SpringSecurity--角色继承、动态权限

最新推荐文章于 2023-02-14 10:21:49 发布
最新推荐文章于 2023-02-14 10:21:49 发布
阅读量2.5k 收藏 6
点赞数 3
分类专栏: Spring Security 文章标签: SpringSecurity 角色继承 动态权限
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cold___play/article/details/104221492
版权

角色继承

用户表user:
在这里插入图片描述
角色表role:
在这里插入图片描述

中间表user_role:
在这里插入图片描述

一般来说,角色之间是有关系的,例如ROLE_admin一般既具有admin的权限,又具有user的权限。

在Spring Security中只需要开发者提供一个RoleHierarchy即可。

假设ROLE_dba是终极大Boss,具有所有的权限,ROLE_admin具有ROLE_user的权限,ROLE_user则是一个公共角色,即ROLE_admin继承ROLE_user、ROLE_dba继承ROLE_admin,要描述这种继承关系,只需要在SpringSecurity的配置类中提供一个RoleHierarchy即可:

	@Bean
    RoleHierarchy roleHierarchy(){
        RoleHierarchyImpl roleHierarchy = new RoleHierarchyImpl();
        String hierarchy = "ROLE_dba > ROLE_admin ROLE_admin > ROLE_user";
        roleHierarchy.setHierarchy(hierarchy);
        return roleHierarchy;
    }

此时,具有ROLE_dba角色的用户就可以访问所有资源了,具有ROLE_admin角色的用户也可以访问具有ROLE_user角色才能访问的资源。

动态配置权限

1. 数据库设计:

在上文3张表的基础上再增加一张资源表和资源角色关联表。

资源表menu:定义了用户能够访问的URL模式

create table `menu` (
 `id` int(11) not null auto_increment,
 `pattern` varchar(255),
 primary key(`id`)
)ENGINE=InnoDB DEFAULT CHARSET=utf8;

insert into menu values(1, '/db/**');
insert into menu values(2, '/admin/**');
insert into menu values(3, '/user/**');

资源角色表menu_role:定义了访问该模式的URL需要什么样的角色:

create table `menu_role` (
	`id` int(11) not null auto_increment,
	`mid` int(11),
	`rid` int(11),
	primary key(`id`)
)ENGINE=InnoDB DEFAULT CHARSET=utf8;

insert into menu_role values(1, 1, 1);
insert into menu_role values(2, 2, 2);
insert into menu_role values(3, 3, 3);

创建对应的pojo:

public class Menu {
    private Integer id;
    private String pattern;
    private List<Role> roles;

    public List<Role> getRoles() {
        return roles;
    }

    public void setRoles(List<Role> roles) {
        this.roles = roles;
    }

    public Integer getId() {
        return id;
    }

    public void setId(Integer id) {
        this.id = id;
    }

    public String getPattern() {
        return pattern;
    }

    public void setPattern(String pattern) {
        this.pattern = pattern;
    }
}

2. 自定义FilterInvocationSecurityMetadataSource:

要实现动态配置权限,首先要自定义FilterInvocationSecurityMetadataSource,Spring Security中通过FilterInvocationSecurityMetadataSource接口中的getAttributes方法来确定一个请求需要哪些角色,FilterInvocationSecurityMetadataSource接口的默认实现类是DefaultFilterInvocationSecurityMetadataSource,参考DefaultFilterInvocationSecurityMetadataSource的实现,开发者可以定义自己的FilterInvocationSecurityMetadataSource:

@Component
public class CustomFilterInvocationSecurityMetadataSource implements FilterInvocationSecurityMetadataSource {

    //用于实现ant风格的URL匹配
    AntPathMatcher antPathMatcher = new AntPathMatcher();

    @Autowired
    MenuMapper menuMapper;

    //Collection<ConfigAttribute>表示当前请求URL所需的角色
    @Override
    public Collection<ConfigAttribute> getAttributes(Object o) throws IllegalArgumentException {
        //获取当前请求的URL
        String requestUrl = ((FilterInvocation) o).getRequestUrl();
        //获取数据库中的资源信息,一般放在Redis缓存中
        List<Menu> allMenus = menuMapper.getAllMenus();
        //遍历信息,遍历过程中获取当前请求的URL所需要的角色信息并返回
        for (Menu menu : allMenus){
            if(antPathMatcher.match(menu.getPattern(), requestUrl)){
                List<Role> roles = menu.getRoles();
                String[] roleArr = new String[roles.size()];
                for (int i = 0; i < roleArr.length; i++){
                    roleArr[i] = roles.get(i).getName();
                }
                return SecurityConfig.createList(roleArr);
            }
        }
        //如果当前请求的URL在资源表中不存在响应的模式,就假设该请求登录后即可访问,直接返回ROLE_LOGIN
        return SecurityConfig.createList("ROLE_LOGIN");
    }

