写在前面

思考:为什么需要鉴权呢?

系统开发好上线后,API接口会暴露在互联网上会存在一定的安全风险,例如:爬虫、恶意访问等。因此,我们需要对非开放API接口进行用户鉴权,鉴权通过之后再允许调用。

准备

spring-boot:2.1.4.RELEASE

spring-security-oauth2:2.3.3.RELEASE(如果要使用源码,不要随意改动这个版本号,因为2.4往上的写法不一样了)

mysql:5.7

效果展示

这边只用了postman做测试,暂时未使用前端页面来对接,下个版本角色菜单权限分配的会有页面的展示

1、访问开放接口 http://localhost:7000/open/hello

2、不带token访问受保护接口 http://localhost:7000/admin/user/info

3、登录后获取token,带上token访问,成功返回了当前的登录用户信息

实现

oauth2一共有四种模式,这边就不做讲解了,网上搜一搜,千篇一律

因为现在只考虑做单方应用的,所以使用的是密码模式。

后面会出一篇SpringCloud+Oauth2的文章,网关鉴权

讲一下几个点吧

1、拦截器配置动态权限

新建一个 MySecurityFilter类,继承AbstractSecurityInterceptor,并实现Filter接口

初始化,自定义访问决策管理器

@PostConstruct

 public void init(){

        super.setAuthenticationManager(authenticationManager);

        super.setAccessDecisionManager(myAccessDecisionManager);

  }

自定义 过滤器调用安全元数据源

@Override

public SecurityMetadataSource obtainSecurityMetadataSource() {

    return this.mySecurityMetadataSource;

}

先来看一下自定义过滤器调用安全元数据源的核心代码

以下代码是用来获取到当前请求进来所需要的权限(角色)

/**

     * 获得当前请求所需要的角色

     * @param object

     * @return

     * @throws IllegalArgumentException

     */

    @Override

    public Collection<ConfigAttribute> getAttributes(Object object) throws IllegalArgumentException {

        String requestUrl = ((FilterInvocation) object).getRequestUrl();

        if (IS_CHANGE_SECURITY) {

            loadResourceDefine();

        }

        if (requestUrl.indexOf("?") > -1) {

            requestUrl = requestUrl.substring(0, requestUrl.indexOf("?"));

        }

        UrlPathMatcher matcher = new UrlPathMatcher();

        List<Object> list = new ArrayList<>();  //无需权限的,直接返回

        list.add("/oauth/**");

        list.add("/open/**");

        if(matcher.pathsMatchesUrl(list,requestUrl))

            return null;

        Set<String> roleNames = new HashSet();

        for (Resc resc: resources) {

            String rescUrl = resc.getResc_url();

            if (matcher.pathMatchesUrl(rescUrl, requestUrl)) {

                if(resc.getParent_resc_id() != null && resc.getParent_resc_id().intValue() == 1){   //默认权限的则只要登录了,无需权限匹配都可访问

                    roleNames = new HashSet();

                    break;

                }

                Map map = new HashMap();

                map.put("resc_id", resc.getResc_id());

                // 获取能访问该资源的所有权限(角色)

                List<RoleRescDTO> roles = roleRescMapper.findAll(map);

                for (RoleRescDTO rr : roles)

                    roleNames.add(rr.getRole_name());

            }

        }

        Set<ConfigAttribute> configAttributes = new HashSet();

        for(String roleName:roleNames)

            configAttributes.add(new SecurityConfig(roleName));

        log.debug("【所需的权限(角色)】:" + configAttributes);

        return configAttributes;

    }

再来看一下自定义访问决策管理器核心代码,这段代码主要是判断当前登录用户(当前登录用户所拥有的角色会在最后一项写到)是否拥有该权限角色

@Override

    public void decide(Authentication authentication, Object o, Collection<ConfigAttribute> configAttributes) throws AccessDeniedException, InsufficientAuthenticationException {

        if(configAttributes == null){   //属于白名单的,不需要权限

            return;

        }

        Iterator<ConfigAttribute> iterator = configAttributes.iterator();

        while (iterator.hasNext()){

            ConfigAttribute configAttribute = iterator.next();

            String needPermission = configAttribute.getAttribute();

            for (GrantedAuthority ga: authentication.getAuthorities()) {

                if(needPermission.equals(ga.getAuthority())){   //有权限,可访问

                    return;

                }

            }

        }

        throw new AccessDeniedException("没有权限访问");

