SpringBoot2.0实战 | 第三十章:整合SpringSecurity之基于SpEL表达式实现动态方法鉴权

最新推荐文章于 2022-11-10 23:38:42 发布
最新推荐文章于 2022-11-10 23:38:42 发布
阅读量878 收藏 3
点赞数 1
分类专栏: # SpringBoot 文章标签: springboot springsecurity 方法鉴权 mybatis mybatisplus
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gongm24/article/details/105052711
版权

通过前面的文章,我们已经实现了基于数据进行登录鉴权及基于注解的方式进行方法鉴权

注解方式的方法鉴权:
通过 @EnableGlobalMethodSecurity 注解来开启方法鉴权。

  • securedEnabled:开启 @Secured 注解
    • 单个角色:@Secured(“ROLE_USER”)
    • 多个角色任意一个:@Secured({“ROLE_USER”,“ROLE_ADMIN”})
  • prePostEnabled:开启 @PreAuthorize 及 @PostAuthorize 注解,分别适用于进入方法前后进行鉴权,支持表达式
    • 允许所有访问:@PreAuthorize(“true”)
    • 拒绝所有访问:@PreAuthorize(“false”)
    • 单个角色:@PreAuthorize(“hasRole(‘ROLE_USER’)”)
    • 多个角色与条件:@PreAuthorize(“hasRole(‘ROLE_USER’) AND hasRole(‘ROLE_ADMIN’)”)
    • 多个角色或条件:@PreAuthorize(“hasRole(‘ROLE_USER’) OR hasRole(‘ROLE_ADMIN’)”)
  • jsr250Enabled:开启 JSR-250 相关注解
    • 允许所有访问:@PermitAll
    • 拒绝所有访问:@DenyAll
    • 多个角色任意一个:@RolesAllowed({“ROLE_USER”, “ROLE_ADMIN”})

虽然非常灵活,但是毕竟是硬编码,不符合实际的生产需求,在项目中,每个角色的可访问权限必须是可调整的,一般情况下使用数据库进行持久化。

目标

整合 SpringSecurity 及 MybatisPlus 实现使用读取数据库数据进行方法鉴权

思路

使用配置类的 HttpSecurity 提供的 access 方法,通过扩展SpEL表达式,实现自定义鉴权

.access("@authService.canAccess(request, authentication)")

其中 authService 是 Spring 容器中的 Bean,canAccess 是其中的一个方法。

@Service
public class AuthService {
    public boolean canAccess(HttpServletRequest request, Authentication authentication) {
        //在这里编写校验代码…
        return true;
    }
}

准备工作

创建用户表 user、角色表 role、用户角色关系表 user_role,资源表 resource,资源角色关系表 role_resource

CREATE TABLE `role` (
  `id` bigint(20) NOT NULL AUTO_INCREMENT,
  `rolename` varchar(32) NOT NULL COMMENT '角色名',
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=15 DEFAULT CHARSET=utf8mb4 COMMENT='角色';

CREATE TABLE `user` (
  `id` bigint(20) NOT NULL AUTO_INCREMENT,
  `username` varchar(32) NOT NULL COMMENT '用户名',
  `password` varchar(128) NOT NULL COMMENT '密码',
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=15 DEFAULT CHARSET=utf8mb4 COMMENT='用户';

CREATE TABLE `user_role` (
  `id` bigint(20) NOT NULL AUTO_INCREMENT,
  `user_id` bigint(20) NOT NULL,
  `role_id` bigint(20) NOT NULL,
  PRIMARY KEY (`id`),
  UNIQUE KEY (`user_id`,`role_id`)
) ENGINE=InnoDB AUTO_INCREMENT=4 DEFAULT CHARSET=utf8mb4 COMMENT='用户角色关系表';

