在 Spring Security 中分离角色和权限

已于 2022-09-21 15:32:31 修改
阅读量1.2k 收藏
点赞数
文章标签: spring java 后端
于 2022-09-21 15:32:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/allway2/article/details/126973874
版权

介绍

分离角色和权限的目的是避免在代码中嵌入安全策略决策。此类决策应在运行时设置,因为它们因客户而异,随时间而变化,有时需要立即更改(例如,响应安全漏洞)。

例子

例如,考虑以下规则之间的区别:
[code lang=”java”]@PreAuthorize(
"hasAnyRole('ROLE_STUDENT', 'ROLE_FACULTY_MEMBER', 'ROLE_ADMIN')")
public Forum getForum(long id){ ... }[ /code]
还有这个:
[code lang=”java”]@PreAuthorize("hasRole('PERM_READ_FORUMS')")
public Forum getForum(long id) { ... }[/code]
当有人决定教助理、家长、教师培训师、认证人或任何数量的其他角色应该获得访问权限,或者其中一个角色应该失去访问权限(例如,仅限教师的论坛)。使用该软件的不同客户的角色可能不同,并且许多角色甚至可能对某些客户没有任何意义。

面对这种变化,第二条规则更有弹性,因为它本质上说,如果用户通常具有对论坛的阅读访问权限,则他可以获得给定的论坛。该规则并不完美——我们可能会决定不存在“一般论坛的阅读权限”之类的东西(也就是说,访问权限存在于逐个论坛的基础上)——但显然它更加灵活,尤其是如果我们可以在代码本身之外建立角色和权限之间的关系。我们当然可以做到。

因此,作为一般规则,与基于角色的规则相比,更喜欢基于权限的规则。这条规则有例外,但它作为一般规则成立。

Spring Security 3 在以上述方式分离角色和权限的问题上显得精神分裂。ROLE_STUDENT、PERM_READ_FORUMS 等的底层接口称为 GrantedAuthority,这听起来像是“权限”而不是“角色”的一种奇特方式。但是 Spring Security 参考文档中的示例倾向于将授予的权限视为角色,甚至 hasRole() 和 hasAnyRole() 谓词也引导我们直接使用角色,由于已经给出的原因,这充其量是一个值得怀疑的做法。

 

图 1 将角色与权限分开的用户模式。

抛开明显的精神分裂症不谈,Spring Security 让做正确的事情变得容易。例如,示例代码使用图 1.2 中的 user/role/permission 模式支持的自定义 UserDetailsS​​ervice sip07-schema-mysql.sql 脚本(可在此处获得)包含此模式,但这只是一个示例。即使您使用的是 JdbcDaoImpl 而不是自定义的 UserDetailsS​​ervice,您也可以利用 Spring Security 组模式来分离角色和权限。

除了模式之外,我们还需要一些示例数据,以便我们可以实际测试安全配置。图 2 显示了我们的每个示例用户所拥有的角色和权限,这些角色和权限包含在 sip07-data-mysql.sql 脚本中。

 

图 2 示例应用程序的用户、角色和权限

这就是我们的源代码更改。现在我们需要“激活”安全注释。为此,我们在 beans-security.xml 配置中添加一行:
[code lang=”java”]<global-method-security pre-post-annotations="enabled" />[/code]
我们已经启用 Spring Security 的前注和后注,默认禁用,因为它们允许我们使用 SpEL 以优雅的方式定义访问规则。这是 Spring Security 3 中的首选方法。但是,为了完整起见,我们列出了其他几个选项:

  • jsr250-annotations=”enabled”:激活标准的 JSR 250 安全注解。尽管这些是标准的,但它们只支持简单的基于角色的规则,并且不如 Spring Security 的 pre/post 注释那么强大。这些默认情况下被禁用。
  • secure-annotations=”enabled”:支持 Spring 遗留的 @Secured 注解。最初被 JSR 250 @RolesAllowed 注解取代,现在被 Spring Security @PreAuthorize 注解取代。@Secured 默认禁用。

那是基于注释的配置。要试用安全注释,请尝试以下操作:

