Spring Security 自定义角色

在 Spring Security 中,自定义角色常见的2种方法:

  1. 直接在配置文件中配置角色授权

在 SecurityConfig 中,可以使用 HttpSecurity 对象来配置角色授权。例如:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    // ... other configurations

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/admin/**").hasRole("ADMIN")
                .anyRequest().authenticated()
                .and()
            .formLogin()
                .loginPage("/login")
                .permitAll()
                .and()
            .logout()
                .permitAll();
    }
}

在这个示例中,使用 hasRole("ADMIN") 方法来配置对 /admin/** 路径的访问需要 ADMIN 角色才能访问。其他所有请求都需要进行身份认证。

  1. 自定义UserDetailsService

可以通过自定义实现 UserDetailsService 接口来加载用户信息,包括用户的角色。

具体步骤如下:

  1. 创建一个实现了 UserDetailsService 接口的自定义类

在该类中,需要实现 loadUserByUsername 方法来从数据源中获取用户信息,并构建一个 UserDetails 对象。该对象中包括了用户的基本信息和角色信息。例如:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
@Service
public class CustomUserDetailsService implements UserDetailsService {

    @Autowired
    private UserRepository userRepository;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        User user = userRepository.findByUsername(username);
        if (user == null) {
            throw new UsernameNotFoundException("User not found");
        }
        List<GrantedAuthority> authorities = new ArrayList<>();
        for (Role role : user.getRoles()) {
            authorities.add(new SimpleGrantedAuthority(role.getName()));
        }
        return new org.springframework.security.core.userdetails.User(
                user.getUsername(),
                user.getPassword(),
                authorities);
    }
}

在这个示例中,从 UserRepository 中根据用户名查询用户信息,并构建一个 UserDetails 对象。该对象中包括了用户的用户名、密码、角色等信息。注意,将 Role 对象转换成 GrantedAuthority 对象,以便在 Spring Security 中进行角色授权。

2. 在 SecurityConfig 中配置自定义的 UserDetailsService

在 SecurityConfig 中,需要将自定义的 UserDetailsService 注入到 Spring Security 中,以便 Spring Security 使用该服务来加载用户信息。例如:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private CustomUserDetailsService userDetailsService;

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService);
    }

    // ... other configurations
}

在这个示例中,将自定义的 CustomUserDetailsService 注入到了 Spring Security 中,并在 configure(AuthenticationManagerBuilder auth) 方法中使用该服务。