架构小白到砖家-16-【权限管理问题】-springsecurity处理动态权限验证

最新推荐文章于 2022-12-26 15:16:55 发布
最新推荐文章于 2022-12-26 15:16:55 发布
阅读量596 收藏 7
点赞数 2
分类专栏: 单应用框架
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jea_dong/article/details/86518460
版权

权限管理也面临数据存储同样的动态处理问题,默认security都是使用提前配置权限设置,或者使用注解控制方法权限,但是这就造成了硬编码的问题,实际生产中权限是根据业务要求进行动态调整的。

为了解决硬编码问题,就需要动态获取权限信息。
权限信息包含两部分信息,用户拥有权限和资源访问权限。
用户拥有权限,在登录的时候是可以动态进行加载的。
资源访问权限,如果使用security默认的java代码配置方式,肯定就不行了。所以需要将资源访问权限也动态进行获取。
那么咱们的目标就是给security补充,动态资源访问权限的获取和权限判定逻辑。

我们需要先弄清楚security的权限验证流程。
用户授权,就是获取资源访问权限和用户拥有权限,然后权限判定两者是否匹配。
用户拥有权限,已经在用户认证环节存入了会话中,直接就可以获取到。
资源访问权限,需要通过资源权限服务进行获取,我们希望从数据库动态获取。
权限判定,需要根据这两者权限规则来进行判定。相当于钥匙和锁的关系,资源都是有锁的,用户的权限就是钥匙,钥匙和锁匹配才能允许访问。
在这里插入图片描述

那我们怎么来扩展这套动态权限验证逻辑呢?
权限验证的本质,就是多个权限拦截器组成的拦截器链。我们只需要在默认拦截器之前,加入一个咱们自定义的拦截器就可以了。
在这里插入图片描述

那么就开始给security增加一个自定义拦截器吧。
第一步,创建自定义拦截器,MySecurityInterceptor;
第二步,创建自定义资源加载器,MySecurityMetadataSource;
第三步,创建自定义权限决策器,MyAccessDecisionManager;
在这里插入图片描述

创建了自定义拦截器后,需要将拦截器加入到拦截器链中。
MySecurityInterceptor需要注入MySecurityMetadataSource和MyAccessDecisionManager。在咱们的配置类WebSecurityConfig进行这些操作。
为了阅读流畅性,先用截图来说明流程,再后面补充源码。

初始化自定义拦截器;WebSecurityConfig.java
在这里插入图片描述

将自定义拦截器加入拦截器链;WebSecurityConfig.java
在这里插入图片描述

后面的具体security的代码实现,大家就看后面的源码吧,注解都很详细。代码实现不是咱们权限理论的核心,我们主要还是关注权限理论,怎么解决问题的思路才是最重要的,因为每个框架的API都不一样,但是思路都是一样的。

回顾总结
security默认采用的硬编码权限配置方式,为了解决动态配置问题,我们需要自定义拦截器,加入到拦截器链中。用户授权由资源访问权限和用户拥有权限两部分组成。我们只需要将这两部分权限信息放入数据库,使用的时候进行动态加载,就可以实现权限动态验证了。最后就是根据security的框架逻辑,新增自定义的拦截器、资源加载器、权限决策器。

补充security自定义拦截器源码。

MySecurityMetadataSource

@Service
public class MySecurityMetadataSource implements
		FilterInvocationSecurityMetadataSource {

	private final static Logger logger = LoggerFactory	.getLogger(MySecurityMetadataSource.class);

	private Map<String, Collection<ConfigAttribute>> map = null;

	/**
	 * 应用初始化时,会触发一次
	 */
	public Collection<ConfigAttribute> getAllConfigAttributes() {
		return null;
	}

