spring-security-oauth2 (二十七) Spring Security 权限表达式

最新推荐文章于 2024-08-24 19:14:38 发布
最新推荐文章于 2024-08-24 19:14:38 发布
阅读量833 收藏 4
点赞数
分类专栏: spring-security-oauth2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ahcr1026212/article/details/89875404
版权

权限表达式

通过源码分析可知,最终的配置都会转成ExpressionUrlAuthorizationConfigurer.AuthorizedUrl并进行投票决定。

常见表达式如下:

如何写联合表达式呢?就是既满足A条件,也满足B条件

.antMatchers("xx").access("hasRole('ROLE_USER') and hasRole('ROLE_SUPER')")

 这个都是spring自己的权限表达式,那么我们是否可以自定义实现自己的权限规则呢?可以的!这个我们下一章再看怎么实现。

 

权限业务配置分离

如何将权限模块配置和业务模块配置想分离呢?因为权限模块并不清楚业务模块的权限拦截规则。

实现思路如下:

  1. 提供AuthorizeConfigProvider接口,提供权限设置
  2. 权限模块的通用配置实现该接口,然后进行配置,业务模块按需也实现该接口进行配置
  3. 最后使用 AuthorizeConfigManager类来管理所有的AuthorizeConfigProvider实现
  4. 拿到所有的配置后,进行统一设置

代码实现如下:

权限控制接口及实现 

package com.rui.tiger.auth.core.authorize;

import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configurers.ExpressionUrlAuthorizationConfigurer;

/**
 * 自定义权限控制接口
 * @author CaiRui
 * @date 2019-05-06 12:02
 */
public interface AuthorizeConfigProvider {

	/**
	 * @param config
	 * @return 返回的boolean表示配置中是否有针对anyRequest的配置。在整个授权配置中,
	 * 应该有且仅有一个针对anyRequest的配置,如果所有的实现都没有针对anyRequest的配置,
	 * 系统会自动增加一个anyRequest().authenticated()的配置。如果有多个针对anyRequest
	 * 的配置,则会抛出异常。
	 */
	boolean config(ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry config);
}

通用权限设置

package com.rui.tiger.auth.core.authorize;

import com.rui.tiger.auth.core.properties.SecurityConstants;
import com.rui.tiger.auth.core.properties.SecurityProperties;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.core.annotation.Order;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configurers.ExpressionUrlAuthorizationConfigurer;
import org.springframework.stereotype.Component;

/**
 * 通用权限接口配置管理
 * @author CaiRui
 * @date 2019-05-06 12:08
 */
@Component
@Slf4j
@Order(Integer.MIN_VALUE)
public class CommonAuthorizeConfigProvider implements AuthorizeConfigProvider  {

	@Autowired
	private SecurityProperties securityProperties;

	@Override
	public boolean config(ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry config) {

		config.antMatchers(
				SecurityConstants.DEFAULT_UNAUTHENTICATION_URL,//权限认证
				SecurityConstants.DEFAULT_LOGIN_PROCESSING_URL_MOBILE,//手机
				SecurityConstants.DEFAULT_LOGIN_PROCESSING_URL_OPENID,//openId
				securityProperties.getBrowser().getLoginPage(),//登录页面
				SecurityConstants.DEFAULT_VALIDATE_CODE_URL_PREFIX+"/*",// /captcha/* 验证码放行
				securityProperties.getBrowser().getSignupUrl(),
				securityProperties.getBrowser().getLoginOut(),
				securityProperties.getBrowser().getSession().getInvalidSessionUrl()
		).permitAll();//放行

		return false;
	}
}

业务模块权限设置

package com.rui.tiger.auth.demo.security;

import com.rui.tiger.auth.core.authorize.AuthorizeConfigProvider;
import org.springframework.core.annotation.Order;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configurers.ExpressionUrlAuthorizationConfigurer;
import org.springframework.stereotype.Component;

/**
 * 业务模块权限配置实现
 * @author CaiRui
 * @date 2019-05-06 12:16
 */
@Component
@Order(Integer.MAX_VALUE)
public class DemoAuthorizeConfigProvider implements AuthorizeConfigProvider {

