当前位置：首页 > news >正文

【Spring Security + OAuth2】授权

news 2026/2/10 12:59:44

Spring Security + OAuth2

第一章 Spring Security 快速入门
第二章 Spring Security 自定义配置
第三章 Spring Security 前后端分离配置
第四章 Spring Security 身份认证
第五章 Spring Security 授权
第六章 OAuth2

文章目录

Spring Security + OAuth2
1、基于request的授权
- 1.1、用户-权限-资源
- - 需求
  - 配置权限
  - 授权权限
  - 请求未授权的接口
- 1.2、用户-角色-资源
- - 配置角色
  - 授权角色
- 1.3、用户-角色-权限-资源
2、基于方法的授权
- 2.1、开启方法授权
- 2.2、给用户授予角色和权限
- 2.3、常用授权注解

授权管理的实现在SpringSecurity中非常灵活，可以帮助应用程序实现以下两种常见的授权需求：

用户-权限-资源：例如张三的权限是添加用户、查看用户列表、李四的权限是查看用户列表
用户-角色-权限-资源：例如张三是角色是管理员、李四的角色是普通用户，管理员能做所有操作，普通用户只能查看信息

1、基于request的授权

1.1、用户-权限-资源

需求

具有USER_LIST权限的用户可以访问/user/list
具有USER_ADD权限的用户可以访问/user/add

配置权限

SecurityFilterChain

package com.security.demo.config;
import ...@Configuration //配置类
public class WebSecurityConfig {@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {// authorizeHttpRequests() 开启授权保护// anyRequest() 对所以请求开启授权保护// authenticated（）已认证请求会自动授权。http.authorizeHttpRequests(authorize -> authorize//具有USER_LIST权限的用户可以访问/user/list                   .requestMatchers("/user/list").hasAnyAuthority("USER_LIST")//具有USER_ADD权限的用户可以访问/user/addd.requestMatchers("/user/add").hasAnyAuthority("USER_ADD")//对所有请求开启授权保护.anyRequest()//已认证的请求会被自动授权.authenticated());...
}

授权权限

DBUserDetailsManager中的loadUserByUsername方法：

 public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {QueryWrapper<User> queryWrapper = new QueryWrapper();queryWrapper.eq("username",username);User user = userMapper.selectOne(queryWrapper);if (user==null){throw  new UsernameNotFoundException(username);}else{Collection<GrantedAuthority> authorities = new ArrayList<>();//模拟权限authorities.add(()->"USER_LIST");authorities.add(()->"USER_ADD");return   new org.springframework.security.core.userdetails.User(user.getUsername(),user.getPassword(),user.getEnabled(),true,//用户账号是否过期。true,//用户凭证是否过期true,//未被锁定authorities//权限列表);}}

请求未授权的接口

实现AccessDeniedHandler 接口

package com.security.demo.config;public class MyAccessDeniedHandler implements AccessDeniedHandler {@Overridepublic void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException exception) throws IOException, ServletException {//创建结果对象HashMap result = new HashMap();result.put("code",-1);result.put("message","没有权限");//转换成json字符串String json = JSON.toJSONString(result);//返回响应response.setContentType("application/json;charset=UTF-8");response.getWriter().println(json);}
}

SecurityFilterChain添加配置请求未授权的处理。

package com.security.demo.config;
import ...@Configuration //配置类
public class WebSecurityConfig {@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {...http.exceptionHandling(exception -> {exception.accessDeniedHandler(new MyAccessDeniedHandler());//请求未授权的处理});...
}

1.2、用户-角色-资源

配置角色

package com.security.demo.config;
import ...@Configuration //配置类
public class WebSecurityConfig {@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {http.authorizeHttpRequests(authorize -> authorize.requestMatchers("/user/**").hasRole("ADMIN").anyRequest().authenticated());...
}

授权角色

@Component
public class DBUserDetailsManager implements UserDetailsManager, UserDetailsPasswordService {@Overridepublic UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {QueryWrapper<User> queryWrapper = new QueryWrapper();queryWrapper.eq("username",username);User user = userMapper.selectOne(queryWrapper);if (user==null){throw  new UsernameNotFoundException(username);}else{//模拟授权return org.springframework.security.core.userdetails.User.withUsername(user.getUsername()).password(user.getPassword()).disabled(!user.getEnabled())//用户是否禁用.credentialsExpired(false)//是否过期.accountLocked(false).roles("ADMIN").build();}}
}

