spring权限怎么设置

fiy 1年前其他 68

共3条回复我来回复

不及物动词

这个人很懒，什么都没有留下～

Spring框架提供了一种基于注解的权限控制机制，可以通过简单的配置来实现权限的设置。下面是在Spring中设置权限的步骤：

添加Spring Security依赖：
在项目的pom.xml文件中添加Spring Security的依赖。例如：

<dependency>
   <groupId>org.springframework.boot</groupId>
   <artifactId>spring-boot-starter-security</artifactId>
</dependency>

配置Spring Security：
创建一个继承自WebSecurityConfigurerAdapter的配置类，并在该类上使用@EnableWebSecurity注解来开启Spring Security的功能。然后重写configure(HttpSecurity http)方法，配置请求的权限访问规则。

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/public/**").permitAll() // 设置公开访问的URL
                .antMatchers("/admin/**").hasRole("ADMIN") // 设置需要ADMIN角色才能访问的URL
                .anyRequest().authenticated() // 设置其它任意URL需要进行身份认证
                .and()
            .formLogin() // 启用表单登录
                .loginPage("/login") // 设置登录页面的URL
                .permitAll()
                .and()
            .logout() // 启用退出功能
                .permitAll();
    }
}

设置用户角色和权限：
在Spring Security中，用户角色和权限是通过UserDetailService接口来管理的。你可以自定义一个类实现该接口，并在其中设置用户的角色和权限。

import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;

import java.util.ArrayList;
import java.util.List;

@Service
public class CustomUserDetailsService implements UserDetailsService {

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        // 在这里根据用户名查询用户信息，并设置角色和权限
        // 例如：
        User user = new User("admin", "password", getAuthorities("ROLE_ADMIN"));

        // 返回用户信息，包括用户名、密码、角色和权限
        return user;
    }

    private List<GrantedAuthority> getAuthorities(String role) {
        List<GrantedAuthority> authorities = new ArrayList<>();
        authorities.add(new SimpleGrantedAuthority(role));
        return authorities;
    }
}

配置登录页面：
在Spring Security的配置类中，可以通过调用formLogin().loginPage("/login")方法来设置登录页面的URL。在登录页面上，可以使用Spring Security提供的标签来处理用户登录的逻辑。

以上就是在Spring中设置权限的基本步骤。使用这种方式，我们可以很方便地进行权限控制，并且实现了基于角色的访问控制和权限的细粒度控制。希望对你有所帮助！

1年前 0条评论

worktile

Worktile官方账号

在Spring框架中，可以使用Spring Security来实现权限设置。下面是Spring权限设置的几个常见操作：

添加Spring Security依赖：首先，在Maven或Gradle的依赖管理文件中添加Spring Security的依赖，例如在Maven的pom.xml文件中添加以下依赖：
```
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>
```

配置安全配置类：创建一个安全配置类，继承自WebSecurityConfigurerAdapter，并重写configure方法，进行权限设置。例如：

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
            .antMatchers("/admin/**").hasRole("ADMIN")  // 需要 ADMIN 角色才能访问 /admin/** 接口
            .antMatchers("/user/**").hasAnyRole("ADMIN", "USER")  // 需要 ADMIN 或 USER 角色才能访问 /user/** 接口
            .anyRequest().authenticated()  // 其他任意接口都需要认证
            .and()
            .formLogin();  // 使用表单登录
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
            .withUser("admin").password("{noop}admin").roles("ADMIN")
            .and()
            .withUser("user").password("{noop}user").roles("USER");
    }
}

在上述代码中，通过authorizeRequests()方法来匹配请求路径，使用hasRole()或hasAnyRole()方法指定需要的角色。.anyRequest().authenticated()表示所有其他请求都需要认证。.formLogin()表示使用表单登录认证。

configure(AuthenticationManagerBuilder auth)方法用于配置用户认证管理器，通过inMemoryAuthentication()方法配置了两个用户，并指定了角色。

