spring security将权限与分区相关联

最新推荐文章于 2022-08-12 16:09:37 发布
最新推荐文章于 2022-08-12 16:09:37 发布
阅读量146 收藏
点赞数
分类专栏: spring security 文章标签: spring java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43633220/article/details/108305389
版权
本文介绍了如何在Spring Security中实现将权限与分区相关联,通过自定义GrantedAuthority、AccessDecisionVoter,以及在MethodSecurityInterceptor中的配置,确保用户请求的分区参数能用于权限判断。文章详细阐述了每个步骤的实现思路和代码示例,包括权限的创建、解析JWT Token、自定义AccessDecisionVoter以及解决权限冲突问题。
摘要由CSDN通过智能技术生成

spring security将权限与分区相关联

前言

之前写过一个小型论坛,关于权限有一个需求就是在判断权限的时候经常还要判断分区id是否匹配, 某个角色的权限只在其对应的分区有效,学习spring security后试着用spring security实现这个需求

一、大致思路

因为判断是需要用户请求的分区参数,所以选择方法层面的权限管理,用户拥有的权限要保存分区信息所有要创建自己的GrantedAuthority,提供自定义AccessDecisionVoter的实现类,获取请求参数中的分区信息,然后在进行判断。

二、自定义GrantedAuthority

将角色名作为权限,若角色名带有_PARTITION后缀认为角色权限与分区关联,partitionId属性有效

代码如下(示例):

@Data
public class PartitionGrantedAuthority implements GrantedAuthority {
    public static final String PARTITION_ROLE_EDN_WITH = "_PARTITION";
    private String authority;
    private String partitionId = "";

    /**
     * 将PartitionGrantedAuthority实体类转化为符合PartitionGrantedAuthority格式的字符串
     * @param partitionGrantedAuthority PartitionGrantedAuthority
     * @return 字符串
     */
    public static String toFormatStr(PartitionGrantedAuthority partitionGrantedAuthority){
        return partitionGrantedAuthority.authority + "-" + partitionGrantedAuthority.partitionId;
    }

    /**
     * 将格式合理的字符串转化为对应的PartitionGrantedAuthority实体类
     * @param authorityStrWithPartition 符合格式的字符串authority与partitionId使用 - 相间隔
     * @return authorityStrWithPartition
     */
    public static PartitionGrantedAuthority fromFormatStr(String authorityStrWithPartition){
        String[] strings = authorityStrWithPartition.split("-");
        if(strings.length != 2){
            throw new RuntimeException("字符串格式错误");
        }
        PartitionGrantedAuthority authority = new PartitionGrantedAuthority();
        authority.authority = strings[0];
        authority.partitionId = strings[1];
        return authority;
    }

    public PartitionGrantedAuthority(){
        super();
    }

    public PartitionGrantedAuthority(Role role){
        authority = role.getName();
        if(authority.endsWith(PARTITION_ROLE_EDN_WITH))
            partitionId = role.getPartitionId();
    }

}

修改从roles转化为authoritis的代码

roles.stream()
                .map(PartitionGrantedAuthority::new)
                .collect(Collectors.toList());

再修改生成和解析jwtToken时的代码,保证生成和解析token时partitionId这个属性不会丢失

三. 自定义AccessDecisionVoter的实现

要求分区权限的方法同时要求提供的参数中包含分区信息,通过反射来获取。具体实现基本可以照抄RoleVoter只是进行额外的判断
代码如下(示例):

public class PartitionVoter implements AccessDecisionVoter<MethodInvocation> {
    private static final String PARTITION_ID_NULL = "null";
    private static final String PARTITION_ID_FILED_NAME = "partitionId";

    public PartitionVoter() {

    }

    @Override
    public boolean supports(ConfigAttribute attribute) {

        return (attribute.getAttribute() != null)
                && attribute.getAttribute().endsWith(PartitionGrantedAuthority.PARTITION_ROLE_EDN_WITH);
    }

    @Override
    public boolean supports(Class<?> clazz) {
        return MethodInvocation.class.isAssignableFrom(clazz);
    }


