用spring security实现简单的登陆和权限角色控制

高洛峰

发布时间：2016-10-17 09:08:48

2693人浏览过

来源于php中文网

原创

首先想一下，登陆需要什么，最简单的情况下，用户名，密码，然后比对数据库，如果吻合就跳转到个人页面，否则回到登陆页面，并且提示用户名密码错误。这个过程中应该还带有权限角色，并且贯穿整个会话。有了这个思路，我们只需要把数据库的用户名密码交给spring security比对，再让security进行相关跳转，并且让security帮我们把权限角色和用户名贯穿整个会话，实际上，我们只需要提供正确的用户名和密码，以及配置下security。

准备工作

登陆页面

个人页面

开始配置spring security

　1.启动spring security

2.配置权限

3.编写UserDetailService

首先准备数据库表

CREATE TABLE `user` (
  `username` varchar(255) NOT NULL,
  `password` char(255) NOT NULL,
  `roles` enum('MEMBER','MEMBER,LEADER','SUPER_ADMIN') NOT NULL DEFAULT 'MEMBER',
  PRIMARY KEY (`username`),
  KEY `username` (`username`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

PS:这里注意的是roles的内容，LEADER也是MEMBER,这样做，LEADER就拥有MEMBER的权限，当然你也可以在应用里面作判断，这个后面会说到。

<%@ page contentType="text/html;charset=UTF-8" language="java" isELIgnored="false" %>
<%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core"%>
<%@ taglib prefix="sf" uri="http://www.springframework.org/tags/form"%>
<html>
<head>
    <title>登录</title>
</head>
<body>
<div >
    
    <sf:form action="${pageContext.request.contextPath}/log" method="POST" commandName="user">     <!-- spring表单标签，用于模型绑定和自动添加隐藏的CSRF token标签 -->
        <h1 >登录</h1>
        <c:if test="${error==true}"><p style="color: red">错误的帐号或密码</p></c:if>　　　　　　<!--  登陆失败会显示这句话 -->
        <c:if test="${logout==true}"><p >已退出登录</p></c:if>　　　　　　　　　　　　　　　　　　　　<!-- 退出登陆会显示这句话 -->
        <sf:input path="username" name="user.username"  placeholder="输入帐号" /><br />
        <sf:password path="password" name="user.password"  placeholder="输入密码" /><br />
        <input id="remember-me" name="remember-me" type="checkbox"/>　　　　　　　　　　　　　　　　<!-- 是否记住我功能勾选框 -->
        <label for="remember-me">一周内记住我</label>
        <input type="submit" class="sumbit" value="提交" >
    </sf:form>
</div>
</body>
</html>

个人页面

<%@ page contentType="text/html;charset=UTF-8" language="java" isELIgnored="false"%>
<%@taglib prefix="security" uri="http://www.springframework.org/security/tags" %>
<%@ taglib prefix="sf" uri="http://www.springframework.org/tags/form"%>
<html>
<head>
    <title>欢迎你，<security:authentication property="principal.username" var="username"/>${username}</title>　　　　　　<!--  登陆成功会显示名字，这里var保存用户名字到username变量，下面就可以通过EL获取 -->
</head>
<body>
<security:authorize access="isAuthenticated()"><h3>登录成功！${username}</h3></security:authorize>　　<!--  登陆成功会显示名字 -->

<security:authorize access="hasRole('MEMBER')">　　　　　　　　　　　　　　<!--  MENBER角色就会显示 security:authorize标签里的内容-->
    <p>你是MENBER</p><div class="aritcle_card flexRow">
                                                        <div class="artcardd flexRow">
                                                                <a class="aritcle_card_img" href="/ai/1583" title="Tweeze"><img
                                                                                src="https://img.php.cn/upload/ai_manual/000/000/000/175680266684921.png" alt="Tweeze"  onerror="this.onerror='';this.src='/static/lhimages/moren/morentu.png'" ></a>
                                                                <div class="aritcle_card_info flexColumn">
                                                                        <a href="/ai/1583" title="Tweeze">Tweeze</a>
                                                                        <p>Tweeze.app是一个AI驱动的个性化新闻简报服务，定位为个人互联网AI阅读助手</p>
                                                                </div>
                                                                <a href="/ai/1583" title="Tweeze" class="aritcle_card_btn flexRow flexcenter"><b></b><span>下载</span> </a>
                                                        </div>
                                                </div>
</security:authorize>