	@Override
	public boolean config(ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry config) {
		config.antMatchers(
				"/user/regist", // 注册请求
				"/error",
				"/connect/*",
				"/auth/*",
				"/signin",
				"/social/signUp",  // app注册跳转服务
				"/swagger-ui.html",
				"/swagger-ui.html/**",
				"/webjars/**",
				"/swagger-resources/**",
				"/v2/**"
		).permitAll();

		/*
		 利用@Order注解实现CommonAuthorizeConfigProvider中的放行路径不需要自定义权限验证
		 */
		config.anyRequest()
				.access("@rbacService.hasPermission(request,authentication)");

		return true;
	}
}

权限接口管理器及实现

package com.rui.tiger.auth.core.authorize;

import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configurers.ExpressionUrlAuthorizationConfigurer;

/**
 * 权限控制接口持有管理者
 * @author CaiRui
 * @date 2019-05-06 12:05
 */
public interface AuthorizeConfigManager {

	void config(ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry config);
}

package com.rui.tiger.auth.core.authorize;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configurers.ExpressionUrlAuthorizationConfigurer;
import org.springframework.stereotype.Component;

import java.util.List;
import java.util.Set;

/**
 * @author CaiRui
 * @date 2019-05-06 12:12
 */
@Component
public class DefaultAuthorizeConfigManager implements AuthorizeConfigManager  {

	//有依赖顺序 通过@Order控制  不用set
	@Autowired
	private List<AuthorizeConfigProvider> providers;

	@Override
	public void config(ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry config) {

		boolean existAnyRequestConfig = false;
		String existAnyRequestConfigName = null;

		for (AuthorizeConfigProvider authorizeConfigProvider : providers) {
			boolean currentIsAnyRequestConfig = authorizeConfigProvider.config(config);
			if (existAnyRequestConfig && currentIsAnyRequestConfig) {
				throw new RuntimeException("重复的anyRequest配置:" + existAnyRequestConfigName + ","
						+ authorizeConfigProvider.getClass().getSimpleName());
			} else if (currentIsAnyRequestConfig) {
				existAnyRequestConfig = true;
				existAnyRequestConfigName = authorizeConfigProvider.getClass().getSimpleName();
			}
		}

		if(!existAnyRequestConfig){
			config.anyRequest().authenticated();
		}
	}
}

浏览器模块配置进行调整(app模块同理),就是将原来的配置抽离出去。

@Override
	protected void configure(HttpSecurity http) throws Exception {
		/**
		 * 表单密码配置
		 */
		applyPasswordAuthenticationConfig(http);
		http
				.apply(captchaSecurityConfig)
					.and()
				.apply(smsAuthenticationSecurityConfig)
					.and()
				.apply(tigerSpringSocialConfigurer)
					.and()
				.rememberMe()
				.tokenRepository(persistentTokenRepository())
				.tokenValiditySeconds(securityProperties.getBrowser().getRemberMeSeconds())
				.userDetailsService(userDetailsService)
					.and()
				.sessionManagement()
				.invalidSessionStrategy(invalidSessionStrategy)//session失效策略
				.maximumSessions(securityProperties.getBrowser().getSession().getMaximumSessions())//最大session并发数
				.maxSessionsPreventsLogin(securityProperties.getBrowser().getSession().isMaxSessionsPreventsLogin())//true达到并发数后阻止登录,false 踢掉之前的登录
				.expiredSessionStrategy(sessionInformationExpiredStrategy)//并发策略
				.and()
				.and()
				.logout()
				.logoutUrl("/loginOut") //默认logout
				//.logoutSuccessUrl("") url和Handler只能配置一个
				.logoutSuccessHandler(tigerLogoutSuccessHandler)
				.deleteCookies("JSESSIONID")//清楚cook键值
					.and()
				.csrf().disable();
		//配置管理
		authorizeConfigManager.config(http.authorizeRequests());

