2. it
  3. 权限管理(SpringSecurity)

权限管理(SpringSecurity)

mac2026-01-06  6

1.为什么需要权限管理 (1):安全性:误操作、人为破坏、数据泄露等 (2):数据隔离:不同的权限能看到及操作不同的数据 (3):明确职责:运营、客服等不同角色,leader和dev等不同级别 2.权限管理核心 (1):用户——权限:人员少,功能固定,或者特别简单的系统 (2):RBAC(Role-Based Access Control) 用户-角色-权限,都是用 3.理想中的权限管理 (1):能实现角色级别权限:RBAC (2):能实现功能级别、数据级别权限 (3):简单、易操作、能够应对各种需求 4.相关操作界面 (1):权限管理界面、角色管理界面、用户管理界面 (2):角色和权限关系维护界面、用户和角色关系维护界面 5.开源权限管理项目 (1):SpringSecurity (2):Apache Shiro

Spring Security

@Configuration @EnableWebSecurity public class SpringSecurityConfig extends WebSecurityConfigurerAdapter{ @Autowired private MyUserService myUserService; @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { //基于内存验证 /* * auth.inMemoryAuthentication().passwordEncoder(new * MyPasswordEncoder()).withUser("admin").password("admin").roles("ADMIN"); * auth.inMemoryAuthentication().passwordEncoder(new * MyPasswordEncoder()).withUser("zhangsan").password("123").roles("ADMIN"); * auth.inMemoryAuthentication().passwordEncoder(new * MyPasswordEncoder()).withUser("demo").password("123").roles("USER"); */ auth.userDetailsService(myUserService).passwordEncoder(new MyPasswordEncoder()); //数据库支持默认的处理 auth.jdbcAuthentication().usersByUsernameQuery("").authoritiesByUsernameQuery("").passwordEncoder(new MyPasswordEncoder()); } @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/").permitAll() .anyRequest().authenticated() .and() .logout().permitAll() .and() .formLogin(); http.csrf().disable(); } @Override public void configure(WebSecurity web) { web.ignoring().antMatchers("/js/**","/css/**","images/**"); } } public class MyPasswordEncoder implements PasswordEncoder { private final static String SALT ="123456"; @Override public String encode(CharSequence rawPassword) { Md5PasswordEncoder encoder = new Md5PasswordEncoder(); return encoder.encodePassword(rawPassword.toString(), SALT); } @Override public boolean matches(CharSequence rawPassword, String encodedPassword) { Md5PasswordEncoder encoder = new Md5PasswordEncoder(); return encoder.isPasswordValid(encodedPassword, rawPassword.toString(),SALT); } }

Spring Security优点 (1):提供了一套安全框架,而且这个框架是可以用的 (2):提供了很多用户认证的功能,实现相关接口即可,节约大量开发工作 (3):基于spring,易于集成到spring项目中,且封装了许多方法 Spring Security缺点 (1):配置文件多,角色“编码”到配置文件和源文件中,RBAC不明显 (2):对于系统中用户、角色、权限之间的关系,没有可操作的界面 (3):大数据量情况下,几乎不可用

最新回复(0)