脚本之家 服务器常用软件
快捷导航
您的位置:首页软件编程java → SpringBoot Spring Security权限控制

SpringBoot整合Spring Security实现权限控制的全过程

 更新时间:2026年04月12日 15:05:25   作者:武超杰  
本文介绍了在企业级项目中使用SpringSecurity实现权限控制的方法,包括认证与授权的概念、核心数据模型、SpringSecurity入门搭建、核心配置、数据库认证与密码加密、权限控制方式、用户退出登录配置等,最后,强调了生产环境下的安全配置要求,需要的朋友可以参考下

一、权限控制核心概念

在企业级项目中,认证授权是安全模块的核心:

  • 认证:验证用户身份,确认 “你是谁”,如用户名密码登录、短信验证码登录。
  • 授权:用户认证通过后,分配可访问的资源 / 操作权限,确认 “你能做什么”。

主流 Java 权限框架:Spring Security(Spring 生态原生,功能强大)、Apache Shiro(轻量易用),本文基于 Spring Security 实现权限控制。

二、权限模块数据模型

权限控制依赖 7 张核心数据表,角色表为核心枢纽,用户、权限、菜单均与角色多对多关联:

  1. 用户表t_user:存储用户账号、密码等信息
  2. 角色表t_role:定义角色(如管理员、普通用户)
  3. 权限表t_permission:定义具体操作权限(如新增、删除、查询)
  4. 菜单表t_menu:定义前端可展示菜单
  5. 用户角色关系表t_user_role:用户与角色多对多关联
  6. 角色权限关系表t_role_permission:角色与权限多对多关联
  7. 角色菜单关系表t_role_menu:角色与菜单多对多关联

三、Spring Security 入门搭建

1. 引入 Maven 依赖

<!-- Spring Security启动器 -->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>
<!-- Web依赖 -->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-web</artifactId>
</dependency>

2. 核心过滤器链

Spring Boot 启动时自动加载springSecurityFilterChainFilterChainProxy),包含 15 个核心过滤器,关键过滤器作用:

  • UsernamePasswordAuthenticationFilter:处理用户名密码登录认证
  • FilterSecurityInterceptor:权限校验核心过滤器
  • CsrfFilter:防跨站请求伪造
  • LogoutFilter:处理用户退出登录

四、Spring Security 核心配置

1. 自定义安全配置类

继承WebSecurityConfigurerAdapter,实现匿名资源放行、自定义登录页、认证来源、权限规则配置:

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.builders.WebSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
/**
 * Spring Security核心配置类
 */
@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    private UserService userService;
    /**
     * 配置静态资源匿名放行
     */
    @Override
    public void configure(WebSecurity web) throws Exception {
        // 放行登录页、静态资源、验证码接口
        web.ignoring().antMatchers("/login.html", "/pages/**", "/validateCode/send4Login.do");
    }
    /**
     * 配置认证来源(关联自定义UserService)
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userService).passwordEncoder(passwordEncoder());
    }
    /**
     * 配置HTTP请求安全(登录、授权、退出)
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // 自定义表单登录
        http.formLogin()
                .loginPage("/login.html") // 自定义登录页
                .loginProcessingUrl("/login") // 登录请求接口
                .usernameParameter("username") // 用户名参数
                .passwordParameter("password") // 密码参数
                .defaultSuccessUrl("/index.html"); // 登录成功跳转页
        // 权限配置
        http.authorizeRequests()
                .antMatchers("/pages/b.html").hasAuthority("add") // 需add权限
                .antMatchers("/pages/c.html").hasRole("ADMIN") // 需ADMIN角色
                .anyRequest().authenticated(); // 其余资源需登录
        // 退出登录配置
        http.logout()
                .logoutUrl("/logout") // 退出接口
                .logoutSuccessUrl("/login.html"); // 退出成功跳转页
        // 关闭CSRF防护(前后端分离可关闭)
        http.csrf().disable();
    }
    /**
     * 密码加密器(BCrypt加密)
     */
    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
}

五、数据库认证与密码加密

1. 自定义 UserDetailsService

实现UserDetailsService接口,重写loadUserByUsername方法,从数据库查询用户信息:

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.stereotype.Component;
import java.util.ArrayList;
import java.util.HashMap;
import java.util.Map;

@Component
public class UserService implements UserDetailsService {

    // 模拟数据库用户数据
    private static Map<String, UserInfo> userMap = new HashMap<>();

    @Autowired
    private BCryptPasswordEncoder passwordEncoder;

    // 初始化加密用户数据
    static {
        userMap.put("admin", new UserInfo("admin", new BCryptPasswordEncoder().encode("admin")));
        userMap.put("user", new UserInfo("user", new BCryptPasswordEncoder().encode("123456")));
    }

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        // 从数据库查询用户
        UserInfo userInfo = userMap.get(username);
        if (userInfo == null) {
            throw new UsernameNotFoundException("用户名不存在");
        }

        // 封装权限/角色
        ArrayList<GrantedAuthority> authorities = new ArrayList<>();
        if ("admin".equals(username)) {
            authorities.add(new SimpleGrantedAuthority("add"));
            authorities.add(new SimpleGrantedAuthority("ROLE_ADMIN"));
        }

        // 返回Spring Security规范用户对象
        return new User(userInfo.getUsername(), userInfo.getPassword(), authorities);
    }
}

// 用户实体类
class UserInfo {
    private String username;
    private String password;

    public UserInfo(String username, String password) {
        this.username = username;
        this.password = password;
    }

