SpringSecurity(二)——授权实现

每天进步一......2024-10-12 11:14

一、授权基本思路

在SpringSecurity中,会使用默认的FilterSecurityInterceptor来进行权限校验。在 FilterSecurityInterceptor中会从SecurityContextHolder获取其中的Authentication,然后获取其中的 权限信息。当前用户是否拥有访问当前资源所需的权限。

所以我们在项目中只需要把当前登录用户的权限信息也存入Authentication。然后设置我们的资源所需 要的权限即可

二、实现过程

(1)开启相关配置

java 复制代码 
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig{
    .....
}

然后就可以使用对应的注解。@PreAuthorize在各接口

java 复制代码 
@RestController
public class HelloController {

     @RequestMapping("/hello")
     @PreAuthorize("hasAuthority('test')")
     public String hello(){
         return "hello";
     }
 }

(2)自定义LoginUser,封装权限信息

我们之前定义了UserDetails的实现类LoginUser,想要让其能封装权限信息就要对其进行修改。

java 复制代码 
@Data
@NoArgsConstructor
public class LoginUser implements UserDetails{

    private User user;

    //查询到的权限列表
    private List<String> list;

    public LoginUser(User user, List<String> list) {
        this.list = list;
        this.user = user;
    }

    //自定义一个权限列表的集合  中转操作
    @JSONField(serialize = false)
    List<SimpleGrantedAuthority> authorities;

    //返回权限
    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        if (authorities != null) {
            return authorities;
        }

        authorities = new ArrayList<>();
        for (String item : list) {
            SimpleGrantedAuthority authority = new SimpleGrantedAuthority(item);
            authorities.add(authority);
        }
        return authorities;
    }

    //获取密码
    @Override
    public String getPassword() {
        return user.getPassword();
    }

    //获取用户名
    @Override
    public String getUsername() {
        return user.getUserName();
    }

    //判断账号是否未过期
    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    //判断账号是否没有锁定
    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    //判断账号是否没有超时
    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    //判断账号是否可用
    @Override
    public boolean isEnabled() {
        return true;
    }

}

(3)从数据库查询权限信息

RBAC模型

我们可以在UserDetailsServiceImpl中去调用该mapper的方法查询权限信息封装到LoginUser对象 中即可。

java 复制代码 
@Service
public class UserDetailServiceImpl implements UserDetailsService {

    @Autowired
    private UserMapper userMapper;

    @Autowired
    private MenuMapper menuMapper;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        //1.查询用户信息
        QueryWrapper<User> queryWrapper = new QueryWrapper<>();
        queryWrapper.eq("user_name", username);
        User user = userMapper.selectOne(queryWrapper);
        //如果没有查询到用户,就抛出异常
        if (Objects.isNull(user)) {
            throw new RuntimeException("用户名或密码错误");
        }

        //2.查询用户对应的权限信息
//        List<String> list = new ArrayList<>();
//        list.add("select");
//        list.add("delete");
        List<String> list =  menuMapper.selectPermsByUserId(user.getId());

        //3.返回UserDetails对象
        return new LoginUser(user, list);
    }
}
相关推荐
用户5282290301802 小时前
【学习笔记】ECMAScript 词法环境全解析
前端
青青家的小灰灰2 小时前
React 架构进阶:自定义 Hooks 的高级设计模式与最佳实践
前端·react.js·前端框架
Angelial2 小时前
Vite 性能瓶颈排查标准流程
前端
不要秃头啊2 小时前
别再谈提效了:AI 时代的开发范式本质变了
前端·后端·程序员
青青家的小灰灰2 小时前
深入理解事件循环:异步编程的基石
前端·javascript·面试
用泥种荷花2 小时前
【LangChain.js学习】 向量数据库(内存/持久化)
前端
simon_luv_pho3 小时前
一行代码把网页变成 AI Agent?
前端
兆子龙3 小时前
模块联邦(Module Federation)详解:从概念到手把手 Demo
前端·架构
ZFSS3 小时前
Kimi Chat Completion API 申请及使用
前端·人工智能
没想好d3 小时前
通用管理后台组件库-8-表格组件
前端
热门推荐
01GitHub 镜像站点02【OpenClaw 本地实战 Ep.3】突破瓶颈:强制修改 openclaw.json 解锁 32k 上下文记忆03OpenClaw 使用和管理 MCP 完全指南04Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services05Clawdbot部署教程:解决‘gateway token missing’授权问题的完整步骤06AI 规范驱动开发“三剑客”深度对比:Spec-Kit、Kiro 与 OpenSpec 实战指南07OpenClaw + 飞书(Feishu)环境搭建指南08Window 10部署openclaw报错node.exe : npm error code 12809AI Agent 平台横评:ZeroClaw vs OpenClaw vs Nanobot10本地部署 OpenClaw + DeepSeek-R1 完全指南