浅谈spring security中的权限控制

最新推荐文章于 2024-04-29 12:21:32 发布
最新推荐文章于 2024-04-29 12:21:32 发布
阅读量530 收藏 1
点赞数
文章标签: 数据库 runtime java
原文链接:https://my.oschina.net/u/3768341/blog/3080107
版权

当我们在OAuth登陆后,获取了登陆的令牌,使用该令牌,我们就有了访问一些受OAuth保护的接口的能力。具体可以看本人的这两篇博客OAuth2.0用户名,密码登录解析 OAuth2.0通过token获取受保护资源的解析

但现在我们要区分这些登陆人员的具体分工,哪些接口归哪些登陆人员可以访问,这就要用到了spring security中的权限控制。

首先我们需要有一个权限的对象

/**
 * 权限标识
 */
@Data
public class SysPermission implements Serializable {

   private static final long serialVersionUID = 280565233032255804L;

   private Long id; //权限id
   private String permission; //具体的权限
   private String name; //权限名称
   private Date createTime;
   private Date updateTime;

}

对应于数据库中的权限表

c2fe34199332bfdf647bd072aced88a091b.jpg

那么问题来了,我们要对权限进行管理需要什么样的权限呢,当然我们需要权限管理权限,这是在系统一开始建立的时候保存进数据库的

61e2ac069aff931a2dc276615e76aca1e86.jpg

这四个权限并不是通过前端写入的。

现在我们需要通过前端接口增加其他的权限就需要使用到这四个权限之一。

在这里我们给出一些权限的增删改查的mybatis dao

@Mapper
public interface SysPermissionDao {

   @Options(useGeneratedKeys = true, keyProperty = "id")
   @Insert("insert into sys_permission(permission, name, createTime, updateTime) values(#{permission}, #{name}, #{createTime}, #{createTime})")
   int save(SysPermission sysPermission);

   @Update("update sys_permission t set t.name = #{name}, t.permission = #{permission}, t.updateTime = #{updateTime} where t.id = #{id}")
   int update(SysPermission sysPermission);

   @Delete("delete from sys_permission where id = #{id}")
   int delete(Long id);

   @Select("select * from sys_permission t where t.id = #{id}")
   SysPermission findById(Long id);

   @Select("select * from sys_permission t where t.permission = #{permission}")
   SysPermission findByPermission(String permission);

   int count(Map<String, Object> params);

   List<SysPermission> findData(Map<String, Object> params);

}

现在我们要在Controller中增加一个新的权限

/**
 * 管理后台添加权限
 * 
 * @param sysPermission
 * @return
 */
@LogAnnotation(module = LogModule.ADD_PERMISSION)
@PreAuthorize("hasAuthority('back:permission:save')")
@PostMapping("/permissions")
public SysPermission save(@RequestBody SysPermission sysPermission) {
   if (StringUtils.isBlank(sysPermission.getPermission())) {
      throw new IllegalArgumentException("权限标识不能为空");
   }
   if (StringUtils.isBlank(sysPermission.getName())) {
      throw new IllegalArgumentException("权限名不能为空");
   }

   sysPermissionService.save(sysPermission);

   return sysPermission;
}

我们可以看到这个标签@PreAuthorize("hasAuthority('back:permission:save')"),首先我们是通过access_token令牌访问的该接口,系统可以知道登陆的是哪一个用户,以此看看该用户是否有back:permission:save的访问权限

我们来看看用户角色

@Data
public class SysRole implements Serializable {

   private static final long serialVersionUID = -2054359538140713354L;

   private Long id; //角色id
   private String code; //角色编码
   private String name; //角色名称
   private Date createTime;
   private Date updateTime;
}

