spring-security-oauth2 (二十七) Spring Security 权限表达式

最新推荐文章于 2022-11-10 09:38:05 发布
最新推荐文章于 2022-11-10 09:38:05 发布
阅读量814 收藏 4
点赞数
分类专栏: spring-security-oauth2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ahcr1026212/article/details/89875404
版权

权限表达式

通过源码分析可知,最终的配置都会转成ExpressionUrlAuthorizationConfigurer.AuthorizedUrl并进行投票决定。

常见表达式如下:

如何写联合表达式呢?就是既满足A条件,也满足B条件

.antMatchers("xx").access("hasRole('ROLE_USER') and hasRole('ROLE_SUPER')")

 这个都是spring自己的权限表达式,那么我们是否可以自定义实现自己的权限规则呢?可以的!这个我们下一章再看怎么实现。

 

权限业务配置分离

如何将权限模块配置和业务模块配置想分离呢?因为权限模块并不清楚业务模块的权限拦截规则。

实现思路如下:

  1. 提供AuthorizeConfigProvider接口,提供权限设置
  2. 权限模块的通用配置实现该接口,然后进行配置,业务模块按需也实现该接口进行配置
  3. 最后使用 AuthorizeConfigManager类来管理所有的AuthorizeConfigProvider实现
  4. 拿到所有的配置后,进行统一设置

代码实现如下:

权限控制接口及实现 

package com.rui.tiger.auth.core.authorize;

import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configurers.ExpressionUrlAuthorizationConfigurer;

/**
 * 自定义权限控制接口
 * @author CaiRui
 * @date 2019-05-06 12:02
 */
public interface AuthorizeConfigProvider {

	/**
	 * @param config
	 * @return 返回的boolean表示配置中是否有针对anyRequest的配置。在整个授权配置中,
	 * 应该有且仅有一个针对anyRequest的配置,如果所有的实现都没有针对anyRequest的配置,
	 * 系统会自动增加一个anyRequest().authenticated()的配置。如果有多个针对anyRequest
	 * 的配置,则会抛出异常。
	 */
	boolean config(ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry config);
}

通用权限设置

package com.rui.tiger.auth.core.authorize;

import com.rui.tiger.auth.core.properties.SecurityConstants;
import com.rui.tiger.auth.core.properties.SecurityProperties;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.core.annotation.Order;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configurers.ExpressionUrlAuthorizationConfigurer;
import org.springframework.stereotype.Component;

/**
 * 通用权限接口配置管理
 * @author CaiRui
 * @date 2019-05-06 12:08
 */
@Component
@Slf4j
@Order(Integer.MIN_VALUE)
public class CommonAuthorizeConfigProvider implements AuthorizeConfigProvider  {

	@Autowired
	private SecurityProperties securityProperties;

	@Override
	public boolean config(ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry config) {

		config.antMatchers(
				SecurityConstants.DEFAULT_UNAUTHENTICATION_URL,//权限认证
				SecurityConstants.DEFAULT_LOGIN_PROCESSING_URL_MOBILE,//手机
				SecurityConstants.DEFAULT_LOGIN_PROCESSING_URL_OPENID,//openId
				securityProperties.getBrowser().getLoginPage(),//登录页面
				SecurityConstants.DEFAULT_VALIDATE_CODE_URL_PREFIX+"/*",// /captcha/* 验证码放行
				securityProperties.getBrowser().getSignupUrl(),
				securityProperties.getBrowser().getLoginOut(),
				securityProperties.getBrowser().getSession().getInvalidSessionUrl()
		).permitAll();//放行

		return false;
	}
}

业务模块权限设置

package com.rui.tiger.auth.demo.security;

import com.rui.tiger.auth.core.authorize.AuthorizeConfigProvider;
import org.springframework.core.annotation.Order;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configurers.ExpressionUrlAuthorizationConfigurer;
import org.springframework.stereotype.Component;

