SpringSecurity - 简单前后端分离 - 自定义授权篇

已于 2023-07-21 15:43:49 修改
阅读量2.5k 收藏 14
点赞数 1
分类专栏: SpringSecurity 文章标签: java spring 后端
于 2022-10-08 11:48:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hkdwsw/article/details/127203447
版权

SpringSecurity 学习指南大全
SpringSecurity - 前后端分离简单实战 - 环境准备
SpringSecurity - 前后端分离简单实战 - 自定义认证篇
开源 Spring Security 前后端分离 - 后端示例

文章目录

SpringSecurity - 简单前后端分离 - 自定义授权篇

隔了那么久,终于来补坑了,(/▽\)。

我们接着介绍自定义授权是如何做的。环境准备和前面一样,接着认证篇,继续完成我们的授权处理。

简单理论

授权:授权其实就是确认当前登录系统的用户能够干些什么事情。前面的认证篇,我们可以确定哪些用户是我们系统的用户,而授权则是在认证完成的基础上来确定当前的用户能在我们系统中干些什么事情,也就是有些什么功能。

当前权限的控制也分很多种,权限的级别,一般就是指权限的粒度。比如只控制用户登录,登录后就拥有所有的权限,这种就是粗粒度的权限。

我们可以继续细分权限,比如权限粒度控制到菜单级别,这样用户登录后,拥有自己的菜单,不同的用户拥有不同的菜单权限,这也是比较简单的基于菜单的权限控制。

我们接着细化,再控制深一点,就是接口权限,不仅包含菜单权限的控制,并且精确到用户调用接口的权限,也就是功能权限,比如一个数据列表,有的用户可以修改数据,而有的用户只有查看的权限。这种权限控制比较常见,很多管理系统就是这种权限。

再细化就是数据权限了,不仅控制菜单和功能,还控制用户可以查看的数据,这种权限控制有的是在数据库添加权限字段,有的是封装查询的条件,通过用户的数据权限配置来查询符合规定的数据。比如一个用户只能查看一个功能数据的前100条等等。基于数据库的权限控制。

常见的权限级别:登录权限、菜单权限、功能权限、数据权限

当然除了前面的权限,我们还可以根据自己的业务常见定制化其它的权限控制。我这里演示的授权是基于请求路径的权限拦截。也相当于接口权限。

对于权限的数据库设计,大家可以参考网上的其它文章,比如经典的 RBAC 权限模型。

Security 的权限架构

在我之前写的文章中已经详细介绍了授权和认证架构。
SpringSecurity - 基于 Servlet 的应用程序

基本上就是,Security 已经帮我们做了一些默认的权限认证了,默认的权限控制只是认证成功的就行,

Security 在做权限认证时使用的是 AuthorizationFilter,它会拦截所有的请求,并调用 AuthorizationManagers 来处理权限认证,AuthorizationManager 是个接口,它包含两个方法。

AuthorizationDecision check(Supplier<Authentication> authentication, Object secureObject);

default AuthorizationDecision verify(Supplier<Authentication> authentication, Object secureObject)
        throws AccessDeniedException {
    AuthorizationDecision decision = check(authentication, object);
    if (decision != null && !decision.isGranted()) {
        throw new AccessDeniedException("Access Denied");
    }
}

check() 方法就是我们需要实现的方法,verify() 方法就是校验当前认证对象的权限,它会调用 check() 方法来进行授权。

AuthorizationDecision 对象就是授权决策对象,如果允许访问,则返回一个通过的 AuthorizationDecision 授权决策,如果访问拒绝,则返回拒绝的 AuthorizationDecision 授权决策,如果放弃做出决策,则返回一个 NULL 的 AuthorizationDecision。

我们可以看到,当认证对象授权不通过时就会抛出 AccessDeniedException 异常。来提示用户拒绝访问。

我们可以自定义授权管理器,当然也可以使用 Security 提供的授权处理器。新版我们只需要提供实现 AuthorizationManager 的权限控制即可,而老版则需要使用 AccessDecisionVoter 来实现权限控制。

