SpringSecurity(二)——授权实现

一、授权基本思路

在SpringSecurity中,会使用默认的FilterSecurityInterceptor来进行权限校验。在 FilterSecurityInterceptor中会从SecurityContextHolder获取其中的Authentication,然后获取其中的 权限信息。当前用户是否拥有访问当前资源所需的权限。

所以我们在项目中只需要把当前登录用户的权限信息也存入Authentication。然后设置我们的资源所需 要的权限即可

二、实现过程

(1)开启相关配置

java 复制代码
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig{
    .....
}

然后就可以使用对应的注解。@PreAuthorize在各接口

java 复制代码
@RestController
public class HelloController {

     @RequestMapping("/hello")
     @PreAuthorize("hasAuthority('test')")
     public String hello(){
         return "hello";
     }
 }

(2)自定义LoginUser,封装权限信息

我们之前定义了UserDetails的实现类LoginUser,想要让其能封装权限信息就要对其进行修改。

java 复制代码
@Data
@NoArgsConstructor
public class LoginUser implements UserDetails{

    private User user;

    //查询到的权限列表
    private List<String> list;

    public LoginUser(User user, List<String> list) {
        this.list = list;
        this.user = user;
    }

    //自定义一个权限列表的集合  中转操作
    @JSONField(serialize = false)
    List<SimpleGrantedAuthority> authorities;

    //返回权限
    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        if (authorities != null) {
            return authorities;
        }

        authorities = new ArrayList<>();
        for (String item : list) {
            SimpleGrantedAuthority authority = new SimpleGrantedAuthority(item);
            authorities.add(authority);
        }
        return authorities;
    }

    //获取密码
    @Override
    public String getPassword() {
        return user.getPassword();
    }

    //获取用户名
    @Override
    public String getUsername() {
        return user.getUserName();
    }

    //判断账号是否未过期
    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    //判断账号是否没有锁定
    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    //判断账号是否没有超时
    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    //判断账号是否可用
    @Override
    public boolean isEnabled() {
        return true;
    }

}

(3)从数据库查询权限信息

RBAC模型

我们可以在UserDetailsServiceImpl中去调用该mapper的方法查询权限信息封装到LoginUser对象 中即可。

java 复制代码
@Service
public class UserDetailServiceImpl implements UserDetailsService {

    @Autowired
    private UserMapper userMapper;

    @Autowired
    private MenuMapper menuMapper;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        //1.查询用户信息
        QueryWrapper<User> queryWrapper = new QueryWrapper<>();
        queryWrapper.eq("user_name", username);
        User user = userMapper.selectOne(queryWrapper);
        //如果没有查询到用户,就抛出异常
        if (Objects.isNull(user)) {
            throw new RuntimeException("用户名或密码错误");
        }

        //2.查询用户对应的权限信息
//        List<String> list = new ArrayList<>();
//        list.add("select");
//        list.add("delete");
        List<String> list =  menuMapper.selectPermsByUserId(user.getId());

        //3.返回UserDetails对象
        return new LoginUser(user, list);
    }
}
相关推荐
DokiDoki之父3 分钟前
前端速通—CSS篇
前端·css
pixle06 分钟前
Web大屏适配终极方案:vw/vh + flex + clamp() 完美组合
前端·大屏适配·vw/vh·clamp·终极方案·web大屏
ssf198712 分钟前
前后端分离项目前端页面开发远程调试代理解决跨域问题方法
前端
@PHARAOH12 分钟前
WHAT - 前端性能指标(加载性能指标)
前端
艾菜籽14 分钟前
Spring MVC入门补充2
java·spring·mvc
尘世中一位迷途小书童18 分钟前
🎨 SCSS 高级用法完全指南:从入门到精通
前端·css·开源
非凡ghost22 分钟前
火狐浏览器(Firefox)tete009 Firefox 多语便携版
前端·firefox
文心快码BaiduComate23 分钟前
文心快码Comate3.5S更新,用多智能体协同做个健康管理应用
前端·人工智能·后端
艾莉丝努力练剑23 分钟前
【C++STL :stack && queue (一) 】STL:stack与queue全解析|深入使用(附高频算法题详解)
linux·开发语言·数据结构·c++·算法
爆更小哇24 分钟前
统一功能处理
java·spring boot