/**
 * 业务模块权限配置实现
 * @author CaiRui
 * @date 2019-05-06 12:16
 */
@Component
@Order(Integer.MAX_VALUE)
public class DemoAuthorizeConfigProvider implements AuthorizeConfigProvider {

	@Override
	public boolean config(ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry config) {
		config.antMatchers(
				"/user/regist", // 注册请求
				"/error",
				"/connect/*",
				"/auth/*",
				"/signin",
				"/social/signUp",  // app注册跳转服务
				"/swagger-ui.html",
				"/swagger-ui.html/**",
				"/webjars/**",
				"/swagger-resources/**",
				"/v2/**"
		).permitAll();

		/*
		 利用@Order注解实现CommonAuthorizeConfigProvider中的放行路径不需要自定义权限验证
		 */
		config.anyRequest()
				.access("@rbacService.hasPermission(request,authentication)");

		return true;
	}
}

权限接口管理器及实现

package com.rui.tiger.auth.core.authorize;

import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configurers.ExpressionUrlAuthorizationConfigurer;

/**
 * 权限控制接口持有管理者
 * @author CaiRui
 * @date 2019-05-06 12:05
 */
public interface AuthorizeConfigManager {

	void config(ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry config);
}

package com.rui.tiger.auth.core.authorize;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configurers.ExpressionUrlAuthorizationConfigurer;
import org.springframework.stereotype.Component;

import java.util.List;
import java.util.Set;

/**
 * @author CaiRui
 * @date 2019-05-06 12:12
 */
@Component
public class DefaultAuthorizeConfigManager implements AuthorizeConfigManager  {

	//有依赖顺序 通过@Order控制  不用set
	@Autowired
	private List<AuthorizeConfigProvider> providers;

	@Override
	public void config(ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry config) {

		boolean existAnyRequestConfig = false;
		String existAnyRequestConfigName = null;

		for (AuthorizeConfigProvider authorizeConfigProvider : providers) {
			boolean currentIsAnyRequestConfig = authorizeConfigProvider.config(config);
			if (existAnyRequestConfig && currentIsAnyRequestConfig) {
				throw new RuntimeException("重复的anyRequest配置:" + existAnyRequestConfigName + ","
						+ authorizeConfigProvider.getClass().getSimpleName());
			} else if (currentIsAnyRequestConfig) {
				existAnyRequestConfig = true;
				existAnyRequestConfigName = authorizeConfigProvider.getClass().getSimpleName();
			}
		}

		if(!existAnyRequestConfig){
			config.anyRequest().authenticated();
		}
	}
}

浏览器模块配置进行调整(app模块同理),就是将原来的配置抽离出去。

@Override
	protected void configure(HttpSecurity http) throws Exception {
		/**
		 * 表单密码配置
		 */
		applyPasswordAuthenticationConfig(http);
		http
				.apply(captchaSecurityConfig)
					.and()
				.apply(smsAuthenticationSecurityConfig)
					.and()
				.apply(tigerSpringSocialConfigurer)
					.and()
				.rememberMe()
				.tokenRepository(persistentTokenRepository())
				.tokenValiditySeconds(securityProperties.getBrowser().getRemberMeSeconds())
				.userDetailsService(userDetailsService)
					.and()
				.sessionManagement()
				.invalidSessionStrategy(invalidSessionStrategy)//session失效策略
				.maximumSessions(securityProperties.getBrowser().getSession().getMaximumSessions())//最大session并发数
				.maxSessionsPreventsLogin(securityProperties.getBrowser().getSession().isMaxSessionsPreventsLogin())//true达到并发数后阻止登录,false 踢掉之前的登录
				.expiredSessionStrategy(sessionInformationExpiredStrategy)//并发策略
				.and()
				.and()
				.logout()
				.logoutUrl("/loginOut") //默认logout
				//.logoutSuccessUrl("") url和Handler只能配置一个
				.logoutSuccessHandler(tigerLogoutSuccessHandler)
				.deleteCookies("JSESSIONID")//清楚cook键值
					.and()
				.csrf().disable();
		//配置管理
		authorizeConfigManager.config(http.authorizeRequests());

