermission的注解会委托给PermissionEvaluator接口,而这个接口默认实现是DenyAllPermissionEvaluator(源码如下) 这个类的两个
SpringSecurity授权功能的实现
m0_63624484的博客
07-31 1344
Security:认证 (判断你是平台合法用户)授权(有没有权限访问这个资源)a:b:c我们使用的是自定义的权限表达式 ,也就是说我们的权限用的是a:b:c这种格式来定义权限的,我们在判断权限的时候也是用这种格式来查询是否有对用的权限。SpringSecurity支持表达式:@PreAuthorize 注解的常用参数有:。。。。。。。。。用于判断接口需要的访问权限登录的用户是否拥有/***自定义权限实现,ss取自SpringSecurity首字母*/
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值