基于角色的访问控制

建表语句,见 上一篇 的博文,  https://www.cnblogs.com/sdgtxuyong/p/16157870.html

在配置类中,@EnableGlobalMethodSecurity(securedEnabled=true),启用那个级别的认证,就要在控制器中,用哪个注解,否则不起作用。这里是用@Secured,注解。

用户 user 继承自 UserDetails

@Data

@AllArgsConstructor

@NoArgsConstructor

@TableName("sys_user")

public class User  implements UserDetails {

@TableField(exist = false)
private List<Role> roles;

private static final long serialVersionUID = 1L;

@Override
public Collection<? extends GrantedAuthority> getAuthorities() {
    return roles;
}

角色继承自 GrantedAuthority ,这个词,在springsecurity中,代表角色

@Data

@AllArgsConstructor

@NoArgsConstructor

@TableName("sys_role")

public class Role implements GrantedAuthority {

@Override
public String getAuthority() {
    return roleName;
}

@TableField(exist = false)
private List<Permission> permissionList;

dao

userdao中,返回值 封装 roles 类型

@Repository

@Transactional

public interface UserDao extends BaseMapper<User> {

    @Select("select * from sys_user where username = #{username}")

    @Results({

            @Result(id = true, property = "id", column = "id"),

            @Result(property = "roles", column = "id", javaType = List.class,

                    many = @Many(select = "cn.taotao.dao.RoleDao.findByUid"))

    })

    public User findByName(String username);

    @Select("select * from sys_user where id=#{id}")

    @Results({

            @Result(id=true, column = "id",property = "id"),

            @Result(column = "username",property = "username"),

            @Result(column = "password",property = "password"),

            @Result(javaType = List.class,property = "roles",column = "id",

                    many=@Many(select="cn.taotao.dao.RoleDao.findRoleById"))

    })

    User findUserAndRoleById(int id);

}

roleDao

@Repository

@Transactional

public interface RoleDao extends BaseMapper<Role> {

    @Select("SELECT r.id, r.role_name roleName, r.role_desc roleDesc " +

            "FROM sys_role r, sys_user_role ur " +

            "WHERE r.id=ur.rid AND ur.uid=#{uid}")

    public List<Role> findByUid(Integer uid);

    @Select("SELECT * FROM sys_role r ,sys_user_role ur WHERE r.`ID`=ur.`RID`AND ur.`UID`=#{id}" )

    @Results({

            @Result(id = true, property = "id",column = "id"),

            @Result(property = "roleName",column = "role_name"),

            @Result(property = "roleDesc",column = "role_desc"),

            @Result(property = "permissionList",column = "rid",many = @Many(select="cn.taotao.dao.PermissionDao.findPermissionAndRoleById"))

    })

    List<Role> findRoleById(int id);

}

permissionDao

@Repository

@Transactional

public interface PermissionDao extends BaseMapper<Permission> {

    @Select("SELECT * FROM sys_permission p ,sys_role_permission rp WHERE p.`ID`=rp.`PID` AND rp.`RID`=#{id}")

    public List<Permission> findPermissionAndRoleById(int id);

}

服务层

public interface UserService extends IService<User> , UserDetailsService {

}
@Service

public class UserServiceImpl extends ServiceImpl<UserDao, cn.taotao.domain.User> implements UserService {

    @Autowired

    private UserDao userDao;

    @Override

    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {

//        cn.taotao.domain.User user = userDao.findByName(s);

//       这些注释掉的,都不需要

//        //根据用户的id查询用户的权限

//       // List<String> permissions = userDao.findPermissionsByUserId(user.getId());

//        cn.taotao.domain.User userAndRoleById = userDao.findUserAndRoleById(user.getId());

//        List<String> permissionLists = new ArrayList<>();

//        userAndRoleById.getRoles().forEach(o->o.getPermissionList().forEach(e->{permissionLists.add(e.getPermissionName());}));

//        //将permissions转成数组

//        String[] permissionArray = new String[permissionLists.size()];

//        permissionLists.toArray(permissionArray);

//        permissionLists.forEach(o-> System.out.println(o));

//        System.err.println("permissionArray = " + permissionArray.toString());

//        UserDetails userDetails = User.withUsername(user.getUsername()).password(user.getPassword()).authorities(permissionArray).build();

//        System.err.println("userDetails = " + userDetails);

        return userDao.findByName(s);

