快速上手Spring Security权限

为什么需要权限管理?

安全性:误操作,人为破坏,数据泄露等

数据隔离:不同权限能看到及操作不同的数据

明确职责:运营,客服等不同角色,等级不同


权限管理的核心是什么?

1.用户-权限:人员少,功能固定,或特别简单的系统

2.RBAC:用户-角色-权限 所有系统都适用



权限框架主要有?

1. Spring Security

2.apache shiro

本博客主要讲Spring Security

Spring Security


主要是认证和验证


Basic 认证:Basic 认证是HTTP 中非常简单的认证方式,因为简单,所以不是很安全,不过仍然非常常用。


Digest 认证:客户端请求资源->服务器返回认证标示->客户端发送认证信息->服务器查验认证,如果成功则继续资源传送,否则直接断开连接。


x.509认证:数字认证


LDAP 认证:LDAP认证是通过WSS3.0加上轻量目录LDAP协议搭建的种认证方式,使用https加密传输,主要用于做文档管理。


From 认证:表单认证




下面使用springboot+Spring Security 实战下


Spring Security实战

1.搭建springbooot环境

https://start.spring.io/ 搭建springboot网站,选择如下两个依赖,我这里使用1.5.6.RELEASE的springboot


搭建好了之后下载下来解压,导入IDEA 中


运行项目,能成功启动即可,如下不报错,就说明这个工程没有问题。



2.只要能登录即可的例子

在主程序DemoApplication中编写两个方法,一个是用来访问主页用(home()),一个是需要登录才能访问(hello()) 
package com.su.demo;


import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.EnableAutoConfiguration;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;


@SpringBootApplication
@RestController
@EnableAutoConfiguration
public class DemoApplication {


    public static void main(String[] args) {
        SpringApplication.run(DemoApplication.class, args);
    }


    @RequestMapping("/")
    public String home() {
        return "您好,主页";
    }


    @RequestMapping("/hello")
    public String hello() {
        return "hello路径";
    }
}
新建一个方法SpringSecurityConfig ,主要是用户进行权限设置的 
package com.su.demo;


import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.builders.WebSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfiguration;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;


/**
 *主要是权限配置
 */
@Configuration
@EnableWebSecurity
public class SpringSecurityConfig extends WebSecurityConfigurerAdapter {
    /**
     * 拦截下面的东西
     *
     * @param http
     * @throws Exception
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/").permitAll() //主路径允许访问
                .anyRequest().authenticated()  //验证
                .and()
                .logout().permitAll() //注销也是运行访问
                .and()
                .formLogin();
        http.csrf().disable();  //关闭csrf() 认证
    }


    /**
     * 不拦截下面这些资源
     *
     * @param web
     * @throws Exception
     */
    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring().antMatchers("/js/**", "/css/**", "/images/**");
    }
}
运行程序,效果:运行**/** 允许访问 ,运行/hello 是需要被拦截的



3.基_于内存的权限设置_

在方法SpringSecurityConfig 中添加代码 
/**
 * 基于内存的验证:不需要用到数据库的情况
 *
 * @param auth
 * @throws Exception
 */
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
    //我们指定一个人这个人的用户:admin 密码:123456  角色:ADMIN
    auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder()).withUser("admin").password(new BCryptPasswordEncoder().encode("123456")).roles("ADMIN");


}

当访问http://localhost:8080/hello我们需要输入存在内存中的用户名密码


4.角色进行拦截

在方法DemoApplication 中添加代码

@EnableGlobalMethodSecurity(prePostEnabled = true)//只有ADMIN 的角色才能访问 

/**
 * 只有ADMIN 的角色才能访问
 * @return
 */
@PreAuthorize("hasRole('ROLE_ADMIN')")//必须用ROLE_xxx  才能识别你是做角色权限
@RequestMapping("/roleAuth")
public String role () {
    return "需要某个权限才能访问";
}

运行,当访问http://localhost:8080/roleAuth时只有角色为ADMIN 的用户才能访问


#春招##内推##实习##面经##Java##社招##技术栈##学习路径#
全部评论
安全是现在大家都比较关注的问题啊
点赞 回复 分享
发布于 2022-05-23 17:40
我主学shiro可以嘛,其他的了解了解
点赞 回复 分享
发布于 2022-06-03 11:55