<security:authorize access="hasRole('LEADER')">
    <p>你是LEADER</p>
</security:authorize>


<sf:form id="logoutForm" action="${pageContext.request.contextPath}/logout" method="post">　　　　　　<!--  登出按钮，注意这里是post，get是会登出失败的 -->
    <a href="#" onclick="document.getElementById('logoutForm').submit();">注销</a>
</sf:form>
</body>
</html>

开始配置spring security

启动spring security

@Order(2)public class WebSecurityAppInit extends AbstractSecurityWebApplicationInitializer{
}

　　继承AbstractSecurityWebApplicationInitializer，spring security会自动进行准备工作，这里@Order(2)是之前我springmvc（也是纯注解配置）和spring security一起启动出错，具体是什么我忘了，加这个让security启动在后，可以避免这个问题，如果不写@Order(2)没有错就不用管。

　　　　2.配置权限

@Configuration
@EnableWebSecurity
@ComponentScan("com.chuanzhi.workspace.service.impl.*")
public class WebSecurityConfig extends WebSecurityConfigurerAdapter{　　　　　　　　　　

    @Autowired
    private UserDetailService userDetailService;　　　　　　　　　　　　　　　　　　//如果userDetailService没有扫描到就加上面的@ComponentScan

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                    .antMatchers("/me").hasAnyRole("MEMBER","SUPER_ADMIN")　　//个人首页只允许拥有MENBER,SUPER_ADMIN角色的用户访问
                    .anyRequest().authenticated()
                    .and()
                .formLogin()
                    .loginPage("/").permitAll()　　　　　　　　　　　　　　　　　　//这里程序默认路径就是登陆页面，允许所有人进行登陆
                    .loginProcessingUrl("/log")　　　　　　　　　　　　　　　　　　//登陆提交的处理url
                    .failureForwardUrl("/?error=true")　　　　　　　　　　　　　　//登陆失败进行转发，这里回到登陆页面，参数error可以告知登陆状态
                    .defaultSuccessUrl("/me")　　　　　　　　　　　　　　　　　　　　//登陆成功的url，这里去到个人首页
                    .and()
                .logout().logoutUrl("/logout").permitAll().logoutSuccessUrl("/?logout=true")　　　　//按顺序，第一个是登出的url，security会拦截这个url进行处理，所以登出不需要我们实现，第二个是登出url，logout告知登陆状态
                    .and()
                .rememberMe()
                    .tokenValiditySeconds(604800)　　　　　　　　　　　　　　　　//记住我功能，cookies有限期是一周
                    .rememberMeParameter("remember-me")　　　　　　　　　　　　　　//登陆时是否激活记住我功能的参数名字，在登陆页面有展示
                    .rememberMeCookieName("workspace");　　　　　　　　　　　　//cookies的名字，登陆后可以通过浏览器查看cookies名字
    }

    @Override
    public void configure(WebSecurity web) throws Exception {
        super.configure(web);
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailService);　　　　　　　　　　　　　　　　//配置自定义userDetailService
    }
}

　3.编写UserDetailService

　　spring security提供给我们的获取用户信息的Service，主要给security提供验证用户的信息，这里我们就可以自定义自己的需求了，我这个就是根据username从数据库获取该用户的信息，然后交给security进行后续处理

@Service(value = "userDetailService")
public class UserDetailService implements UserDetailsService {

    @Autowired
    private UserRepository repository;　　　　　　　　　　

    public UserDetailService(UserRepository userRepository){
        this.repository = userRepository;　　　　　　　　　　　　　　//用户仓库，这里不作说明了
    }

