学习Spring Security前我们需要了解RBAC角色权限控制
看看别人总结的BAC资源只给有对应权限的人访问
RBAC的数据库表设计:
1.先给用户添加角色
第一种(前期整合授权的时候可以用来测试一下)
直接再配置文件中定义角色
spring.security.user.roles=manager第二种*(new 一个User示例)
User中填三个参数,账号密码跟角色
List<GrantedAuthority> roles = new ArrayList<>();
//GrantedAuthority视为一种角色或者权限,角色开头必须添加ROLE
//new SimpleGrantedAuthority把字符串转成GrantedAuthority
roles.add(new SimpleGrantedAuthority("ROLE_"+ADMIN));
//(这里是简单的展示,密码要加密器加密)
User user = new User("lisi","123456",roles);2. 基于角色的授权
用户拥有一个特定或者多个角色才可以访问对应的资源。
前两种方式用得比较多
第一种
- 使用@PreAuthorize,@PostAuthorize注解的方式:
- 需要在Security配置类添加启动注解@EnableGlobalMethodSecurity(prePostEnabled = true)
@PreAuthorize,这个是在用户访问之前拦截
解析如果你没有与资源匹配的角色,访问不了,后台对应业务不执行
拥有ADMIN角色的用户才可以访问
//NO.1_1
@PreAuthorize("hasRole('ADMIN')")
@GetMapping("/admin")
public Object admin(){
System.out.println("运行到这里了");
return "hello SpringBoot admin";
}
没有对应角色的用户后台不打印输出@PostAuthorize,这个是在用户访问之后拦截
解析:如果你没有与资源匹配的角色,访问不了,后台对应业执行
拥有ADMIN角色的用户才可以访问
//NO.1_2
@PostAuthorize("hasRole('ADMIN')")
@GetMapping("/admin")
public Object admin(){
System.out.println("运行到这里了");
return "hello SpringBoot admin";
}
没有对应角色的用户后台打印输出多个角色可以这样写
@PreAuthorize("hasRole('manager') AND hasRole('worker')")第二种
在Security配置文件中完成
http.authorizeRequests()
具有角色ADMIN的用户可以访问 /admin
.antMatchers("/admin").hasRole("ADMIN")
具有角色ADMIN或MANAGER者的用户可以访问 /admin
.antMatchers("/admin").hasAnyRole("ADMIN","MANAGER")
具有角色ADMIN的用户可以访问 /admin及 /admin/之后的任何url
只有一个*只允许多访问下一级
.antMatchers("/admin/**").hasRole("ADMIN")第三种(这个及下面的方法都是用得比较少的)
编码的方式,主要是获取上下文。判断改用户角色列表中有没有包含目标角色,包含再放行关键业务操作。
if (!SecurityContextHolder.getContext().getAuthentication().getAuthorities().contains("ROLE_ADMIN")) {
throw new AccessDeniedException("你没有权限访问");
}第四种
@Secured
需要在Security配置类添加启动注解配置
@EnableGlobalMethodSecurity(securedEnabled = true)
@Secured("ROLE_worker")
@Secured("ROLE_worker", "ROLE_manager")
@GetMapping("/admin")
public Object admin(){
System.out.println("运行到这里了");
return "hello SpringBoot admin";
}第五种
@RolesAllowed
需要在Security配置类添加启动注解配置
@EnableGlobalMethodSecurity(jsr250Enabled = true)
@RolesAllowed("manager")
@RolesAllowed("manager", “worker")
@GetMapping("/admin")
public Object admin(){
System.out.println("运行到这里了");
return "hello SpringBoot admin";
}@EnableGlobalMethodSecurity启动注解可以一次性开启多种角色授权方式
@EnableGlobalMethodSecurity(securedEnabled = true, jsr250Enabled = true, prePostEnabled = true)
3.基于权限的授权
首先我们要给用户初始化权限
跟设置角色一样,用户的权限我们加在 List< GrantedAuthority > roles 中,跟角色的区别在于:角色要以**ROLE_**开头
roles.add(new SimpleGrantedAuthority("admin:in"));权限授权有两种用法:
第一种
在控制类中绑定注解,@PreAuthorize ,@PostAuthorize
@PreAuthorize("hasAuthority('admin:in')")
@GetMapping("/admin/in")
public Object in() {
return "入库";
}第二种
在Security配置文件中去设置权限
http.authorizeRequests()
.antMatchers("/admin/in").hasAuthority("admin:in");4.基于用户的授权
这种授权方式,面向于高级用户的授权,比如公司老总
给指定的用户授权,只需要根据用户账号放权就可以了。
第一种(用编程的方式)
编码去获取登录用户上下文
方式1
@GetMapping("/onlyAdmin")
public Object onlyAdmin() {
String name = SecurityContextHolder.getContext().getAuthentication().getName();
if (!name.equals("admin")){
throw new RuntimeException("你不是管理员");
}
return "只有管理可以访问";
}方式2 自动传参的方式
@GetMapping("/onlyAdmin")
public Object onlyAdmin(Principal principal) {
String name = principal.getName();
if (!name.equals("admin")){
throw new RuntimeException("你不是管理员");
}
return "只有管理可以访问";
}第二种(使用注解@PreAuthorize,@PostAuthorize)
@PreAuthorize("authentication.name=='admin'")
@GetMapping("/onlyAdmin")
public Object onlyAdmin(Principal principal) {
return "只有管理可以访问";
}Spring Security授权用法就是这么简单,大家设计数据好数据库测试一下吧。