    
    //getAllConfigAttributes()方法用来返回所有定义好的权限资源,SpringSecurity在启动时会校验相关配置是否正确
    //如果不需要校验,直接返回null即可
    @Override
    public Collection<ConfigAttribute> getAllConfigAttributes() {
        return null;
    }

    
    //supports方法返回类对象是否支持校验
    @Override
    public boolean supports(Class<?> aClass) {
        return FilterInvocation.class.isAssignableFrom(aClass);
    }
}

3. 自定义AccessDecisionManager:

当一个请求走完FilterInvocationSecurityMetadataSource中的getAttributes方法后,接下来就会来到AccessDecisionManager类中进行角色信息的对比,自定义AccessDecisionManager如下:

@Component
public class CustomAccessDecisionManager implements AccessDecisionManager {
    
    //在该方法中判断当前登录的用户是否具有当前请求URL所需要的角色信息,如果不具备,就抛出AccessDeniedException异常,否则不做任何事情
    /*
        参数:
        1. Authentication: 包含当前登录用户的信息
        2. Object: 是一个FilterInvocation对象,可以获取当前请求对象
        3. Collection<ConfigAttribute>: FilterInvocationSecurityMetadataSource中的getAttributes方法的返回值,即当前请求URL所需要的角色
     */
    @Override
    public void decide(Authentication authentication, Object o, Collection<ConfigAttribute> collection) throws AccessDeniedException, InsufficientAuthenticationException {
        Collection<? extends GrantedAuthority> auths = authentication.getAuthorities();
        for (ConfigAttribute configAttribute : collection){
            if("ROLE_LOGIN".equals(configAttribute.getAttribute()) && authentication instanceof UsernamePasswordAuthenticationToken){
                //如果角色是"ROLE_LOGIN",说明当前请求的URL用户登录后即可访问
                //如果auth是UsernamePasswordAuthenticationToken的实例,那么说明当前用户已登录,该方法到此结束,否则进入正常判断流程
                return;
            }
            for (GrantedAuthority authority : auths){//如果当前用户具备当前请求需的角色,方法结束。
                if (configAttribute.getAttribute().equals(authority.getAuthority())){
                    return;
                }
            }
        }
        throw new AccessDeniedException("权限不足!");
    }

    @Override
    public boolean supports(ConfigAttribute configAttribute) {
        return true;
    }

    @Override
    public boolean supports(Class<?> aClass) {
        return true;
    }
}

4. MenuMapper和MenuMapper.xml:

@Mapper
public interface MenuMapper {
    List<Menu> getAllMenus();
}

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE mapper
        PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN"
        "http://mybatis.org/dtd/mybatis-3-mapper.dtd">

<mapper namespace="pers.zhang.demo.mapper.MenuMapper">

    <resultMap id="BaseResultMap" type="pers.zhang.demo.pojo.Menu">
        <id property="id" column="id"/>
        <result property="pattern" column="pattern"/>
        <collection property="roles" ofType="pers.zhang.demo.pojo.Role">
            <id property="id" column="rid"/>
            <result property="name" column="rname"/>
            <result property="nameZh" column="rnameZh"/>
        </collection>
    </resultMap>

    <select id="getAllMenus" resultMap="BaseResultMap">
        SELECT m.*,r.id AS rid,r.name AS rname,r.nameZh AS rnameZh
        FROM menu m
        LEFT JOIN menu_role mr ON m.`id`=mr.`mid`
        LEFT JOIN role r ON mr.`rid`=r.`id`
    </select>
</mapper>

== 5. 配置:==

@Configuration
public class WebSecurityConfig3 extends WebSecurityConfigurerAdapter {

    @Autowired
    UserService userService;

    @Bean
    PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userService);
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .withObjectPostProcessor(new ObjectPostProcessor<FilterSecurityInterceptor>() {