    }

2、自定义鉴权异常返回通用结果

为什么需要这个呢,如果不配置这个,对于前端,后端来说都很难去理解鉴权失败返回的内容,还不能统一解读,废话不多说,先看看不配置和配置了的返回情况

(1)未自定义前,没有携带token去访问受保护的API接口时,返回的结果是这样的

(2)我们规定一下,鉴权失败的接口返回接口之后,变成下面这种了,是不是更利于我们处理和提示用户

好了,来看一下是在哪里去配置的吧

我们资源服务器OautyResourceConfig,重写下下面这部分的代码,来自定义鉴权异常返回的结果

大伙可以参考下这个 https://blog.csdn.net/Pastxu/article/details/124538364

@Override

    public void configure(ResourceServerSecurityConfigurer resources) throws Exception {

        resources.authenticationEntryPoint(authenticationEntryPoint)    //token失效或没携带token时

                .accessDeniedHandler(requestAccessDeniedHandler);   //权限不足时

    }

3、获取当前登录用户

第一种:使用JWT携带用户信息,拿到token后再解析

暂不做解释

第二种:写一个SecurityUser实现UserDetails接口(这个工程中使用的是这一种)

原来的只有UserDetails接口只有username和password,这里我们加上我们系统中的User

protected User user;

    public SecurityUser(User user) {

        this.user = user;

    }

    public User getUser() {

        return user;

    }

在BaseController,每个Controller都会继承这个的,在里面写给getUser()的方法,只要用户带了token来访问,我们可以直接获取当前登录用户的信息了

protected User getUser() {

        try {

            SecurityUser userDetails = (SecurityUser) SecurityContextHolder.getContext().getAuthentication()

                    .getPrincipal();

            User user = userDetails.getUser();

            log.debug("【用户:】:" + user);

            return user;

        } catch (Exception e) {

        }

        return null;

    }

那么用户登录成功后,如何去拿到用户的角色集合等呢,这里面就要实现UserDetailsService接口了

@Service

public class TokenUserDetailsService implements UserDetailsService{

    @Autowired

    private LoginService loginService;

    @Override

    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

        User user = loginService.loadUserByUsername(username);  //这个我们拎出来处理

        if(Objects.isNull(user))

            throw new UsernameNotFoundException("用户名不存在");

        return new SecurityUser(user);

    }

}

然后在我们的安全配置类中设置UserDetailsService为上面的我们自己写的就行

@Override

    protected void configure(AuthenticationManagerBuilder auth) throws Exception {

        auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder());

    }

最后我们只需要在loginService里面实现我们的方法就好,根据我们的实际业务处理判断该用户是否存在等

@Override

    public User loadUserByUsername(String username){

        log.debug(username);

        Map map = new HashMap();

        map.put("username",username);

        map.put("is_deleted",-1);

        User user = userMapper.findByUsername(map);

        if(user != null){

            map = new HashMap();

            map.put("user_id",user.getUser_id());

            //查询用户的角色

            List<UserRoleDTO> userRoles = userRoleMapper.findAll(map);

            user.setRoles(listRoles(userRoles));

            //权限集合

            Collection<? extends GrantedAuthority> authorities = merge(userRoles);

            user.setAuthorities(authorities);

            return user;

        }

        return null;

    }

 

大功告成啦,赶紧动起手来吧!

附上源码地址:https://gitee.com/jae_1995/spring-boot-oauth2

数据库文件在这

点个小赞呗

SpringBoot整合SpringSecurityOauth2实现鉴权-动态权限的更多相关文章

  1. SpringBoot整合SpringSecurity示例实现前后分离权限注解

    SpringBoot 整合SpringSecurity示例实现前后分离权限注解+JWT登录认证 作者:Sans_ juejin.im/post/5da82f066fb9a04e2a73daec 一.说 ...

  2. SpringBoot整合Shiro实现基于角色的权限访问控制(RBAC)系统简单设计从零搭建

    SpringBoot整合Shiro实现基于角色的权限访问控制(RBAC)系统简单设计从零搭建 技术栈 : SpringBoot + shiro + jpa + freemark ,因为篇幅原因,这里只 ...

  3. SpringBoot整合spring-security-oauth2完整实现例子

    SpringBoot整合spring-security-oauth2完整实现例子 技术栈 : springboot + spring-security + spring-oauth2 + mybati ...