    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

        User user = repository.findUserByUsername(username);
        if (user==null)
            throw new UsernameNotFoundException("找不到该账户信息！");　　　　　　　　　　//抛出异常，会根据配置跳到登录失败页面

        List<GrantedAuthority> list = new ArrayList<GrantedAuthority>();　　　　　　//GrantedAuthority是security提供的权限类，

        getRoles(user,list);　　　　　　　　　　　　　　//获取角色，放到list里面

        org.springframework.security.core.userdetails.User auth_user = new
                org.springframework.security.core.userdetails.User(user.getUsername(),user.getPassword(),list);　　　　　　//返回包括权限角色的User给security
        return auth_user;
    }

    /**
     * 获取所属角色
     * @param user
     * @param list
     */
    public void getRoles(User user,List<GrantedAuthority> list){
        for (String role:user.getRoles().split(",")) {
            list.add(new SimpleGrantedAuthority("ROLE_"+role));　　　　　　　　　　//权限如果前缀是ROLE_，security就会认为这是个角色信息，而不是权限，例如ROLE_MENBER就是MENBER角色，CAN_SEND就是CAN_SEND权限
        }
    }
}

如果你想在记住我功能有效情况下，在下次进入登陆页面直接跳到个人首页可以看一下这个控制器代码

/**
     * 登录页面
     * @param
     * @return
     */
    @RequestMapping(value = "/")
    public String login(Model model,User user
            ,@RequestParam(value = "error",required = false) boolean error
            ,@RequestParam(value = "logout",required = false) boolean logout,HttpServletRequest request){
        model.addAttribute(user);
        //如果已经登陆跳转到个人首页
        Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
        if(authentication!=null&&
                !authentication.getPrincipal().equals("anonymousUser")&&
                authentication.isAuthenticated())
            return "me";
        if(error==true)
            model.addAttribute("error",error);
        if(logout==true)
            model.addAttribute("logout",logout);
        return "login";
    }

结果展示：

本站声明：本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

上一篇：使用apache.lang包安全简洁地操作Java时间下一篇：JAVA编程思想---11.5 List，11.6迭代器

作者最新文章

实现一个 Java 版的 Redis

2018-05-30 13:56

Asp.net使用SignalR实现发送图片

2018-05-28 16:22

HTML5:使用Canvas实时处理Video

2018-05-28 17:58

最简单的微信小程序Demo

2018-05-30 10:20

Python构造自定义方法来美化字典结构输出

2018-05-29 10:33

html设置加粗、倾斜、下划线、删除线等字体效果示例介绍

2018-05-31 09:48

微信小程序：如何实现tabs选项卡效果示例

2018-05-29 15:01

微信小程序开发教程-App()和Page()函数概述

2018-05-28 16:19

python中pandas.DataFrame（创建、索引、增添与删除）的简单操作方法介绍

2018-05-29 15:23

详解python redis使用方法

2018-05-28 15:01

热门AI工具

DeepSeek

幻方量化公司旗下的开源大模型平台

AI编程开发 AI聊天问答

豆包大模型

字节跳动自主研发的一系列大型语言模型

AI编程开发 AI大模型

WorkBuddy

腾讯云推出的AI原生桌面智能体工作台

AI办公学习 Agent智能体

腾讯元宝

腾讯混元平台推出的AI助手

文档处理 Excel 表格

文心一言

文心一言是百度开发的AI聊天机器人，通过对话可以生成各种形式的内容。

AI编程开发 AI文本写作

讯飞写作

基于讯飞星火大模型的AI写作工具，可以快速生成新闻稿件、品宣文案、工作总结、心得体会等各种文文稿

AI文本写作中文写作

即梦AI

一站式AI创作平台，免费AI图片和视频生成。

图片拼接图画生成

ChatGPT

最最强大的AI聊天机器人程序，ChatGPT不单是聊天机器人，还能进行撰写邮件、视频脚本、文案、翻译、代码等任务。

AI编程开发 AI文本写作

智谱清言 - 免费全能的AI助手

AI编程开发 Agent智能体

相关专题

TypeScript类型系统进阶与大型前端项目实践

本专题围绕 TypeScript 在大型前端项目中的应用展开，深入讲解类型系统设计与工程化开发方法。内容包括泛型与高级类型、类型推断机制、声明文件编写、模块化结构设计以及代码规范管理。通过真实项目案例分析，帮助开发者构建类型安全、结构清晰、易维护的前端工程体系，提高团队协作效率与代码质量。