    @Override
    public int vote(Authentication authentication, MethodInvocation mi, Collection<ConfigAttribute> attributes) {

        if (authentication == null) {
            return ACCESS_DENIED;
        }
        int result = ACCESS_ABSTAIN;
        Collection<? extends GrantedAuthority> authorities = authentication.getAuthorities();
        

        for (ConfigAttribute attribute : attributes) {
            //能进行处理的所需权限
            if (this.supports(attribute)) {
               
                // 拥有的权限
                for (GrantedAuthority authority : authorities) {
                    if(authority instanceof PartitionGrantedAuthority){
                    	result = ACCESS_DENIED;
                    	String partition = getPartitionId(mi);
                        PartitionGrantedAuthority partitionGrantedAuthority = (PartitionGrantedAuthority) authority;
                        //判断请求中附带的PartitionId
                        if (partitionGrantedAuthority.getPartitionId().equals(partition)   //拥有权限的partitionId与请求处理的partitionId是否匹配
                                && attribute.getAttribute().equals(authority.getAuthority())) {
                            return ACCESS_GRANTED;
                        }
                    }
                }
            }
        }

        return result;
    }




    /**
     * 从调用方法的实参中获取PartitionId
     * 要求表示partitionId的域的name值为partitionId
     *
     * @param mi mi
     * @return 返回PARTITION_NAME_NULL表示参数中无partitionId信息
     */
    private String getPartitionId(MethodInvocation mi) {
        Object[] arguments = mi.getArguments();
        String res = PARTITION_ID_NULL;
        for (Object o : arguments) {
            Class<?> c = o.getClass();
            try {
                Field field = c.getDeclaredField(PARTITION_ID_FILED_NAME);
                field.setAccessible(true);
                res = (String) field.get(o);
            } catch (NoSuchFieldException ignored) {
                //没有对应域返回PARTITION_ID_NULL
            } catch (IllegalAccessException e) {
                log.warn("发生异常", e);
                return res;
            }

        }
        return res;
    }

}

四.设置方法需要的权限

本来是想复用PreAuthorize的,但是它的解析过程实在没办法下手,所以使用已有@Secured注解标注需要的权限即就可被PartitionVoter处理。

问题:因为默认的DelegatingMethodSecurityMetadataSource实现方式导致同时配置@PreAuthorize@Secured注解会导致后者的配置无法读取,想让二者同时生效必须完全重写methodSecurityMetadataSource()方法。

五.把这些配置到MethodSecurityInterceptor

自定义GlobalMethodSecurityConfiguration的子类MethodSecurityConfig,并添加@EnableGlobalMethodSecurity注解,如果
SecurityConfig上也有@EnableGlobalMethodSecurity注解会导致MethodSecurityConfiguration失效,不知道为什么。
还有一个小问题就是默认的AccessDecisionManager的实现是包含RoleVoter的,所以如果标注的权限是以ROLE_开头会被RoleVoter通过,我认为可以有这几种解决方案

  1. 不要让权限带有ROLE_前缀,但感觉有点不规范
  2. 把父类中accessDecisionManager代码抄一遍,但不添加RoleVoter,但因为prePostEnabled()等判断方法子类是无法调用的,所以有点麻烦,而且代码所表达的含有也不清楚
  3. 迭代AccessDecisionManager中的decisionVotersRoleVoter删了,不知道为什么感觉很蠢
  4. AccessDecisionManagerd的实现改为UnanimousBased,让PartitionVoter拥有一票否决权,如果遇见一定不能设置一票否决的情况就不行了

我为了方便选择最后一种
代码如下(示例):

@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)
public class MethodSecurityConfig extends GlobalMethodSecurityConfiguration {
    @Bean
    @Override
    protected AccessDecisionManager accessDecisionManager() {
        AbstractAccessDecisionManager decisionManager = (AbstractAccessDecisionManager)super.accessDecisionManager();
        List<AccessDecisionVoter<?>> decisionVoters = decisionManager.getDecisionVoters();
        decisionVoters.add(new PartitionVoter());
        return new UnanimousBased(decisionVoters);
    }
    