对应数据库中的表结构如下

4007cf5104ee0019bc05e9fc6a972c8d9fb.jpg

5e1556708105e3285e88f5233dc79d63c2b.jpg

并给定一个管理员角色

06ad47e165638e89a6b840783b9aaf20299.jpg

该角色对应于哪些权限,这里可以看到是所有权限

而我们的用户是哪个角色呢

fd8606db92ddf0fec2aeaff9acea73a661c.jpg

我们可以看到这里有两个用户,他们都属于管理员角色

如果我们现在用其中的一个用户登陆,并获取该用户的信息如下

{
"code" : 200 ,
"data" : {
"access_token" : "aaf4cd90-497e-4c33-adde-b580ab0f0c65" ,
"user" : {
"accountNonExpired" : true ,
"accountNonLocked" : true ,
"authorities" : [
{
"authority" : "back:menu:set2role"
},
{
"authority" : "mail:update"
},
{
"authority" : "back:permission:delete"
},
{
"authority" : "role:permission:byroleid"
},
{
"authority" : "back:menu:save"
},
{
"authority" : "back:menu:query"
},
{
"authority" : "ip:black:query"
},
{
"authority" : "ip:black:save"
},
{
"authority" : "file:del"
},
{
"authority" : "ip:black:delete"
},
{
"authority" : "mail:query"
},
{
"authority" : "back:user:query"
},
{
"authority" : "back:role:permission:set"
},
{
"authority" : "sms:query"
},
{
"authority" : "back:role:query"
},
{
"authority" : "back:permission:query"
},
{
"authority" : "back:user:role:set"
},
{
"authority" : "back:role:save"
},
{
"authority" : "log:query"
},
{
"authority" : "file:query"
},
{
"authority" : "back:menu:update"
},
{
"authority" : "back:role:update"
},
{
"authority" : "back:role:delete"
},
{
"authority" : "back:user:password"
},
{
"authority" : "ROLE_SUPER_ADMIN"
},
{
"authority" : "back:menu:delete"
},
{
"authority" : "back:user:update"
},
{
"authority" : "menu:byroleid"
},
{
"authority" : "mail:save"
},
{
"authority" : "user:role:byuid"
},
{
"authority" : "back:permission:save"
},
{
"authority" : "back:permission:update"
}
],
"createTime" : "2018-01-17T16:56:59.000+0800" ,
"credentialsNonExpired" : true ,
"enabled" : true ,
"headImgUrl" : "" ,
"id" : 1 ,
"nickname" : "测试1" ,
"password" : "$2a$10$QpeXBJpWYetNwfWEHnkvLeK0jS0P9R6V8QqCj37zeNGroqYvdvW.C" ,
"permissions" : [
"back:menu:set2role" ,
"mail:update" ,
"back:permission:delete" ,
"role:permission:byroleid" ,
"back:menu:save" ,
"back:menu:query" ,
"ip:black:query" ,
"ip:black:save" ,
"file:del" ,
"ip:black:delete" ,
"mail:query" ,
"back:user:query" ,
"back:role:permission:set" ,
"sms:query" ,
"back:role:query" ,
"back:permission:query" ,
"back:user:role:set" ,
"back:role:save" ,
"log:query" ,
"file:query" ,
"back:menu:update" ,
"back:role:update" ,
"back:role:delete" ,
"back:user:password" ,
"back:menu:delete" ,
"back:user:update" ,
"menu:byroleid" ,
"mail:save" ,
"user:role:byuid" ,
"back:permission:save" ,
"back:permission:update"
],
"phone" : "" ,
"sex" : 1 ,
"sysRoles" : [
{
"code" : "SUPER_ADMIN" ,
"createTime" : "2018-01-19T20:32:16.000+0800" ,
"id" : 1 ,
"name" : "超级管理员" ,
"updateTime" : "2018-01-19T20:32:18.000+0800"
}
],
"type" : "APP" ,
"updateTime" : "2018-01-17T16:57:01.000+0800" ,
"username" : "admin"
}
},
"msg" : "操作成功"
}
通过返回的信息我们可以看到他的权限,跟 @PreAuthorize( "hasAuthority('back:permission:save')")比对,我们知道登陆用户拥有该权限。可以访问该接口。
上面都是前菜,下面进入正题。
我们来看一下 @PreAuthorize 标签的源码,它位于org.springframework.security.access.prepost包下 
/**
 * 用于指定将计算为的方法访问控制表达式的批注
 * 决定是否允许方法调用。
 *
 * @author Luke Taylor
 * @since 3.0
 */
@Target({ ElementType.METHOD, ElementType.TYPE })
@Retention(RetentionPolicy.RUNTIME)
@Inherited
@Documented
public @interface PreAuthorize {
   /**
    * @return 在执行这个受保护的方法前进行Spring EL表达式的解析
    */
   String value();
}