	}

 

codeing-tiger
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security 基于表达式权限控制
weixin_38927257的博客
11-22 582
文章目录前言常见的表达式URL安全表达式在Web安全表达式中引用beanRbacServiceImplMethod安全表达式使用method注解PreAuthorizePostAuthorizePreAuthorize 针对参数进行过滤PostFilter 针对返回结果进行过滤 前言 spring security 3.0已经可以使用spring el表达式来控制授权,允许在表达式中使用复杂的布...
Spring Security(16)——基于表达式权限控制
dotedy的博客
10-16 1879
EL表达式hasPermissionPreFilterPreAuthorizeSpring Security  基于表达式权限控制 目录 1.1      通过表达式控制URL权限 1.2      通过表达式控制方法权限 1.2.1     使用@PreAuthorize和@PostAuthorize进行访问控制 1.2.2     使用@PreFilter和@Post
Spring Security 入门 权限表达式控制URL权限
SheTing'Blog
04-17 467
配置资源授权,默认是不需要授权。现在访问/say是要有权限aa的 @Configuration public class SpringSecurityConfig extends WebSecurityConfigurerAdapter { @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } @Override protecte
springsecurityExpressionUrlAuthorizationConfigurer
weixin_45184159的博客
07-19 1016
url的认证设置: permitAll:放行所有 denyAll:禁止所有 anonymous:可以匿名访问,但是会执行后续拦截链 authenticatde:都需要认证 fullyAuthenticated:如果是记住我的状态,那么就不允许访问 remeberMe:是记住我的状态才能访问 ...
SpringSecurity Oauth2 - 08 SpEL权限表达式源码分析及两种权限控制方式原理
最新发布
你今天真好看呀
11-10 1220
SpringSecurity提供的权限管理功能主要有两种类型:① 基于过滤器的权限管理(FilterSecurityInterceptor):用来拦截HTTP请求,拦截下来之后,根据HTTP请求地址进行权限校验;请求首先到大过滤器FilterSecurityInterceptor,在其执行过程中,首先会由前置处理器去判断发起请求的用户是否具备响应的权限,如果具备则继续向下走,到达目标方法后执行完毕。拦截请求的url,这种权限管理方式粒度较粗。
spring-security-oauth2
03-17
Spring Security OAuth2详解》 在当今的互联网时代,安全是任何应用程序不可或缺的一部分。Spring Security作为Java领域中广泛使用的安全框架,提供了强大的访问控制和身份验证功能。而OAuth2则是授权框架的行业...
spring-security-demo.zip
08-10
- Spring Security也支持OAuth2,可以用来实现社交登录(如Facebook、Google)或其他服务的API访问。 9. **Web Hooks安全**: - 对于Web Hook回调的安全保护,可以设置特定的访问规则,确保只有预期的来源才能...
spring-security4.0.zip
08-21
- `thymeleaf-extras-springsecurity4-3.0.0.RELEASE.jar`: 使得Thymeleaf模板引擎能够与Spring Security无缝协作,方便地在页面上展示权限相关的控制。 10. **消息安全** - `spring-security-messaging-4.0.0....
spring-security.zip
05-26
2. **授权**:基于角色的访问控制(RBAC)是Spring Security的基础,它允许你定义哪些用户可以访问哪些资源。此外,还可以使用表达式式语言(EL)进行细粒度的访问控制。 3. **CSRF防护**:内置了防止跨站请求伪造...
spring-security Jar包
09-21
5. **访问控制表达式(ACE)**:Spring Security 3.0 引入了访问控制表达式,允许在运行时基于表达式进行访问控制。例如,`@PreAuthorize("hasRole('ROLE_ADMIN')")`可以控制只有拥有管理员角色的用户才能执行特定...
Spring Security系列之基于表达式权限控制(十六)
weixin_34080903的博客
12-30 340
