SpringBoot登录用户权限拦截器

下面是详细讲解“SpringBoot登录用户权限拦截器”的完整攻略：

什么是SpringBoot登录用户权限拦截器

SpringBoot登录用户权限拦截器主要用于过滤用户请求并确保只有已经登录并拥有相应权限的用户才能够访问特定的资源。在Web应用程序中，用户必须先经过身份验证和授权才能访问特定的页面或资源。因此，SpringBoot登录用户权限拦截器提供了一个简单而灵活的方式来实现这种行为。

实现过程

第一步：添加Spring Boot依赖

首先我们需要在pom.xml文件中添加Spring Boot依赖：

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

第二步：创建拦截器

然后我们需要创建一个Spring Security拦截器 SecurityInterceptor，其实现了HandlerInterceptor接口，并实现了preHandle方法。

public class SecurityInterceptor implements HandlerInterceptor {

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
        if (authentication == null || !authentication.isAuthenticated()) {
            // 用户未登录，跳转到登录页面
            response.sendRedirect(request.getContextPath() + "/login");
            return false;
        } else {
            // 判断用户是否有访问该资源的权限，如果没有则跳转到403页面
            String url = request.getRequestURI();
            if (!checkPermission(authentication, url)) {
                response.sendRedirect(request.getContextPath() + "/403");
                return false;
            }
        }
        return true;
    }

    private boolean checkPermission(Authentication authentication, String url) {
        // 在这里实现检查用户是否有访问该资源的权限的代码逻辑
        // 如果有权限，返回true；否则，返回false
    }

}

在preHandle方法中，我们首先从Spring Security上下文中获取已经验证的用户身份认证对象Authentication，判断用户是否已经登录。如果用户未登录，则跳转到登录页面；如果用户已经登录，则检查该用户是否有访问该资源的权限。如果没有，将其重定向到403页面。

在checkPermission方法中，我们需要编写检查用户是否有访问该资源的权限的代码逻辑，通常可以利用Spring Security中的基于角色的授权机制实现。如果用户有访问该资源的权限，返回true；否则，返回false。

第三步：配置Web安全

然后，我们需要配置Web安全，以启用Spring Security。我们可以使用Java代码或XML配置方式。

1. Java配置方式

在我们的@Configuration类中添加以下代码：

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private SecurityInterceptor securityInterceptor;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/login").permitAll() // 允许访问登录页面
                .antMatchers("/resources/**").permitAll() // 允许访问静态资源
                .anyRequest().authenticated() // 所有请求都需要登录认证
                .and().formLogin().loginPage("/login")
                .defaultSuccessURL("/home").failureUrl("/login?error=true") // 配置登录页面和登录成功后默认跳转的页面
                .and().logout().logoutSuccessUrl("/login?logout=true") // 配置登出页面和登出成功后跳转的页面
                .and().addFilterBefore(securityInterceptor, FilterSecurityInterceptor.class); // 在Spring Security过滤器链中添加我们自定义的安全拦截器
    }

    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService()).passwordEncoder(passwordEncoder());
    }

    @Bean
    public UserDetailsService userDetailsService() {
        // 在这里实现自己的用户账户管理逻辑，可以直接返回用户数据到Spring Security
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        // 在这里实现自己的加密方式，密码不加密的话可以直接返回NoOpPasswordEncoder.getInstance()
    }

}

在这个类中，我们首先通过@EnableWebSecurity注释启用Spring Security。然后，针对所有请求添加HttpSecurity过滤器链，并设置登录和登出页面、可以访问的页面等相关配置，内部用到的内容排布和上述SecurityInterceptor类有区别，具体说明如下：

• anyRequest().authenticated()表示所有请求都需要登录认证。
• formLogin().loginPage("/login")表示登录页面的URL。
• .defaultSuccessURL("/home").failureUrl("/login?error=true")表示登录成功后默认重定向到的页面。如果发生验证错误，则返回错误消息。
• .logout().logoutSuccessUrl("/login?logout=true")设置登出页面的URL。

最后使用addFilterBefore方法将自定义的拦截器添加到Spring Security过滤器链中。

2. XML配置方式

如果你更喜欢XML配置方式，我们可以向dispatcher-servlet.xml文件添加以下代码：

<bean id="securityInterceptor" class="com.example.demo.interceptor.SecurityInterceptor"/>

<security:http auto-config="true" use-expressions="true">
    <security:intercept-url pattern="/login" access="permitAll" />
    <security:intercept-url pattern="/resources/**" access="permitAll" />
    <security:intercept-url pattern="/**" access="isAuthenticated()" />

    <security:form-login login-page="/login" default-target-url="/home" authentication-failure-url="/login?error=true"/>
    <security:logout logout-success-url="/login?logout=true" />
    <security:custom-filter before="FILTER_SECURITY_INTERCEPTOR" ref="securityInterceptor" />
</security:http>

<security:authentication-manager>
    <security:authentication-provider>
        <security:user-service>
            <!-- 在这里实现自己的用户账户管理逻辑 -->
        </security:user-service>
    </security:authentication-provider>
</security:authentication-manager>

第四步：添加测试代码

最后，我们需要添加一些测试代码来验证我们的安全性拦截器是否能够正常工作。

@RestController
public class HomeController {

    @GetMapping("/admin")
    @PreAuthorize("hasRole('ADMIN')")
    public String admin() {
        return "Hello Admin";
    }

    @GetMapping("/user")
    @PreAuthorize("hasAnyRole('USER', 'ADMIN')")
    public String user() {
        return "Hello User";
    }

}

在这个测试类中，我们添加两个路由admin和user，用于测试不同角色的用户是否能够访问特定的路由。在这个示例中，admin路由只允许拥有ADMIN角色的用户访问，而user路由则允许拥有USER或ADMIN角色的用户访问。

示例说明

示例一

假设我们已经按照上述步骤完成了SpringBoot登录用户权限拦截器的安装和运行。现在，我们需要测试admin路由是否只允许拥有ADMIN角色的用户访问。首先，我们在应用程序中使用ADMIN角色的用户进行登录，然后通过浏览器访问/admin路由，我们将会看到“Hello Admin”的输出。然后尝试使用没有ADMIN角色的普通用户访问/admin路由，我们将会跳转到登录页面。

示例二

现在我们需要测试user路由是否对拥有USER或ADMIN角色的用户开放。首先，我们使用USER角色的用户进行登录并访问/user路由，我们将会看到“Hello User”的输出。然后我们再使用ADMIN角色的用户也能够访问到该路由，我们将会看到“Hello User”的输出。

注意：示例中的角色、路由和业务逻辑等仅供参考，实际开发中需根据需求进行具体调整和实现。