spring-security-oauth2 (二十八) RBAC权限控制

最新推荐文章于 2024-08-19 10:52:05 发布
最新推荐文章于 2024-08-19 10:52:05 发布
阅读量4.4k 收藏 8
点赞数 1
分类专栏: spring-security-oauth2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ahcr1026212/article/details/89913728
版权

 

一般的内部管理系统,权限比较复杂,通常权限都是动态配置的,也就是下面我们要讲的的rbac模型

RBAC

详细原理请度娘,这里只是涉及到企业权限的功能级权限,数据级权限还要我们自己控制(用户只能看见它相关的业务表数据)

Spring Security中支持我们自定义的实现,就像这样调用,下面我们来代码实现 

config.anyRequest().access("@rbacService.hasPermission(request,authentication)")

权限控制

新建一个authorize项目实现rbac权限,pom文件如下

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
    <parent>
        <artifactId>tiger-auth</artifactId>
        <groupId>com.rui.tiger</groupId>
        <version>1.0-SNAPSHOT</version>
    </parent>
    <modelVersion>4.0.0</modelVersion>

    <groupId>com.rui.tiger</groupId>
    <artifactId>tiger-auth-authorize</artifactId>

    <dependencies>

        <dependency>
            <groupId>javax.servlet</groupId>
            <artifactId>javax.servlet-api</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-core</artifactId>
        </dependency>

    </dependencies>


</project>

定义rbac接口及实现

package com.rui.tiger.auth.authorize.service;

import org.springframework.security.core.Authentication;

import javax.servlet.http.HttpServletRequest;

/**
 * 用户权限判断接口
 * @author CaiRui
 * @date 2019-05-07 08:02
 */
public interface RbacService {

	boolean hasPermission(HttpServletRequest request, Authentication authentication);

}

package com.rui.tiger.auth.authorize.service;

import org.springframework.security.core.Authentication;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.stereotype.Component;
import org.springframework.util.AntPathMatcher;

import javax.servlet.http.HttpServletRequest;
import java.util.ArrayList;
import java.util.HashSet;
import java.util.List;
import java.util.Set;

/**
 * @author CaiRui
 * @date 2019-05-07 08:05
 */
@Component("rbacService")
public class RbacServiceImpl implements RbacService {

	private AntPathMatcher antPathMatcher=new AntPathMatcher();

	@Override
	public boolean hasPermission(HttpServletRequest request, Authentication authentication) {

		Object principal = authentication.getPrincipal();

		boolean hasPermission = false;

		if (principal instanceof UserDetails) {
			String username = ((UserDetails) principal).getUsername();

			//读取用户所拥有权限的所有URL 这个应该根据用户名从数据库中查询 此处只是模拟
			List<String> urls = new ArrayList<>();

			for (String url : urls) {
				//匹配 /user/* 这种格式
				if (antPathMatcher.match(url, request.getRequestURI())) {
					hasPermission = true;
					break;
				}
			}

		}
		return hasPermission;
	}
}

demo项目中引入此依赖,并配置

package com.rui.tiger.auth.demo.security;

import com.rui.tiger.auth.core.authorize.AuthorizeConfigProvider;
import org.springframework.core.annotation.Order;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configurers.ExpressionUrlAuthorizationConfigurer;
import org.springframework.stereotype.Component;

/**
 * 业务模块权限配置实现
 * @author CaiRui
 * @date 2019-05-06 12:16
 */
@Component
@Order(Integer.MAX_VALUE)
public class DemoAuthorizeConfigProvider implements AuthorizeConfigProvider {

	@Override
	public boolean config(ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry config) {
		config.antMatchers(
				"/user/regist", // 注册请求
				"/error",
				"/connect/*",
				"/auth/*",
				"/signin",
				"/social/signUp",  // app注册跳转服务
				"/swagger-ui.html",
				"/swagger-ui.html/**",
				"/webjars/**",
				"/swagger-resources/**",
				"/v2/**"
		).permitAll();

