一、角色继承
一般来说角色之间是有关系的,例如ROLE_admin一般具有admin权限,又具有user的权限。那么如何配置这种角色继承关系呢?在Spring Security中只需要开发者提供一个RoleHierarchy
即可。例如SpringBoot_管理管理(二) 中为例,假设ROLE_dba是中终极大Boss,具有所有的权限,ROLE_admin具有ROLE_user的权限,ROLE_user则是一个公共角色,即ROLE_admin继承ROLE_user、ROLE_dba继承ROLE_admin,要描述这种继承关系,只需要开发者在Spring Security的配置类中提供一个RoleHierarchy
即可,代码如下:
@Bean
RoleHierarchy roleHierarchy() {
RoleHierarchyImpl roleHierarchy = new RoleHierarchyImpl();
String hierarchy = "ROLE_dba > ROLE_admin ROLE_admin > ROLE_user";
roleHierarchy.setHierarchy(hierarchy);
return roleHierarchy;
}
配置完RoleHierarchy之后,具有ROLE_dba角色的用户既可以访问所有资源了,具有ROLE_admin角色的用户也可以访问具有ROLE_user角色才能访问的资源。结合SpringBoot_管理管理(二)Controller中的实例测试得知admin可以访问所有的用户,因为其具有dba权限。
二、动态配置权限
使用HttpSecurity配置的认证授权规则还是不够灵活,无法实现资源和角色之间的动态调整,要是实现动态配置URL权限,就需要开发者自定义权限配置,配置步骤如下(SpringBoot_管理管理(二) 上完成)
- 数据库设计
这里的数据库在SpringBoot_管理管理(二)数据库的基础上再增加一张资源表和资源角色关联表,如下图,资源表中定义了用户能够访问的URL模式,资源角色表则定义了访问该模式的URL需要什么样的角色。
- 自定义FilterInvocationSecurityMetadataSource
要实现动态配置权限,首先要自定义FilterInvocationSecurityMetadataSource
,Spring Security中通过FilterInvocationSecurityMetadataSource
接口中的getAttributes
方法来确定一个请求需要哪些角色,FilterInvocationSecurityMetadataSource
接口的默认实现类是DefaultFilterInvocationSecurityMetadataSource
的实现,开发者可以定义自己的FilterInvocationSecurityMetadataSource
,代码如下:
/**
* 自定义FilterInvocationSecurityMetadataSource主要实现接口中的getAttributes方法,
* 该方法的参数是一个FilterInvocation,可以从FilterInvocation中提取出当前请求的URL,
* 返回值是Collection<ConfigAttribute>,表示当前请求URL所需的角色。
*/
@Component
public class CustomFilterInvocationSecurityMetadataSource implements FilterInvocationSecurityMetadataSource {
//创建一个antPathMatcher,主要用来实现ant风格的URL匹配
AntPathMatcher antPathMatcher = new AntPathMatcher();
@Resource
MenuMapper menuMapper;
@Override
public Collection<ConfigAttribute> getAttributes(Object object) throws IllegalArgumentException {
//从参数中提取出当前请求的URL
String requestUrl = ((FilterInvocation) object).getRequestUrl();
/**
* 从数据库中获取所有的资源信息,即本案例中的menu表以及menu对应的role,
* 在真实环境中,可以将资源信息缓存在Redis或者其他缓存数据库中。
*/
List<Menu> allMenus = menuMapper.getAllMenus();
/**
* 遍历过程中获取当前请求的URL所需要的角色信息并返回,如果当前请求
* 的URL在资源表中不存在相应的模式,就假设该请求登录后即可访问,即直接
* 返回ROLE_LOGIN。
*/
for (Menu menu: allMenus) {
if (antPathMatcher.match(menu.getPattern(), requestUrl)) {
List<Role> roles = menu.getRoles();
System.out.println("roles = " + roles);
String[] roleArr = new String[roles.size()];
for (int i = 0; i < roleArr.length; i++) {
roleArr[i] = roles.get(i).getName();
}
return SecurityConfig.createList(roleArr);
}
}
return SecurityConfig.createList("ROLE_LOGIN");
}
/**
* getAllConfigAttributes方法用来返回所有定义好的权限资源,
* Spring Security在启动时会校验相关配置是否正确,如果不需要校验,那么方法
* 直接返回null即可。
*/
@Override
public Collection<ConfigAttribute> getAllConfigAttributes() {
return null;
}
/**
* supports方法返回类对象是否支持校验
*/
@Override
public boolean supports(Class<?> clazz) {
// return false;
return FilterInvocation.class.isAssignableFrom(clazz);
}
}
- 自定义AccessDecisionManager
/**
* 自定义AccessDecisionManager 并重写decide方法,在该方法中判断当前登录的用户
* 是否具备当前请求URL所需要的角色信息,如果不具备,就抛出
* AccessDeniedException异常,否则不做任何事情即可。
*/
@Component
public class CustomAccessDecisionManager implements AccessDecisionManager {
/**
* decide方法有三个参数,第一个参数是包含当前登录用户的信息,
* 第二个参数则是一个FilterInvocation对象,可以获取当前请求对象等;
* 第三个参数就是FilterInvocationSecurityMetadataSource中的getAttributes方法的返回值
* 即当前请求URL所需要的角色。
*/
@Override
public void decide(Authentication authentication, Object object, Collection<ConfigAttribute> configAttributes) throws AccessDeniedException, InsufficientAuthenticationException {
Collection<? extends GrantedAuthority> auths = authentication.getAuthorities();
/**
* 进行角色信息对比,如果需要的角色是ROLE_LOGIN,说明当前请求的URL用