1.3、用户-角色-权限-资源

RBAC（Role-Based Access Control，基于角色的访问控制）是一种常用的数据设计方案，它将用户的权限分配和管理与角色相关联。以下是一个基本的RBAC数据库设计方案的示例：

1、用户表（User table）：包含用户的基本信息，例如用户名、密码和其他身份验证信息。

列名	数据类型	描述
user_id	int	用户ID
username	varchar	用户名
password	varchar	密码
email	varchar	电子邮件
…	…	…

2、角色表（Role table）：储存所有可能得角色及其描述。

列名	数据类型	描述
role_id	int	角色ID
role_name	varchar	角色名称
description	varchar	角色描述
…	…	…

3、权限表（Permission table）：定义系统中所有可能得权限

列名	数据类型	描述
permission_id	int	权限ID
permission_name	varchar	权限名称
description	varchar	角色描述
…	…	…

4、用户角色关联表（User-Role table）：将用户与角色关联起来。

列名	数据类型	描述
user_role_id	int	用户角色关联ID
user_id	int	用户ID
role_id	int	角色ID
…	…	…

5、角色权限关联表（Role-Permission table）：将角色与权限关联起来。

列名	数据类型	描述
role_permission_id	int	用户角色关联ID
role_id	int	角色ID
permission_id	int	权限ID
…	…	…

在这个设计方案中，用户可以被分配一个或多个角色，而每个角色又可以具有一个或多个权限。通过对用户角色关联和角色权限关联表进行操作，可以实现灵活的权限管理和访问控制。

2、基于方法的授权

2.1、开启方法授权

在配置文件中添加@EnableMethodSecurity注解，并修改authorizeHttpRequests

@Configuration //配置类
@EnableMethodSecurity
public class WebSecurityConfig {...http.authorizeHttpRequests(authorize -> authorize.anyRequest().authenticated());
}

2.2、给用户授予角色和权限

DBUserDetailsManager中的loadUserByUsername方法：

	 return org.springframework.security.core.userdetails.User.withUsername(user.getUsername()).password(user.getPassword()).disabled(!user.getEnabled())//用户是否禁用.credentialsExpired(false)//是否过期.accountLocked(false).roles("ADMIN")//authorities和roles不能同时使用会覆盖.authorities("USER_ADD","USER_LIST").build();}

2.3、常用授权注解

    @GetMapping(path = "/list")@PreAuthorize("hasRole('ADMIN') and authentication.name == 'abc'")public List<User> getList(){return userService.list();}@PreAuthorize("hasAuthority('USER_ADD')")@PostMapping(path = "/add")public void add(@RequestBody User user){userService.saveUserDetails(user);}

【Spring Security + OAuth2】授权

Spring Security OAuth2 第一章 Spring Security 快速入门第二章 Spring Security 自定义配置第三章 Spring Security 前后端分离配置第四章 Spring Security 身份认证第五章 Spring Security 授权第六章 OAuth2 文章目录 Spring Security OAuth21、基于request的授权1…...

编程日记 2024/5/26 6:23:02

失落的方舟台服预下载教程一键下载＋账号注册教程

失落的方舟台服预下载教程一键下载＋账号注册教程是一款今年备受瞩目的游戏，将于5月30日正式上线，这款游戏搭建在虚幻引擎的基础上，为玩家们带来了极佳的视觉体验。这款游戏秉承着MMO类型游戏一贯的玩法，但是制作组在…...

编程日记 2024/5/26 6:22:01

【启明智显技术分享】SOM2D02-2GW核心板适配ALSA（适用Sigmastar ssd201/202D）

提示：作为Espressif（乐鑫科技）大中华区合作伙伴及sigmastar（厦门星宸）VAD合作伙伴，我们不仅用心整理了你在开发过程中可能会遇到的问题以及快速上手的简明教程供开发小伙伴参考。同时也用心整理了乐鑫及星宸…...