	/**
	 * 每个请求都会触发该方法,获取请求URL所需要的权限列表; 
	 * request参数就是请求对象,通过获取HttpServletRequest对象;
	 * 我们可以获取到请求的URL,用来查询权限列表。 
	 */
	public Collection<ConfigAttribute> getAttributes(Object request)
			throws IllegalArgumentException {
		//这里用Map简化的实现了自定义的URL权限集合,
		//实际应用中可以使用redis等缓存工具
		if (map == null){
			loadResourceDefine();
		}
		// 循环变量map的key,判断request是否有权限限制
		HttpServletRequest req = ((FilterInvocation) request).getHttpRequest();
		for (Iterator<String> iter = map.keySet().iterator(); iter.hasNext();) {
			String resUrl = iter.next();
			//为了满足正则表达式的路径,使用AntPathRequestMatcher来进行匹配请求路径URL
			AntPathRequestMatcher matcher = new AntPathRequestMatcher(resUrl);
			if (matcher.matches(req)) {
				logger.info("获取URL:" + resUrl+"的权限列表"+map.get(resUrl));
				return map.get(resUrl);
			}
		}

		return null;
	}

	public boolean supports(Class<?> arg0) {
		// 支持class一定要设置为true,不然AbstractSecurityInterceptor中类型校验不过。
		return true;
	}

	/**
	 * 初始化自定义的URL权限集合
	 */
	private void loadResourceDefine() {
		map = new HashMap<String, Collection<ConfigAttribute>>();
		//配置“/test/**”URL正则表达式,需要“NORMAL”or “ADMIN"权限;
		//其实权限就是字符串,但是roles创建的权限,需要加“ROLE_”前缀,
		//因为是自定义权限,不是用的roles方法,需要手动添加前缀
		Collection<ConfigAttribute> array = new ArrayList<ConfigAttribute>();
		array.add(new SecurityConfig("ROLE_NORMAL"));
		array.add(new SecurityConfig("ROLE_ADMIN"));
		map.put("/test/**", array);

	}

}

MyAccessDecisionManager

@Service
public class MyAccessDecisionManager implements AccessDecisionManager {

	private final static Logger logger = LoggerFactory	.getLogger(MyAccessDecisionManager.class);

	/**
	 * 决定访问请求是否有权限授权。
	 * 
	 * authentication,用户认证通过后,保存的用户权限信息
	 * request,访问请求对象
	 * configAttributes,是MySecurityMetadataSource根据request获取的自定义权限列表
	 * 
	 * 如果MySecurityMetadataSource没有查询到符合的权限列表,该方法就不会别执行;
	 * 所以这里就不需要再从数据库中查询一次该请求URL符合的权限列表。
	 */
	public void decide(Authentication authentication, Object request,Collection<ConfigAttribute> configAttributes) 
			throws AccessDeniedException, InsufficientAuthenticationException {

		HttpServletRequest req = ((FilterInvocation) request).getHttpRequest();
		String url = req.getServletPath();
		
		//遍历请求需要的权限
		for (Iterator<ConfigAttribute> iterator = configAttributes.iterator(); iterator.hasNext();) {
			ConfigAttribute cfg = iterator.next();
			String needAccess = cfg.getAttribute();
			for (GrantedAuthority ga : authentication.getAuthorities()) {
				//用户权限中有一个满足权限要求,就可以放行
				if (needAccess.trim().equals(ga.getAuthority())) {
					logger.info(authentication.getName()+"拥有 url:"+url+"的权限:" + needAccess);
					return;
				}
			}
		}
		
		throw new AccessDeniedException("权限验证失败");
	}

	public boolean supports(ConfigAttribute attribute) {
		return true;
	}

	public boolean supports(Class<?> clazz) {
		return true;
	}

}

MySecurityInterceptor

public class MySecurityInterceptor extends AbstractSecurityInterceptor
		implements Filter {

	//获取自定义的权限列表服务
	private FilterInvocationSecurityMetadataSource securityMetadataSource;
	
	//AbstractSecurityInterceptor,创建的时候必须AccessDecisionManager
	MySecurityInterceptor(AccessDecisionManager myAccessDecisionManager) {
		super.setAccessDecisionManager(myAccessDecisionManager);
	}

	public void init(FilterConfig filterConfig) throws ServletException {

	}

	public void doFilter(ServletRequest request, ServletResponse response,FilterChain chain) throws IOException, ServletException {
		