这里有一个Spring EL表达式都解析,我们来看一下什么是Spring EL表达式

public class SpringELTest {
    public static void main(String[] args) {
        ExpressionParser parser = new SpelExpressionParser();
        //解析字符串,该字符串具有一段代码的味道
        Expression expression = parser.parseExpression("'Hello World'.bytes.length");
        int length = (int)expression.getValue();
        System.out.println(length);
    }
}

这个"'Hello World'.bytes.length"就是一段Spring EL表达式,虽然是一段字符串,但它有一段代码的含义,可以被解析执行

运行结果

11

那么很明显"hasAuthority('back:permission:save')"就是一段Spring EL表达式,它是可以被执行的。

要想使标签@PreAuthorize生效,我们需要设置一下OAuth的资源服务设置

/**
 * 资源服务配置
 */
@EnableResourceServer
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true,securedEnabled = true)
public class ResourceServerConfig extends ResourceServerConfigurerAdapter {

   @Override
   public void configure(HttpSecurity http) throws Exception {
      http.csrf().disable().exceptionHandling()
            .authenticationEntryPoint(
                  (request, response, authException) -> response.sendError(HttpServletResponse.SC_UNAUTHORIZED))
            .and().authorizeRequests().antMatchers(PermitAllUrl.permitAllUrl("/users-anon/**", "/sys/login","/wechat/**")).permitAll()
            .anyRequest().authenticated().and().httpBasic();
   }
   @Override
   public void configure(ResourceServerSecurityConfigurer resource) throws Exception {
      //这里把自定义异常加进去
      resource.authenticationEntryPoint(new AuthExceptionEntryPoint())
            .accessDeniedHandler(new CustomAccessDeniedHandler());
   }


   @Bean
   public BCryptPasswordEncoder bCryptPasswordEncoder() {
      return new BCryptPasswordEncoder();
   }

}

其中@EnableGlobalMethodSecurity(prePostEnabled = true,securedEnabled = true)就是打开@PreAuthorize进行拦截生效的标签,当然一定要设置prePostEnabled = true。

既然"hasAuthority('back:permission:save')"是一段Spring EL表达式,那么hasAuthority()就一定是一个可以执行的方法,该方法位于SecurityExpressionRoot类下,该类位于org.springframework.security.access.expression包中。

Spring Security可用表达式对象的基类就是SecurityExpressionRoot,它支持很多的方法

表达式

描述

hasRole([role])

当前用户是否拥有指定角色。

hasAnyRole([role1,role2])

多个角色是一个以逗号进行分隔的字符串。如果当前用户拥有指定角色中的任意一个则返回true。

hasAuthority([auth])

等同于hasRole

hasAnyAuthority([auth1,auth2])

等同于hasAnyRole

Principle

代表当前用户的principle对象

authentication

直接从SecurityContext获取的当前Authentication对象

permitAll

总是返回true,表示允许所有的

denyAll

总是返回false,表示拒绝所有的

isAnonymous()

当前用户是否是一个匿名用户

isRememberMe()

表示当前用户是否是通过Remember-Me自动登录的

isAuthenticated()

表示当前用户是否已经登录认证成功了。

isFullyAuthenticated()