CREATE TABLE `resource` (
  `id` bigint(20) NOT NULL AUTO_INCREMENT,
  `url` varchar(128) NOT NULL COMMENT '请求路径',
  PRIMARY KEY (`id`),
  UNIQUE KEY (`url`)
) ENGINE=InnoDB AUTO_INCREMENT=15 DEFAULT CHARSET=utf8mb4 COMMENT='资源';

CREATE TABLE `role_resource` (
  `id` bigint(20) NOT NULL AUTO_INCREMENT,
  `resource_id` bigint(20) NOT NULL,
  `role_id` bigint(20) NOT NULL,
  PRIMARY KEY (`id`),
  UNIQUE KEY (`resource_id`,`role_id`)
) ENGINE=InnoDB AUTO_INCREMENT=4 DEFAULT CHARSET=utf8mb4 COMMENT='资源角色关系表';

操作步骤

添加依赖

引入 Spring Boot Starter 父工程

<parent>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-parent</artifactId>
    <version>2.0.5.RELEASE</version>
</parent>

添加 springSecuritymybatisPlus 的依赖,添加后的整体依赖如下

<dependencies>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-web</artifactId>
    </dependency>

    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-test</artifactId>
        <scope>test</scope>
    </dependency>

    <dependency>
        <groupId>org.projectlombok</groupId>
        <artifactId>lombok</artifactId>
        <scope>provided</scope>
    </dependency>

    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-security</artifactId>
    </dependency>

    <dependency>
        <groupId>com.baomidou</groupId>
        <artifactId>mybatis-plus-boot-starter</artifactId>
        <version>3.2.0</version>
    </dependency>

    <dependency>
        <groupId>mysql</groupId>
        <artifactId>mysql-connector-java</artifactId>
    </dependency>
</dependencies>
配置

配置一下数据源

spring:
  datasource:
    url: jdbc:mysql://127.0.0.1:3306/test?characterEncoding=utf8&useSSL=false
    username: app
    password: 123456
编码

用户登录相关代码请参考 第二十五章:整合SpringSecurity之使用数据库实现登录鉴权,这里不再粘贴。

实体类

角色实体类 Role,实现权限接口 GrantedAuthority

@Data
@NoArgsConstructor
@AllArgsConstructor
@TableName("role")
public class Role implements GrantedAuthority {

    @TableId(type = IdType.AUTO)
    private Long id;
    private String rolename;

    @Override
    public String getAuthority() {
        return this.rolename;
    }
}

资源实体

@Data
@NoArgsConstructor
@AllArgsConstructor
@TableName("resource")
public class Resource {

    @TableId(type = IdType.AUTO)
    private Long id;
    private String url;

}

资源角色关系实体

@Data
@NoArgsConstructor
@AllArgsConstructor
@TableName("role_resource")
public class RoleResource {

    @TableId(type = IdType.AUTO)
    private Long id;
    private Long resourceId;
    private Long roleId;

}
Repository 层

分别为三个实体类添加 Mapper

@Mapper
public interface RoleRepository extends BaseMapper<Role> {
}
@Mapper
public interface ResourceRepository extends BaseMapper<Resource> {
}
@Mapper
public interface RoleResourceRepository extends BaseMapper<RoleResource> {
}
实现自定义方法鉴权
@Service
@AllArgsConstructor
public class AuthService {

    private ResourceRepository resourceRepository;
    private RoleResourceRepository roleResourceRepository;
    private RoleRepository roleRepository;

    public boolean canAccess(HttpServletRequest request, Authentication authentication) {
        String uri = request.getRequestURI();
        List<Role> requestRoles = getRolesForResource(uri);
        if (requestRoles != null && !requestRoles.isEmpty()) {
            for (Role requestRole : requestRoles) {
                for (GrantedAuthority grantedAuthority : authentication.getAuthorities()) {
                    if (requestRole.getAuthority().equals(grantedAuthority.getAuthority())) {
                        return true;
                    }
                }
            }
        }
        return false;
    }