Security 提供的默认实现如下图:
在这里插入图片描述
具体介绍可查看我之前的文档或官方文档。

所有要想自定义授权,第一步则是先自定义授权管理器。

自定义授权管理器

@Slf4j
@Component
public class RequestAuthorizationManager implements AuthorizationManager<RequestAuthorizationContext> {

    @Override
    public void verify(Supplier<Authentication> authentication, RequestAuthorizationContext object) {
        AuthorizationManager.super.verify(authentication, object);
    }

    @Override
    public AuthorizationDecision check(Supplier<Authentication> authentication, RequestAuthorizationContext requestAuthorizationContext) {
        System.err.println("授权处理----------------");
        boolean granted = isGranted(authentication.get(),requestAuthorizationContext.getRequest());
		// 返回授权决策对象,根据权限结果
        return new AuthorizationDecision(granted);
    }

    private boolean isGranted(Authentication authentication, HttpServletRequest request) {
        return authentication != null && isAuthorized(authentication,request);
    }

    private boolean isAuthorized(Authentication authentication,HttpServletRequest request) {
		// 自定义的权限控制,request 可以获取到当前的请求信息。
		// authentication 就是我们的认证对象,我们可以直接拿到认证用户的权限
		
        //TODO 查询缓存中用户的权限
        // anonymousUser 匿名用户 ROLE_ANONYMOUS 默认权限
        String principal = (String) authentication.getPrincipal();
        if(principal.equals("anonymousUser")){
            return false;
        }

        return true;
    }
}

授权决策对象很简单,直接上源码

public class AuthorizationDecision {

	private final boolean granted;

	public AuthorizationDecision(boolean granted) {
		this.granted = granted;
	}

	public boolean isGranted() {
		return this.granted;
	}

	@Override
	public String toString() {
		return getClass().getSimpleName() + " [granted=" + this.granted + "]";
	}

}

里面就一个 boolean 的 granted 属性,来判断认证对象是否拥有权限。

AuthorizationManager 的泛型可以参加它默认的实现类。需要注意的一点是,未登录的用户是匿名用户,如果你想对匿名用户放开哪些权限可以直接在这里设置,我是全部改为false。不允许匿名用户访问。

匿名用户的用户名可以在 Security 的配置类中指定,默认为 anonymousUser。

这样,我们的一个自定义授权管理器就完成了,比老版要简单很多。

除了认证管理器,我们还需要处理授权失败的异常。Security 也提供了自定义的入口。

自定义授权异常处理

只需要实现 AccessDeniedHandler 处理器即可。

@Component
public class JsonAccessDeniedHandler implements AccessDeniedHandler {

    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) throws IOException, ServletException {
        //响应状态
        response.setStatus(HttpServletResponse.SC_FORBIDDEN);
        //返回Json格式
        response.setHeader("Content-Type","application/json;charset=utf-8");
        PrintWriter writer = response.getWriter();
        writer.print(JsonUtil.objectToJson(JsonResult.result(false, ResultCode.SC_FORBIDDEN,accessDeniedException.getMessage())));
        writer.flush();
        writer.close();
    }
}

返回权限不足的json。当授权管理器抛出 AccessDeniedException 异常时,就会执行 AccessDeniedHandler。

有了自定义的授权管理器,和授权异常,接下来就是配置了。

配置自定义授权

还是我们认证篇使用的配置类。

@EnableWebSecurity
public class WebSecurityConfig {

    @Autowired
    JsonAuthenticationFilter jsonAuthenticationFilter;
    @Autowired
    JsonTokenAuthenticationFilter jsonTokenAuthenticationFilter;
    @Autowired
    SecurityAuthenticationEntryPoint authenticationEntryPoint;
    @Autowired
    RequestAuthorizationManager requestAuthorizationManager;
    @Autowired
    JsonAccessDeniedHandler jsonAccessDeniedHandler;
    @Autowired
    JsonLogoutHandler jsonLogoutHandler;
    @Autowired
    JsonLogoutSuccessHandler jsonLogoutSuccessHandler;

