SpringBoot 2.x 集成SpringSecurity(二)之用户授权

一、基于注解方式用户授权:

 

JSR-250注解:

主要注解

  • @DenyAll 拒绝
  • @RolesAllowed 按角色允许,省略ROLE_前缀
  • @PermitAll 允许

 

1、Spring Security默认是关闭的,需要使用注解开启,代码如下:

package com.jefry.security;

import org.mybatis.spring.annotation.MapperScan;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;

@SpringBootApplication
@EnableGlobalMethodSecurity(jsr250Enabled = true)
@MapperScan("com.jefry.security.mapper")
public class SecurityApplication {

    public static void main(String[] args) {
        SpringApplication.run(SecurityApplication.class, args);
    }

}

 

2、在controller给不同用户增加不同的访问权限,代码如下:

 

package com.jefry.security.controller;

import lombok.extern.slf4j.Slf4j;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;

import javax.annotation.security.RolesAllowed;

@Slf4j
@RestController
public class hello {

    @GetMapping("/demo")
    public String demo() {
        return "Demo";
    }

    @GetMapping("/admin")
    @RolesAllowed("ADMIN")
    public String admin() {
        return "admin";
    }

    @GetMapping("/user")
    @RolesAllowed("USER")
    public String user() {
        return "user";
    }

    @GetMapping("/guest")
    @RolesAllowed("GUEST")
    public String guest() {
        return "guest";
    }
}

 

3、修改UserDetailService,给用户增加授权:

 

package com.jefry.security.service;

import com.jefry.security.entity.UserEntity;
import com.jefry.security.mapper.UserMapper;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.stereotype.Component;


@Component
@Slf4j
public class UserDetailService implements UserDetailsService {

    @Autowired
    private PasswordEncoder passwordEncoder;

    @Autowired
    private UserService userService;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        UserEntity userEntity = userService.loadUsername(username);
        if (userEntity == null) {
            throw new UsernameNotFoundException("账号不存在");
        }
        String password = passwordEncoder.encode(userEntity.getPassword());
        log.info("登录账号:{},密码:{}", username, password);
        return new User(username, password, AuthorityUtils.commaSeparatedStringToAuthorityList("ROLE_USER"));
    }
}

AuthorityUtils.commaSeparatedStringToAuthorityList("ROLE_USER") 就是给用户授于角色:USER,SpringSecurity的角色都需要统一加上ROLE_前缀。

访问http://127.0.0.1:8080/user 可以正常访问 ,/demo也可以正常访问,其它不可以;需要注意下账号授于的角色必须与RolesAllowed里的一致,不然不可以访问的,可以同时授多个角色如:RolesAllowed({"ADMIN","USER"})。

 

securedEnabled注解:

 

主要注解

  • @Secured
  • @Secured 在方法上指定安全性要求

 

可以使用@Secured在方法上指定安全性要求 角色/权限等 只有对应 角色/权限 的用户才可以调用这些方法。 如果有人试图调用一个方法,但是不拥有所需的 角色/权限,那会将会拒绝访问将引发异常。

 

代码示例:

@Secured("ROLE_ADMIN") @Secured({"ROLE_DBA", "ROLE_ADMIN"})

 

 

prePostEnabled注解:

 

主要注解

  • @PreAuthorize 进入方法之前验证授权
  • @PostAuthorize 检查授权方法之后才被执行
  • @PostFilter 在方法执行之后执行,而且这里可以调用方法的返回值,然后对返回值进行过滤或处理或修改并返回
  • @PreFilter 在方法执行之前执行,而且这里可以调用方法的参数,然后对参数值进行过滤或处理或修改

 

你可能感兴趣的:(SpringBoot)