    private List<Role> getRolesForResource(String uri) {
        if (StringUtils.isEmpty(uri)) {
            return Collections.emptyList();
        }
        Resource resource = resourceRepository.selectOne(
                new QueryWrapper<Resource>().lambda().eq(Resource::getUrl, uri));
        if (resource == null) {
            return Collections.emptyList();
        }
        List<RoleResource> roleResources = roleResourceRepository.selectList(
                new QueryWrapper<RoleResource>().lambda().eq(RoleResource::getResourceId, resource.getId()));
        if (roleResources == null || roleResources.isEmpty()) {
            return Collections.emptyList();
        }
        List<Long> roleIds = roleResources.stream().map(RoleResource::getRoleId).collect(Collectors.toList());
        return roleRepository.selectList(
                new QueryWrapper<Role>().lambda().in(Role::getId, roleIds));
    }

}
注册配置

不用再声明 @EnableGlobalMethodSecurity 注解,注册自定义鉴权方法 authService.canAccess

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private UserService userService;

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userService).passwordEncoder(passwordEncoder());
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
            .anyRequest().access("@authService.canAccess(request, authentication)")
//            .anyRequest().authenticated()
            .and()
            .formLogin().and().httpBasic();
    }
}
去掉原来的方法鉴权相关注解
@RestController
public class HelloController {

    @GetMapping("/hello")
    public String hello() {
        return "hello";
    }

//    @Secured("ROLE_USER")
    @GetMapping("/secure")
    public String secure() {
        return "Hello Security";
    }

//    @PreAuthorize("true")
    @GetMapping("/authorized")
    public String authorized() {
        return "Hello World";
    }

//    @PreAuthorize("false")
    @GetMapping("/denied")
    public String denied() {
        return "Goodbye World";
    }

}
启动类
@SpringBootApplication
public class Application {

    public static void main(String[] args) {
        SpringApplication.run(Application.class, args);
    }

}
验证结果
初始化数据

执行测试用例进行初始化数据

@Slf4j
@RunWith(SpringRunner.class)
@WebAppConfiguration
@SpringBootTest(classes = Application.class)
@AllArgsConstructor
public class SecurityTest {

    private UserRepository userRepository;
    private UserRoleRepository userRoleRepository;
    private RoleRepository roleRepository;
    private ResourceRepository resourceRepository;
    private RoleResourceRepository roleResourceRepository;

    @Test
    public void initData() {
        List<User> userList = new ArrayList<>();
        userList.add(new User(1L, "admin", new BCryptPasswordEncoder().encode("123456"), null));
        userList.add(new User(2L, "user", new BCryptPasswordEncoder().encode("123456"), null));

        List<Role> roleList = new ArrayList<>();
        roleList.add(new Role(1L, "ROLE_ADMIN"));
        roleList.add(new Role(2L, "ROLE_USER"));

        List<UserRole> urList = new ArrayList<>();
        urList.add(new UserRole(1L, 1L, 1L));
        urList.add(new UserRole(2L, 1L, 2L));
        urList.add(new UserRole(3L, 2L, 2L));

        List<Resource> resourceList = new ArrayList<>();
        resourceList.add(new Resource(1L, "/hello"));
        resourceList.add(new Resource(2L, "/secure"));

        List<RoleResource> rrList = new ArrayList<>();
        rrList.add(new RoleResource(1L, 1L, 1L));
        rrList.add(new RoleResource(1L, 2L, 1L));
        rrList.add(new RoleResource(1L, 1L, 2L));

        userList.forEach(userRepository::insert);
        roleList.forEach(roleRepository::insert);
        urList.forEach(userRoleRepository::insert);
        resourceList.forEach(resourceRepository::insert);
        rrList.forEach(roleResourceRepository::insert);
    }