  • 启动应用程序并单击论坛链接。Spring Security 将强制登录,因为对 getForums() 的调用需要 PERM_READ_FORUMS 权限。
  • 以用户 daniel/p@ssword 登录。他只有学生角色。
  • 进入其中一个论坛并尝试阻止消息。您应该在对话框中收到一条错误消息,因为 ForumServiceImpl.setMessageVisible() 方法需要 PERM_ADMIN_MESSAGES 权限,而学生角色没有该权限。
  • 尝试编辑和删除消息。您将能够获得编辑页面和删除确认框,但是当您尝试实际保存编辑或确认删除时会出现错误消息,因为学生角色没有所需的PERM_UPDATE_MESSAGES和PERM_DELETE_MESSAGES权限.
  • 注销,然后在 juan/p@ssword 下重新登录。用户 juan 具有管理员角色。尝试相同的操作。您应该能够执行所有这些,因为管理员角色具有所需的权限。

概括

我们创建了授权规则并将它们应用于 Java 方法。我们向您展示了为什么我们使用 hasRole() 谓词来检查权限,因为角色和权限不是一回事。一个角色通常需要一组权限。例如,发布工程师角色可能有权将软件包部署到服务器。

allway2
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringBoot + SpringSecurity + JPA 实现用户角色权限登录认证
09-10
在这个项目SpringSecurity被用来处理用户登录、角色权限分配和防止非法请求。 3. **JPA**:Java Persistence API是Java平台上的ORM(对象关系映射)规范,它允许开发者以面向对象的方式操作数据库,将数据对象...
基于springBoot+springSecurity+jwt实现前后端分离用户权限认证
12-09
springSecurity也有很多种权限认证方式,本项目主要实现基于接口授权,也就是说通过注解给controller赋予权限,用户只有拥有某个接口的权限才能成功访问这个接口,从而实现不同用户拥有不同访问权限;
Springboot + Spring Security 实现前后端分离登录认证及权限控制
I_am_Hutengfei的博客
09-05 10万+
Springboot + Spring Security 实现前后端分离登录认证及权限控制前言本文主要的功能文章目录一、数据库表设计建表语句初始化表数据语句二、Spring Security核心配置:WebSecurityConfig三、用户登录认证逻辑:UserDetailsService1、创建自定义UserDetailsService2、准备service和dao层方法(1)根据用户名查询...
Spring Security后端分离
Markix的博客
11-14 3275
后端分离指的就是前后端分离部署,前端 调用后端API,后端 返回 JSON格式数据,页面是由前端渲染并展示到浏览器Spring Security 涉及到的扩展点: 登录成功处理:AuthenticationSuccessHandler 登录失败处理:AuthenticationFailureHandler 登出成功处理:LogoutSuccessHandler 未登录处理:AuthenticationEntryPoint 鉴权失败处理:AccessDeniedHandler
基于Spring Security实现前后端分离权限控制系统
2401_84102400的博客
05-02 1050
2021年的金三银四一眨眼就到了,对于很多人来说是跳槽的好机会,大厂面试远没有我们想的那么困难,摆好心态,做好准备,你也可以的。另外,面试遇到不会的问题不妨尝试讲讲自己的思路,因为有些问题不是考察我们的编程能力,而是逻辑思维表达能力;最后平时要进行自我分析与评价,做好职业规划,不断摸索,提高自己的编程能力和抽象思维能力。BAT面试经验实战系列:Spring全家桶+Redis等其他相关的电子书:源码+调优303235 }3639 }4046= null)?
Spring Security 详解
热门推荐
qq_22075913的博客
06-06 11万+
Spring SecuritySpring家族的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说大型的项目都是使用SpringSecurity来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。​ 一般Web应用的需要进行认证和授权。​ 而认证和授权也是SpringSecurity作为安全框架的核心功能。视频地址:​ 我们先要搭建一个简单的SpringBoot工程① 设置父工
权限框架SpringSecurity(二)——前后端分离登录
scorpio的博客
05-16 4692
权限框架SpringSecurity(二)——前后端分离登录
Spring Security 的四种权限控制方式
江南一点雨的专栏
06-17 5万+