    }

异常处理

@ControllerAdvice

public class HandlerControllerException {

    @ExceptionHandler(RuntimeException.class)

    public String handException(RuntimeException e){

        if(e instanceof AccessDeniedException){

            return "redirect:/403.jsp";

        }

        return "redirect:/500.jsp";

    }

}

配置类

@Configuration

@EnableWebSecurity

@EnableGlobalMethodSecurity(securedEnabled=true)    // 这里有3个类型可选,用来区分安全级别,有spring的,有springmvc的,有jsr250的,如果这里启用哪个,在控制器中,就必须用那个,来控制权限。

public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired

    private UserService userService;

    @Bean

    public BCryptPasswordEncoder passwordEncoder(){

        return new BCryptPasswordEncoder();

    }

    //指定认证对象的来源

    public void configure(AuthenticationManagerBuilder auth) throws Exception {

        auth.userDetailsService(userService).passwordEncoder(passwordEncoder());

    }

    //SpringSecurity配置信息

    public void configure(HttpSecurity http) throws Exception {

        http.authorizeRequests()

                .antMatchers("/login.jsp", "failer.jsp","403.jsp","500.jsp", "/number.jpg","/static/**","/css/**", "/img/**", "/plugins/**").permitAll()

              //  .antMatchers("/add").hasAnyRole("admin")

                .anyRequest().authenticated()

             //   .anyRequest().permitAll()

                .and()

                .formLogin()

                .loginPage("/login.jsp")

                .loginProcessingUrl("/login")

                .successForwardUrl("/index.jsp")

                .failureForwardUrl("/failer.jsp")

                .and()

                .logout()

                .logoutSuccessUrl("/logout")

                .invalidateHttpSession(true)

                .logoutSuccessUrl("/login.jsp")

                .and()

                .csrf()

                .disable()

                .rememberMe()

                .tokenRepository(getPersistentTokenRepository())

                .tokenValiditySeconds(3600)

                .userDetailsService(userDetailsService);

    }

    @Autowired

    private DataSource dataSource;

    //记住我后的登录页面

    @Autowired

    private UserDetailsService userDetailsService;

    //记住我的功能

    @Bean

    public PersistentTokenRepository getPersistentTokenRepository() {

        JdbcTokenRepositoryImpl jdbcTokenRepositoryImpl=new JdbcTokenRepositoryImpl();

        jdbcTokenRepositoryImpl.setDataSource(dataSource);

        //启动时创建一张表,这个参数到第二次启动时必须注释掉,因为已经创建了一张表

//      jdbcTokenRepositoryImpl.setCreateTableOnStartup(true);

        return jdbcTokenRepositoryImpl;

    }

}

控制器

    @RequestMapping("/updateOrder/{id}")

   // @PreAuthorize("hasAuthority('updateOrder')")

    @Secured("ROLE_ADMIN")

    public  ModelAndView updateOrder(@PathVariable("id") Long id,@RequestParam("comment") String comment){

        ModelAndView mv = new ModelAndView();

        this.ordersService.update(this.ordersService.getById(id), new UpdateWrapper<Orders>().eq("id",id).set("comment",comment));

        mv.setViewName("redirect:/list");

        return mv;

    }

jsp页面

<%@ taglib prefix="sec" uri="http://www.springframework.org/security/tags" %>

<sec:authorize access="hasAnyRole('ROLE_ADMIN')"> <button type="submit" class="btn btn-primary" style="margin-top: 30px">修改备注</button></sec:authorize>

spring security 基于角色的控制,可运行。的更多相关文章

  1. rbac(基于角色权限控制)-------权限管理

    权限管理 创建一个rbac和app的应用,这个rbac主要是用来存放权限的,全称叫做基于角色权限控制 一.先看配置文件合适不,给创建的rbac在配置文件里面设置一下 找到INSTALLED_APPS= ...

  2. 别再让你的微服务裸奔了,基于 Spring Session & Spring Security 微服务权限控制

    微服务架构 网关:路由用户请求到指定服务,转发前端 Cookie 中包含的 Session 信息: 用户服务:用户登录认证(Authentication),用户授权(Authority),用户管理(R ...

  3. spring boot系列--spring security (基于数据库)登录和权限控制

    先说一下AuthConfig.java Spring Security的主要配置文件之一 AuthConfig 1 @Configuration 2 @EnableWebSecurity 3 publ ...