    // 核心配置
    @Bean
    SecurityFilterChain filterChain(HttpSecurity http) throws Exception{
        http.csrf().disable();
        http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);

        //TODO token加密签名验证
        //token简单验证
        http.addFilterBefore(jsonTokenAuthenticationFilter, UsernamePasswordAuthenticationFilter.class);
        //token登录
        http.addFilterBefore(jsonAuthenticationFilter, UsernamePasswordAuthenticationFilter.class);

		// 配置授权处理,授权管理器可以配置多个
        http.authorizeHttpRequests()
                .antMatchers(HttpMethod.POST,"/login").permitAll()
                .anyRequest().access(requestAuthorizationManager);

        // 退出处理,后面介绍
        http.logout().addLogoutHandler(jsonLogoutHandler).logoutSuccessHandler(jsonLogoutSuccessHandler);

        http.exceptionHandling()
                .authenticationEntryPoint(authenticationEntryPoint)
                .accessDeniedHandler(jsonAccessDeniedHandler);// 授权异常配置

        return http.build();
    }
}

我们只需要修改基于路径的请求,为它添加自定义的授权管理器即可。

可以看到,处理 /login 的请求全部放行,其它的请求都会经过我们自定义的授权管理器 requestAuthorizationManager。可以配置多个授权管理器来进行处理。

到这里我们简单的自定义授权已经添加完成了。剩下的就是细节的优化。

查看结果,由于我这里的权限是全部放开的,所以测试效果不是很好。当未登录的请求直接被 AuthenticationEntryPoint 处理了。

在这里插入图片描述
要想测试出效果,则需要对当前用户进行权限处理,我这里是全部放开的。
在这里插入图片描述
具体的权限处理,则是获取用户的权限集合,判断当前的请求路径是否符合,符合则返回true,否则返回false。verify() 方法就会抛出授权异常。

一个简单的自定义授权就完成了。

自定义退出

我们如果要自定义退出处理,Security 也提供了相应的处理类。
主要设计两个类,一个是退出的处理类 LogoutHandler,和退出成功的处理类LogoutSuccessHandler

我们只需要实现这两个类,并且配置到我们自定义权限里即可。

@Slf4j
@Component
public class JsonLogoutHandler implements LogoutHandler {

    @Autowired
    RedisClient redisClient;
    @Autowired
    JsonAuthenticationFailureHandler failureHandler;
    @Autowired
    SysProperties sysProperties;

    @SneakyThrows
    @Override
    public void logout(HttpServletRequest request, HttpServletResponse response, Authentication authentication) {
        String headerToken = request.getHeader(HttpHeaders.AUTHORIZATION);
        if(StringUtils.isNoneBlank(headerToken)){
            String[] split = headerToken.split("@");
            if(split.length != 3){
                unsuccessfulAuthentication(request,response,new NonceExpiredException("token错误!"));
                return;
            }
            // 从缓存中获取token
            String key = RedisKeyUtils.getTokenKey(sysProperties.getRedisProject(), split[1],split[0]);
            // 判断key是否存在
            if(!redisClient.hasKey(key)){
                unsuccessfulAuthentication(request,response,new NonceExpiredException("token已过期!"));
                return;
            }
            //TODO 记录用户退出记录
            log.info(split[1]+":退出成功");
            // 清除缓存
            redisClient.del(key);
        }else{
            unsuccessfulAuthentication(request,response,new NonceExpiredException("token不存在!"));
            return;
        }
    }

    /**
     * 验证失败处理
     * @param request
     * @param response
     * @param failed
     * @throws IOException
     * @throws ServletException
     */
    protected void unsuccessfulAuthentication(HttpServletRequest request, HttpServletResponse response,
                                              AuthenticationException failed) throws IOException, ServletException {
        SecurityContextHolder.clearContext();
        log.error(failed.getMessage());
        this.failureHandler.onAuthenticationFailure(request, response, failed);
    }