Spring Security 对于权限控制默认已经提供了很多了,但是,一个优秀的框架必须具备良好的扩展性,恰好,Spring Security 的扩展性就非常棒,我们既可以使用 Spring Security 提供的方式做授权,也可以自定义授权逻辑。一句话,你想怎么玩都可以! 今天松哥来和大家介绍一下 Spring Security 四种常见的权限控制方式。 表达式控制 URL 路径权限 表达式控制方法权限 使用过滤注解 动态权限 四种方式,我们分别来看。 本文是 Spring Security
SpringSecurity在前后端分离的应用
weixin_43676950的博客
06-15 1779
框架简介 ​ Spring Security是基于Spring AOP和Servlet过滤器的安全框架,它提供全面的安全性解决方案。同时在web请求级和方法调用级处理身份确认和授权。 项目介绍 ​ 在不分离情况下使用过了SpringSecurity,感觉还是非常不错的,所以想在前端后端分离的情况下,玩一把SpringSecurity,其遇到了不少问题,不过在度娘的支持下成功了。特此写了这篇随笔,如果文存在一些问题和有更好的写法请告诉我,小僧万分感谢。 ​ 项目用到的技术:SpringBoot +Spri
Spring Security 的前后端分离项目的权限方案,从0到0.8
qq_45043381的博客
09-01 2147
思路分析 ①通过前面的分析,我们发现Spring Boot集成了默认的Spring Security之后虽然已经具备了认证授权的功能,但存在两个在实际项目不适用的问题: 默认的登录页面 默认的用户名密码 ②同时,前面我们也说一般web应用的安全管理都是通过两条线完成的,Spring Security也是: 认证 授权 ③此外,我们结合前后端分离项目常用的认证授权流程......
SpringSecurity实现前后端分离登录token认证详解
qq_43649937的博客
06-12 1万+
SpringSecurity Springboot java
SpringBoot+Vue前后端分离,使用SpringSecurity完美处理权限问题的解决方法
08-28
SpringBoot+Vue前后端分离项目,如何使用SpringSecurity来处理权限问题是许多开发者面临的挑战。本文将从整体架构、数据库设计、权限管理模块等方面,详细介绍如何使用SpringSecurity来处理权限问题。 一、整体...
基于springboot+springSecurity+jwt实现的基于token的权限管理
02-24
这个基于"springboot+springSecurity+jwt实现的基于token的权限管理"的示例项目,旨在帮助开发者理解和实践这些技术。 首先,Spring Boot是Spring框架的简化版,它提供了快速构建和部署应用程序的能力。通过自动...
基于 SpringBoot、Spring Security、JWT 的前后端分离的通用权限管理系统,个人学习,快速搭建模板
06-16
- 后端采用Spring Boot、Spring Security、Redis & Jwt。 - 权限认证使用Jwt,支持多终端认证系统。 - 支持加载动态权限菜单,多方式轻松权限控制。 - 高效率开发,使用代码生成器可以一键生成前后端代码。 ## 功能...
SpringBoot整合Elastic-Job 2.1.53版本任务调度,手动任务,动态添加任务演示
小哇
07-23 401
zookeeper安装并成功运行。
SpringBoot集成Tomcat、DispatcherServlet
最新发布
好记性不如烂笔头
07-24 1285
AbstractApplicationContext 的 refresh 方法是一个空壳方法,我们主要看它的实现类 ServletWebServerApplicationContext。
SpringBoot启动命令过长
tiantiantbtb的博客
07-24 357
Error running 'DromaraApplication': Command line is too long. Shorten command line for DromaraApplication or also for Spring Boot default configuration?
Java面试八股之Spring容器的启动流程
u012151345的博客
07-23 1049
在整个过程Spring遵循了IoC(控制反转)和DI(依赖注入)原则,确保Bean的创建、配置、组装和管理都在容器的统一控制之下,实现了松耦合和可扩展的软件架构。创建BeanDefinition:解析配置信息的过程Spring会为每个Bean生成对应的BeanDefinition对象,它包含了Bean的类型、构造方法参数、属性值、初始化方法、依赖关系、作用域、生命周期回调方法等所有相关信息。Spring容器的启动流程涉及一系列有序的操作,以确保容器正确初始化并准备好管理应用程序的Bean。
后端分离springsecurity怎么认证和鉴权的
10-08
在前后端分离的架构Spring Security用于认证和鉴权。下面是Spring Security在前后端分离的认证和鉴权流程: 1. 用户登录时,前端发送登录请求到后端后端验证用户的用户名和密码是否正确。 2. 后端通过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值