}

总结

其实该有很多可以改的地方,例如应该写一个诸如GrantedAuthorityUtil之类的类,所以和自定义GrantedAuthority进行的交互都通过这个类中的方法来进行,还有PARTITION_ROLE_EDN_WITH参数不应该直接写死在类中。不过因为写这个只是为了学习spring security,写完功能没问题就懒得改了
qq_43633220
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security学习总结二
pureboy的专栏
04-01 698
<br /><br />前一篇文章里介绍了Spring Security的一些基础知识,相信你对Spring Security的工作流程已经有了一定的了解,如果你同时在读源代码,那你应该可以认识的更深刻。在这篇文章里,我们将对Spring Security进行一些自定义的扩展,比如自定义实现UserDetailsService,保护业务方法以及如何对用户权限等信息进行动态的配置管理。<br />说明:<br />如果你通过Google搜索,可以找到很 多类似主题的文章,本文的目的在于通过这些实例来介绍的工作
SpringCloud面试题及答案 300道,springcloud面试题总结 (持续更新)
m0_67392931的博客
08-02 7179
2021年面试题及答案【最新版】高级SpringCloud面试题大全,发现网上很多SpringCloud面试题及答案整理都没有答案,所以花了很长时间搜集,本套SpringCloud面试题大全,有大量经典的SpringCloud面试题以及答案,面试经验技巧等,应届生,实习生,企业工作过的,都可参考学习!本套SpringCloud面试题大全,汇总了大量经典的Java程序员面试题以及答案,包含SpringCloud语言常见面试题、SpringCloud工程师高级面试题及一些大厂SpringCloud开发面试宝典我
spring security2【与数据库权限关联】
gdfdfg的专栏
08-15 911
设计数据库 数据库权限概念 角色用户组权限关联 数据库实体图: 2、将用户权限表与springsecurity相关联 使用自定义的provider ...
Spring security认证与授权(二)源代码
03-24
Spring security认证与授权(二)
SpringBoot实现自定义拦截器Interceptor
weixin_45074679的博客
04-21 796
实现自定义拦截器 1、定义实现类 两种定义方法: 1.类实现Spring的HandlerInterceptor接口 2.类继承HandlerInterceptorAdapter 实现HandlerInterceptor接口中的方法作用: preHandle:在业务处理器处理请求之前被调用。预处理,可以进行编码、安全控制、权限校验等处理; postHandle:在业务处理器处理请求执行完成后,生成视...
SpringCloud前置知识+RabbitMQ
luyi980521的博客
02-24 451
一、微服务架构介绍 1.单体架构 ​ 单体架构也被称为单体应用,它是将所有的功能模块全部耦合在一个项目中 1.1 单体架构特点 ​ 1.最终会被打包成一个独立的单元(一个唯一 的jar包或war包) ​ 2.会以一个进程的方式来运行 1.2 单体架构的优点与缺点 优点 项目易于管理 部署简单 缺点 测试成本高 可伸缩性差 可靠性差 迭代困难 跨语言程度差 团队协作难 2.微服务架...
SpringCloud学习总结
jtsd2008lm的专栏
04-14 545
SpringCloud 一,微服务架构 1 架构演变 单体架构 =》垂直应用架构 =》SOA架构 =》 微服务架构 2 微服务架构: 微服务架构和SOA架构很明显的一个区别就是服务拆分粒度的不同,但是对于拉勾的架构发展来说,我们所看到的SOA阶段其实服务拆分粒度相对来说已经⽐较细了(超前哦!),所以上述拉勾SOA到拉勾微服务,从服务拆分上来说变化并不⼤,只是引入了相对完整的新⼀代Spring Cloud微服务技术。⾃然,上述我们看到的都是拉勾架构演变的阶段结果,每⼀个阶段其实...
SpringsecurityMethodSecurityInterceptor
weixin_33716154的博客
09-06 1419
2019独角兽企业重金招聘Python工程师标准>>> ...
怎样设置methodSecurityInterceptor过滤bean,及他的实现流程?请教!
