SpringSecurity-6-GrantedAuthority/AccessDeniedHandler接口(权限菜单/权限接口/权限失败后的逻辑)

本文主要是介绍SpringSecurity-6-GrantedAuthority/AccessDeniedHandler接口(权限菜单/权限接口/权限失败后的逻辑),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

本文将演示用户1登录之后只能访问test1接口和test3接口,用户2登录之后只能访问test2接口和test3接口,如果user1访问test2接口,那么前端页面上会显示没有权限四个字

本文是与上一篇文章的部分代码强关联的,因为这是一篇系列文章

步骤1: controller代码如下

@RestController
public class AController {// 帐号user1可以访问该接口,user2不可以@RequestMapping("/test1")public String test1() {return "OK1";}// 帐号user2可以访问该接口,user1不可以@RequestMapping("test2")public String test2() {return "OK2";}// 帐号user1和user2都可以访问该接口@RequestMapping("/test3")public String test3() {return "OK3";}
}

步骤2: 对每个接口设置权限,在本文中,我将设置3个权限,分别是QX1,QX2,QX3,其中QX是权限两个字的拼音,比较好理解,对接口设置权限的代码如下:

@Service
public class TestWebSecurityConfigurerAdapter extends WebSecurityConfigurerAdapter {@Overrideprotected void configure(HttpSecurity http) throws Exception{http.authorizeRequests()// 有QX1权限的用户才可以访问test1接口// 注意:注意:注意:注意:注意:注意:注意:注意:注意:注意:注意:注意// 注意:此处我们设置的是"QX1",但是spring自己会对"QX1"进行处理,会在// 前面追加"ROLE_"字符串,所以后文你会见到设置人员权限的时候出现"ROLE_".antMatchers("/test1").hasRole("QX1")// 有QX2权限的用户才可以访问test2接口 .antMatchers("/test2").hasRole("QX2")// 有QX3权限的用户才可以访问test3接口 .antMatchers("/test3").hasRole("QX3")// 剩下的接口只要登录就可以访问,当然,本文示例中剩余接口数为0.anyRequest().authenticated().and()// 下面的代码和html页面是本系列文章第1和2章节里的内容.formLogin().loginPage("/TestLogin.html").loginProcessingUrl("/myLoginProcess").permitAll().successHandler(new TestReturnJsonValueHandler()).failureHandler(new TestLoginErrorHandler()).and().csrf().disable();}
}

步骤3: 对每个人员设置权限,注意设置权限的时候多了"ROLE_"字符串

@Service
public class TestUserDetailsService implements UserDetailsService {@Resourceprivate PasswordEncoder encoder;@Overridepublic UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {if ("user1".equals(username)) {TestUser user = new TestUser();user.setUsername("用户1");user.setPassword(encoder.encode("123456"));user.setAge(28);user.setBirthday("1996-03-12");// 设置权限,user1有QX1和QX3的权限,注意这里的"ROLE_",上文有提到String roles = "ROLE_QX1,ROLE_QX3";List<GrantedAuthority> authorityList = AuthorityUtils.commaSeparatedStringToAuthorityList(roles);// 注意:spring security提供了逗号工具类,可以将逗号格式的字符串转换成GrantedAuthority,所以// 下面的代码注释掉,我们直接使用上面这个工具类创建权限List,注释的代码是让你要知道权限是如何new出来的//  List<GrantedAuthority> authorityList = new ArrayList<>();//  for (String role : roles.split(",")) {//      GrantedAuthority authority = new SimpleGrantedAuthority(role);//      authorityList.add(authority);//  }user.setAuthorities(authorityList);return user;}if ("user2".equals(username)) {TestUser user = new TestUser();user.setUsername("用户2");user.setPassword(encoder.encode("123456"));user.setAge(19);user.setBirthday("2005-09-15");// 设置权限,user2有QX2和QX3的权限String roles = "ROLE_QX2,ROLE_QX3";List<GrantedAuthority> authorityList = AuthorityUtils.commaSeparatedStringToAuthorityList(roles);user.setAuthorities(authorityList);return user;}return null;}
}

步骤4: 启动服务,使用帐号"user1",密码123456登录并访问test1和test3,可以正常访问,访问test2,则页面报错403

步骤5: 当访问没有权限的时候,我不想页面403,我想给前端页面返回一个json字符串,字符串的内容是"没有权限",首先新建一个用来给前端打印"没有权限"的类,代码如下

public class TestAccessDeniedHandler implements AccessDeniedHandler {@Overridepublic void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) throws IOException, ServletException {response.setContentType("application/json;charset=UTF-8");PrintWriter out=response.getWriter();// accessDeniedException.getMessage()out.write("{\"status\",\"403\",\"message\",\"没有权限\"}");out.close();}
}