}

退出成功处理器

@Component
public class JsonLogoutSuccessHandler implements LogoutSuccessHandler {

    @Override
    public void onLogoutSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
        SecurityContextHolder.clearContext();
        //响应状态
        response.setStatus(HttpServletResponse.SC_OK);
        //返回Json格式
        response.setHeader("Content-Type","application/json;charset=utf-8");
        PrintWriter writer = response.getWriter();
        writer.print(JsonUtil.objectToJson(JsonResult.result(false, ResultCode.SUCCESS_LOGOUT,"")));
        writer.flush();
        writer.close();
    }
}

同样的返回json。这样一个简单的前后端分离权限处理基本完成了。退出如何配置前面的配置类里已经提供。

到了这里基本上对于使用 Security 来进行权限控制基本没什么问题了。

当前的还是简单的前后端分离,当然除了单体架构的系统,还有后面的分布式的环境下,如何进行权限控制。Security 也提供了相应的解决方案。感兴趣的同学可以查看网上的其它文章。

最后我再介绍一个类,了解此类可以提高我们使用 Security 的上手度,那就是我们一直再使用的 HttpSecurity 对象。

HttpSecurity 对象简单介绍

除了前面的 Security 的认证和授权,我们还需要了解 HttpSecurity 这个类,它是我们配置 Security 非常重要的对象。

它用于构建基于 http 配置,用于处理 http 请求到我们 Web 系统的安全。也就是构建一个能够过滤请求的安全配置来保护我们的Web系统。默认它会过滤全部请求,当然我们可以自定义拦截的请求路径。

像我们之前授权配置的 anyRequest() 方法就是映射所有请求到授权管理器。

此类里面的方法全是用于配置我们的安全处理,包括各种处理器的设置,拦截的权限过滤器的管理等等。大家可以细看里面的方法。基本上熟悉的此类,就知道 Security 支持的大部分功能。

关于此类的具体方法描述大家可以查询网上其它文章,或者直接查看源码。这里就不再过多介绍。只是简单的让大家了解此类,对后面配置 Security 更加的上手。

其它

除了这两篇提到的功能,SpringSecurity 还有提供许多其它的功能,比如注解权限、分布式权限等等,这里就不演示了,大家有兴趣可以参考网上其它文章或者官方文档。