spring security 3.0已经可以使用spring el表达式来控制授权,允许在表达式中使用复杂的布尔逻辑来控制访问的权限。 常见的表达式 Spring Security可用表达式对象的基类是SecurityExpressionRoot。 表达式 描述 hasRole([role]) 用户拥有制定的角色时返回true (Spring security 默认会带有ROLE...
Spring Security源码分析一:Spring Security认证过程
weixin_34138377的博客
01-03 238
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了...
SpringSecurity(十二)----基于表达式的访问控制
Apple_Andy的博客
10-10 275
1.access()方法使用 1)使用理由 之前学习的登录用户权限判断实际上底层实现都是调用access(表达式),我们可以通过access()实现和hasAuthority,hasRole等的权限控制完成相同的功能。 public ExpressionUrlAuthorizationConfigurer<H>.ExpressionInterceptUrlRegistry hasAuthority(String authority) { return this.acce
SpringBoot整合SpringSecurity系列(9)-表达式访问控制
TianXinCoord的博客
04-24 525
一、表达式判断 之前登录用户权限判断底层实现都是调用access(表达式) /** * Allows specifying that URLs are secured by an arbitrary expression * @param attribute the expression to secure the URLs (i.e. "hasRole('ROLE_USER') * and hasRole('ROLE_SUPER')") * @return the {@link Express
SpringSecurity系列——其他的权限控制,基于access表达式权限控制day6-2(源于官网5.7.2版本)
qq_51553982的博客
07-27 426
当然我们也可以自定义access表达式来完成自定义的权限控制}}
Spring Security Config : HttpSecurity安全配置器 ExpressionUrlAuthorizationConfigurer
Details Inside Spring
06-22 8709
概述 介绍 作为一个配置HttpSecuritySecurityConfigurer,ExpressionUrlAuthorizationConfigurer的配置任务如下 : 配置如下安全过滤器Filter FilterSecurityInterceptor ExpressionUrlAuthorizationConfigurer可以为多组 RequestMatcher 分别配置不同...
Spring Boot+Spring Security:基于URL动态权限:扩展access()的SpEL表达式 - 第15篇
热门推荐
悟纤学院
03-07 2万+
需求缘起 本节通过扩展access()的SpEL表达式实现URL动态权限。 编码思路 通过扩展SpEL表达式主要在配置具体的类和实现的方法,如下示例 .access("@authService.canAccess(request,authentication)"); 其中authService是一个类,canAccess是其中的方法: ...
【转载】spring-security-oauth2 (二十七) Spring Security 权限表达式
yxbmail_2010的博客
12-23 447
权限表达式 通过源码分析可知,最终的配置都会转成ExpressionUrlAuthorizationConfigurer.AuthorizedUrl并进行投票决定。 常见表达式如下: 如何写联合表达式呢?就是既满足A条件,也满足B条件 .antMatchers("xx").access("hasRole(...
【转载】spring-security-oauth2 (二十八) RBAC权限控制
yxbmail_2010的博客
12-23 523
  一般的内部管理系统,权限比较复杂,通常权限都是动态配置的,也就是下面我们要讲的的rbac模型 RBAC 详细原理请度娘,这里只是涉及到企业权限的功能级权限,数据级权限还要我们自己控制(用户只能看见它相关的业务表数据) Spring Security中支持我们自定义的实现,就像这样调用,下面我...
SpringSecurity课程文档.pdf
08-05
"SpringSecurity是一个基于Spring框架的全面安全解决方案,主要关注Web应用的用户认证和授权。它由Spring开发者在2003年底发起,起初称为'spring的acegi安全系统',后来演变为现在的SpringSecurity。" Spring...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值