* 户登录即可访问,如果auth是UsernamePasswordAuthenticationToken的实例
* 那么说明当前用户已登录,该方法到此结束,否则进入正常的判断流程,如果当前用户
* 具备当前请求需要的角色,那么方法结束。
*/
for (ConfigAttribute configAttribute: configAttributes) {
if ("ROLE_LOGIN".equals(configAttribute.getAttribute()) && authentication instanceof
UsernamePasswordAuthenticationToken)
return ;
for (GrantedAuthority authority: auths) {
if (configAttribute.getAttribute().equals(authority.getAuthority()))
return ;
}
}
throw new AccessDeniedException("权限不足");
}
@Override
public boolean supports(ConfigAttribute attribute) {
// return false;
return true;
}
@Override
public boolean supports(Class<?> clazz) {
// return false;
return true;
}
}
- MenuMapper和MenuMapper.xml
- MenuMapper
@Mapper
public interface MenuMapper {
List<Menu> getAllMenus();
}
- MenuMapper.xml
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="com.security1.dao.MenuMapper">
<resultMap id="BaseResultMap" type="com.security1.vo.Menu" autoMapping="true">
<id property="id" column="id"></id>
<result property="pattern" column="pattern"/>
<collection property="roles" ofType="com.security1.vo.Role" autoMapping="true">
<id property="id" column="rid"></id>
<result property="name" column="rname"></result>
<result property="nameZh" column="rnameZh"></result>
</collection>
</resultMap>
<select id="getAllMenus" resultMap="BaseResultMap">
SELECT
m.*,
r.id AS rid,
r.NAME AS rname,
r.nameZh AS rnameZh
FROM
menu m
LEFT JOIN menu_role mr ON m.id = mr.id
LEFT JOIN role r ON m.id = r.id
</select>
</mapper>
MenuMapper.xml中的BaseResultMap中的
<collection property="roles" ofType="com.security1.vo.Role" autoMapping="true">
<id property="id" column="rid"></id>
<result property="name" column="rname"></result>
<result property="nameZh" column="rnameZh"></result>
</collection>
结合下图完成。
- 配置
最后,在Spring Security中配置如上两个自定义类,如下:
@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
@Autowired
UserService userService;
@Bean
PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder(10);
}
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.userDetailsService(userService);
}
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.withObjectPostProcessor(new ObjectPostProcessor<FilterSecurityInterceptor>() {
@Override
public <O extends FilterSecurityInterceptor> O postProcess(O object) {
object.setSecurityMetadataSource(cfisms());
object.setAccessDecisionManager(cadm());
return object;
}
})
/* .antMatchers("/admin/**").hasRole("admin")
.antMatchers("/db/**").hasRole("dba")
.antMatchers("/user/**").hasRole("user")
.anyRequest().authenticated()*/
.and()
.formLogin()
.loginProcessingUrl("/login")
.permitAll()
.and()
.csrf()
.disable();
}
/* @Bean
RoleHierarchy roleHierarchy() {
RoleHierarchyImpl roleHierarchy = new RoleHierarchyImpl();
String hierarchy = "ROLE_dba > ROLE_admin ROLE_admin > ROLE_user";
roleHierarchy.setHierarchy(hierarchy);
return roleHierarchy;
}*/
@Bean
CustomFilterInvocationSecurityMetadataSource cfisms() {
return new CustomFilterInvocationSecurityMetadataSource();
}
@Bean
CustomAccessDecisionManager cadm() {
return new CustomAccessDecisionManager();
}
}
- Menu
public class Menu {
private Integer id;
private String pattern;
private List<Role> roles;
public Integer getId() {
return id;
}
public void setId(Integer id) {
this.id = id;
}
public String getPattern() {
return pattern;
}
public void setPattern(String pattern) {
this.pattern = pattern;
}
public List<Role> getRoles() {
return roles;
}
public void setRoles(List<Role> roles) {
this.roles = roles;
}
@Override
public String toString() {
return "Menu{" +
"id=" + id +
", pattern='" + pattern + '\'' +
", roles=" + roles +
'}';
}
}