炎柱-炼狱杏寿郎
关注
  • 1
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
yshop前后端分离商城系统-其他
06-12
yshop基于当前流行技术组合的前后端分离商城系统: SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端分离的商城系统, 包含商城、拼团、砍价、商户管理、 秒杀、优惠券、积分、分销、会员、充值、多...
Spring Security自定义登录原理及实现详解
09-07
- 使用合适的认证成功和失败处理器,以适应前后端分离的应用场景。 总的来说,Spring Security自定义登录功能强大且灵活,能够帮助开发者构建安全、可扩展的认证系统。通过理解其原理和配置选项,我们可以更好地...
SpringSecurity自定义授权
qq_58137891的博客
05-10 375
1.在LoginUser类中新增一个List属性一个List属性,包含着权限信息2.重写getAuthorities()方法(因为权限信息需要从该方法中取得),将List封装到List中对应getAuthorities方法的返回值。3.对List属性取消JSON序列化,否则反序列化会出错。
Spring Security框架 前后端分离
asddasddeedd的博客
11-19 3203
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权Authorization)两个部分,这两点也是 Spring Security 重要核心功能。
Spring Security 自定义授权服务器实践
2401_85015477的博客
05-17 750
❗ 在配置授权服务器uri的时候,请勿依旧使用127.0.0.1,由于是在本地测试,授权服务器的session和客户端的session会互相覆盖,导致莫名其妙的问题。这里我们要使用自己的搭建授权服务器,需要自定义一个客户端,还是使用前面集成GitHub的示例,只要在配置文件中扩展就可以。如上是最小化授权服务器的配置,这里我们将授权主体和客户端都存储在内存中,当然也可以持久化到数据库中,分别使用。(img-LeWEJC5t-1715905749295)]请区分回调地址,和授权服务器端点uri的地址。
SpringSecurity自定义权限
qq_62770345的博客
02-17 429
SpringSecurity对权限的校验主要有和校验。本文主要解释基于路径校验。SpringSecurity对权限的校验主要通过这个过滤链实现的。
SpringSecurity - 简单前后端分离 - 自定义认证
铠の魂博客
07-21 1592
终于到了我们关心的第一个问题,认证。此我们将结合前面的认证架构来详细讲解如何实现自定义认证处理,会简单的讲解一些原理,不会太过深入。要想玩转SpringSecurity的认证,就必须先看懂其认证架构。我们要自定义认证类,只需要继承其抽象认证基类即可,完全可以根据其它的默认实现进行复制粘贴。我们知道在前后端交互中,都是JSON交互,所以我们自定义一个JSON的认证类。项目包路径可以自定义,我的关于Security的都在security包下,自定义token放在token包下。自定义认证类。......
springcloud alibaba + 前后端分离 实现autho2 认证
liudongyang123的博客
04-07 1648
OAuth2是一个开放标准,也是一个授权框架,使应用程序能够访问其它公司提供的资源,允许用户在第三方应用访问存储在其他服务器上的私密资源,而在整个过程不需要提供用户名和密码给到第三方应用,可以通过提供一个令牌(token)实现该功能,采用令牌的方式可以让用户灵活的对第三方应用授权或收回权限。
MF00547-SpringBoot2前后端分离单商户B2C商城.zip
08-11
基于当前流行技术组合的前后端分离商城系统: SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端分离的商城系统, 包含分类、sku、运费模板、素材库、小程序直播、拼团、砍价、商户管理、 秒杀、优惠券...
解决前后端分离 vue+springboot 跨域 session+cookie失效问题
10-17
前后端分离的架构中,Vue.js作为前端框架与Spring Boot作为后端服务进行交互时,常常会遇到跨域和Session、Cookie失效的问题。本文将详细介绍如何解决这些问题。 首先,跨域是由于浏览器的安全策略限制,同一源...
JeeThink-Vue 是一款基于 SpringBoot+Vue 的前后端分离敏捷开发框架
最新发布
06-04
JeeThink-Vue 是一款基于 SpringBoot+Vue 的前后端分离敏捷开发框架。 JeeThink-Vue 是一个 Java EE 企业级快速开发平台,(Spring Boot、Spring Security、MyBatis、Jwt、Vue),内置模块如:部门管理、角色用户、...
Spring Authorization Server入门 (一) 初识SpringAuthorizationServer和OAuth2.1协议
云逸的博客
06-01 9246
Spring authorization server是由社区推动的一个项目,在Spring security团队的领导下基于Nimbus库重头编写,其目的主要是为 Spring 社区提供 OAuth 2.0 授权服务器支持,替代已被废弃的Spring Security OAuth框架。Spring authorization server提供了OAuth 2.1和OpenID Connect 1.0规范以及其他相关规范的实现。