	}

 

codeing-tiger
关注
专栏目录
SpringSecurity系列——其他的权限控制,基于access表达式权限控制day6-2(源于官网5.7.2版本)
qq_51553982的博客
07-27 452
当然我们也可以自定义access表达式来完成自定义的权限控制}}
Spring Security(16)——基于表达式权限控制
dotedy的博客
10-16 1912
EL表达式hasPermissionPreFilterPreAuthorizeSpring Security  基于表达式权限控制 目录 1.1      通过表达式控制URL权限 1.2      通过表达式控制方法权限 1.2.1     使用@PreAuthorize和@PostAuthorize进行访问控制 1.2.2     使用@PreFilter和@Post
Spring Boot 与 Spring Security 的集成及 OAuth2 实现
最新发布
2202_76097976的博客
08-24 3641
本文介绍了如何在 Spring Boot 应用中集成 Spring Security 和 OAuth2 进行安全保护。首先,配置了 Spring Security 来控制访问权限,允许匿名访问部分资源并保护其他资源。接着,通过 OAuth2 客户端实现与 Google 的授权集成,使应用能够获取访问令牌并保护 API。最后,展示了前端如何使用访问令牌请求受保护的资源,从而增强应用的安全性和用户体验。
Spring Security 入门 权限表达式控制URL权限
SheTing'Blog
04-17 494
配置资源授权,默认是不需要授权。现在访问/say是要有权限aa的 @Configuration public class SpringSecurityConfig extends WebSecurityConfigurerAdapter { @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } @Override protecte
springsecurityExpressionUrlAuthorizationConfigurer
weixin_45184159的博客
07-19 1111
url的认证设置: permitAll:放行所有 denyAll:禁止所有 anonymous:可以匿名访问,但是会执行后续拦截链 authenticatde:都需要认证 fullyAuthenticated:如果是记住我的状态,那么就不允许访问 remeberMe:是记住我的状态才能访问 ...
SpringSecurity Oauth2 - 08 SpEL权限表达式源码分析及两种权限控制方式原理
你今天真好看呀
11-10 1312
SpringSecurity提供的权限管理功能主要有两种类型:① 基于过滤器的权限管理(FilterSecurityInterceptor):用来拦截HTTP请求,拦截下来之后,根据HTTP请求地址进行权限校验;请求首先到大过滤器FilterSecurityInterceptor,在其执行过程中,首先会由前置处理器去判断发起请求的用户是否具备响应的权限,如果具备则继续向下走,到达目标方法后执行完毕。拦截请求的url,这种权限管理方式粒度较粗。
spring-security-oauth2
03-17
Spring Security OAuth2详解》 在当今的互联网时代,安全是任何应用程序不可或缺的一部分。Spring Security作为Java领域中广泛使用的安全框架,提供了强大的访问控制和身份验证功能。而OAuth2则是授权框架的行业...
springCloud微服务系列——OAuth2+JWT——spring-security4升级到spring-security5
guduyishuai的博客
08-27 4739
目录 一、简介 二、问题 三、源码分析 四、解决方案 一、简介         spring boot2和spring cloud Finchley版本使用的是spring-security5,在升级的过程中OAuth2+JWT遇到一些问题,这里记录一下。环境如下:         spring boot 2.0.3         spring cloud Finchley  ...
spring-security Jar包
09-21
5. **访问控制表达式(ACE)**:Spring Security 3.0 引入了访问控制表达式,允许在运行时基于表达式进行访问控制。例如,`@PreAuthorize("hasRole('ROLE_ADMIN')")`可以控制只有拥有管理员角色的用户才能执行特定...
Spring Boot 2.x实战85 - Spring Security 9 - OAuth 2.0之Client
汪云飞记录本
06-30 2338
OAuth 2.0是安全授权的工业标准协议,我们了解它需要理解下面的专用术语: 交互参与方: Client:需要访问Resource Sever受保护资源的应用; Resource Owner :终端用户,Client通过终端用户进行不同类型的授权(Grant Type); Authorization Server:提供访问授权的应用,Client使用某种Grant Type向Authorization Server获取Access Token; Resource Sever:包含受保护资源的应用,
spring-security-demo.zip
08-10