                    @Override
                    public <O extends FilterSecurityInterceptor> O postProcess(O o) {
                        o.setSecurityMetadataSource(cfisms());
                        o.setAccessDecisionManager(cadm());
                        return o;
                    }
                })
                .and()
                .formLogin()
                .loginProcessingUrl("/login").permitAll()
                .and()
                .csrf().disable();
    }

    @Bean
    CustomFilterInvocationSecurityMetadataSource cfisms(){
        return new CustomFilterInvocationSecurityMetadataSource();
    }

    @Bean
    CustomAccessDecisionManager cadm(){
        return new CustomAccessDecisionManager();
    }


    // @Bean
    // RoleHierarchy roleHierarchy(){
    //     RoleHierarchyImpl roleHierarchy = new RoleHierarchyImpl();
    //     String hierarchy = "ROLE_dba > ROLE_admin ROLE_admin > ROLE_user";
    //     roleHierarchy.setHierarchy(hierarchy);
    //     return roleHierarchy;
    // }
}
吴声子夜歌
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring-security-crypto-5.5.2-API文档-中文版.zip
06-04
赠送jar包:spring-security-crypto-5.5.2.jar; 赠送原API文档:spring-security-crypto-5.5.2-javadoc.jar; 赠送源代码:spring-security-crypto-5.5.2-sources.jar; 赠送Maven依赖信息文件:spring-security-crypto-5.5.2.pom; 包含翻译后的API文档:spring-security-crypto-5.5.2-javadoc-API文档-中文(简体)版.zip; Maven坐标:org.springframework.security:spring-security-crypto:5.5.2; 标签:springframework、securityspring、crypto、中文文档、jar包、java; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心使用。
AccessDecisionManager自定义修改
latroq的博客
04-06 1323
说明 AccessDecisionManagerSpringSecurity中用于访问控制的管理器 框架中自带的有三种:分别为UnanimousBased、ConsensusBased和AffirmativeBased AffirmativeBased 这里写自定义目录标题说明AffirmativeBased欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右Smar
记录 Role Hierarchy 在 spring security 6 无法生效的问题
chang_chan的博客
02-04 243
记录 Role Hierarchy 在 spring security 6 无法生效的问题
SpringSecurity框架原理浅谈之AccessDecisionManager
黄先生的博客
02-14 1224
授权流程 Spring Security可以通过 http.authorizeRequests() 对web请求进行授权保护。 Spring Security使用标准Filter建立了对web请求的拦截,最终实现对资源的授权访问。
史上最简单的Spring Security教程(二十一):AccessDecisionManager简介及自定义访问决策管理器
热门推荐
银河架构师的博客
08-10 1万+
AccessDecisionManager顾名思义,访问决策管理器。 Makesafinalaccesscontrol(authorization)decision 做出最终的访问控制(授权)决定。 而常用的AccessDecisionManager有三个,分别介绍一下其权限决策逻辑。 AffirmativeBased Spring Security框架默认的AccessDecisionManager。 /** * Simple concrete ...
SpringBoot集成Spring Security实现角色继承【完整源码+数据库】
02-16
SpringBoot集成Spring Security实现角色继承 适合小白,刚刚接触security权限框架的小白,或者开发人员,可以加深对security的理解
Spring Security# RoleHierarchy
来啊 快活啊
09-08 2233
参考RoleVoter RoleHierarchyVoter RoleHierarchyImpl spring-security-reference#Hierarchical Roles Spring Security Role Hierarchy not working using Java Config
Spring boot security关于角色继承的问题
hzw0808的博客
10-09 293
Spring boot security关于角色继承的问题编写RoleHierarchy配置 编写RoleHierarchy配置 @Bean RoleHierarchy roleHierarchy(){ RoleHierarchyImpl roleHierarchy = new RoleHierarchyImpl(); //在新版本中ROLE_dba > ROLE_admin ROLE_admin > ROLE_user中间的空格已经不适用了