SpringSecurity实现登录和自定义权限认证
qq_49721447的博客
12-07 3972
springboot整合SpringSecurity实现登录和自定义权限认证
SpringSecurity------Session Management(十二)
豢龙先生
06-21 2351
有时,总是创建会话是很有价值的,我们可以通过配置ForceEagerSessionCreationFilter来完成: 二、Detecting Timeouts 可以配置Spring Security来检测无效会话ID的提交,并将用户重定向到适当的URL,这是通过会话管理(session-management)实现的: 使用上面的配置来检测会话超时,如果用户在登出之后没有关闭浏览器的情况下重新登录,可能会报告一个错误。这是因为执行了登出,会话失效时存储在浏览器的Cookie不会被清除,而且会随着后续请求重新
Sping Security前后端分离两种方案
weixin_38592881的博客
03-27 655
Spring Seciruty简单介绍;通过Spring Seciruty实现的基于表单和Token认证的两种认证方式;自定义实现RBAC的权限控制;跨域问题处理;Spring Security是基于Spring框架,提供了一套Web应用安全性的完整解决方案。关于安全方面的两个核心功能是认证和授权Spring Security重要核心功能就是实现用户认证(Authentication)和用户授权Authorization)。
Spring Security前后端分离项目的权限方案,从0到0.8
qq_45043381的博客
09-01 2121
思路分析 ①通过前面的分析,我们发现Spring Boot集成了默认的Spring Security之后虽然已经具备了认证授权的功能,但存在两个在实际项目中不适用的问题: 默认的登录页面 默认的用户名密码 ②同时,前面我们也说一般web应用的安全管理都是通过两条线完成的,Spring Security也是: 认证 授权 ③此外,我们结合前后端分离项目中常用的认证授权流程......
SpringSecurity OAuth2 自定义授权 微信小程序登录
走在编程之路.....
06-18 7925
结合网络上的方法,主要有两种方式,一种是采用Filter,一种是采用自定义授权,目前我实现的方式是采用的是“自定义授权”的方式实现微信小程序登录验证。
spring security 怎么自定义认证和权限
lgyt240054的博客
04-23 377
你需要实现 UserDetailsService 接口,覆写 loadUserByUsername 方法,从数据库中查询用户信息和角色信息,然后返回一个实现了 UserDetails 接口的对象。 你需要实现 UserDetails 接口,封装用户的基本信息和权限信息,使用 GrantedAuthority 接口来表示权限。 你需要在 SecurityConfig 配置类中,配置认证管理器、加密器、过滤器等组件,例如使用 DaoAuthenticationProvider 来指定 UserDetails
spring security整合前后端分离项目
02-21
Spring Security是一个功能强大的身份验证和访问控制架,可以用于保护Java应用程序的安全性。在前后端分离的项目中,Spring Security可以用于实现用户认证和授权功能。 下面是Spring Security整合前后端分离项目的一般步骤: 1. 添加依赖:在项目的构建文件中添加Spring Security的依赖,例如使用Maven的话,在pom.xml文件中添加以下依赖: ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> ``` 2. 配置Spring Security:创建一个配置类,继承自`WebSecurityConfigurerAdapter`,并重写`configure`方法来配置Spring Security的行为。在这个方法中,你可以定义用户认证、授权规则以及其他安全相关的配置。 3. 用户认证:可以使用Spring Security提供的默认用户认证方式,也可以自定义用户认证逻辑。如果使用默认方式,可以在配置类中通过`configure`方法配置一个内存中的用户存储,或者使用数据库存储用户信息。 4. 授权规则:通过`configure`方法配置URL路径的访问权限,可以设置哪些URL需要进行认证,哪些URL不需要认证。可以使用`antMatchers`方法来匹配URL路径,并设置相应的访问权限。 5. 跨域资源共享(CORS):由于前后端分离项目中,前端和后端可能运行在不同的域名下,需要配置CORS来允许跨域请求。可以通过`configure`方法配置CORS相关的设置。 6. 登录和注销:在前后端分离项目中,一般使用JSON Web Token(JWT)来实现无状态的认证。可以通过`configure`方法配置登录和注销的URL,并定义相应的处理逻辑。 7. 异常处理:在配置类中可以定义异常处理的逻辑,例如处理认证失败、访问拒绝等异常情况。 8. 前端集成:前端需要发送认证请求,并在每个请求中携带认证信息。可以使用前端框架(如Vue、React等)来发送请求,并将认证信息存储在本地(如LocalStorage)。 以上是Spring Security整合前后端分离项目的一般步骤,具体的实现方式会根据项目需求和技术栈的不同而有所差异。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值