Spring Security权限注解启动及逻辑处理使用示例
更新时间:2023年07月20日 08:57:09 作者:朱永胜
这篇文章主要为大家介绍了Spring Security权限注解启动及逻辑处理使用示例,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步,早日升职加薪
启用注解
@EnableGlobalMethodSecurity(prePostEnabled = true)
正常启用开启那个注解就行,下面放下我的配置
package com.fedtech.sys.provider.config.config;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.data.redis.connection.RedisConnectionFactory;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableResourceServer;
import org.springframework.security.oauth2.config.annotation.web.configuration.ResourceServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configurers.ResourceServerSecurityConfigurer;
import org.springframework.security.oauth2.provider.token.TokenStore;
import org.springframework.security.oauth2.provider.token.store.redis.RedisTokenStore;
import javax.annotation.Resource;
/**
* 资源配置
*
* @author <a href = "mailto:njpkhuan@gmail.com" > huan </a >
* @date 2021/1/13
* @since 1.0.0
*/
@Configuration
@EnableResourceServer
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class ResourceServerConfig extends ResourceServerConfigurerAdapter {
@Resource
RedisConnectionFactory redisConnectionFactory;
@Resource
private TokenStore tokenStore;
@Bean
public TokenStore redisTokenStore() {
return new RedisTokenStore(redisConnectionFactory);
}
@Override
public void configure(ResourceServerSecurityConfigurer resources) {
resources.tokenStore(tokenStore);
}
}角色
/**
* 查询单个用户
*
* @param query {@link UserQuery}
*
* @return com.fedtech.common.util.result.R<com.fedtech.sys.provider.view.UserView>
*
* @author <a href = "mailto:njpkhuan@gmail.com" > huan </a >
* @date 2021/2/20
* @since 1.0.0
*/
@GetMapping("select")
@PreAuthorize("hasAuthority('admin')")
public R<UserView> selectUser(UserQuery query) {
UserDto dto = userService.selectUser(query);
return R.successWithData(userMapper.dto2View(dto));
}权限
默认的是DenyAllPermissionEvaluator,所有权限都拒绝,所以要自定义
自定义处理逻辑
我是把权限放到了自定义的userDetails里面
package com.fedtech.common.model;
import cn.hutool.core.collection.CollUtil;
import lombok.Data;
import lombok.extern.slf4j.Slf4j;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;
import java.util.ArrayList;
import java.util.Collection;
import java.util.List;
import java.util.StringTokenizer;
/**
* 该类返回的是安全的,能够提供给用户看到的信息,即脱敏后的信息
*
* @author <a href = "mailto:njpkhuan@gmail.com" > huan </a >
* @date 2021/1/9
* @since 1.0.0
*/
@Data
@Slf4j
public class SecurityUser implements UserDetails {
private static final long serialVersionUID = 8689435103879098852L;
/**
* 盐
*/
private String salt;
/**
* 用户token
*/
private String token;
/**
* 用户状态
*/
private String status;
/**
* 用户密码
*/
private String password;
/**
* 用户登录账号
*/
private String loginName;
private Long userId;
/**
* 用户角色
*
* @date 2021/1/10
* @since 1.0.0
*/
private List<UserRole> roleList;
/**
* 权限列表
*
* @date 2021/1/11
* @since 1.0.0
*/
private List<UserPermission> permissionList;
/**
* 客户端用户
*
* @param client 客户端
*
* @author <a href = "mailto:njpkhuan@gmail.com" > huan </a >
* @date 2021/1/13
* @since 1.0.0
*/
public SecurityUser(OauthClientDetails client) {
if (client != null) {
password = client.getClientSecret();
loginName = client.getClientId();
String authorities = client.getAuthorities();
StringTokenizer stringTokenizer = new StringTokenizer(authorities, ", ");
roleList = new ArrayList<>();
if (stringTokenizer.hasMoreTokens()) {
UserRole userRole = new UserRole();
userRole.setCode(stringTokenizer.nextToken());
roleList.add(userRole);
}
}
}
/**
* 普通用户
*
* @param user 用户
* @param roleList 角色
* @param permissionList 权限
*
* @author <a href = "mailto:njpkhuan@gmail.com" > huan </a >
* @date 2021/1/13
* @since 1.0.0
*/
public SecurityUser(User user, List<UserRole> roleList, List<UserPermission> permissionList) {
if (user != null) {
salt = user.getSalt();
token = user.getToken();
status = user.getStatus();
password = user.getPassword();