earthsky
06-04 587
[b]现在作一个acegi 项目,能不能同时实现 资源的URl和method的控制?[/b] 在methodSecurityInterceptor过滤bean中内部是怎样实现的? [b]致谢[/b] [color=red]这是我的理解:是不是同spring的aop拦截methodSecurityInterceptor过滤bean,之后对方法的验证和授权?从db中得到authori...
Spring Security系列四 自定义决策管理器(动态权限码)
xqhys的博客
02-14 817
转载:https://www.ktanx.com/blog/p/4929 前言 前面我们已经实现了用户的自定义登录及密码的加密,接下来就是动态的权限验证了,也就是实现Spring Security的决策管理器AccessDecisionManager。 权限资源 SecurityMetadataSource 要实现动态的权限验证,当然要先有对应的访问权限资源了。Spring Securit...
springboot + 拦截器 + 注解 实现自定义权限控制
热门推荐
xiao雷博客
05-28 2万+
springboot 拦截器 注解 实现自定义权限验证1 定义权限常量 PermissionConstantsjava2 定义权限的注解 RequiredPermissionjava3 权限拦截器 SecurityInterceptorjava4 拦截器注入的配置 MVCConfigjava5 ProductControllerjavaspringboot + 拦截器 + 注解 实现自定义权...
SpringSecurity授权流程分析+动态授权实现
张氏小毛驴的博客
08-12 1952
代码运行到这里后,我们拿到了系统配置的URL权限attributes,认证用户对象Authentication也拿到了,还有当前请求相关的信息FilterInvocation ,也就是这个方法的参数object,接下来授权肯定是拿着三部分的信息去实现的。之前说过,SpringSecurity过滤器链,图中绿色的是认证相关的,蓝色部分是异常相关的,而橙色部分是授权相关,今天我们就是要理清橙色部分授权相关的流程,以及实现动态授权。通过上面的分析,我们大体能了解到整个授权的流程是这样的:(网上找的图)......
调试代码如何绕过OAuth2验证
五石之瓠 以为大樽 浮于江湖 悠笑人生
10-08 4136
Spring boot 项目本地调试,因为集成了OAuth2.每次调试都要在header里面传token.麻烦。如何跳过去呢。 在源代码: AffirmativeBased.java 的第83行打一个断点。执行到这里的时候手动更改deny的值为0.让他不抛异常就好了。 /* * Copyright 2004, 2005, 2006 Acegi Technology Pty Limited * ...
Linux下分区详解之 Parted
Beta blog
08-02 2万+
通常我们用的比较多的一般都是fdisk工具来进行分区,但是现在由于磁盘越来越廉价,而且磁盘空间越来越大;而fdisk工具他对分区是有大小限制的,它只能划分小于2T的磁盘。但是现在的磁盘空间很多都已经是远远大于2T了,甚至达到2.5T和3T,那要怎么办能,有两个方法,其一是通过卷管理来实现,其二就是通过Parted工具来实现对GPT磁盘进行分区操作。GPT格式的磁盘相当于原来MBR磁盘中原来保留4个...
Spring Security(六):前端菜单,角色权限页面的搭建
weixin_33862041的博客
01-28 1862
目前项目中做了几个有关权限控制的页面,主要做了三个,角色管理,资源管理,角色权限的页面。 角色管理 该页面主要是对角色的crud,这个比较简单就不多讲了。 资源管理 这个页面其实是对菜单的配置,也就是路由的设置,我采用了组件复用的思路,就是增加和更新页面用的是同一个组件,启用前判断是增加还是更新就好了。 如果是新增的话有一个会初始化 更新的话就会得到信息,显示出来 Vue代码 新建sr...
Spring Security3权限管理实战与扩展解析
"Spring Security3权限管理说明" Spring Security3是一个强大的安全管理框架,它主要用于Java Web应用的安全控制,包括身份验证和授权。尽管它的设计源于西方,主要以英文文档为主,可能会给非英语背景的开发者带来...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值