2026.03.13

Python异步编程与Asyncio高并发应用实践

本专题围绕 Python 异步编程模型展开，深入讲解 Asyncio 框架的核心原理与应用实践。内容包括事件循环机制、协程任务调度、异步 IO 处理以及并发任务管理策略。通过构建高并发网络请求与异步数据处理案例，帮助开发者掌握 Python 在高并发场景中的高效开发方法，并提升系统资源利用率与整体运行性能。

117

2026.03.12

C# ASP.NET Core微服务架构与API网关实践

本专题围绕 C# 在现代后端架构中的微服务实践展开，系统讲解基于 ASP.NET Core 构建可扩展服务体系的核心方法。内容涵盖服务拆分策略、RESTful API 设计、服务间通信、API 网关统一入口管理以及服务治理机制。通过真实项目案例，帮助开发者掌握构建高可用微服务系统的关键技术，提高系统的可扩展性与维护效率。

350

2026.03.11

Go高并发任务调度与Goroutine池化实践

本专题围绕 Go 语言在高并发任务处理场景中的实践展开，系统讲解 Goroutine 调度模型、Channel 通信机制以及并发控制策略。内容包括任务队列设计、Goroutine 池化管理、资源限制控制以及并发任务的性能优化方法。通过实际案例演示，帮助开发者构建稳定高效的 Go 并发任务处理系统，提高系统在高负载环境下的处理能力与稳定性。

2026.03.10

Kotlin Android模块化架构与组件化开发实践

本专题围绕 Kotlin 在 Android 应用开发中的架构实践展开，重点讲解模块化设计与组件化开发的实现思路。内容包括项目模块拆分策略、公共组件封装、依赖管理优化、路由通信机制以及大型项目的工程化管理方法。通过真实项目案例分析，帮助开发者构建结构清晰、易扩展且维护成本低的 Android 应用架构体系，提升团队协作效率与项目迭代速度。

109

2026.03.09

JavaScript浏览器渲染机制与前端性能优化实践

本专题围绕 JavaScript 在浏览器中的执行与渲染机制展开，系统讲解 DOM 构建、CSSOM 解析、重排与重绘原理，以及关键渲染路径优化方法。内容涵盖事件循环机制、异步任务调度、资源加载优化、代码拆分与懒加载等性能优化策略。通过真实前端项目案例，帮助开发者理解浏览器底层工作原理，并掌握提升网页加载速度与交互体验的实用技巧。

108

2026.03.06

Rust内存安全机制与所有权模型深度实践

本专题围绕 Rust 语言核心特性展开，深入讲解所有权机制、借用规则、生命周期管理以及智能指针等关键概念。通过系统级开发案例，分析内存安全保障原理与零成本抽象优势，并结合并发场景讲解 Send 与 Sync 特性实现机制。帮助开发者真正理解 Rust 的设计哲学，掌握在高性能与安全性并重场景中的工程实践能力。

243

2026.03.05

PHP高性能API设计与Laravel服务架构实践

本专题围绕 PHP 在现代 Web 后端开发中的高性能实践展开，重点讲解基于 Laravel 框架构建可扩展 API 服务的核心方法。内容涵盖路由与中间件机制、服务容器与依赖注入、接口版本管理、缓存策略设计以及队列异步处理方案。同时结合高并发场景，深入分析性能瓶颈定位与优化思路，帮助开发者构建稳定、高效、易维护的 PHP 后端服务体系。

684

2026.03.04