}
校验

使用 admin 登录可以访问 /hello/secure,使用 user 登录则只能访问 /hello

源码地址

本章源码 : https://gitee.com/gongm_24/spring-boot-tutorial.git

参考

249.Spring Boot+Spring Security:基于URL动态权限:扩展access()的SpEL表达式

死牛胖子
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Spring Boot+Spring Security:基于URL动态权限:扩展access()的SpEL表达式 - 第15篇
悟纤学院
03-07 2万+
需求缘起 本节通过扩展access()的SpEL表达式实现URL动态权限。 编码思路 通过扩展SpEL表达式主要在配置具体的类和实现方法,如下示例 .access("@authService.canAccess(request,authentication)"); 其中authService是一个类,canAccess是其中的方法: ...
Spring Security详解/基于配置信息的Spring Security使用/使用自定义登录页面/使用数据库认证/SpEL表达式/服务器端方法级权限控制/页面端标签控制权限
ZaynFox的博客
10-15 689
一、Spring Security介绍 Spring Security 的前身是 Acegi Security ,是 Spring 项目组中用来提供安全认证服务的框架。 Spring Security 为基于J2EE企业应用软件提供了全面安全服务。特别是使用领先的J2EE解决方案——Spring框架开发的企业软件项目。人们使用Spring Security有很多种原因,不过通常吸引他们的是在J2EE Servlet规范或EJB规范中找不到典型企业应用场景的解决方案。 特别要指出的是他们不能在 WAR 或
SpringSecurity动态加载用户角色权限实现登录及鉴权
字母哥博客
11-27 4149
很多人觉得Spring Security实现登录验证很难,我最开始学习的时候也这样觉得。因为我好久都没看懂我该怎么样将自己写的用于接收用户名密码的Controller与Spring Security结合使用,这是一个先入为主的误区。后来我搞懂了:根本不用你自己去写Controller。你只需要告诉Spring Security用户信息、角色信息、权限信息、登录页是什么?登陆成功页是什么?或者其他...
Spring Security3 SpEL表达式
utter111的专栏
02-05 535
启用SpELl表达式:在http元素里添加: use-expressions="true"  如: use-expressions="true"> ... Spring Security 3 提供的 SpEL 方法和伪属性在以下的表格中进行了描述。要注意的是没有被标明“ web only ”的方法和属性可以在保护其他类型的资源中使用,如在保护方法调用时。示例表示的方法和属性是使用在
SpringSecurity Oauth2 - 09 自定义SpEL权限表达式
你今天真好看呀
11-10 560
*** MethodSecurityExpressionOperations 接口方法的属性/*** 添加一个新的方法,这个方法就是我们自定义的权限表达式} /*** 构造方法} /*** 下面的方法都是 MethodSecurityExpressionOperations 接口中的实现方法,没有更改} }} }
SpringSecurity Oauth2 - 08 SpEL权限表达式源码分析及两种权限控制方式原理
你今天真好看呀
11-10 1243
SpringSecurity提供的权限管理功能主要有两种类型:① 基于过滤器的权限管理(FilterSecurityInterceptor):用来拦截HTTP请求,拦截下来之后,根据HTTP请求地址进行权限校验;请求首先到大过滤器FilterSecurityInterceptor,在其执行过程中,首先会由前置处理器去判断发起请求的用户是否具备响应的权限,如果具备则继续向下走,到达目标方法后执行完毕。拦截请求的url,这种权限管理方式粒度较粗。
基于SpringBootSpring表达式语言 (SpEL)、annotation的操作日志框架+源代码+文档说明
最新发布
11-29
基于SpringBootSpring表达式语言 (SpEL)、annotation的操作日志 ### 简介 * 使用annotation来标注方法,标记操作内容 * 使用SpEL动态生成操作日志内容,使操作日志记录更加详细(记录操作内容ID等关键信息) * ...
Spring spel表达式使用方法示例
08-29
