Spring Security实现基于RBAC的权限表达式动态访问控制

已于 2022-04-21 14:25:12 修改
阅读量519 收藏
点赞数
文章标签: spring java 面试 后端 mysql
于 2022-04-21 14:24:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_49496327/article/details/124320827
版权

昨天有个粉丝加了我,问我如何实现类似shiro的资源权限表达式的访问控制。我以前有一个小框架用的就是shiro,权限控制就用了资源权限表达式,所以这个东西对我不陌生,但是在Spring Security中我并没有使用过它,不过我认为Spring Security可以实现这一点。是的,我找到了实现它的方法。

资源权限表达式

说了这么多,我觉得应该解释一下什么叫资源权限表达式。权限控制的核心就是清晰地表达出特定资源的某种操作,一个格式良好好的权限声明可以清晰表达出用户对该资源拥有的操作权限。

通常一个资源在系统中的标识是唯一的,比如User用来标识用户,ORDER标识订单。不管什么资源大都可以归纳出以下这几种操作

在 shiro权限声明通常对上面的这种资源操作关系用冒号分隔的方式进行表示。例如读取用户信息的操作表示为USER:READ,甚至还可以更加细一些,用USER:READ:123表示读取ID123的用户权限。

资源操作定义好了,再把它和角色关联起来不就是基于RBAC的权限资源控制了吗?就像下面这样:

这样资源和角色的关系可以进行CRUD操作进行动态绑定。

Spring Security中的实现

资源权限表达式动态权限控制在Spring Security也是可以实现的。首先开启方法级别的注解安全控制。

/**
 * 开启方法安全注解
 *
 * @author felord.cn
 */
@EnableGlobalMethodSecurity(prePostEnabled = true,
        securedEnabled = true,
        jsr250Enabled = true)
public class MethodSecurityConfig {
    
}

MethodSecurityExpressionHandler

MethodSecurityExpressionHandler 提供了一个对方法进行安全访问的门面扩展。它的实现类DefaultMethodSecurityExpressionHandler更是提供了针对方法的一系列扩展接口,这里我总结了一下:

这里的PermissionEvaluator正好可以满足需要。

PermissionEvaluator

PermissionEvaluator 接口抽象了对一个用户是否有权限访问一个特定的领域对象的评估过程。

public interface PermissionEvaluator extends AopInfrastructureBean {

 
    boolean hasPermission(Authentication authentication, 
                          Object targetDomainObject, Object permission);

 
    boolean hasPermission(Authentication authentication, 
                          Serializable targetId, String targetType, Object permission);

}

这两个方法仅仅参数列表不同,这些参数的含义为:

  • authentication 当前用户的认证信息,持有当前用户的角色权限。
  • targetDomainObject 用户想要访问的目标领域对象,例如上面的USER
  • permission 这个当前方法设定的目标领域对象的权限,例如上面的READ
  • targetId 这种是对上面targetDomainObject 的具体化,比如ID为123USER,我觉得还可以搞成租户什么的。
  • targetType 是为了配合targetId 。
第一个方法是用来实现 USER:READ的;第二个方法是用来实现 USER:READ:123的。

思路以及实现

targetDomainObject:permission不就是USER:READ的抽象吗?只要找出USER:READ对应的角色集合,和当前用户持有的角色进行比对,它们存在交集就证明用户有权限访问。借着这个思路胖哥实现了一个PermissionEvaluator:

/**
 * 资源权限评估
 * 
 * @author felord.cn
 */
public class ResourcePermissionEvaluator implements PermissionEvaluator {
    private final BiFunction<String, String, Collection<? extends GrantedAuthority>> permissionFunction;

    public ResourcePermissionEvaluator(BiFunction<String, String, Collection<? extends GrantedAuthority>> permissionFunction) {
        this.permissionFunction = permissionFunction;
    }

    @Override
    public boolean hasPermission(Authentication authentication, Object targetDomainObject, Object permission) {
        //查询方法标注对应的角色
        Collection<? extends GrantedAuthority> resourceAuthorities = permissionFunction.apply((String) targetDomainObject, (String) permission);
        // 用户对应的角色
        Collection<? extends GrantedAuthority> userAuthorities = authentication.getAuthorities();
         // 对比 true 就能访问  false 就不能访问
        return userAuthorities.stream().anyMatch(resourceAuthorities::contains);
    }