编程日记 2024/5/26 6:21:00

人工智能的发展现状，AI将如何改变IT行业，哪些职业将最先失业

文章目录一、人工智能的发展现状1、技术进展与突破2、商业应用与市场3、挑战与问题4、未来趋势二、AI将如何改变IT行业1、工作方式的转变：2、未来发展的推动：3、用户服务和体验的提升：4、创新和转型的推动：5、融入日常生活和工作…...

编程日记 2024/5/26 6:19:59

request.js使用Promise.all等待所有请求完成再进行数据赋值

在JavaScript中，使用request.js发送多个并发请求，并使用Promise.all来处理这些请求的结果可以通过以下方式实现： 首先，确保你已经安装了request.js，如果没有，可以通过npm安装： npm install re…...

编程日记 2024/5/26 6:14:54

Java开发者必知的时间处理工具：SimpleDateFormat类详解

哈喽，各位小伙伴们，你们好呀，我是喵手。运营社区：C站/掘金/腾讯云；欢迎大家常来逛逛今天我要给大家分享一些自己日常学习到的一些知识点，并以文字的形式跟大家一起交流，互相学习，一…...

编程日记 2024/5/26 6:12:51

构造函数的用法

c 子类构造函数初始化及父类构造初始化_构造函数对父类进行初始化-CSDN博客...

编程日记 2024/5/26 6:11:46

环形链表Ⅱ-力扣

第一种解法时哈希表，set在使用insert插入时，会返回一个pair，如果pair的值为0，则插入失败，那么返回这个插入失败的节点，就是入环的第一个节点，代码如下： /*** Definition for singly…...

编程日记 2024/5/26 6:10:44

【microros】解决 microros安装过程中的 undefined reference to `fmt::v6 问题

目录问题解决方案参考链接问题在 ubuntu-20 arm 开发板上根据官方文档手动编译安装 microros 过程中，执行 ros2 run micro_ros_setup build_agent.sh 命令时，遇到了 undefined reference to fmt::v6 的问题，大概报错如下： Yo…...

编程日记 2024/5/26 6:09:43

29. 相似矩阵，若尔当型

文章目录 1. 相似矩阵1.1 A T A A^TA ATA正定性证明 2. 相似矩阵2.1 举例2.2 证明相似矩阵具有相同特征值 1. 相似矩阵假设矩阵A，B为正定矩阵，那么对于任意非零列向量x来说，二次型 x T A x , x T B x x^TAx,x^TBx xTAx,xTBx恒为正 x T A …...

编程日记 2024/5/26 6:08:41

【论文阅读】 YOLOv10: Real-Time End-to-End Object Detection

文章目录 AbstractIntroductionRelated WorkMethodologyConsistent Dual Assignments for NMS-free Training （无NMS训练的一致性双重任务分配）Holistic Efficiency-Accuracy Driven Model Design （效率-精度驱动的整体模型设计） …...

编程日记 2024/5/26 6:07:39

Python读写文件

最近得以空闲，然后继续学习py。学习一下py中最频繁用到的文件读写的方法。在py中，操作是通过文件对象【File obj】实现的，通过文件对象可以读写文本文件和一些二进制文件。 1.打开文件使用Python中的open函数。有8个参数，但…...

编程日记 2024/5/26 6:05:37

docker-如何将容器外的脚本放入容器内，将容器内的脚本放入容器外

文章目录前言docker-如何将容器外的脚本放入容器内，将容器内的脚本放入容器外、1. docker 如何将容器外的脚本放入容器内1.1. 验证 2. 将容器内的脚本放入容器外前言如果您觉得有用的话，记得给博主点个赞，评论，收藏一键三连啊&…...

编程日记 2024/5/26 6:04:36

算法训练营第三十九天 | LeetCode 738 单调递增的数字、LeetCode 968 监控二叉树

LeetCode 738 单调递增的数字这题类似模拟，可以找出如下规律： 先将数字按位数从高位到低位存到一个整型数组中。在这个数组中，从左往右遍历，如果遇到一个两数相等，并且记录的这个变量之前没有赋过值，那么…...

