基于角色的访问控制

建表语句,见 上一篇 的博文,  https://www.cnblogs.com/sdgtxuyong/p/16157870.html

在配置类中,@EnableGlobalMethodSecurity(securedEnabled=true),启用那个级别的认证,就要在控制器中,用哪个注解,否则不起作用。这里是用@Secured,注解。

用户 user 继承自 UserDetails

@Data

@AllArgsConstructor

@NoArgsConstructor

@TableName("sys_user")

public class User  implements UserDetails {

@TableField(exist = false)
private List<Role> roles;

private static final long serialVersionUID = 1L;

@Override
public Collection<? extends GrantedAuthority> getAuthorities() {
    return roles;
}

角色继承自 GrantedAuthority ,这个词,在springsecurity中,代表角色

@Data

@AllArgsConstructor

@NoArgsConstructor

@TableName("sys_role")

public class Role implements GrantedAuthority {

@Override
public String getAuthority() {
    return roleName;
}

@TableField(exist = false)
private List<Permission> permissionList;

dao

userdao中,返回值 封装 roles 类型

@Repository

@Transactional

public interface UserDao extends BaseMapper<User> {

    @Select("select * from sys_user where username = #{username}")

    @Results({

            @Result(id = true, property = "id", column = "id"),

            @Result(property = "roles", column = "id", javaType = List.class,

                    many = @Many(select = "cn.taotao.dao.RoleDao.findByUid"))

    })

    public User findByName(String username);

    @Select("select * from sys_user where id=#{id}")

    @Results({

            @Result(id=true, column = "id",property = "id"),

            @Result(column = "username",property = "username"),

            @Result(column = "password",property = "password"),

            @Result(javaType = List.class,property = "roles",column = "id",

                    many=@Many(select="cn.taotao.dao.RoleDao.findRoleById"))

    })

    User findUserAndRoleById(int id);

}

roleDao

@Repository

@Transactional

public interface RoleDao extends BaseMapper<Role> {

    @Select("SELECT r.id, r.role_name roleName, r.role_desc roleDesc " +

            "FROM sys_role r, sys_user_role ur " +

            "WHERE r.id=ur.rid AND ur.uid=#{uid}")

    public List<Role> findByUid(Integer uid);

    @Select("SELECT * FROM sys_role r ,sys_user_role ur WHERE r.`ID`=ur.`RID`AND ur.`UID`=#{id}" )

    @Results({

            @Result(id = true, property = "id",column = "id"),

            @Result(property = "roleName",column = "role_name"),

            @Result(property = "roleDesc",column = "role_desc"),

            @Result(property = "permissionList",column = "rid",many = @Many(select="cn.taotao.dao.PermissionDao.findPermissionAndRoleById"))

    })

    List<Role> findRoleById(int id);

}

permissionDao

@Repository

@Transactional

public interface PermissionDao extends BaseMapper<Permission> {

    @Select("SELECT * FROM sys_permission p ,sys_role_permission rp WHERE p.`ID`=rp.`PID` AND rp.`RID`=#{id}")

    public List<Permission> findPermissionAndRoleById(int id);

}

服务层

public interface UserService extends IService<User> , UserDetailsService {

}
@Service

public class UserServiceImpl extends ServiceImpl<UserDao, cn.taotao.domain.User> implements UserService {

    @Autowired

    private UserDao userDao;

    @Override

    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {

//        cn.taotao.domain.User user = userDao.findByName(s);

//       这些注释掉的,都不需要

//        //根据用户的id查询用户的权限

//       // List<String> permissions = userDao.findPermissionsByUserId(user.getId());

//        cn.taotao.domain.User userAndRoleById = userDao.findUserAndRoleById(user.getId());

//        List<String> permissionLists = new ArrayList<>();

//        userAndRoleById.getRoles().forEach(o->o.getPermissionList().forEach(e->{permissionLists.add(e.getPermissionName());}));

//        //将permissions转成数组

//        String[] permissionArray = new String[permissionLists.size()];

//        permissionLists.toArray(permissionArray);

//        permissionLists.forEach(o-> System.out.println(o));

//        System.err.println("permissionArray = " + permissionArray.toString());

//        UserDetails userDetails = User.withUsername(user.getUsername()).password(user.getPassword()).authorities(permissionArray).build();

//        System.err.println("userDetails = " + userDetails);

        return userDao.findByName(s);