    @Override
    public boolean hasPermission(Authentication authentication, Serializable targetId, String targetType, Object permission) {
        //todo
        System.out.println("targetId = " + targetId);
        return true;
    }
}
第二个方法没有实现,因为两个差不多,第二个你可以想想具体的使用场景。

配置和使用

PermissionEvaluator 需要注入到Spring IoC,并且Spring IoC只能有一个该类型的Bean

    @Bean
    PermissionEvaluator resourcePermissionEvaluator() {
        return new ResourcePermissionEvaluator((targetDomainObject, permission) -> {
            //TODO 这里形式其实可以不固定
            String key = targetDomainObject + ":" + permission;
            //TODO  查询 key 和  authority 的关联关系
            //  模拟 permission 关联角色   根据key 去查 grantedAuthorities
            Set<SimpleGrantedAuthority> grantedAuthorities = new HashSet<>();
            grantedAuthorities.add(new SimpleGrantedAuthority("ROLE_ADMIN"));
            return "USER:READ".equals(key) ? grantedAuthorities : new HashSet<>();
        });
    }

接下来写个接口,用@PreAuthorize注解标记,然后直接用hasPermission('USER','READ')来静态绑定该接口的访问权限表达式:

    @GetMapping("/postfilter")
    @PreAuthorize("hasPermission('USER','READ')")
    public Collection<String> postfilter(){
        List<String> list = new ArrayList<>();
        list.add("felord.cn");
        list.add("码农小胖哥");
        list.add("请关注一下");
        return list;
    }

然后定义一个用户:

    @Bean
    UserDetailsService users() {
        UserDetails user = User.builder()
                .username("felord")
                .password("123456")
      .passwordEncoder(PasswordEncoderFactories.createDelegatingPasswordEncoder()::encode)
                .roles("USER")
                .authorities("ROLE_ADMIN","ROLE_USER")
                .build();
        return new InMemoryUserDetailsManager(user);
    }

接下来肯定是正常能够访问接口的。当你改变了@PreAuthorize中表达式的值或者移除了用户的ROLE_ADMIN权限,再或者USER:READ关联到了其它角色等等,都会返回403

留给你去测试的

你可以看看注解改成这样会是什么效果:

  @PreAuthorize("hasPermission('1234','USER','READ')")

还有这个:

  @PreAuthorize("hasPermission('USER','READ') or hasRole('ADMIN')")

或者让targetId动态化:

    @PreAuthorize("hasPermission(#id,'USER','READ')")
    public Collection<String> postfilter(String id){
        