  4. SpringBoot系列: Web应用鉴权思路

    ==============================web 项目鉴权============================== 主要的鉴权方式有:1. 用户名/密码鉴权, 然后通过 Sess ...

  5. SpringBoot使用token简单鉴权

    本文使用SpringBoot结合Redis进行简单的token鉴权. 1.简介 刚刚换了公司,所以最近有些忙碌,所以一直没有什么产出,最近朋友问我登录相关的,所以这里先写一篇简单使用token鉴权的文 ...

  6. springboot整合security实现基于url的权限控制

    权限控制基本上是任何一个web项目都要有的,为此spring为我们提供security模块来实现权限控制,网上找了很多资料,但是提供的demo代码都不能完全满足我的需求,因此自己整理了一版. 在上代码 ...

  7. Springboot 整合ApachShiro完成登录验证和权限管理

    1.前言 做一个系统最大的问题就是安全问题以及权限的问题,如何正确的选择一个安全框架对自己的系统进行保护,这方面常用的框架有SpringSecurity,但考虑到它的庞大和复杂,大多数公司还是会选择 ...

  8. Spring Security入门(3-6)Spring Security 的鉴权 - 自定义权限前缀

  9. 凭借SpringBoot整合Neo4j,我理清了《雷神》中错综复杂的人物关系

    原创:微信公众号 码农参上,欢迎分享,转载请保留出处. 哈喽大家好啊,我是Hydra. 虽然距离中秋放假还要熬过漫长的两天,不过也有个好消息,今天是<雷神4>上线Disney+流媒体的日子 ...

随机推荐

  1. 时间篇之centos6下修复的ntp操作(ntpd和ntpdate两个服务区别)

    系统采样,本采样和命令都是在centos6.4的系统中进行 主要比较centos7和centos6之间的差异,因为大部分都开始采用centos7但是有些老系统还采用centos6,这样我们就需要熟悉c ...

  2. 小程序容器助力打造企业超级App

    阿拉丁研究院发布<2021 年度小程序互联网发展白皮书>显示,2021 年全网小程序数量已超 700 万,其中微信小程序开发者突破 300 万,DAU 超过 4.5 亿:日均使用次数同比增 ...

  3. 『现学现忘』Git基础 — 2、Git和SVN的区别

    1.Git和SVN的区别 (1)SVN(集中式版本管理系统) 集中式的版本控制系统都有一个单一的集中管理的服务器,保存所有文件的修订版本,而协同工作的人们都通过客户端连到这台服务器,取出最新的文件或者 ...

  4. C++篇:第八章_类_知识点大全

    C++篇为本人学C++时所做笔记(特别是疑难杂点),全是硬货,虽然看着枯燥但会让你收益颇丰,可用作学习C++的一大利器 八.类 (一)类的概念与规则 "子类"和"子类型& ...

  5. php第一次实验个人博客网站的设计编写①

    先上效果图: 网页代码:index.html <!DOCTYPE html> <html lang="en"> <head>     <m ...

  6. ES 文档与索引介绍

    在之前的文章中,介绍了 ES 整体的架构和内容,这篇主要针对 ES 最小的存储单位 - 文档以及由文档组成的索引进行详细介绍. 会涉及到如下的内容: 文档的 CURD 操作. Dynamic Mapp ...

  7. 开发一款让我们慢慢变好的微信小程序

    1. 前言 朋友,你还记得你想学编程最初的目的是什么吗? 先说说我的吧,我最初想学编程的目的只有一点,感觉编程很酷,会写代码的人很厉害!.随着后面参加工作,我马上产生了让我能够在编程这条路上继续走下去 ...

  8. python数据可视化-matplotlib入门(5)-饼图和堆叠图

    饼图常用于统计学模块,画饼图用到的方法为:pie( ) 一.pie()函数用来绘制饼图 pie(x, explode=None, labels=None, colors=None, autopct=N ...

  9. 服务器BIOS和BMC等知识详解

    一个执着于技术的公众号 引言:以BIOS为核心的固件产业,是信创产业链的重要组成部分,可被誉为信创产业的"山海关".在计算机体系中,BIOS 有着比操作系统更为底层和基础性的作用, ...

  10. Spring Authorization Server 实现授权中心

    Spring Authorization Server 实现授权中心 源码地址 当前,Spring Security 对 OAuth 2.0 框架提供了全面的支持.Spring Authorizati ...