为什么需要权限管理?
安全性:误操作,人为破坏,数据泄露等
数据隔离:不同权限能看到及操作不同的数据
明确职责:运营,客服等不同角色,等级不同
权限管理的核心是什么?
1.用户-权限:人员少,功能固定,或特别简单的系统
2.RBAC:用户-角色-权限 所有系统都适用
权限框架主要有?
1. Spring Security
2.apache shiro
本博客主要讲Spring Security
Spring Security
主要是认证和验证
Basic 认证:Basic 认证是HTTP 中非常简单的认证方式,因为简单,所以不是很安全,不过仍然非常常用。
Digest 认证:客户端请求资源->服务器返回认证标示->客户端发送认证信息->服务器查验认证,如果成功则继续资源传送,否则直接断开连接。
x.509认证:数字认证
LDAP 认证:LDAP认证是通过WSS3.0加上轻量目录LDAP协议搭建的种认证方式,使用https加密传输,主要用于做文档管理。
下面使用springboot+Spring Security 实战下
Spring Security实战
1.搭建springbooot环境
https://start.spring.io/ 搭建springboot网站,选择如下两个依赖,我这里使用1.5.6.RELEASE的springboot
搭建好了之后下载下来解压,导入IDEA 中
2.只要能登录即可的例子
package com.su.demo;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.EnableAutoConfiguration;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
@SpringBootApplication
@RestController
@EnableAutoConfiguration
public class DemoApplication {
public static void main(String[] args) {
SpringApplication.run(DemoApplication.class, args);
}
@RequestMapping("/")
public String home() {
return "您好,主页";
}
@RequestMapping("/hello")
public String hello() {
return "hello路径";
}
} 
package com.su.demo; import org.springframework.context.annotation.Configuration; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.builders.WebSecurity; import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity; import org.springframework.security.config.annotation.web.configuration.WebSecurityConfiguration; import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter; /** *主要是权限配置 */ @Configuration @EnableWebSecurity public class SpringSecurityConfig extends WebSecurityConfigurerAdapter { /** * 拦截下面的东西 * * @param http * @throws Exception */ @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/").permitAll() //主路径允许访问 .anyRequest().authenticated() //验证 .and() .logout().permitAll() //注销也是运行访问 .and() .formLogin(); http.csrf().disable(); //关闭csrf() 认证 } /** * 不拦截下面这些资源 * * @param web * @throws Exception */ @Override public void configure(WebSecurity web) throws Exception { web.ignoring().antMatchers("/js/**", "/css/**", "/images/**"); } }
3.基_于内存的权限设置_
/** * 基于内存的验证:不需要用到数据库的情况 * * @param auth * @throws Exception */ @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { //我们指定一个人这个人的用户:admin 密码:123456 角色:ADMIN auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder()).withUser("admin").password(new BCryptPasswordEncoder().encode("123456")).roles("ADMIN"); }
当访问http://localhost:8080/hello我们需要输入存在内存中的用户名密码
4.角色进行拦截
在方法DemoApplication 中添加代码
/** * 只有ADMIN 的角色才能访问 * @return */ @PreAuthorize("hasRole('ROLE_ADMIN')")//必须用ROLE_xxx 才能识别你是做角色权限 @RequestMapping("/roleAuth") public String role () { return "需要某个权限才能访问"; }
运行,当访问http://localhost:8080/roleAuth时只有角色为ADMIN 的用户才能访问
全部评论
(2) 回帖