準備
spring-boot:2.1.4.RELEASE
spring-security-oauth3:2.3.3.RELEASE(如果要使用原始碼,不要隨意改動這個版本號,因為2.4往上的寫法不一樣了)
mysql:5.7
效果展示
這邊只用了postman做測試,暫時未使用前端頁面來對接,下個版本角色選單權限指派的會有頁面的展示
1、存取開放介面http://localhost:7000/open/hello
2 、不帶token訪問受保護介面http://localhost:7000/admin/user/info
3、登入後取得token,帶上token訪問,成功返回了目前的登入使用者資訊
#oauth3一共有四種模式,這邊就不做講解了,網上搜一搜,千篇一律
因為現在只考慮做單方應用的,所以使用的是密碼模式。
後面會出一篇SpringCloud Oauth3的文章,網關鑑權
來講幾個點吧
1、攔截器配置動態權限
新建一個MySecurityFilter類,繼承AbstractSecurityInterceptor,並實作Filter介面
初始化,自訂存取決策管理器
@PostConstruct
public void init(){
super.setAuthenticationManager(authenticationManager);
super.setAccessDecisionManager(myAccessDecisionManager);
}自訂過濾器呼叫安全元數據來源
@Override
public SecurityMetadataSource obtainSecurityMetadataSource() {
return this.mySecurityMetadataSource;
}先來看看自訂篩選器呼叫安全性元資料來源的核心程式碼
#以下程式碼是用來取得到目前請求進來所需的權限(角色)
/**
* 获得当前请求所需要的角色
* @param object
* @return
* @throws IllegalArgumentException
*/
@Override
public Collection<ConfigAttribute> getAttributes(Object object) throws IllegalArgumentException {
String requestUrl = ((FilterInvocation) object).getRequestUrl();
if (IS_CHANGE_SECURITY) {
loadResourceDefine();
}
if (requestUrl.indexOf("?") > -1) {
requestUrl = requestUrl.substring(0, requestUrl.indexOf("?"));
}
UrlPathMatcher matcher = new UrlPathMatcher();
List<Object> list = new ArrayList<>(); //无需权限的,直接返回
list.add("/oauth/**");
list.add("/open/**");
if(matcher.pathsMatchesUrl(list,requestUrl))
return null;
Set<String> roleNames = new HashSet();
for (Resc resc: resources) {
String rescUrl = resc.getResc_url();
if (matcher.pathMatchesUrl(rescUrl, requestUrl)) {
if(resc.getParent_resc_id() != null && resc.getParent_resc_id().intValue() == 1){ //默认权限的则只要登录了,无需权限匹配都可访问
roleNames = new HashSet();
break;
}
Map map = new HashMap();
map.put("resc_id", resc.getResc_id());
// 获取能访问该资源的所有权限(角色)
List<RoleRescDTO> roles = roleRescMapper.findAll(map);
for (RoleRescDTO rr : roles)
roleNames.add(rr.getRole_name());
}
}
Set<ConfigAttribute> configAttributes = new HashSet();
for(String roleName:roleNames)
configAttributes.add(new SecurityConfig(roleName));
log.debug("【所需的权限(角色)】:" + configAttributes);
return configAttributes;
}再來看一下自訂存取決策管理器核心程式碼,這段程式碼主要是判斷目前登入使用者(目前登入使用者所擁有的角色會在最後一項寫到)是否擁有該權限角色
@Override
public void decide(Authentication authentication, Object o, Collection<ConfigAttribute> configAttributes) throws AccessDeniedException, InsufficientAuthenticationException {
if(configAttributes == null){ //属于白名单的,不需要权限
return;
}
Iterator<ConfigAttribute> iterator = configAttributes.iterator();
while (iterator.hasNext()){