步骤6: 将上边这个新类注入到权限验证失败的回调函数中,代码和前几章登录失败成功的代码如出一辙,如下

// 注意:这个TestWebSecurityConfigurerAdapter类就是本文的步骤2,只是新增了exceptionHandling()方法
@Service
public class TestWebSecurityConfigurerAdapter extends WebSecurityConfigurerAdapter {@Overrideprotected void configure(HttpSecurity http) throws Exception{http.exceptionHandling()	// 这行是新增的.accessDeniedHandler(new TestAccessDeniedHandler()) // 这行是新增的//.accessDeniedPage("/无权限页面.html") JSON返回,所以注释掉本行.and()// 下面的代码和本文的步骤2是一样的.authorizeRequests().antMatchers("/test1").hasRole("QX1").antMatchers("/test2").hasRole("QX2").antMatchers("/test3").hasRole("QX3").anyRequest().authenticated().and().formLogin().loginPage("/TestLogin.html").loginProcessingUrl("/myLoginProcess").permitAll().successHandler(new TestReturnJsonValueHandler()).failureHandler(new TestLoginErrorHandler()).and().csrf().disable();}
}

步骤7: 重启服务,访问test1,到登录页面,输入帐号user1,密码123456,登录成功,此时访问test1,会在页面上出现json字符串,而不是之前的403加粗字体

本章内容需要注意:
1. 我们设置完接口权限之后,spring security会自动在前面加上"ROLE_"字符串
2. spring提供了AuthorityUtils.commaSeparatedStringToAuthorityList类来创建权限,所以建议我们数据库存储人员权限的时候,应该是逗号分隔的形式,这样要比建立映射表查询方便
3. HttpSecurity.exceptionHandling方法设置权限回调

到了这里,关于spring security的基本功能就已经完成了,后续如果有时间的话我会写一写关于如何实现验证码,单点登录,第三方登录的功能,鉴于目前这些用不到,所以本利系列文章暂时到此为止

这篇关于SpringSecurity-6-GrantedAuthority/AccessDeniedHandler接口(权限菜单/权限接口/权限失败后的逻辑)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1057392

相关文章

Java的栈与队列实现代码解析

《Java的栈与队列实现代码解析》栈是常见的线性数据结构,栈的特点是以先进后出的形式,后进先出,先进后出,分为栈底和栈顶,栈应用于内存的分配,表达式求值,存储临时的数据和方法的调用等,本文给大家介绍J... 目录栈的概念(Stack)栈的实现代码队列(Queue)模拟实现队列(双链表实现)循环队列(循环数组

usb接口驱动异常问题常用解决方案

《usb接口驱动异常问题常用解决方案》当遇到USB接口驱动异常时,可以通过多种方法来解决,其中主要就包括重装USB控制器、禁用USB选择性暂停设置、更新或安装新的主板驱动等... usb接口驱动异常怎么办,USB接口驱动异常是常见问题,通常由驱动损坏、系统更新冲突、硬件故障或电源管理设置导致。以下是常用解决

Java中Switch Case多个条件处理方法举例

《Java中SwitchCase多个条件处理方法举例》Java中switch语句用于根据变量值执行不同代码块,适用于多个条件的处理,:本文主要介绍Java中SwitchCase多个条件处理的相... 目录前言基本语法处理多个条件示例1:合并相同代码的多个case示例2:通过字符串合并多个case进阶用法使用

Java中的Lambda表达式及其应用小结

《Java中的Lambda表达式及其应用小结》Java中的Lambda表达式是一项极具创新性的特性,它使得Java代码更加简洁和高效,尤其是在集合操作和并行处理方面,:本文主要介绍Java中的La... 目录前言1. 什么是Lambda表达式?2. Lambda表达式的基本语法例子1:最简单的Lambda表

Java中Scanner的用法示例小结

《Java中Scanner的用法示例小结》有时候我们在编写代码的时候可能会使用输入和输出,那Java也有自己的输入和输出,今天我们来探究一下,对JavaScanner用法相关知识感兴趣的朋友一起看看吧... 目录前言一 输出二 输入Scanner的使用多组输入三 综合练习:猜数字游戏猜数字前言有时候我们在

Spring Security+JWT如何实现前后端分离权限控制

《SpringSecurity+JWT如何实现前后端分离权限控制》本篇将手把手教你用SpringSecurity+JWT搭建一套完整的登录认证与权限控制体系,具有很好的参考价值,希望对大家... 目录Spring Security+JWT实现前后端分离权限控制实战一、为什么要用 JWT?二、JWT 基本结构

java解析jwt中的payload的用法

《java解析jwt中的payload的用法》:本文主要介绍java解析jwt中的payload的用法,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录Java解析jwt中的payload1. 使用 jjwt 库步骤 1:添加依赖步骤 2:解析 JWT2. 使用 N

springboot项目如何开启https服务

《springboot项目如何开启https服务》:本文主要介绍springboot项目如何开启https服务方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录springboot项目开启https服务1. 生成SSL证书密钥库使用keytool生成自签名证书将

Java实现优雅日期处理的方案详解

《Java实现优雅日期处理的方案详解》在我们的日常工作中,需要经常处理各种格式,各种类似的的日期或者时间,下面我们就来看看如何使用java处理这样的日期问题吧,感兴趣的小伙伴可以跟随小编一起学习一下... 目录前言一、日期的坑1.1 日期格式化陷阱1.2 时区转换二、优雅方案的进阶之路2.1 线程安全重构2

Java中的JSONObject详解

《Java中的JSONObject详解》:本文主要介绍Java中的JSONObject详解,需要的朋友可以参考下... Java中的jsONObject详解一、引言在Java开发中,处理JSON数据是一种常见的需求。JSONObject是处理JSON对象的一个非常有用的类,它提供了一系列的API来操作J