Spring Boot 之 Spring Security高级配置(权限和资源的关系)
探索er的博客
05-11 1020
Spring Security高级配置(权限和资源的关系)
别再用过时的方式了,全新版本Spring Security,这样用才够优雅~
macrozheng的专栏
06-07 3283
前不久Spring Boot 2.7.0 刚刚发布,Spring Security 也升级到了5.7.1 。升级后发现,原来一直在用的Spring Security配置方法,居然已经被弃用了。不禁感慨技术更新真快,用着用着就被弃用了!今天带大家体验下Spring Security的最新用法,看看是不是够优雅!...
spring-security-oauth2-2.3.5.RELEASE-API文档-中文版.zip
05-09
赠送jar包:spring-security-oauth2-2.3.5.RELEASE.jar; 赠送原API文档:spring-security-oauth2-2.3.5.RELEASE-javadoc.jar; 赠送源代码:spring-security-oauth2-2.3.5.RELEASE-sources.jar; 赠送Maven依赖信息...
spring-security-core-5.3.9.RELEASE-API文档-中文版.zip
07-14
赠送jar包:spring-security-core-5.3.9.RELEASE.jar; 赠送原API文档:spring-security-core-5.3.9.RELEASE-javadoc.jar; 赠送源代码:spring-security-core-5.3.9.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
spring-security-core-5.2.0.RELEASE-API文档-中文版.zip
07-13
赠送jar包:spring-security-core-5.2.0.RELEASE.jar; 赠送原API文档:spring-security-core-5.2.0.RELEASE-javadoc.jar; 赠送源代码:spring-security-core-5.2.0.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
spring-security-jwt-1.0.10.RELEASE-API文档-中文版.zip
05-09
赠送jar包:spring-security-jwt-1.0.10.RELEASE.jar; 赠送原API文档:spring-security-jwt-1.0.10.RELEASE-javadoc.jar; 赠送源代码:spring-security-jwt-1.0.10.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
SpringSecurity--工作原理详解
吴声子夜歌的博客
03-30 3678
结构总览 Spring Security所解决的问题就是安全访问控制,而安全访问控制功能其实就是对所有进入系统的请求进行拦截, 校验每个请求是否能够访问它所期望的资源。根据前边知识的学习,可以通过Filter或AOP等技术来实现,Spring Security对Web资源的保护是靠Filter实现的,所以从这个Filter来入手,逐步深入Spring Security原理。 当初始化Spring ...
SpringSecurity--密码加密、方法安全
吴声子夜歌的博客
02-08 2682
密码加密 Spring Security提供了多种密码加密方案,官方推荐使用BCryptPasswordEncoder,BCryptPasswordEncoder使用BCrypt强哈希函数,开发者在使用时可以选择提供strength和SecureRandom实例。strength越大,密钥的迭代次数越多,密钥迭代次数为2^strength。strength取值在4~31之间,默认为10. 在Spr...
OAuth2--授权服务器配置
吴声子夜歌的博客
03-31 2109
EnableAuthorizationServer 可以用 @EnableAuthorizationServer 注解并继承AuthorizationServerConfigurerAdapter来配置OAuth2.0 授权 服务器。 @Configuration @EnableAuthorizationServer public class AuthorizationServe...
SpringBoot--配置多个HttpSecurity
吴声子夜歌的博客
02-08 1510
配置多个HttpSecurity 如果业务比较复杂,开发者也可以配置多个HttpSecurity,实现对WebSecurityConfigurerAdapter的多次扩展: @Configuration public class MultiHttpSecurityConfig { @Bean PasswordEncoder passwordEncoder(){ ...
springsecurity 角色继承
最新发布
01-13
Spring Security中的角色继承是指一个角色可以继承于另一个角色权限。这样一来,一个角色可以拥有另一个角色的全部权限,从而简化权限管理和角色配置的过程。 在Spring Security中,可以通过配置来实现角色继承。首先,需要定义角色和其对应的权限,并且将这些信息存储在数据库中或者内存中。然后,在配置文件中,可以使用<intercept-url>标签或者@PreAuthorize注解来指定某个URL或方法需要哪些角色来访问。此时,就可以利用角色继承的特性,将一些相似的角色进行继承,从而实现权限继承角色继承的好处在于可以减少冗余的配置信息,提高权限管理的灵活性和可维护性。例如,如果有一些角色拥有一部分相同的权限,可以将这部分权限定义在一个公共的角色中,然后其他角色继承这个公共角色,避免了重复配置同样的权限。 当然,角色继承也需要注意安全性的问题,不应该将过多的权限集中在一个角色中,避免出现权限过大的情况。另外,在进行角色继承时,也需要注意角色的命名规范和权限的管理,以免引起混乱和不必要的权限泄露。 总之,Spring Security中的角色继承是一个有效的权限管理机制,可以帮助我们更好地管理和配置角色权限,提高系统的安全性和可维护性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值