		//我们还是要使用springsecurity的权限验证机制,
		//所以这里的filter处理逻辑,调用AbstractSecurityInterceptor的方法
		FilterInvocation filterInvocation = new FilterInvocation(request, response, chain);
		InterceptorStatusToken token = super.beforeInvocation(filterInvocation);
		try {
			// 执行下一个拦截器
			filterInvocation.getChain().doFilter(filterInvocation.getRequest(), filterInvocation.getResponse());
		} finally {
			super.afterInvocation(token, null);
		}
	}

	public void destroy() {

	}

	public Class<?> getSecureObjectClass() {
		return FilterInvocation.class;
	}

	//必须实现SecurityMetadataSource对象获取方法
	public SecurityMetadataSource obtainSecurityMetadataSource() {
		return this.getSecurityMetadataSource();
	}

	public FilterInvocationSecurityMetadataSource getSecurityMetadataSource() {
		return securityMetadataSource;
	}

	public void setSecurityMetadataSource(FilterInvocationSecurityMetadataSource securityMetadataSource) {
		this.securityMetadataSource = securityMetadataSource;
	}

}

WebSecurityConfig

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

	
	/**
	 * 创建自定义用户授权拦截器,MySecurityInterceptor;
	 * 这里不能将自定义拦截器托管个spring,否则会重复拦截;
	 * 只能手动创建对象,并且插入到FilterSecurityInterceptor之前。
	 * .addFilterBefore(getMySecurityInterceptor(), FilterSecurityInterceptor.class);
	 */
	@Autowired
	private MyAccessDecisionManager myAccessDecisionManager;
	@Autowired
	private FilterInvocationSecurityMetadataSource securityMetadataSource;
	
	MySecurityInterceptor getMySecurityInterceptor(){
		MySecurityInterceptor ms = new MySecurityInterceptor(myAccessDecisionManager);
		ms.setSecurityMetadataSource(securityMetadataSource);
		return ms;
	}
	
	
	protected void configure(HttpSecurity http) throws Exception {
	    http
	    		//URL权限控制,优先级从上到下
	    		.authorizeRequests()
		        .antMatchers("/easyui/**","/**/*.js","/**/*.css","/**/*.png").permitAll()      //无需授权的资源     
	            .antMatchers("/test/admin/**").hasRole("ADMIN")		//指定角色授权,直接使用hasRole方法                                    
	            .antMatchers("/test/web/**").access("hasRole('ADMIN') or hasRole('NORMAL')")  //指定角色授权,使用access方法      
	            .anyRequest().authenticated()	//默认所有资源都需要授权
	            
	           //自定义登录逻辑
		        .and()
		        .formLogin()
	            .loginPage("/login.html") 	//自定义登录页面
	            .loginProcessingUrl("/login")  //登录请求,默认url是/login
//	            .successForwardUrl("successForwardUrl")	//登录成功跳转地址
//	            .failureForwardUrl("failureForwardUrl")		//登录失败跳转地址
	            .permitAll()     //允许登录相关的请求,所有人可以访问
		            
	            //自定义注销逻辑
		    	.and()
		    	.logout()
//		        .logoutUrl("/my/logout")     //默认url是/logout                                           
	            .logoutSuccessUrl("/")      //注销成功后,跳转指定页面                                     
	            .invalidateHttpSession(true)    
	            
	            //关闭额外安全机制
	            .and()
	            .csrf().disable()//关闭csrf防跨站请求伪造机制,不然ajax访问无法使用
	           .headers().frameOptions().disable();//关闭iframe防攻击机制,不然iframe无法调用URL
	    
	    //添加自定义的拦截器到security拦截链中
	    http
	    	//自定义用户授权拦截器,插入到FilterSecurityInterceptor之前。
	    	.addFilterBefore(getMySecurityInterceptor(), FilterSecurityInterceptor.class);
	}
	