  4. Spring Security基于Java配置

    Maven依赖 <dependencies> <!-- ... other dependency elements ... --> <dependency> < ...

  5. spring-security-4 (2)spring security 基于Java配置的搭建

    一.spring security的模块 搭建spring security首先我们要导入必须的jar,即maven的依赖.spring security按模块划分,一个模块对应一个jar. spri ...

  6. Spring Security 动态url权限控制(三)

    一.前言 本篇文章将讲述Spring Security 动态分配url权限,未登录权限控制,登录过后根据登录用户角色授予访问url权限 基本环境 spring-boot 2.1.8 mybatis-p ...

  7. Spring Security 基于URL的权限判断

    1.  FilterSecurityInterceptor 源码阅读 org.springframework.security.web.access.intercept.FilterSecurityI ...

  8. php_ThinkPHP的RBAC(基于角色权限控制)详解

    一.什么是RBAC 基于角色的访问控制(Role-Based Access Control)作为传统访问控制(自主访问,强制访问)的有前景的代替受到广泛的关注. 在RBAC中,权限与角色相关联,用户通 ...

  9. MVC基于角色权限控制--数据库设计

    在网站后台设计过程中都会遇上权限控制这一问题 当前较为流行的解决方案是基于角色的权限管理 基本思路如下 分别建立 用户信息表.角色信息表.权限信息表 让用户和角色关联,角色和权限关联,当用户访问时,通 ...

  10. Spring Security基于Oauth2的SSO单点登录怎样做?一个注解搞定

    一.说明 单点登录顾名思义就是在多个应用系统中,只需要登录一次,就可以访问其他相互信任的应用系统,免除多次登录的烦恼.本文主要介绍 同域 和 跨域 两种不同场景单点登录的实现原理,并使用 Spring ...

随机推荐

  1. channel 死锁

    死锁: - 单个协程永久阻塞 - 两个或两个以上的协程执行过程中,由于竞争资源或由于彼此通信而造成的一种阻塞的现象. channel 死锁场景: - 非缓存channel只写不读 - 非缓存chann ...

  2. css 属性选择器需要加引号吗

    平常我们是不加引号的: HTML: <div data-a='aq1'>99</div> CSS: [data-a=aq1]{     color: #f00; } 想加上也行 ...

  3. codeforce B. Creating the Contest

    http://codeforces.com/contest/1029/problem/B 水题真快乐= = 1 public class Main { 2 public static void mai ...

  4. windows运行xcopy计划任务 结果是0x4解决方案

    近几天发现一直好好的数据备份计划任务一直返回0x4失败,直接执行bat又是正常的. bat命令中使用的是xcopy,到处找方案没解决. 今天意外在使用另一个命令时,发现提示:网络连接数据超过最大值. ...

  5. python 链接云端数据库/远程数据库 可以使用原始Odbc

    class MySqlOdbc: def __init__(self): self.sqlhead = None # 当前数据链接句柄 self.mycursor = None # 当前游标 &quo ...

  6. vue的:class设置多个值

    vue的:class设置多个值 :class="[{ 'labTilTemplate': item.editType == 11 }, { 'txtBold': item.bold == 1 ...

  7. jreg视频内容整理

    目录 5种变得开心的方法 我(曾经)想死 别再问我过得好不好了 5种变得开心的方法 浪费时间,比如打游戏,什么都不干 停止思考,什么都不要想,刷视频 独处,不要跟别人分享你的痛苦,把自己的痛苦当作世界 ...

  8. springboot文件流下载

    1. 将文件以流的形式一次性读取到内存,通过响应输出流输出到前端 /** * @param path 想要下载的文件的路径 * @param response * @功能描述 下载文件: */ @Re ...

  9. windows10默认的EDGE浏览器进行切换窗口的操作修改

    Windows 10 修改 Alt+Tab 键 切换 新版 Microsoft Edge 单个标签页/窗口 解决方案:在 Windows 设置 的搜索框中 搜索 alt,选择 选择按下 Alt+Tab ...

  10. echarts:双y轴图表刻度均匀分布问题

    今天分享一个小问题,内容不多. 双y轴图表中,为了图表的美观,经常会隐藏一侧的y轴刻度线,仅显示一侧的刻度线.那么问题就来了,两个y轴的数据数值大小不同,常常会导致刻度线的刻度分布不均匀,该如何解决呢 ...