ConfigAttribute configAttribute = iterator.next();
String needPermission = configAttribute.getAttribute();
for (GrantedAuthority ga: authentication.getAuthorities()) {
if(needPermission.equals(ga.getAuthority())){ //有权限,可访问
return;
}
}
}
throw new AccessDeniedException("没有权限访问");
} 2、自訂鑑權異常回傳通用結果
為什麼需要這個呢,如果不配置這個,對於前端,後端來說都很難去理解鑑權失敗回傳的內容,還不能統一解讀,廢話不多說,先看看不配置和配置了的返回情況
(1)未自定義前,沒有攜帶token去訪問受保護的API接口時,返回的結果是這樣的
(2)我們規定一下,鑑權失敗的介面回傳介面之後,變成下面這種了,是不是更利於我們處理和提示使用者
好了,來看看哪裡去設定的吧
我們資源伺服器OautyResourceConfig,重寫下下面這部分的程式碼,來自訂鑑權異常回傳的結果
大夥可以參考下這個https://www.yisu.com/article/131668.htm
@Override
public void configure(ResourceServerSecurityConfigurer resources) throws Exception {
resources.authenticationEntryPoint(authenticationEntryPoint) //token失效或没携带token时
.accessDeniedHandler(requestAccessDeniedHandler); //权限不足时
}
protected User user;
public SecurityUser(User user) {
this.user = user;
}
public User getUser() {
return user;
}在BaseController,每個Controller都會繼承這個的,在裡面寫給getUser()的方法,只要用戶帶了token來訪問,我們可以直接獲取當前登錄用戶的信息了protected User getUser() {
try {
SecurityUser userDetails = (SecurityUser) SecurityContextHolder.getContext().getAuthentication()
.getPrincipal();
User user = userDetails.getUser();
log.debug("【用户:】:" + user);
return user;
} catch (Exception e) {
}
return null;
}那麼用戶登錄成功後,如何去拿到用戶的角色集合等呢,這裡面就要實作UserDetailsService介面了
@Service
public class TokenUserDetailsService implements UserDetailsService{
@Autowired
private LoginService loginService;
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
User user = loginService.loadUserByUsername(username); //这个我们拎出来处理
if(Objects.isNull(user))
throw new UsernameNotFoundException("用户名不存在");
return new SecurityUser(user);
}
}然後在我們的安全設定類別中設定UserDetailsService為上面的我們自己寫的就行
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder());
}最後我們只需要在loginService裡面實現我們的方法就好,根據我們的實際業務處理判斷該用戶是否存在等@Override
public User loadUserByUsername(String username){
log.debug(username);
Map map = new HashMap();
map.put("username",username);
map.put("is_deleted",-1);
User user = userMapper.findByUsername(map);
if(user != null){
map = new HashMap();
map.put("user_id",user.getUser_id());
//查询用户的角色
List<UserRoleDTO> userRoles = userRoleMapper.findAll(map);
user.setRoles(listRoles(userRoles));
//权限集合
Collection<? extends GrantedAuthority> authorities = merge(userRoles);
user.setAuthorities(authorities);
return user;
}
return null;
}資料庫檔案在這
以上是SpringBoot怎麼整合SpringSecurityOauth2實現鑑權動態權限問題的詳細內容。更多資訊請關注PHP中文網其他相關文章!
