类设计
集成
理清Spring Security的定制点后,就可以在系统内部集成Spring Security了。
- 使用预认证的方式,以适配第三方认证系统。AbstractPreAuthenticatedProcessingFilter提供了预认证的扩展点,基于该抽象类实现一个自定义认证过滤器。
public class MyPreAuthFilter extends AbstractPreAuthenticatedProcessingFilter {
@Override
protected Object getPreAuthenticatedPrincipal(HttpServletRequest request) {
// 从第三方系统获取用户ID
return userId;
}
@Override
protected Object getPreAuthenticatedCredentials(HttpServletRequest request) {
return "";
}
}
- Spring Security会根据预认证过滤器getPreAuthenticatedPrincipal返回的用户ID信息,加载用户角色等初始信息。这里需要实现UserDetailsManager接口,提供用户信息管理器。
@Service
public class MyUserManager implements UserDetailsManager {
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
// 从数据库加载用户信息
return user;
}
// 其他管理接口
}
- UserDetails内包含了GrantedAuthority接口类型的权限信息抽象,一般可以基于它自定义角色和权限。Spring Security使用一种接口形式表达角色和权限,角色和权限的差别是角色的ID是以"ROLE_"为前缀。
public class MyRole implements GrantedAuthority {
private final String role;
@Override
public String getAuthority() {
return "ROLE_" + role;
}
}
public class MyAuthority implements GrantedAuthority {
private final String authority;
@Override
public String getAuthority() {
return authority;
}
}
- 接下来注册自定义认证过滤器和用户管理器,这里需要实现WebSecurityConfigurerAdapter进行Web安全配置。
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true, mode = AdviceMode.PROXY)
public class MySecurityConfig extends WebSecurityConfigurerAdapter {
@Autowired
UserDetailsManager userDetailsManager;
@Bean
protected AuthenticationProvider createPreAuthProvider() {
// 注册用户管理器
PreAuthenticatedAuthenticationProvider provider = new PreAuthenticatedAuthenticationProvider();
provider.setPreAuthenticatedUserDetailsService(new UserDetailsByNameServiceWrapper<>(userDetailsManager));
return provider;
}
@Override
protected void configure(HttpSecurity http) throws Exception {
// 注册预认证过滤器
http.addFilter(new MyPreAuthFilter(authenticationManager()));
}
}
- 最简单的Spring Security框架集成内系统内部已经完成了。在系统的任意服务接口上可以使用如下方式进行鉴权。
public interface MyService {
@PreAuthorize("hasAuthority('QUERY')")
Object getById(String id);
@PreAuthorize("hasRole('ADMIN')")
void deleteById(String id);
}
- 自定义数据鉴权
@Component
public class MyPermissionEvaluator implements PermissionEvaluator {
@Override
public boolean hasPermission(Authentication authentication, Object targetDomainObject, Object permission) {
// 自定义数据鉴权
return false;
}
@Override
public boolean hasPermission(Authentication authentication, Serializable targetId, String targetType, Object permission) {
// 自定义数据鉴权
return false;
}
}
PermissionEvaluator会被自动注册到Spring Security框架,并允许在注解内使用如下方式进行鉴权。
@PreAuthorize("hasPermission(#id, 'QUERY')")
Object func1(String id) {
}
@PreAuthorize("hasPermission(#id, 'TABLE', 'QUERY')")
Object func2(String id) {
}