    // getter/setter
}

2. BCrypt 密码加密

  • 加密:passwordEncoder.encode("明文密码")
  • 匹配:passwordEncoder.matches("明文密码", "加密后密码")
  • 特点:同一密码每次加密结果不同,自带随机盐,安全系数高

六、两种权限控制方式

方式 1:配置类权限控制

HttpSecurity中直接配置 URL 权限规则:

http.authorizeRequests()
        .antMatchers("/pages/b.html").hasAuthority("add") // 需add权限
        .antMatchers("/pages/c.html").hasRole("ADMIN") // 需ADMIN角色
        .anyRequest().authenticated();

方式 2:注解式权限控制

1. 开启注解支持

@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true) // 开启权限注解
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
}

2. 接口添加权限注解

import org.springframework.security.access.prepost.PreAuthorize;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
@RequestMapping("/permission")
public class PermissionController {

    // 需add权限才可访问
    @RequestMapping("/add")
    @PreAuthorize("hasAuthority('add')")
    public String add() {
        return "新增权限验证通过";
    }

    // 需ADMIN角色才可访问
    @RequestMapping("/delete")
    @PreAuthorize("hasRole('ADMIN')")
    public String delete() {
        return "删除权限验证通过";
    }
}

七、用户退出登录

配置退出接口,请求/logout即可自动清除认证信息,跳转至登录页:

http.logout()
        .logoutUrl("/logout") // 退出请求路径
        .logoutSuccessUrl("/login.html"); // 退出成功跳转页

八、总结

  1. Spring Security 通过过滤器链实现认证与授权,配置灵活、功能全面。
  2. 核心配置:匿名资源放行、自定义登录页、数据库认证、BCrypt 加密
  3. 权限控制支持配置类注解两种方式,适配不同业务场景。
  4. 生产环境务必使用密码加密、开启CSRF 防护、精细化权限配置。

以上就是SpringBoot整合Spring Security实现权限控制的全过程的详细内容,更多关于SpringBoot Spring Security权限控制的资料请关注脚本之家其它相关文章!

您可能感兴趣的文章:

相关文章

  • Java执行SQL脚本文件到数据库详解

    Java执行SQL脚本文件到数据库详解

    这篇文章主要为大家详细介绍了Java执行SQL脚本文件到数据库的相关方法,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
    2017-06-06
  • Java十大经典排序算法的实现图解

    Java十大经典排序算法的实现图解

    Java常见的排序算法有:插入排序、希尔排序、选择排序、冒泡排序、归并排序、快速排序、堆排序、基数排序等。本文详解介绍Java十大十大经典排序算法的实现以及图解,需要的可以参考一下
    2022-03-03
  • 详解JAVA设计模式之代理模式

    详解JAVA设计模式之代理模式

    这篇文章主要介绍了JAVA设计模式之代理模式的的相关资料,文中代码非常详细,帮助大家更好的理解和学习,感兴趣的朋友可以了解下
    2020-06-06
  • SpringBoot实现密码安全存储的五种方式小结

    SpringBoot实现密码安全存储的五种方式小结

    项目开发中,密码安全存储是非常关键的一环,作为开发者,我们需要确保用户的密码在存储时被安全地加密,避免因数据泄露而造成严重后果,所以本文给大家介绍了SpringBoot实现密码安全存储的5种方式,需要的朋友可以参考下
    2025-03-03
  • Spring Boot集成教程之异步调用Async

    Spring Boot集成教程之异步调用Async

    在项目中,当访问其他人的接口较慢或者做耗时任务时,不想程序一直卡在耗时任务上,想程序能够并行执行,我们可以使用多线程来并行的处理任务,也可以使用spring提供的异步处理方式@Async。需要的朋友们下面来一起看看吧。
    2018-03-03
  • 在SpringBoot中该如何配置拦截器

    在SpringBoot中该如何配置拦截器

    今天给大家带来的是关于SpringBoot的相关知识,文章围绕在SpringBoot中该如何配置拦截器展开,文中有非常详细的介绍及代码示例,需要的朋友可以参考下
    2021-06-06
  • 使用springboot防止反编译proguard+xjar

    使用springboot防止反编译proguard+xjar

    介绍了三种代码混淆和加密工具的使用方法:ProGuard、Xjar和ClassFinal,ProGuard用于混淆Java字节码,Xjar提供对JAR包内资源的加密和动态解密,而ClassFinal则支持直接加密JAR包或WAR包,通过预研和实际操作
    2024-11-11
  • Nacos启动异常与SpringBoot整合异常的问题及解决

    Nacos启动异常与SpringBoot整合异常的问题及解决

    文章介绍了Nacos启动异常和SpringBoot整合报错的两种问题:启动异常可通过指定启动命令或删除data目录内容解决;整合报错因版本不匹配,需将nacos-discovery升级至2.2.7.RELEASE以适配2.0.3注册中心版本
    2025-08-08
  • Java微信公众平台之群发接口(高级群发)

    Java微信公众平台之群发接口(高级群发)

    这篇文章主要为大家详细介绍了Java微信公众平台之群发接口,高级群发功能,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
    2018-05-05
  • 详解微信开发之access_token之坑

    详解微信开发之access_token之坑

    access_token分类一是普通access_token,二是网页授权access_token。这篇文章主要介绍了详解微信开发之access_token之坑,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
    2018-10-10

最新评论