当前位置：首页 > news >正文

springSecurity权限控制

news 2026/2/7 12:49:09

权限控制：不同的用户可以使用不同的功能。

我们不能在前端判断用户权限来控制显示哪些按钮，因为这样，有人会获取该功能对应的接口，就不需要通过前端，直接发送请求实现功能了。所以需要在后端进行权限判断。（前端防君子，后端防小人。

授权流程：springSecurity会默认使用FilterSecurityInterceptor进行权限校验，会从SecurityContextHolder中获取authentication，获取权限信息进行判断。

所以需要我们做的就是把用户的权限信息存入authentication。

那么SecurityContextHolder中的权限信息是从哪里获取的呢，前面SecurityContextHolder中的认证用户信息是从redis中获取的，权限信息也一样。

我们先说说权限控制的方案：1、springSecurity提供注解；2、配置

注解权限控制是我们经常用的，我就只说这个方案了。

使用权限控制注解，需要在SecurityConfig配置类中开启配置：

@EnableGlobalMethodSecurity(prePostEnabled = true)

@Configuration
//开启权限控制注解
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {.....
}

我们能用的权限控制注解有很多，但真正经常用的只有@PreAuthorize就是在访问之前进行权限判断。写在controller层的请求方法上。

@PreAuthorize("hasAuthority('test')")

这里其实是去调用hasAuthority方法去判读权限，返回true即有权限。test为权限名

@RestController
@RequestMapping
public class HelloController {@GetMapping("/hello")//这里其实是去调用hasAuthority方法去判读权限，返回true即有权限.test为权限名,这里只能填一个权限@PreAuthorize("hasAuthority('test')")public String hello(){return "hello";}

至于权限名的定义和权限内容的定义在后面定义。

注解类方法：

@PreAuthorize("hasAuthority('权限名')")

除了前面用的hasAuthority方法外，还有其他的校验方法，当然我们也可以自定义校验方法。

hasAuthority(‘’)方法：只能填一个权限。

hasAnyAuthority(‘’,’’,’’)方法：可以传入多个权限，其中用户有任意一个权限都可以访问。

hasRole(‘’)方法：要求有对应角色才可以访问。它内部会把我们传入的角色参数拼接上 ROLE_ 后在去比较，所以需要对用户的权限也要有 ROLE_ 这个前缀。

hasAnyRole(‘’,’’,’’)方法：要求有对应任意角色才可以访问。它内部也会把我们传入的角色参数拼接上 ROLE_ 后在去比较，所以需要对用户的权限也要有 ROLE_ 这个前缀。

同时权限是实体类User类的属性：

@Data
@NoArgsConstructor
//@AllArgsConstructor
public class LoginUser implements UserDetails {//需要定义User对象来封装用户信息。private User user;//该用户的权限信息private List<String> permissions;public LoginUser(User user, List<String> permissions) {this.user = user;this.permissions = permissions;}//问题：当我们把logUser存入redis中时，redis默认不会把SimpleGrantedAuthority对象序列化。//解决：我们不需要把SimpleGrantedAuthority存入redis，我们只需把权限信息permissions存入即可//通过permissions反序列化即可获取authorities，所以需要忽略SimpleGrantedAuthority，不要对它序列化@JSONField(serialize = false)private List<SimpleGrantedAuthority> authorities;@Override //实际springSecurity获取权限信息是调用的该方法，重写该方法。public Collection<? extends GrantedAuthority> getAuthorities() {//优化：如果每次获取权限都进行集合转换，有点浪费。我们只第一次去集合转换，后续获取直接返回之前转换好的//即把List<SimpleGrantedAuthority> authorities定义为成员变量。if(authorities!=null){return authorities;}authorities = permissions.stream().map(SimpleGrantedAuthority::new).collect(Collectors.toList());return authorities;}
}

然后去数据库中查询用户权限：

到数据库中查询权限信息：

RBAC权限模型（Role-Based Access Control）：基于角色的权限控制。这是目前最常被开发者使用也是相对易用、通用权限模型。

在数据库中，我们会创建一个用户表，一个权限表（记录着权限功能说明和权限名），一个用户可以有多个权限，不好表达，所以我们又引入了一个角色表，里面有很多角色，在创建个角色权限管理表，每种角色对应不同的多种功能，为角色赋予不同的权限。比如：图书馆管理系统中的角色：图书管理员（权限：添加、查询、删除等等）；借阅者（权限：查询、借阅）。同时，一个用户可能会有多种身份，需要将用户与角色关联起来。

这就是RBAC模型（最少都是5张表）

5表联合查询用户权限：role为角色表，menu为菜单表（可以理解为权限表）

<mapper namespace="org.example.springSecurity.mapper.MenuMapper"><select id="selectPermsByUserId" resultType="java.lang.String">selectdistinct m.permsfrom sys_user_role urLeft join `sys_role` r on ur.role_id = r.idLeft join `sys_role_menu` rm on ur.role_id = rm.role_idLeft join `sys_menu` m on m.id = rm.menu_idwhereuser_id = #{userId}and r.status = 0and m.status = 0</select>
</mapper>

springSecurity权限控制

相关文章：

springSecurity权限控制

Pytorch训练固定随机种子（单卡场景和分布式训练场景）

Conda + JuiceFS ：增强 AI 开发环境共享能力

人工智能-人机交互的机会

【系统架构核心服务设计】使用 Redis ZSET 实现排行榜服务

elasticsearch基础总结

【慕伏白教程】Zerotier 连接与简单配置

Brain.js（九）：LSTMTimeStep 实战教程 - 未来短期内的股市指数预测 - 实操要谨慎

C# 字符串（String）

二进制文件

【电子元器件】音频功放种类

linux之vim

QT的ui界面显示不全问题（适应高分辨率屏幕）

数据结构--串、数组和广义表

LLMs之Agent之Lares：Lares的简介、安装和使用方法、案例应用之详细攻略

1-1.mysql2 之 mysql2 初识（mysql2 初识案例、初识案例挖掘）

企业邮箱为什么不能经常群发邮件？

集成运算放大电路反馈判断

媒体查询、浏览器一帧渲染过程

高级排序算法（一）：快速排序详解

挑战杯推荐项目

Vue3 + Element Plus + TypeScript中el-transfer穿梭框组件使用详解及示例

ffmpeg（四）：滤镜命令

linux 下常用变更-8

NFT模式：数字资产确权与链游经济系统构建

AirSim/Cosys-AirSim 游戏开发（四）外部固定位置监控相机

十九、【用户管理与权限 - 篇一】后端基础：用户列表与角色模型的初步构建

Ubuntu系统多网卡多相机IP设置方法

高防服务器价格高原因分析

以太网PHY布局布线指南