当前位置：首页 > news >正文

SpringSecurity实战入门——授权

news 2026/3/28 11:05:53

权限系统的作用

例如一个学校图书馆的管理系统，如果是普通学生登录就能看到借书还书相关的功能，不可能让他看到并且去使用添加书籍信息，删除书籍信息等功能。但是如果是一个图书馆管理员的账号登录了，应该就能看到并使用添加书籍信息，删除书籍信息等功能。

总结起来就是不同的用户可以使用不同的功能。这就是权限系统要去实现的效果。

我们不能只依赖前端去判断用户的权限来选择显示哪些菜单哪些按钮。因为如果只是这样，如果有人知道了对应功能的接口地址就可以不通过前端，直接去发送请求来实现相关功能操作。

所以我们还需要在后台进行用户权限的判断，判断当前用户是否有相应的权限，必须具有所需权限才能进行相应的操作。

授权基本流程

在SpringSecurity中，会使用默认的FilterSecurityInterceptor来进行权限校验。在FilterSecurityInterceptor中会从SecurityContextHolder获取其中的Authentication，然后获取其中的权限信息。当前用户是否拥有访问当前资源所需的权限。

所以我们在项目中只需要把当前登录用户的权限信息也存入Authentication。

然后设置我们的资源所需要的权限即可。

授权实现

限制访问资源所需权限

SpringSecurity为我们提供了基于注解的权限控制方案，这也是我们项目中主要采用的方式。我们可以使用注解去指定访问对应的资源所需的权限。

但是要使用它我们需要先开启相关配置

@EnableGlobalMethodSecurity(prePostEnabled = true)

然后就可以使用对应的注解。@PreAuthorize

@RestController
@RequestMapping("/book")
public class BookController {@GetMapping("/list")@PreAuthorize("hasAuthority('sys:book:list')")public String list() {return "book-list";}@GetMapping("/delete")@PreAuthorize("hasAuthority('sys:book:delete')")public String delete() {return "book-delete";}}

封装权限信息

我们前面在写UserDetailsServiceImpl的时候说过，在查询出用户后还要获取对应的权限信息，封装到UserDetails中返回。

我们先直接把权限信息写死封装到UserDetails中进行测试。

我们之前定义了UserDetails的实现类LoginUser，想要让其能封装权限信息就要对其进行修改。

@Data
@NoArgsConstructor
@AllArgsConstructor
public class LoginUser implements UserDetails {private User user;//存储权限信息private List<String> permissions;//存储SpringSecurity所需要的权限信息的集合@JSONField(serialize = false)private List<GrantedAuthority> authorities;public LoginUser(User user,List<String> permissions) {this.user = user;this.permissions = permissions;}@Overridepublic Collection<? extends GrantedAuthority> getAuthorities() {if(authorities!=null){return authorities;}//把permissions中字符串类型的权限信息转换成GrantedAuthority对象存入authorities中authorities = permissions.stream().map(SimpleGrantedAuthority::new).collect(Collectors.toList());return authorities;}@Overridepublic String getPassword() {return user.getPassword();}@Overridepublic String getUsername() {return user.getUserName();}@Overridepublic boolean isAccountNonExpired() {return true;}@Overridepublic boolean isAccountNonLocked() {return true;}@Overridepublic boolean isCredentialsNonExpired() {return true;}@Overridepublic boolean isEnabled() {return true;}
}

LoginUser修改完后我们就可以在UserDetailsServiceImpl中去把权限信息封装到LoginUser中了。我们写死权限进行测试，后面我们再从数据库中查询权限信息。

@Service
public class UserDetailsServiceImpl implements UserDetailsService {@Resourceprivate UserMapper userMapper;@Overridepublic UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {//根据用户名查询用户信息LambdaQueryWrapper<User> wrapper = new LambdaQueryWrapper<>();wrapper.eq(User::getUserName,username);User user = userMapper.selectOne(wrapper);//如果查询不到数据就通过抛出异常来给出提示if(Objects.isNull(user)){throw new RuntimeException("用户名或密码错误");}//TODO 根据用户查询权限信息 添加到LoginUser中List<String> list = new ArrayList<>(Arrays.asList("sys:book:list"));//封装成UserDetails对象返回return new LoginUser(user,list);}
}

我们在过滤器层面也需要将权限添加进去

SpringSecurity实战入门——授权

权限系统的作用

授权基本流程

授权实现

限制访问资源所需权限

封装权限信息

相关文章：

SpringSecurity实战入门——授权

Linux 网络请求工具：curl

leetcode 二分查找·系统掌握寻找旋转排序数组中的最小值II

Flink 容错

OpenAI策略：指令层级系统让大模型免于恶意攻击

芝麻清单助力提升学习工作效率专注时间完成有效的待办事项

Docker 容器操作命令

华为配置创建vlan及划接口，trunk干道，DHCP池塘配置

vue3 computed与watch，watchEffect比较

论文：R语言数据分析之机器学习论文

【C++】STL中优先级队列的使用与模拟实现

C#开发-集合使用和技巧（二）Lambda 表达式介绍和应用

Qt底层原理：深入解析QWidget的绘制技术细节(2)

【Gradio】表格数据科学与图表-连接到数据库

艾多美用“艾”为生命加油，献血活动回顾

人工智能在气象预报领域的崛起：GraphCast引领新纪元

http和https的区别在哪

windows10远程桌面端口，Windows 10远程桌面端口修改的两个方法

力扣1504.统计全1子矩形

vue3高德地图组件化，解决复用地图组件时渲染失败问题

FDS：高性能火灾动力学模拟的技术革新与工程实践

别再死记硬背ATT报文了！用Wireshark抓包实战，带你搞懂BLE通信里Handle和UUID的映射过程

璀璨星河Starry Night惊艳效果：SD-Turbo 12步凝结1024px高清画作实录

AI Agent：从定义到分类，带你深入理解智能体的核心奥秘！

绝美辛夷花海！九皇山春日限定，羌族古寨里的粉色浪漫

2023-2026热门网页游戏盘点｜传奇页游稳居顶流，5大类型闭眼冲

从供热管道泄漏模拟出发，聊聊Fluent中那些容易被忽略的‘粘性模型’选择细节

不止于安装：将Helowin Oracle 11g Docker镜像改造为可持续使用的开发数据库

游戏开发实战：如何用Bezier曲线打造流畅的3D角色动画路径（Unity/C#示例）

webMAN-MOD实战指南：构建PS3主机扩展服务系统