- Spring Security也支持OAuth2,可以用来实现社交登录(如Facebook、Google)或其他服务的API访问。 9. **Web Hooks安全**: - 对于Web Hook回调的安全保护,可以设置特定的访问规则,确保只有预期的来源才能...
Spring Security系列之基于表达式权限控制(十六)
weixin_34080903的博客
12-30 357
spring security 3.0已经可以使用spring el表达式来控制授权,允许在表达式中使用复杂的布尔逻辑来控制访问的权限。 常见的表达式 Spring Security可用表达式对象的基类是SecurityExpressionRoot。 表达式 描述 hasRole([role]) 用户拥有制定的角色时返回true (Spring security 默认会带有ROLE...
Spring Security源码分析一:Spring Security认证过程
weixin_34138377的博客
01-03 266
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了...
SpringSecurity(十二)----基于表达式的访问控制
Apple_Andy的博客
10-10 321
1.access()方法使用 1)使用理由 之前学习的登录用户权限判断实际上底层实现都是调用access(表达式),我们可以通过access()实现和hasAuthority,hasRole等的权限控制完成相同的功能。 public ExpressionUrlAuthorizationConfigurer<H>.ExpressionInterceptUrlRegistry hasAuthority(String authority) { return this.acce
SpringBoot整合SpringSecurity系列(9)-表达式访问控制
TianXinCoord的博客
04-24 559
一、表达式判断 之前登录用户权限判断底层实现都是调用access(表达式) /** * Allows specifying that URLs are secured by an arbitrary expression * @param attribute the expression to secure the URLs (i.e. "hasRole('ROLE_USER') * and hasRole('ROLE_SUPER')") * @return the {@link Express
Spring Security 中自定义权限表达式
智的博客
10-31 339
一. SpEL中使用自定义Bean二. 通过类继承自定义权限表达式2.1 自定义 ExpressionRoot三. 参考文章通过编程授权方法/*** 验证用户是否具备某权限* @param permission 权限字符串* @return 用户是否具备某权限*/// 逻辑处理// ...Spring Security 将在每次方法调用时调用该Bean上的给定方法。这样做的好处是所有的授权逻辑都在一个单独的类中,可以独立进行单元测试并验证其正确性。
Spring Security 基于表达式权限控制
weixin_38927257的博客
11-22 624
文章目录前言常见的表达式URL安全表达式在Web安全表达式中引用beanRbacServiceImplMethod安全表达式使用method注解PreAuthorizePostAuthorizePreAuthorize 针对参数进行过滤PostFilter 针对返回结果进行过滤 前言 spring security 3.0已经可以使用spring el表达式来控制授权,允许在表达式中使用复杂的布...
Spring Security Config : HttpSecurity安全配置器 ExpressionUrlAuthorizationConfigurer
Details Inside Spring
06-22 8852
概述 介绍 作为一个配置HttpSecuritySecurityConfigurer,ExpressionUrlAuthorizationConfigurer的配置任务如下 : 配置如下安全过滤器Filter FilterSecurityInterceptor ExpressionUrlAuthorizationConfigurer可以为多组 RequestMatcher 分别配置不同...
Spring Boot+Spring Security:基于URL动态权限:扩展access()的SpEL表达式 - 第15篇
热门推荐
悟纤学院
03-07 2万+
需求缘起 本节通过扩展access()的SpEL表达式实现URL动态权限。 编码思路 通过扩展SpEL表达式主要在配置具体的类和实现的方法,如下示例 .access("@authService.canAccess(request,authentication)"); 其中authService是一个类,canAccess是其中的方法: ...
Spring Security与OAuth2实战教程全解析
15. SpringSecurity的默认配置 在自定义配置中,通常需要对Spring Security的默认配置进行修改或扩展,以适应应用程序的具体需求。 16. 添加用户功能的实现 实现添加用户的自定义功能,可能需要扩展...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值