    }
Java糖糖
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
spring-security-rbac:Spring Security实现RBAC权限管理
05-15
Spring Security实现RBAC权限管理 一简介 在企业应用中,认证和授权是非常重要的一部分内容,业界最出名的两个框架就是大名鼎鼎的 Shiro和Spring Security。由于Spring Boot非常的流行,选择Spring Security做认证和授权的 人越来越多,今天我们就来看看用SpringSpring Security如何实现基于RBAC权限管理。 二、基础概念RBAC RBAC是Role Based Access Control的缩写,是基于角色的访问控制。一般都是分为用户(user), 角色(role),权限(permission)三个实体,角色(role)和权限(permission)是多对多的 关系,用户(user)和角色(role)也是多对多的关系。用户(user)和权限(permission) 之间没有直接的关系,都是通过角色作为代理,才能获
Spring Security(基于RBAC模型的权限控制框架)搭建
私は悪い人ですか的博客
12-17 2492
什么是RBAC模型: 概念 权限管理,这是每个软件系统都会涉及到的,而且权限管理的需求本质往往都是一样,不同的角色拥有不同的权限,只要你充当了某个角色,你就拥有了相对应的功能。 RBAC(Role-Based Access Control,基于角色的访问控制),就是用户通过角色与权限进行关联。 简单地说,一个用户拥有若干角色,每一个角色拥有若干权限。 这样,就构造成“用户-角色-权限”的...
SpringSecurity实现RBAC权限验证
最新发布
weixin_45881125的博客
03-20 1564
基于角色的访问控制RBAC)是一种访问控制策略,用于管理系统、应用程序或网络中的用户对资源的访问权限RBAC 将用户分配给角色,然后将权限分配给角色,而不是直接将权限分配给个别用户。这种方式简化了权限管理,特别是在大型组织或系统中,可以更轻松地管理权限。角色(Roles):角色是一组具有相似职责或权限需求的用户集合。例如,一个企业应用可能有角色如“管理员”、“普通用户”、“审计员”等。
Spring Security实现类似shiro权限表达式RBAC权限控制
码农小胖哥
04-19 807
昨天有个粉丝加了我,问我如何实现类似shiro的资源权限表达式访问控制。我以前有一个小框架用的就是shiro,权限控制就用了资源权限表达式,所以这个东西对我不陌生,但是在Spring Security中我并没有使用过它,不过我认为Spring Security可以实现这一点。是的,我找到了实现它的方法。再看、点赞、转发、关注来一波!资源权限表达式说了这么多,我觉得应该解...
Spring Security动态授权RBAC权限模块实践
热门推荐
深蓝传说
11-28 1万+
先在web.xml 中配置一个过滤器(必须在Struts的过滤器之前) springSecurityFilterChain org.springframework.web.filter.DelegatingFilterProxy springSecurityFilterChain /* 然后就是编写Spring安全的配置文件applicationContext-securi
登陆认证&权限控制(2)—— 基于Spring security 安全框架的权限管理 & 注解式权限控制 & RABC模型
Perley620的博客,专注后端领域
11-06 476
本篇博客介绍Spring Security的使用,结合MySQL,Redis实现基于JWT的注解式的权限认证,并且可以实现给不同的用户显示不同的前端页面。
使用Spring Security实现RBAC权限模型 - 详细代码示例及表设计
m0_49151953的博客
04-10 2313
RBAC(Role-Based Access Control)是一种常用的权限模型,它基于用户角色来控制系统中的资源访问。本文介绍了如何使用Spring Security实现RBAC权限模型,包括表设计、配置Spring Security实现UserDetailsService以及实现RBAC权限控制。在Spring Security实现RBAC权限模型的关键在于配置安全拦截器链,即定义哪些URL需要哪些权限才能访问。除了上面的配置和实现之外,我们还需要在业务代码中实现RBAC权限控制。
SpringSecurity和Shiro---权限设置
JEREMY的博客
05-13 819
安全虽然属于应用的非功能性需求,但是应该在应用开发的初期就考虑进来。如果在应用开发的后期才考虑安全的问题,就可能陷入一个两难的境地:一方面,应用存在严重的安全漏洞,无法满足用户的要求,并可能造成用户的隐私数据被攻击者窃取;Spring Security 是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型,他可以实现强大的Web安全控制,对于安全控制,我们仅需要引入 spring-boot-starter-security 模块,进行少量的配置,即可实现强大的安全管理!
spring cloud+spring boot__基于SpringSecurity实现RABC模式实现系统登录和动态权限
xuemeng2016的专栏
08-07 301
如果你以前没有接触过springcloud,本专栏将带你一步步实现一套分布式架构基础框架。如果你以前看过很多demo,但是无法搞清楚每一个实现步骤,本专栏将值得你看一看。如果你选择学习本专栏,那么所有遇到相关技术问题都可以联系方式我们一起探讨。面向切面编程可以很好的解决代码耦合等问题,方便对于预先业务不做修改的前提下做一些变更。...
Spring Security实现RBAC权限模型练习
pikcacho_pkq的博客
02-09 2597
Spring Security的核心功能就是认证、授权、攻击防护,Spring Boot项目启动之后会自动进行配置,其核心就是一组链式过滤器。如下图所示,对于一个用户请求,Username Password Authentication Filter验证用户名和密码是否正确,通过就放行,然后Basic Authentication Filter就实现了去验证请求中是否包含有权限认证的basic信息。FilterSecurityInterceptor验证请求是否能够访问REST API,如果不能够访问即被拒绝
SpringBoot教程(四)Spring Security
buyue
10-20 378