    }

异常处理

@ControllerAdvice

public class HandlerControllerException {

    @ExceptionHandler(RuntimeException.class)

    public String handException(RuntimeException e){

        if(e instanceof AccessDeniedException){

            return "redirect:/403.jsp";

        }

        return "redirect:/500.jsp";

    }

}

配置类

@Configuration

@EnableWebSecurity

@EnableGlobalMethodSecurity(securedEnabled=true)    // 这里有3个类型可选,用来区分安全级别,有spring的,有springmvc的,有jsr250的,如果这里启用哪个,在控制器中,就必须用那个,来控制权限。

public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired

    private UserService userService;

    @Bean

    public BCryptPasswordEncoder passwordEncoder(){

        return new BCryptPasswordEncoder();

    }

    //指定认证对象的来源

    public void configure(AuthenticationManagerBuilder auth) throws Exception {

        auth.userDetailsService(userService).passwordEncoder(passwordEncoder());

    }

    //SpringSecurity配置信息

    public void configure(HttpSecurity http) throws Exception {

        http.authorizeRequests()

                .antMatchers("/login.jsp", "failer.jsp","403.jsp","500.jsp", "/number.jpg","/static/**","/css/**", "/img/**", "/plugins/**").permitAll()

              //  .antMatchers("/add").hasAnyRole("admin")

                .anyRequest().authenticated()

             //   .anyRequest().permitAll()

                .and()

                .formLogin()

                .loginPage("/login.jsp")

                .loginProcessingUrl("/login")

                .successForwardUrl("/index.jsp")

                .failureForwardUrl("/failer.jsp")

                .and()

                .logout()

                .logoutSuccessUrl("/logout")

                .invalidateHttpSession(true)

                .logoutSuccessUrl("/login.jsp")

                .and()

                .csrf()

                .disable()

                .rememberMe()

                .tokenRepository(getPersistentTokenRepository())

                .tokenValiditySeconds(3600)

                .userDetailsService(userDetailsService);

    }

    @Autowired

    private DataSource dataSource;

    //记住我后的登录页面

    @Autowired

    private UserDetailsService userDetailsService;

    //记住我的功能

    @Bean

    public PersistentTokenRepository getPersistentTokenRepository() {

        JdbcTokenRepositoryImpl jdbcTokenRepositoryImpl=new JdbcTokenRepositoryImpl();

        jdbcTokenRepositoryImpl.setDataSource(dataSource);

        //启动时创建一张表,这个参数到第二次启动时必须注释掉,因为已经创建了一张表

//      jdbcTokenRepositoryImpl.setCreateTableOnStartup(true);

        return jdbcTokenRepositoryImpl;

    }

}

控制器

    @RequestMapping("/updateOrder/{id}")

   // @PreAuthorize("hasAuthority('updateOrder')")

    @Secured("ROLE_ADMIN")

    public  ModelAndView updateOrder(@PathVariable("id") Long id,@RequestParam("comment") String comment){

        ModelAndView mv = new ModelAndView();

        this.ordersService.update(this.ordersService.getById(id), new UpdateWrapper<Orders>().eq("id",id).set("comment",comment));

        mv.setViewName("redirect:/list");

        return mv;

    }

jsp页面

<%@ taglib prefix="sec" uri="http://www.springframework.org/security/tags" %>

<sec:authorize access="hasAnyRole('ROLE_ADMIN')"> <button type="submit" class="btn btn-primary" style="margin-top: 30px">修改备注</button></sec:authorize>

spring security 基于角色的控制,可运行。的更多相关文章

  1. rbac(基于角色权限控制)-------权限管理

    权限管理 创建一个rbac和app的应用,这个rbac主要是用来存放权限的,全称叫做基于角色权限控制 一.先看配置文件合适不,给创建的rbac在配置文件里面设置一下 找到INSTALLED_APPS= ...

  2. 别再让你的微服务裸奔了,基于 Spring Session & Spring Security 微服务权限控制

    微服务架构 网关:路由用户请求到指定服务,转发前端 Cookie 中包含的 Session 信息: 用户服务:用户登录认证(Authentication),用户授权(Authority),用户管理(R ...

  3. spring boot系列--spring security (基于数据库)登录和权限控制

    先说一下AuthConfig.java Spring Security的主要配置文件之一 AuthConfig 1 @Configuration 2 @EnableWebSecurity 3 publ ...

  4. Spring Security基于Java配置

    Maven依赖 <dependencies> <!-- ... other dependency elements ... --> <dependency> < ...