		/*
		 利用@Order注解实现CommonAuthorizeConfigProvider中的放行路径不需要自定义权限验证
		 */
		config.anyRequest()
				.access("@rbacService.hasPermission(request,authentication)");

		return true;
	}
}

 

codeing-tiger
关注
专栏目录
权限管理系统_SpringCloud,OAuth2的RBAC权限管理系统
weixin_28710999的博客
01-01 723
这是一款基于Spring Boot、 Spring Cloud 、OAuth2 的RBAC 权限管理系统。github开源地址:https://gitee.com/cjlgb/cjlgb-cloud-platform基于 Spring Cloud Hoxton 、Spring Boot 2.2、 OAuth2 的RBAC权限管理系统基于数据驱动视图的理念封装 Ant Design Vue...
spring security oauth2 RBAC 基于角色的访问控制
qq_44758028的博客
07-19 3062
RBAC 基于角色的访问控制 概述 RBAC(Role-Based Access Control,基于角色的访问控制),就是用户通过角色与权限进行关联。简单地说,一个用户拥有若干角色,每一个角色拥有若干权限。这样,就构造成“用户-角色-权限”的授权模型。在这种模型中,用户与角色之间,角色与权限之间,一般是多对多的关系。(如下图) 目的 在我们的 oAuth2 系统中,我们需要对系统的所有资源进行...
【云原生】RBAC授权详解
最新发布
weixin_73059729的博客
08-19 1116
基于角色(Role)的访问控制RBAC)是一种基于组织中用户的角色来调节控制对计算机或网络资源的访问的方法。RBAC签权机制使用API(Kubernetes API中的一组相关路径)组来驱动签权决定,允许你通过Kubernetes API动态配置策略。
springboot整合Security、OAuth2实现权限控制
09-24
通过用户角色实现用户登录鉴权,springboot+Redis+Security+OAuth2
Spring Security OAuth2和RBAC权限授权
weixin_39309402的博客
08-13 2347
1、什么是RBACRBAC是指基于角色的权限访问控制,通过权限与角色相关联,用户可以通过成为适当角色的成员而得到这些角色的权限。简单来说,RBAC认为权限授权的过程可以抽象为: Who能否对What进行How的操作?并对这个逻辑表达式进行判断是否为True的求解过程,所以如果项目上需要设计实现权限管理模块,那必定要考虑RBAC的思想。 RBAC分3个组成部分:用户、角色和权限。 User(用...
spring security oauth2 基于 RBAC 的自定义认证
qq_44758028的博客
07-19 1430
基于 RBAC 的自定义认证 概述 在实际开发中,我们的用户信息都是存在数据库里的,本章节基于 RBAC 模型 将用户的认证信息与数据库对接,实现真正的用户认证与授权 操作流程 继续 基于 JDBC 存储令牌 章节的代码开发 初始化 RBAC 相关表 在数据库中配置“用户”、“角色”、“权限”相关信息 数据库操作使用 tk.mybatis 框架,故需要增加相关依赖 配置 Web 安全 配置使用...
springsecurity+oauth2+rbac实现角色权限控制
XieKunBlog
04-15 2994
12345678910111213141516171819Drop table if exists oauth_access_token;create table oauth_access_token ( create_time timestamp default now(), token_id VARCHAR(...
基于SpringSecurity的权限管理
M1275601161的博客
11-10 288
学习目标:SpringSecurity、Oathu2、SpringSecurityOauth2、JWT、SpringSecurityOath2整合SSO、SpringSecurityOauth2整合JWT 一、SpringSecurity 快速入门,导入依赖 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.
spring-security-oauth2
03-17
《Spring Security OAuth2详解》 在当今的互联网时代,安全是任何应用程序不可或缺的一部分。Spring Security作为Java领域中广泛使用的安全框架,提供了强大的访问控制和身份验证功能。而OAuth2则是授权框架的行业...
基于 Spring Cloud 2021 、Spring Boot 2.7、 OAuth2 的 RBAC 权限管理系统源码
05-20
这是一个基于最新技术栈,包括Spring Cloud 2021、Spring Boot 2.7和OAuth2的RBAC(Role-Based Access Control)权限管理系统的源码项目。该项目旨在提供一套高效、安全的后端服务框架,用于实现用户权限的精细化...
spring-security-oauth-workshop:Spring安全性OAuth研讨会
01-30
4. **安全控制**:如如何设置权限控制,基于角色的访问控制RBAC),以及如何处理未授权和未认证的请求。 5. **客户端认证**:了解客户端如何向授权服务器申请访问令牌,并使用该令牌访问资源服务器。 6. **集成...
基于Springboot集成security、oauth2实现认证鉴权、资源管理源码