loginName = user.getLoginName();
userId = user.getId();
this.roleList = roleList;
this.permissionList = permissionList;
}
}
@Override
public Collection<? extends GrantedAuthority> getAuthorities() {
Collection<GrantedAuthority> authorities = new ArrayList<>();
if (!CollUtil.isEmpty(roleList)) {
for (UserRole role : roleList) {
SimpleGrantedAuthority authority = new SimpleGrantedAuthority(role.getCode());
authorities.add(authority);
}
}
log.debug("获取到的用户权限:{}", authorities);
return authorities;
}
@Override
public String getPassword() {
return password;
}
@Override
public String getUsername() {
return loginName;
}
@Override
public boolean isAccountNonExpired() {
return true;
}
@Override
public boolean isAccountNonLocked() {
return true;
}
@Override
public boolean isCredentialsNonExpired() {
return true;
}
@Override
public boolean isEnabled() {
return true;
}
}package com.fedtech.common.config;
import cn.hutool.core.collection.CollUtil;
import com.fedtech.common.model.SecurityUser;
import com.fedtech.common.model.UserPermission;
import lombok.extern.slf4j.Slf4j;
import org.apache.commons.lang3.StringUtils;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.access.PermissionEvaluator;
import org.springframework.security.core.Authentication;
import java.io.Serializable;
import java.util.List;
/**
* 自定义权限处理
*
* @author <a href="mailto:njpkhuan@gmail.com" rel="external nofollow" >huan</a>
* @version 1.0.0
* @date 2021/2/26
*/
@Slf4j
@Configuration
public class MyPermissionEvaluator implements PermissionEvaluator {
@Override
public boolean hasPermission(Authentication authentication, Object targetDomainObject, Object permission) {
SecurityUser principal = (SecurityUser) authentication.getPrincipal();
List<UserPermission> permissionList = principal.getPermissionList();
if (CollUtil.isNotEmpty(permissionList)) {
return permissionList.stream().anyMatch(x -> StringUtils.equals(x.getUrl(), (CharSequence) targetDomainObject) &&
StringUtils.equals(x.getCode(), (CharSequence) permission));
}
return false;
}
@Override
public boolean hasPermission(Authentication authentication, Serializable targetId, String targetType, Object permission) {
return false;
}
}使用
/**
* 查询单个用户
*
* @param query {@link UserQuery}
*
* @return com.fedtech.common.util.result.R<com.fedtech.sys.provider.view.UserView>
*
* @author <a href = "mailto:njpkhuan@gmail.com" > huan </a >
* @date 2021/2/20
* @since 1.0.0
*/
@GetMapping("select")
@PreAuthorize("hasPermission('/sys/user/insert','userInsert')")
public R<UserView> selectUser(UserQuery query) {
UserDto dto = userService.selectUser(query);
return R.successWithData(userMapper.dto2View(dto));
}以上就是Spring Security权限注解启动及逻辑处理使用示例的详细内容,更多关于Spring Security权限注解的资料请关注脚本之家其它相关文章!
相关文章
spring mvc中的@PathVariable动态参数详解
这篇文章主要介绍了spring mvc中的@PathVariable动态参数详解,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教2021-11-11
本文主要介绍了Java优先队列 priority queue,优先队列是一种特殊的数据结构队列中每一个元素都被分配到一个优先权值,出队顺序按照优先权值来划分。一般有两种出队顺序高优先权出队或低优先权出队,想了解具体内容的小伙伴可以参考下文内容,希望对你有所帮助2021-12-12
这篇文章主要介绍了关于Java日期工具类的编写,在Java开发中,经常会遇到处理日期相关的数据,那么今天我们来自己写一个工具类,文中有详细的实例代码以及实现思路,需要的朋友可以参考下2023-05-05
本文主要介绍了如何在项目中应用SpringSecurity权限控制,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧2022-06-06
Java String类简单用法实战示例【字符串输出、比较】
这篇文章主要介绍了Java String类简单用法,结合具体实例形式分析了Java使用String类实现字符串的输出和比较功能相关操作技巧,需要的朋友可以参考下2019-07-07
这篇文章主要介绍了java实现稀疏矩阵的压缩与解压 ,把该稀疏矩阵压缩以三元组形式表示并以文件形式保存,再写另一个程序读取文件中的信息把压缩后的三元组还原成原来的稀疏矩阵,需要的朋友可以参考下2022-03-03
Optional是Java实现函数式编程的强劲一步,并且帮助在范式中实现,但是Optional的意义显然不止于此,下面这篇文章主要给大家介绍了关于Jackson处理Optional时遇到问题的解决与分析的相关资料,需要的朋友可以参考下2022-02-02
这篇文章主要为大家介绍了java实现页面多查询条件必选的统一处理思路详解,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步,早日升职加薪2023-06-06
这篇文章主要介绍了JavaEE线程安全定时器模式任务,定时器模式像是一个闹钟定时,在一定时间之后被唤醒并执行某个之前设定好的任务,感兴趣的小伙伴可以参考一下2022-06-06
文章介绍了如何在Spring Cloud环境下使用FeignClient实现负载均衡,通过配置Nacos和FeignClient属性,可以实现服务间的负载均衡调用2024-11-11
最新评论