如果当前用户既不是一个匿名用户,同时又不是通过Remember-Me自动登录的,则返回true。

我们具体看一下hasAuthority这个方法的实现,只有当这个方法返回的结果为true的时候,我们才能进一步访问我们的接口代码

这里面传入的authority为"back:permission:save"

public final boolean hasAuthority(String authority) {
   return hasAnyAuthority(authority);
}
public final boolean hasAnyAuthority(String... authorities) {
   return hasAnyAuthorityName(null, authorities);
}
private boolean hasAnyAuthorityName(String prefix, String... roles) {
   //获取所有的用户角色权限
   Set<String> roleSet = getAuthoritySet();
   //由于我们这里传入的roles只有"back:permission:save"
   //所以role即为"back:permission:save",prefix则为null
   for (String role : roles) {
      //defaultedRole依然为"back:permission:save"
      String defaultedRole = getRoleWithDefaultPrefix(prefix, role);
      //在权限集合中是否包含"back:permission:save"的该权限
      //根据我们之前登录的返回信息,可以看到"authority": "back:permission:save"的存在
      //所以此处是可以通过权限验证的。
      if (roleSet.contains(defaultedRole)) {
         return true;
      }
   }

   return false;
}
private Set<String> getAuthoritySet() {
   //Set<String> rolesSecurityExpressionRoot的属性
   //我们可以看到它是从一系列用户认证里面获取到的权限集合
   if (roles == null) {
      roles = new HashSet<>();
      //authenticationSecurityExpressionRoot极为重要的一个属性,它本身是一个接口
      //管理着用户认证信息的各个方法
      Collection<? extends GrantedAuthority> userAuthorities = authentication
            .getAuthorities();

      if (roleHierarchy != null) {
         userAuthorities = roleHierarchy
               .getReachableGrantedAuthorities(userAuthorities);
      }
      
      roles = AuthorityUtils.authorityListToSet(userAuthorities);
   }

   return roles;
}
private static String getRoleWithDefaultPrefix(String defaultRolePrefix, String role) {
   if (role == null) {
      return role;
   }
   //由于defaultRolePrefix为null,所以此处返回的就是"back:permission:save"
   if (defaultRolePrefix == null || defaultRolePrefix.length() == 0) {
      return role;
   }
   if (role.startsWith(defaultRolePrefix)) {
      return role;
   }
   return defaultRolePrefix + role;
}

我们可以看一下AuthorityUtils.authorityListToSet()方法

public static Set<String> authorityListToSet(
      Collection<? extends GrantedAuthority> userAuthorities) {
   Set<String> set = new HashSet<>(userAuthorities.size());
   //很明显这里是把认证用户的所有权限给转化为Set集合
   for (GrantedAuthority authority : userAuthorities) {
      set.add(authority.getAuthority());
   }