Java Spring怎么实现定时任务May 24, 2023 pm 01:28 PMjava实现定时任务Jdk自带的库中,有两种方式可以实现定时任务,一种是Timer,另一种是ScheduledThreadPoolExecutor。Timer+TimerTask创建一个Timer就创建了一个线程,可以用来调度TimerTask任务Timer有四个构造方法,可以指定Timer线程的名字以及是否设置为为守护线程。默认名字Timer-编号,默认不是守护线程。主要有三个比较重要的方法:cancel():终止任务调度,取消当前调度的所有任务,正在运行的任务不受影响purge():从任务队
Java axios与spring前后端分离传参规范是什么May 03, 2023 pm 09:55 PM一、@RequestParam注解对应的axios传参方法以下面的这段Springjava代码为例,接口使用POST协议,需要接受的参数分别是tsCode、indexCols、table。针对这个Spring的HTTP接口,axios该如何传参?有几种方法?我们来一一介绍。@PostMapping("/line")publicList
Spring Boot与Spring Cloud的区别与联系Jun 22, 2023 pm 06:25 PMSpringBoot和SpringCloud都是SpringFramework的扩展,它们可以帮助开发人员更快地构建和部署微服务应用程序,但它们各自有不同的用途和功能。SpringBoot是一个快速构建Java应用的框架,使得开发人员可以更快地创建和部署基于Spring的应用程序。它提供了一个简单、易于理解的方式来构建独立的、可执行的Spring应用
Spring 最常用的 7 大类注解,史上最强整理!Jul 26, 2023 pm 04:38 PM随着技术的更新迭代,Java5.0开始支持注解。而作为java中的领军框架spring,自从更新了2.5版本之后也开始慢慢舍弃xml配置,更多使用注解来控制spring框架。
从零开始学Spring CloudJun 22, 2023 am 08:11 AM作为一名Java开发者,学习和使用Spring框架已经是一项必不可少的技能。而随着云计算和微服务的盛行,学习和使用SpringCloud成为了另一个必须要掌握的技能。SpringCloud是一个基于SpringBoot的用于快速构建分布式系统的开发工具集。它为开发者提供了一系列的组件,包括服务注册与发现、配置中心、负载均衡和断路器等,使得开发者在构建微
Java Spring框架创建项目与Bean的存储与读取实例分析May 12, 2023 am 08:40 AM1.Spring项目的创建1.1创建Maven项目第一步,创建Maven项目,Spring也是基于Maven的。1.2添加spring依赖第二步,在Maven项目中添加Spring的支持(spring-context,spring-beans)在pom.xml文件添加依赖项。org.springframeworkspring-context5.2.3.RELEASEorg.springframeworkspring-beans5.2.3.RELEASE刷新等待加载完成。1.3创建启动类第三步,创
Java Spring Bean生命周期管理的示例分析Apr 18, 2023 am 09:13 AMSpringBean的生命周期管理一、SpringBean的生命周期通过以下方式来指定Bean的初始化和销毁方法,当Bean为单例时,Bean归Spring容器管理,Spring容器关闭,就会调用Bean的销毁方法当Bean为多例时,Bean不归Spring容器管理,Spring容器关闭,不会调用Bean的销毁方法二、通过@Bean的参数(initMethod,destroyMethod)指定Bean的初始化和销毁方法1、项目结构2、PersonpublicclassPerson{publicP
spring设计模式有哪些Dec 29, 2023 pm 03:42 PMspring设计模式有:1、依赖注入和控制反转;2、工厂模式;3、模板模式;4、观察者模式;5、装饰者模式;6、单例模式;7、策略模式和适配器模式等。详细介绍:1、依赖注入和控制反转: 这两个设计模式是Spring框架的核心。通过依赖注入,Spring负责管理和注入组件之间的依赖关系,降低了组件之间的耦合度。控制反转则是指将对象的创建和依赖关系的管理交给Spring容器等等。
熱AI工具
Undresser.AI Undress
人工智慧驅動的應用程序,用於創建逼真的裸體照片
AI Clothes Remover
用於從照片中去除衣服的線上人工智慧工具。
Undress AI Tool
免費脫衣圖片
Clothoff.io
AI脫衣器
AI Hentai Generator
免費產生 AI 無盡。
熱門文章
熱工具
Dreamweaver CS6
視覺化網頁開發工具
SecLists
SecLists是最終安全測試人員的伙伴。它是一個包含各種類型清單的集合,這些清單在安全評估過程中經常使用,而且都在一個地方。 SecLists透過方便地提供安全測試人員可能需要的所有列表,幫助提高安全測試的效率和生產力。清單類型包括使用者名稱、密碼、URL、模糊測試有效載荷、敏感資料模式、Web shell等等。測試人員只需將此儲存庫拉到新的測試機上,他就可以存取所需的每種類型的清單。
Safe Exam Browser
Safe Exam Browser是一個安全的瀏覽器環境,安全地進行線上考試。該軟體將任何電腦變成一個安全的工作站。它控制對任何實用工具的訪問,並防止學生使用未經授權的資源。
EditPlus 中文破解版
體積小,語法高亮,不支援程式碼提示功能
mPDF
mPDF是一個PHP庫,可以從UTF-8編碼的HTML產生PDF檔案。原作者Ian Back編寫mPDF以從他的網站上「即時」輸出PDF文件,並處理不同的語言。與原始腳本如HTML2FPDF相比,它的速度較慢,並且在使用Unicode字體時產生的檔案較大,但支援CSS樣式等,並進行了大量增強。支援幾乎所有語言,包括RTL(阿拉伯語和希伯來語)和CJK(中日韓)。支援嵌套的區塊級元素(如P、DIV),