相关推荐

2024-12-31 12:20
宜春学院 C++
点赞 评论 收藏
分享
2024-12-25 15:48
中国第一拖拖拉机集团有限公司拖拉机学院 Java
点赞 评论 收藏
分享
01-06 21:11
已编辑
门头沟学院 引擎开发
游戏引擎/图形 秋招总结
总结总体下来秋招比较失败,最终没有收获到一个满意offer,但相比于找实习期间,有了更多的过简历和笔试 面试的机会,但是一面总是被刷,基础知识还需要进行巩固,尤其是408的基础以及项目涉及到的图形学基础知识。半路出家去做引擎确实是当时头脑一热 不想继续做Java又想着往游戏靠的人的自然想法,而且在本硕中间还工作过,不知道会不会因为这个备卡,但已经在这条路上了还是希望能继续走下去,或者拓宽下可以选择的渠道。目前做过UE引擎开发 opengl开发 一点vulkan c++基础 ,研究生前干了2年java,现在还找了个opengl开发的实习先干着,写论文准备准备春招了,自己打算再看下之前做java...
查看51道真题和解析
点赞 评论 收藏
分享
2024-12-27 15:55
江西农业大学 Java
点赞 评论 收藏
分享
2024-12-25 15:49
已编辑
四川大学 Java
2个半月抢救版Java后端学习路线
不要再看网上误导人的路线了 现在12月份了,26届的同学在跃跃欲试找实习,25届的同学在抓住最后一根救命稻草,疯狂准备春招。 而还有很多同学因为考研或临时转方向的原因,都还没怎么学,心里着急哇  现在距离春招或暑期只有 3 个月左右时间,而考完研距离春招只有 2 个月时间,在这么短的时间内,如何把 Java 后端技术栈拿下? 网上有很多的学习路线和免费的教学视频,但这些学习路线和教学视频,我举得对于初学者或者着急找工作的都是直接劝退的。 比如尚硅谷学习路线,大家看一下 里面的技术不能说不好,但是对于校招来说,如果你时间很充足,那么做完 springboot 的项...
藏剑天涯:我当初还看了韩顺平呢 光java就看了俩月,后面边实习边看各种技术,用了一年多才看完
牛客创作赏金赛
点赞 评论 收藏
分享
评论
7
6
分享

全站热榜

更多

创作者周榜

更多
正在热议
更多
# 我的2024牛客高光时刻 #
99518次浏览 1551人参与
# 机械人,你的秋招第一份简历被谁挂了 #
121180次浏览 1887人参与
# 客路2025全球产研实习生招聘 #
73583次浏览 263人参与
# 被同事甩锅了怎么办 #
15904次浏览 90人参与
# 通信/硬件公司求职体验 #
89114次浏览 728人参与
# 你的秋招第一场笔试是哪家 #
50310次浏览 587人参与
# 虾皮求职进展汇总 #
186187次浏览 1223人参与
# AI了,我在打一种很新的工 #
35572次浏览 764人参与
# 以前保安读大学现在毕业做保安 #
3711次浏览 22人参与
# 如果校招重来我最想改变的是 #
201125次浏览 2457人参与
# 机械制造面试记录 #
167338次浏览 2004人参与
# 你认为工作的意义是什么 #
83534次浏览 703人参与
# 机械人,签完三方你在忙什么? #
39569次浏览 191人参与
# 研究所VS国企,该如何选 #
147640次浏览 1576人参与
# 国央企笔面经互助 #
102361次浏览 957人参与
# 求职你最看重什么? #
35601次浏览 202人参与
# 工作压力大怎么缓解 #
52466次浏览 827人参与
# 面试时被问的最奇葩的问题 #
10021次浏览 75人参与
# 面试中,你被问过哪些奇葩问题? #
52955次浏览 631人参与
# 你今年的保底offer是哪家 #
30466次浏览 241人参与
# 应届生初入职场,求建议 #
152957次浏览 2276人参与
牛客网
牛客企业服务