   return set;
}

转载于:https://my.oschina.net/u/3768341/blog/3080107

chidi5109
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring security实现登陆和权限角色控制
09-09
主要介绍了Spring security实现登陆和权限角色控制,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
浅谈SpringSecurity权限管理框架
Welcome,Everyone.
07-20 511
使用SpringSecurity框架实现权限管理一、SpringSecurity框架用法简介二、权限管理过程的相关概念1、主体2、认证3、授权三、权限管理的主流框架1、SpringSecurity2、Shiro四、3、编写好登录页面以及登录后的主页面和其他要用到的页面4、创建包 com.herz.security.controller 并编写对应的 Controller5、在该工程基础上加入SpringSecurity5.1、在pom.xml导入SpringSecurity 依赖5.2、在web.xm
spring security6+springboot3+jwt实现权限控制
qq_68534248的博客
03-15 871
myabits-plus,redis,lombok,hutoolspring security的核心配置,包含了自定义的鉴权MyUserDetailService 自定义的权限读取类 AuthenticationProvider 提供权限校验方法类,把MyUserDetailService类和PasswordEncoder 类作为入参,实现自定义权限校验AuthenticationManager 鉴权工具的管理bean,用默认提供的就行PasswordEncoder 使用BCryptPasswordEnco
深入浅出SpringSecurity
-
04-11 4566
SpringSecurity学习 SpringSecurity简介 安全框架的概述 什么是安全框架?是为了解决安全问题的框架。如果没有安全框架,我们需要手动处理每个资源的访问控制,非常麻烦。使用安全框架,我们可以通过的配置方式实现对资源的访问控制。 常用的安全框架概述 SpringSecuritySpring家族的一员,是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方...
后端进阶之路——浅谈Spring Security用户、角色、权限和访问规则(三)
Why_does_it_work的博客
08-04 3637
通过定义用户、角色、权限和访问规则 可以在SpringSecurity实现灵活的访问控制权限管理。可以使用内存方式或数据库方式定义用户,设置用户名、密码和角色等信息。角色可以用来组织和控制权限,可以将一组权限赋予特定角色,并将角色分配给用户。权限是指用户可以执行的特定操作或访问的资源,可以细化到每个功能或数据级别。可以使用Ant风格的路径匹配规则或表达式语言编写更复杂的访问规则,以限制用户对特定路径或功能的访问权限。 通过定义这些元素,可以确保系统的安全性和可靠性。
浅谈一下 Spring Security
masterYu123的博客
03-21 614
快速入门spring security数据库的认证
springboot springsecurity动态权限控制
09-18
springboot springsecurity动态权限控制,实现数据库动态管理菜单权限
SpringSecurity权限控制实现原理解析
08-24
主要介绍了SpringSecurity权限控制实现原理解析,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
SpringSecurity+OAuth2+JWT分布式权限控制.zip
07-23
SpringSecurity+OAuth2+JWT分布式权限控制
浅谈Spring Security LDAP简介
08-26
主要介绍了浅谈Spring Security LDAP简介,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
报表控件Stimulsoft在JavaScript报告工具的事件:查看器事件(上)
励志做最业余的专业博主,控件产品可以私我~
04-28 769
在本文,我们为JS报告工具的查看器事件提供了全面的指南,包括它们的详细描述、参数列表等一系列详细内容。
探秘MySQL主从复制的多种实现方式
todoitbo的博客
04-26 1056
本文将深入探讨MySQL主从复制的多种实现方式,包括基于语句、基于行和混合模式等。无论您是初学者还是有经验的数据库管理员,都能通过本文全面了解MySQL主从复制技术的多样化选择,从而提高数据库的可用性和性能。
SpringCloudAlibaba:2.nacos
m0_63040701的博客
04-26 941
Nacos是阿里巴巴开源的服务注册心以及配置心Nacos=注册心Eureka + 服务配置Config + 服务总线Bus。
tableau如何传参数到MySQL数据库
lcl17779740668的博客
04-28 249
tableau如何传参数到MySQL数据库
ubuntu18源码安装postgresql15.2数据库
04-27 426
由于官方的源只能安装到pg10这个版本,整了好一会没有成功就改为源码安装了。
力扣数据库题库学习(4.28日)--1587. 银行账户概要 II
Jesse_Kyrie的博客
04-28 182
对于力扣题1587. 银行账户概要 II的解答,提供解题思路与解题方法,知识点为:1. GROUP BY 2. SUM 3. LEFT JOIN 4. HAVING
openlayers加载瓦片地图并手动标记坐标点
qq_38196449的博客
04-28 363
这里面有个注释掉的方法,读者可以打开试试,其实就是标记的时候打印经纬度,一般这个值我们都用来存储数据库。将ol.js、ol.css放在根目录下,当然还有你的瓦片地图也放在根目录下。创建一个项目,普通原生前端项目就行。marker.png是标记坐标点的。
MySQL数据库练习(6)
最新发布
a1677179的博客
04-29 198
MySQL数据库练习(6)
浅谈SpringSecurity
03-28
SpringSecurity是一个基于Spring框架的安全框架,用于管理和控制应用程序的安全性。它提供了一系列的安全模块,包括身份认证、授权、攻击防御等,为应用程序提供了全面的安全保障。 SpringSecurity的核心理念是基于...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值