}

WebUserDetailsService

@Configuration
public class WebUserDetailsService implements UserDetailsService {

	private final static Logger logger = LoggerFactory.getLogger(WebUserDetailsService.class); 
	
	public UserDetails loadUserByUsername(String username)
			throws UsernameNotFoundException {
		
		logger.info("用户登录:"+username);	
		
		if (StringUtils.isEmpty(username)) {
			return null;
		}else if("admin".equals(username) ){
//			UserDetails user = User.withUsername(username).password("123456").roles("ADMIN","NORMAL").build();
			//这里使用自定义权限列表的方式初始化权限
			List<GrantedAuthority> grantedAuthorities = new ArrayList<GrantedAuthority> ();
			grantedAuthorities.add(new SimpleGrantedAuthority("ROLE_ADMIN"));
			grantedAuthorities.add(new SimpleGrantedAuthority("delete"));
			UserDetails user = new User(username,"123456",grantedAuthorities);
	        return user;
		}else{
//			UserDetails user = User.withUsername(username).password("123").roles("NORMAL").build();
			//这里使用自定义权限列表的方式初始化权限
			List<GrantedAuthority> grantedAuthorities = new ArrayList<GrantedAuthority> ();
			grantedAuthorities.add(new SimpleGrantedAuthority("ROLE_NORMAL"));
			UserDetails user = new User(username,"123",grantedAuthorities);
	        return user;
		}