编程日记 2024/5/26 6:02:34

Hive语法学习总结

Hive SQL语法学习总结 hive参数库操作1.创建库2.具体案例3.库的其他操作表和库的路径演示表的操作创建表插入数据 hive参数一 hive常用交互命令hive -e sql语句hive -f sql文件 //文件中是sql语句二参数的设置方式一：在客户端中设置参数(当次有效)set 参数名参…...

编程日记 2024/5/26 6:00:30

【Linux】TCP协议【中】{确认应答机制/超时重传机制/连接管理机制}

文章目录 1.确认应答机制2.超时重传机制：超时不一定是真超时了3.连接管理机制 1.确认应答机制 TCP协议中的确认应答机制是确保数据可靠传输的关键部分。以下是该机制的主要步骤和特点的详细解释： 数据分段与发送： 发送方将要发送的数据分成一…...

编程日记 2024/5/26 5:59:27

solidworks画螺母学习笔记

螺母单位mm 六边形直径16mm，水平约束，内圆直径10mm 拉伸选择两侧对称，厚度7mm 拉伸切除画相切圆切除深度7mm，反向切除拔模角度45 镜像切除倒角直径1mm 异形孔向导螺纹线偏移打勾，距离为2mm…...

编程日记 2024/5/26 5:58:25

WebGL的医学培训软件开发

开发基于WebGL的医学培训软件是一项复杂且技术性强的任务，需要结合医学专业知识和计算机图形学技术。以下是详细的开发流程和关键步骤。北京木奇移动技术有限公司，专业的软件外包开发公司，欢迎交流合作。 1.需求分析与定义目标用户&#xf…...

编程日记 2024/5/26 5:57:24

新时代AI浪潮下，程序员和产品经理如何入局AIGC领域？

当下，AI浪潮席卷全球，AIGC大模型技术已经成为当今技术领域的一个重要趋势，对于产品经理来说，掌握这项技术不仅能够增强他们的职业技能，还能在竞争激烈的职场中脱颖而出。为什么呢？ 把握AI时代的机遇 AI技…...

编程日记 2024/5/26 5:56:23

OWASP top10--SQL注入（一）

SQL注入式攻击技术，一般针对基于Web平台的应用程序.造成SQL注入攻击漏洞的原因，是由于程序员在编写Web程序时，没有对浏览器端提交的参数进行严格的过滤和判断。用户可以修改构造参数，提交SQL查询语句，并传递至服务器端…...

编程日记 2024/5/26 5:55:22

Linux 文件类型，目录与路径，文件与目录管理

文件类型后面的字符表示文件类型标志普通文件：-（纯文本文件，二进制文件，数据格式文件） 如文本文件、图片、程序文件等。目录文件：d（directory） 用来存放其他文件或子目录。设备…...

编程新知 2026/2/8 20:42:46

【ROS】Nav2源码之nav2_behavior_tree-行为树节点列表

1、行为树节点分类在 Nav2（Navigation2）的行为树框架中，行为树节点插件按照功能分为 Action（动作节点）、Condition（条件节点）、Control（控制节点）和 Decorator（装饰节点）四类。 1.1 动作节点 Action 执行具体的机器人操作或任务，直接与硬件、传感器或外部系统…...

编程新知 2026/2/7 8:45:41

python爬虫：Newspaper3k 的详细使用（好用的新闻网站文章抓取和解析的Python库）

更多内容请见：爬虫和逆向教程-专栏介绍和目录文章目录一、Newspaper3k 概述1.1 Newspaper3k 介绍1.2 主要功能1.3 典型应用场景1.4 安装二、基本用法2.2 提取单篇文章的内容2.2 处理多篇文档三、高级选项3.1 自定义配置3.2 分析文章情感四、实战案例4.1 构建新闻摘要聚合器…...

编程新知 2025/10/25 7:51:48

【android bluetooth 框架分析 04】【bt-framework 层详解 1】【BluetoothProperties介绍】

1. BluetoothProperties介绍 libsysprop/srcs/android/sysprop/BluetoothProperties.sysprop BluetoothProperties.sysprop 是 Android AOSP 中的一种系统属性定义文件（System Property Definition File），用于声明和管理 Bluetooth 模块相…...

编程新知 2025/11/22 12:02:51