  5. spring-security-4 (2)spring security 基于Java配置的搭建

    一.spring security的模块 搭建spring security首先我们要导入必须的jar,即maven的依赖.spring security按模块划分,一个模块对应一个jar. spri ...

  6. Spring Security 动态url权限控制(三)

    一.前言 本篇文章将讲述Spring Security 动态分配url权限,未登录权限控制,登录过后根据登录用户角色授予访问url权限 基本环境 spring-boot 2.1.8 mybatis-p ...

  7. Spring Security 基于URL的权限判断

    1.  FilterSecurityInterceptor 源码阅读 org.springframework.security.web.access.intercept.FilterSecurityI ...

  8. php_ThinkPHP的RBAC(基于角色权限控制)详解

    一.什么是RBAC 基于角色的访问控制(Role-Based Access Control)作为传统访问控制(自主访问,强制访问)的有前景的代替受到广泛的关注. 在RBAC中,权限与角色相关联,用户通 ...

  9. MVC基于角色权限控制--数据库设计

    在网站后台设计过程中都会遇上权限控制这一问题 当前较为流行的解决方案是基于角色的权限管理 基本思路如下 分别建立 用户信息表.角色信息表.权限信息表 让用户和角色关联,角色和权限关联,当用户访问时,通 ...

  10. Spring Security基于Oauth2的SSO单点登录怎样做?一个注解搞定

    一.说明 单点登录顾名思义就是在多个应用系统中,只需要登录一次,就可以访问其他相互信任的应用系统,免除多次登录的烦恼.本文主要介绍 同域 和 跨域 两种不同场景单点登录的实现原理,并使用 Spring ...

随机推荐

  1. 基于WebGL的方式使用OpenLayers

    1. 引言 在绘制海量数据时,使用GPU进行绘制可有效减少CPU的负载,提升绘制时的速度在浏览器中,可以使用WebGL的方式与GPU交互 OpenLayers是一个常用的GIS相关的JavaScrip ...

  2. java数据结构与算法(day2)--简单排序

    模式:设计api实现api 简单排序 举例(商品排序) 1.1Comparable接口介绍(排序算法更有通用性:对象排序) 创建对象,并且生成豆子.创建Comparable接口 1 package c ...

  3. 普冉PY32系列(六) 通过I2C接口驱动PCF8574扩展的1602LCD

    目录 普冉PY32系列(一) PY32F0系列32位Cortex M0+ MCU简介 普冉PY32系列(二) Ubuntu GCC Toolchain和VSCode开发环境 普冉PY32系列(三) P ...

  4. Spring cloud Sleuth 分布式链路跟踪

    在微服务框架种. 一个由客户端发起的请求在后端系统种会经过不同的服务节点来调用协同产生的最后的请求结果. 每一个前端请求都会形成一条复杂的分布式服务调用的链路.链路种出现任何一环出现高延时或者错误都会 ...

  5. 自我生啃 AMBA AXI 总线笔记

    视频1:https://www.youtube.com/watch?v=1zw1HBsjDH8&list=PLkqJVNOiuuHtNrVaNK4O1BSgczja4obeW (What is ...

  6. 阿里云oss初使用

    一.购买 二.配置RAM权限 https://ram.console.aliyun.com/users 1.创建用户 2.创建完成后注意获取AccessKey ID.AccessKey Secret( ...

  7. 代码随想录训练营day 1 |704 二分查找 27移除算法

    LeetCode 704.二分查找(C++) 题目链接 704.二分查找 题目描述:给定一个 n 个元素有序的(升序)整型数组 nums 和一个目标值 target ,写一个函数搜索 nums 中的 ...

  8. Go语言中超过1000个线程panic

    1.问题描述 2.实验 3.原理 4.解释 Close太多,Close在Windows上阻塞型的可能会新创建线程,而Linux上是非阻塞型不会新创建线程.

  9. java 将yyyyMMddHHmmss转化为yyyy-MM-dd HH:mm:ss格式的字符串

    思路很简单:先转化为yyyyMMddHHmmss格式的Date类型,再格式化为yyyy-MM-dd HH:mm:ss格式的字符串类型 import java.text.DateFormat; impo ...

  10. Iperf参数详解

    IperfIperf是一个网络性能测试工具,可以测试TCP和UDP最大带宽,具有多种参数和UDP特性,可以根据需要调整,报告带宽,延迟,数据包丢失 通用参数-b(bandwidth):指定UDP模式使 ...