	}

}
jea_dong
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity动态权限笔记
coding_deliver的博客
11-05 670
前言 要想实现动态配置URL权限,就要自定义权限配置 数据库 创建Bean public class Role { private Integer id; private String name; private String nameZh; //省略getter setter } public class Menu { private Integer id; private String pattern; private List<Role&gt
【第六篇】SpringSecurity权限管理
筱白爱学习!的博客
06-13 928
服务端的各种资源要被SpringSecurity权限管理控制可以通过注解和标签两种方式来处理。放开了相关的注解后在Controller中就可以使用相关的注解来控制了。
springboot+security实现权限管理
热门推荐
zhaoxichen_10的博客
03-21 8万+
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为...
Spring Security动态配置资源权限
Arthur_Holmes的博客
12-20 1575
  在Spring Security中实现通过数据库动态配置url资源权限,需要通过配置验证过滤器来实现资源权限的加载、验证。系统启动时,到数据库加载系统资源权限列表,当有请求访问时,通过对比系统资源权限列表和用户资源权限列表(在用户登录时添加到用户信息中)来判断用户是否有该url的访问权限。   在配置验证过滤器时需要的配置项有如下几个: filterSecurityInterceptor:通过继承AbstractSecurityInterceptor并实现Filter接口自定义一个验证过滤...
超完整的springSecurity用户登录和权限认证(自定义)
m0_51238796的博客
05-02 1万+
SpringSecurity用户认证和权限
Spring Security 实现 antMatchers 配置路径的动态获取
MrLee的博客
12-26 2373
2,实现 SecurityConfigAttributeLoader (这里也可以从数据库获取)
Spring Security登录验证(项目)
06-20 603
Spring Security登录验证 背景 本人最近微人事项目进行了学习,记录一下学习的过程,总结一下。 首先,这个微人事项目是为了事业单位的人事管理,包括用户登录的权限管理、员工基本资料的增删查改,薪资管理、部门管理等等。 接下来总结下权限管理权限数据库设计 这里需要建立5个数据表,分别是资源表、角色表、用户表、资源角色表和用户角色表。 资源表menu 这是登录之后前端界面可以显示的模块。 角色表role 认证采用的Spring-Security,所以,英文名需要以ROLE_开头。 用户表hr
Spring Security OAuth2.0
06-19
Spring Security OAuth2.0 提供了实现OAuth2.0规范的组件,与Spring Security整合,为开发人员提供了便捷的方式来实现安全认证和授权。 **1. OAuth2.0 架构组件** OAuth2.0 主要包含四个角色:资源所有者(Resource...
ace-security.zip
08-18
学习和研究这个压缩包的内容,开发者可以了解到如何在Spring Cloud项目中实施全面的安全策略,包括用户认证、权限控制以及如何与其他Spring Cloud组件协同工作。这对于想要提升微服务安全性的开发者来说,是一个宝贵...
管理系统系列--带大四小白一起做前后端分离的毕设管理系统,技术栈SpringBoot + Vue + ElementUI.zip
02-26
在这个管理系统中,可能涉及到用户信息表、项目信息表、权限表等,通过JPA的注解来定义实体与表之间的映射关系。 **用户认证与授权** Spring SecuritySpring生态中的安全模块,它可以轻松实现用户登录、权限控制...
企业进销存管理系统.zip
05-24
4. **安全组件**:Spring Security提供身份验证和授权服务,保护系统资源。 5. **集成工具**:Maven或Gradle管理项目依赖,Docker用于容器化部署,Jenkins实现持续集成和部署。 综上所述,企业进销存管理系统是一个...
毕设项目基于SpringBoot+Vue的轻量级定时任务管理系统源码+数据库+项目说明(含前端+后端).zip
最新发布
07-02
13. 权限控制:支持在线权限控制,管理员拥有全量权限,开发者拥有除角色管理外的所有权限,普通用户仅支持任务管理相关权限; 14. 集群部署:支持分布式执行,系统支持集群部署,可保证任务执行的高可用; 15. 弹性...
权限控制策略
m0_58466443的博客
02-17 496
50-52
Spring Security实现动态权限设置(二)—— 动态权限设置
yccccc_c的博客
05-01 3800
Spring Security实现动态权限设置(一)——基于数据库登录一文中已经介绍了Spring Security是如何实现基于数据库登录的,上文中提到要创建Role和User实例,为了实现动态权限我们需要一个Menu实例,这个实例是用来查找数据库中路径与所需角色的,创建Menu实例也需要成员变量与数据库中Menu表的字段相对应,除此之外,还需要一个Role类型的List用来存储路径所需角色,...
Spring Security3配置使用
白强
07-30 282
  使用Spring Security3的几种方法概述       一种是全部利用配置文件,将用户、权限、资源(url)硬编码在xml文件中,已经实现过。       二种是用户和权限用数据库存储,而资源(url)和权限的对应采用硬编码配置,目前这种方式已经实现。       三种我使用的是第三种 第三种是细分角色和权限,并将用户、角色、权限和资源均采用数据库存储,并且自...
SpringSecurity动态鉴权流程解析
q66562636的博客
05-22 2172
楔子 上一篇文我们讲过了SpringSecurity的认证流程,相信大家认真读过了之后一定会对SpringSecurity的认证流程已经明白个七八分了,本期是我们如约而至的动态鉴权篇,看这篇并不需要一定要弄懂上篇的知识,因为讲述的重点并不相同,你可以将这两篇看成两个独立的章节,从中撷取自己需要的部分。 祝有好收获。 本文代码:码云地址 GitHub地址 1. SpringSecurity的鉴权原理 上一篇文我们讲认证的时候曾经放了一个图,就是下图: 整个认证的过程其实一直在围绕图中过滤.
AccessDecisionManager中的supports
qq_37390245的博客
11-01 418
Spring security权限管理主要有两种 过滤器实现 FilterSecurityInterceptor AOP MethodSecurityInterceptor AccessDecisionManager是提供给AbstractSecurityInterceptor成为AbstractSecurityInterceptor的成员变量的 一个请求达到AbstractSecurityInterceptor时,会用请求中包含的Authentication(通过this.authenticateIfR
架构小白砖家-17-【密码安全问题】-springsecurity整合密码加密机制BCryptPasswordEncoder
jea_dong的博客
01-17 3450
用户认证需要验证用户的密码是否正确,但是为了保护用户隐私,防止用户账号密码泄露,用户在注册的时候,都需要将密码进行加密。那么在用户认证的时候,就需要将原始密码和加密密码进行验证。这样就需要注册加密和验证加密的方式保存一致。 我们就补充下加密的概念,前面咱们已经在数据库密码加密时,学习了对称加密和非对称加密的概念,知道了私钥和公钥的作用。不管是对称还是非对称加密,都是可以将密码还原成真实信息。用户的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值