添加用户认证服务：可以通过实现UserDetailsService接口，来自定义用户认证服务。例如：

@Service
public class UserDetailsServiceImpl implements UserDetailsService {

    @Autowired
    private UserRepository userRepository;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        User user = userRepository.findByUsername(username)
            .orElseThrow(() -> new UsernameNotFoundException("User not found"));

        return new org.springframework.security.core.userdetails.User(user.getUsername(), user.getPassword(),
            AuthorityUtils.createAuthorityList(user.getRoles()));  // 根据用户信息创建用户详情对象
    }
}

在上述代码中，通过注入UserRepository，加载数据库中的用户信息，并根据用户信息创建用户详情对象。可以根据自己的需求来获取用户信息。

自定义登录页面：通过自定义登录页，可以实现更好的用户体验。可以在WebSecurityConfigurerAdapter的configure(HttpSecurity http)方法中添加以下代码：

http.formLogin()
    .loginPage("/login")  // 设置登录页面地址
    .loginProcessingUrl("/authenticate")  // 设置表单提交的地址
    .usernameParameter("username")  // 设置表单中用户名的参数名
    .passwordParameter("password")  // 设置表单中密码的参数名
    .defaultSuccessUrl("/home")  // 设置登录成功后跳转的地址
    .failureUrl("/login?error=true");  // 设置登录失败后跳转的地址

这样，当用户访问需要认证的接口时，如果未登录，则会跳转到自定义的登录页面。

注解权限控制：除了通过configure方法进行权限设置外，还可以使用注解来控制接口的访问权限。可以使用@PreAuthorize，@PostAuthorize和@Secured等注解来进行权限控制。例如：
```
@RestController
public class MyController {

    @PreAuthorize("hasAnyRole('ADMIN', 'USER')")
    @GetMapping("/api/user/info")
    public String getUserInfo() {
        // 获取用户信息
        return "User Info";
    }
}
```
在上述代码中，通过@PreAuthorize注解指定了需要ADMIN或USER角色才能访问/api/user/info接口。

以上是Spring权限设置的一些常用操作。可以根据具体需求来进行进一步的定制和扩展。

1年前 0条评论

fiy
Worktile&PingCode市场小伙伴
评论
Spring Security是一个基于Spring框架的权限管理框架，它提供了一套强大的安全框架，用于在Spring应用中管理用户身份验证、授权和安全注解。

下面是一个基本的Spring Security权限设置的方法和步骤：
1. 添加Spring Security依赖：
  在项目的依赖管理文件（比如pom.xml）中，添加Spring Security的依赖：
```
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>
```
1. 创建Security配置类：
  创建一个配置类，继承自WebSecurityConfigurerAdapter，并使用@EnableWebSecurity注解标记。在这个类中，可以重写一些配置方法来自定义权限设置。
```
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    // 配置用户认证方式
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
            .withUser("user")
            .password(passwordEncoder().encode("password"))
            .roles("USER");
    }

    // 配置权限拦截规则
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
            .antMatchers("/admin/**").hasRole("ADMIN")
            .antMatchers("/user/**").hasRole("USER")
            .anyRequest().authenticated()
            .and().formLogin();
    }

    // 配置密码加密方式
    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
}
```
3.配置用户认证：
通过重写configure(AuthenticationManagerBuilder auth)方法，配置用户认证方式。可以使用inMemoryAuthentication()在内存中配置用户信息，也可以使用JDBC、LDAP等其他方式进行用户认证。
1. 配置权限拦截规则：
  通过重写configure(HttpSecurity http)方法，配置权限拦截规则。使用authorizeRequests()来配置请求的权限要求，使用hasRole()来指定角色要求。在这里，我们可以根据URL路径来设置不同的权限要求。可以使用antMatchers()来指定匹配的URL路径，使用anyRequest()来指定其他请求都需要认证通过。
2. 配置密码加密方式：
  在Spring Security中，密码通常是需要加密存储的。通过创建一个PasswordEncoder的Bean，可以配置密码的加密方式。在示例中，使用BCryptPasswordEncoder来进行密码加密。
需要注意的是，在配置类上添加@EnableWebSecurity注解，可以启用Spring Security的默认配置。

以上就是一个基本的Spring Security权限设置的方法和操作流程。根据实际需求，可以根据这个基础框架自定义更复杂的权限设置和功能。
1年前 0条评论