Spring spel表达式使用方法示例 Spring spel表达式是一种功能强大且灵活的表达式语言,它允许开发者在Spring应用程序中使用表达式来实现复杂的逻辑操作。 Spring spel表达式可以用于引用bean、调用方法、计算表达式...
Spring实战之Bean定义中的SpEL表达式语言支持操作示例
08-25
Spring Bean定义支持使用SpEL来配置属性和依赖关系,允许开发者通过表达式语言来设置属性值或者调用方法。 ### SpEL表达式语言基础 SpEL是一种表达式语言,可以在运行时构建复杂表达式、存取对象属性、调用方法、...
如何使用SpEL表达式实现动态分表查询
08-25
SpELSpring Expression Language)是Spring框架提供的一种表达式语言,用于在Java应用程序中实现动态计算和表达式计算。SpEL提供了强大的表达式语言,可以在Java应用程序中实现复杂的逻辑计算和数据处理。 使用...
SpringSecurity3.X--SpEL 表达式
weixin_33753845的博客
01-07 134
2019独角兽企业重金招聘Python工程师标准>>> ...
Spring Security
wang2963973852的博客
02-09 897
Spring提供了安全验证框架Spring Security Spring Security是基于spring的应用程序提供声明式安全保护的安全性框架,它提供了完整的安全性解决方案,能够在web请求级别和方法调用级别处理身份证验证和授权.它充分使用了依赖注入和面向切面的技术 Spring security主要是从两个方面解决安全性问题: web请求级别、方法调用级别
springSecurity基于表达式鉴权
jamesluozhiwei的博客
07-11 1842
文章目录前言常见的表达式URL安全表达式在Web 安全表达式中引用Bean自定义鉴权Method安全表达式使用method注解开启方法级别的注解配置在方法上使用注解PreAuthorizePostAuthorizePreAuthorize针对参数进行过滤源码 前言 在上一篇文章已经介绍了springSecurity的使用了,本篇文章主要介绍一下使用spring EL表达式来控制授权,允许在表达式中...
spring security3.x学习(8)_web的投票器和spEL配置
weixin_34234721的博客
02-01 366
2019独角兽企业重金招聘Python工程师标准>>> ...
spring security的配置文件如何关闭spEL表达式
Trialknight的博客
11-14 490
spring security的xml配置文件中,我们可以看到下面这几行配置 上面这个配置主要配置的是spring security的拦截路径,pattern="/**"表示的是拦截所有请求,而后面的access="hasRole('ROLE_ADMIN')"表示的是只有具有ADMIN角色的用户才可访问,但是这个的hasRole('ROLE_ADMIN')其实用到了spEL表达式(spri...
自定义注解支持SpEL表达式(动态参数)
zhangkaixuan456的博客
06-09 2795
实际生产中一个案例:利用AOP生成用户操作日志代码直接复制过去就可以测试,亲测可用 2.定义spel解析工具类 3.定义切面类 4.方法上使用日志注解
SpringSecurity Oauth2 - 10 自定义SpEL权限表达式配置白名单url不需要token认证和鉴权
你今天真好看呀
11-10 4324
*** MethodSecurityExpressionOperations 接口方法的属性/*** SecurityExpressionRoot 类中的属性/*** 判断是否是白名单WhiteUrl,不校验权限,不需要token// 白名单url,直接返回true return true;} /*** 修改 SecurityExpressionRoot 类中的该方法** 登录请求url是否是白名单WhiteUrl,如果是则不需要校验权限,直接返回true。
如何在 Spring Security 中自定义权限表达式
江南一点雨的专栏
07-11 2274
在前面的文章中,松哥已经和小伙伴们聊了 Spring Security 中的权限表达式了,还没看过的小伙伴们可以先看下,本文将在前文的基础上继续完善:经过上篇文章的学习,小伙伴们已经知道了,在 Spring Security 中,@PreAuthorize、@PostAuthorize 等注解都是支持 SpEL 表达式的。在 SpEL 表达式中,如果上来就直接写要执行的方法名,那么就说明这个方法是 RootObject 对象中的方法,如果要执行其他对象的方法,那么还需要写上对象的名字,例如如下两个例子: 上
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值