授权
权限系统要实现的效果:不同的用户可以使用不同的功能。
在后台进行用户权限的判断,判断当前用户是否有相应的权限,必须具有所需权限才能进行相应的操作。
在 SpringSecurity 中,默认使用 FilterSecurityInterceptor 进行权限校验。在 FilterSecurityInterceptor 中会从SecurityContextHolder 获取其中的 Authentication,然后获取其中的权限信息。当前用户是否拥有访问当前资源所需的权限。所以我们在项目中只需要把当前登录用户的权限信息也存入 Authentication,然后设置我们的资源所需要的权限即可。
首先开启相关配置。
java">@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {// ......
}
使用对应的注解。@PreAuthorize
java">@RestController
@RequestMapping("/user")
public class SysUserController {@Resourceprivate SysUserService sysUserService;// 登录方法......// 退出登录......@GetMapping("/list")@PreAuthorize("hasAuthority('USER1')")public ResultJSON list() {return ResultJSON.success();}
}
封装权限信息
写 UserDetailsServiceImzho 中,在查询出用户后还要获取对应的权限信息,封装到 UserDetails 中返回。
把权限信息写死封装到 UserDetails 中进行测试。
修改 UserDetails 的实现类 LoginUser,让其能封装权限信息。
java">@Data
@NoArgsConstructor
@AllArgsConstructor
public class LoginUser implements UserDetails {private SysUser sysUser;private List<String> permissions;public LoginUser(SysUser sysUser, List<String> permissions) {this.sysUser = sysUser;this.permissions = permissions;}//存储SpringSecurity所需要的权限信息的集合@JSONField(serialize = false)private List<GrantedAuthority> authorities;@Overridepublic Collection<? extends GrantedAuthority> getAuthorities() {if (authorities != null) {return authorities;}authorities = AuthorityUtils.commaSeparatedStringToAuthorityList(String.join(",",permissions));return authorities;}// 其他方法......
}
java">@Service
public class UserDetailsServiceImpl implements UserDetailsService {@Resourceprivate SysUserDao sysUserDao;@Overridepublic UserDetails loadUserByUsername(String username)throws UsernameNotFoundException {// 根据用户名查询用户信息SysUser sysUser = sysUserDao.selectOne(new QueryWrapper<SysUser>().eq("user_name", username));if (Objects.isNull(sysUser)) {throw new RuntimeException("用户名或密码错误");}// 从数据库中获取权限列表List<String> list = new ArrayList<>;list.add("USER1");// list.add("USER2");// 返回用户信息 和 权限集合return new LoginUser(sysUser, list);}
}
在 JwtAuthenticationTokenFilter 中修改如下代码
UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(loginUser,null,loginUser.getAuthorities());
java">@Component
public class JwtAuthenticationTokenFilter extends OncePerRequestFilter {@Resourceprivate RedisCache redisCache;@Overrideprotected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {//......//存入SecurityContextHolder//TODO 获取权限信息封装到Authentication中UsernamePasswordAuthenticationToken authenticationToken =new UsernamePasswordAuthenticationToken(loginUser,null,loginUser.getAuthorities());SecurityContextHolder.getContext().setAuthentication(authenticationToken);//放行filterChain.doFilter(request, response);}
}
分别调用接口运行测试
java">@RestController
@RequestMapping("/user")
public class SysUserController {@Resourceprivate SysUserService sysUserService;// 登录方法......// 退出登录......@GetMapping("/list")@PreAuthorize("hasAuthority('USER1')")public ResultJSON list() {return ResultJSON.success();}
}
java">@RestController
@RequestMapping("/order")
public class SysOrderController {@GetMapping("/list")@PreAuthorize("hasAuthority('USER2')")public ResultJSON list() {return ResultJSON.success();}
}
从数据库查询权限信息
RBAC 权限模型(Role-Based Access Control)
基于角色的权限控制。这是目前最常被开发者使用也是相对易用、通用权限模型。