是一个功能强大且高度可定制的认证和授权框架,核心是一组过滤器链,不同的功能经由不同的过滤器。本文使用的版本为5.7.4,自spring security 5.7.3起,认证(Authentication):身份验证。授权(Authorization):访问权限。可以在IDEA的控制台看到。输入账号密码登录后再次浏览。文件里面自定义账号和密码。拦截,浏览器自动跳转到。
整合Spring+Spring security基于RBAC模型实现通用的权限控制和用户管理系统(适合新手了解学习权限相关技术)
06-21
本项目基于Spring,整合Springsecurity模块,实现用户管理和权限控制,是一套较为通用的权限控制功能,主要内容如下: 1.登录,包括“记住我”的功能; 2.加密,存储的密码不采用明文,初始密码1234; 3.拦截器...
Vue 动态路由的实现Springsecurity 按钮级别的权限控制
10-16
主要介绍了Vue 动态路由的实现以及 Springsecurity 按钮级别的权限控制的相关知识,本文通过实例代码给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
Spring Security实现RBAC权限管理_RBAC_spring_spring security_springclou
09-24
在企业应用中,认证和授权是非常重要的一部分内容,业界最出名...由于Spring Boot非常的流行,选择Spring Security做认证和授权的 人越来越多,今天我们就来看看用SpringSpring Security如何实现基于RBAC权限管理
spring-security-project.zip- Spring Security实现RBAC权限模型demo
02-09
spring-security-project.zip- Spring Security实现RBAC权限模型demo
RABC权限模型与Spring Security
千锋教育
11-07 305
通过RABC权限模型、Java权限战士们,以及Spring Security的守护者,我们共同经历了一场充满趣味性和挑战性的权限之战。这个探险之旅不仅让我们更好地理解了权限控制的本质,也锻炼了我们的编程技能。在未来的项目中,我们可以更从容地应对各种权限挑战,创造出更加安全、稳定、强大的系统。希望你也能够加入我们的权限之战,和我们一起探险,挑战无限可能!让我们一同开启这场权限之战的精彩探险吧!
Spring Security笔记
KDSWG的博客
10-01 266
springSecurity学习笔记
使用SpringSecurity3实现RBAC权限管理
novelly的专栏
02-13 1164
1、 What? 什么是权限管理?         具体可参见百度:http://baike.baidu.com/view/2108713.htm     名词备注:     数据级权限:百科内的权限管理一文解释的比较不错,但其中的“数据级权限”有的人看来会觉得有点摸不着头脑。数据级权限,即表示权限与特定数据有联系的权限,比方说,某用户只能创建100个用户。这个100,就
Spring Security知识梳理,RBAC权限分析
kunwen123的博客
09-15 403
Spring Security知识梳理
spring boot整合spring security实现基于rbac权限控制
07-27
对于基于 RBAC(Role-Based Access Control)的权限控制,可以使用 Spring Boot 和 Spring Security实现。下面是一个简单的步骤指南: 1. 添加依赖:在你的 Spring Boot 项目的 pom.xml 文件中,添加以下依赖: ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> ``` 2. 创建用户和角色实体:创建用户(User)和角色(Role)的实体类,可以使用 JPA 或者其他持久化框架来进行数据库操作。 3. 实现 UserDetailsService:创建一个实现Spring Security 的 UserDetailsService 接口的类,用于加载用户信息。这个类需要重写 loadUserByUsername 方法,根据用户名从数据库中查询用户信息并返回一个 UserDetails 对象。 4. 创建权限访问控制配置类:创建一个配置类,继承自 WebSecurityConfigurerAdapter,并重写 configure 方法。在这个方法中,你可以配置哪些 URL 需要哪些角色或权限才能访问。 ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/admin/**").hasRole("ADMIN") .antMatchers("/user/**").hasAnyRole("ADMIN", "USER") .anyRequest().authenticated() .and().formLogin().permitAll() .and().logout().permitAll(); } @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userDetailsService()).passwordEncoder(passwordEncoder()); } @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } @Override @Bean public UserDetailsService userDetailsService() { // 返回自定义的 UserDetailsService 实现类 // 在这个实现类中通过 JPA 或其他方式查询用户信息 return new CustomUserDetailsService(); } } ``` 5. 配置密码加密:在上面的配置类中,我们使用了 BCryptPasswordEncoder 作为密码加密方式。确保你的用户表中保存的密码是经过 BCrypt 加密的。 6. 创建登录页面:创建一个登录页面,可以是一个简单的 HTML 页面或者使用模板引擎进行渲染。 7. 配置登录页面:在 application.properties 或 application.yml 文件中,配置登录页面的路径和其他相关属性。 ```properties spring.security.login-page=/login spring.security.logout-success-url=/login?logout ``` 以上步骤完成后,你的 Spring Boot 应用程序就可以基于 RBAC 实现简单的权限控制了。根据实际需求,你可以进一步扩展和定制 Spring Security 的功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值