04-22
基于Springboot集成security、oauth2实现认证鉴权、资源管理源码,具体相关博文我发表在https://www.cnblogs.com/xiaofengxzzf/p/10733955.html
springCloud-分享版-基于Spring Cloud、OAuth2.0的前后端分离的系统。 通用RBAC权限设计及其数据权限和分库分表 支持服务限流、动
08-06
springCloud-分享版: 基于Spring Cloud、OAuth2.0的前后端分离的系统。 通用RBAC权限设计及其数据权限和分库分表 支持服务限流、动态路由、灰度发布、 支持常见登录方式, 多系统SSO登录 基于 Spring Cloud Hoxton 、Spring Boot 2.3、 OAuth2 的RBAC权限管理系统 提供对常见容器化支持 Docker、Kubernetes、Rancher2 支持 提供 lambda 、stream api 、webflux 的生产实践 Spring Boot 2.3.0.RELEASE Spring Cloud Hoxton.SR4 Spring Security OAuth2 2.3.6 Mybatis Plus 3.3.1 hutool 5.3.5 Avue 2.5.2
基于Spring Boot+Spring Cloud+OAuth2的RBAC权限管理系统.zip
05-02
基于 Spring Cloud Hoxton 、Spring Boot 2.2、 OAuth2 的RBAC权限管理系统 基于数据驱动视图的理念封装 Ant Design Vue,即使没有 vue 的使用经验也能快速上手 提供 lambda 、stream api 、webflux 的生产实践 基于 Spring Cloud Hoxton 、Spring Boot 2.2、 OAuth2 的RBAC权限管理系统 基于数据驱动视图的理念封装 Ant Design Vue,即使没有 vue 的使用经验也能快速上手 提供 lambda 、stream api 、webflux 的生产实践 基于 Spring Cloud Hoxton 、Spring Boot 2.2、 OAuth2 的RBAC权限管理系统 基于数据驱动视图的理念封装 Ant Design Vue,即使没有 vue 的使用经验也能快速上手 提供 lambda 、stream api 、webflux 的生产实践 基于 Spring Cloud Hoxton 、Spring Boot 2.2、 OAuth2 的RBAC权限
Auth2.0授权码模式
12-29
从流程上看申请分为两个阶段:首先需要申请Authorization Code;之后使用Authorization Code来申请Access Token。
spring-security-oauth2与spring-security-web 3.1.2 源码
11-28
`spring-security-oauth2`提供了与`spring-security-web`的集成,使得资源服务器能够直接使用Spring Security的过滤链进行安全控制。 3. **ClientDetailsService**: 该服务接口用于存储和验证OAuth2客户端的信息,...
sprint oauth2 mysql_基于spring-security-oauth2实现oauth2数据库版(持续更新)
weixin_33946659的博客
02-04 533
基于spring-security-oauth2实现oauth2数据库版文章代码地址:链接描述可以下载直接运行,基于springboot2.1.5,springcloud Greenwich版本实现该系列分为两个部分:分为内存实现,数据库实现。其中数据库实现采用RBAC权限角色管理。上一篇,介绍了oauth2的内存实现,也就是认证服务把客户端和用户信息都存储在内存中,这样不利于拓展,不适合于生产环...
OAuth2在分布式微服务架构下基于角色的权限设计(RBAC)
土味儿
05-21 3701
在前两节的基础上,对权限控制作进一步分析的分析与设计。 RBAC(Role-Base Access Control,基于角色的访问控制) 本篇内容基于个人理解,不当之处,欢迎批评指正。 前两篇内容: 【图文详解】搭建 Spring Authorization Server + Resource + Client 完整Demo 【oauth2 客户端模式】Spring Authorization Server + Resource + Client 资源服务间的相互访问 1、OAuth2中用户访问的基.
SSO、OAuth2、JWT、CAS、OpenID、LDAP、RBAC
summer_fish的专栏
11-08 3685
单点登录(Single Sign On),简称为 SSO,是比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统要实现SSO,需要构建以下两个主要内容:OAuth2.0是OAuth协议的延续版本,但不向前兼容OAuth 1.0(即完全废止了OAuth1.0)。OAuth 2.0关注客户端开发者的简易性。要么通过组织在资源拥有者和HTTP服务商之间的被批准的交互动作代表用户,要么允许第三方应用代表用户获得访问的权限
OAuth2与RBAC实战:Spring Security OAuth2与Casbin应用解析
对于深入理解和实践这些概念,推荐的博客和视频教程可以帮助开发者掌握OAuth2.0的工作流程,理解RBAC权限模型,以及如何在Spring Security中实现OAuth2.0和使用Casbin进行访问控制。 认证和授权是构建安全系统的...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值