SpringSecurity - WebFlux环境下动态角色权限

已于 2022-03-12 11:08:16 修改
阅读量6.1k 收藏 15
点赞数 5
分类专栏: 微服务 文章标签: java 开发语言 后端
于 2022-01-15 17:18:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43692950/article/details/122511037
版权

一、SpringSecurity - WebFlux

在上篇文章中我们讲解了SpringSecurityWebFlux环境下的用户动态授权,本篇文章继续上篇文章讲解 WebFlux环境下动态角色权限。

上篇文章地址:https://blog.csdn.net/qq_43692950/article/details/122508425

二、权限控制

还记得前面我们在讲SpringSecuritySpringMVC环境下在做权限控制时,是采用HttpSecurity 对象,并通过antMatchers添加规则,通过hasRole设置权限,在WebFlux环境下也是如此,是不过是使用的ServerHttpSecurity对象:

比如,给admin/**要求有admin角色,common/**要有common角色,我们就可以这样来设置:

@Bean
SecurityWebFilterChain webFluxSecurityFilterChain(ServerHttpSecurity http) throws Exception {
    http.authorizeExchange()
            .pathMatchers("/admin/**").hasRole("admin")
            .pathMatchers("/common/**").hasRole("coommon")
            .and().formLogin()
            .and().cors().disable();
    return http.build();
}

由于上篇文章中我们已经配置了数据库的认证方式,讲用户及角色权限信息都放在了数据库,其中admin用户只有admin的角色,common用户只有common的角色。
在这里插入图片描述

下面重启项目,使用admin用户访问/common/test,浏览器访问:http://localhost:8080/common/test
在这里插入图片描述
在这里插入图片描述
下面访问http://localhost:8080/admin/test则可以正常访问。
在这里插入图片描述

上面已经实现权限的访问了,还是没有做到动态角色权限,在前面文章讲解SpringMVC环境中,我们实现的是,地址到角色的映射也是动态的,现在地址和角色是在配制中写死的,下面一起来实现下地址到角色的动态映射。

三、地址角色的动态映射

在SpringMVC环境下,我们要实现动态角色,需要实现FilterInvocationSecurityMetadataSource ,同样在WebFlux中,我们需要实现ReactiveAuthorizationManager<AuthorizationContext>类,并在check方法中进行验权限,check方法可以获取用户登录时的权限和当前请求路径,如果返回可以访问的标志Mono.just(new AuthorizationDecision(true)) 则可以访问当前地址,否则则无限访问,这里就有两种实现方案了:

一种是在用户登录,获取用户的角色权限时,我们配制URI路径作为用户的权限,比如admin用户的权限是/admin/**,然后后在这里check方法可以获取用户的权限,即获取/admin/**,并与当前的请求路径对比,如果OK则返回可以访问的标志,否则就是无权访问。

另一种时RBAC用户角色权限的模式,用户登录,获取用户所有的角色。在check方法中,先获取所有配制的URL和角色之间的关系,比如/admin/**URL的访问角色是admin,然后将URL与当前请求的地址对比,如果OK则判断,该URL所需的角色该用户是否拥有,如果拥有则返回可以访问的标志,否则就是无权访问。

上面这两种方式,在效率上显然是第一种比较好,但第二种符合RBAC,更易于我们的管理。其中对比下第一种方式便于实现,下面就实现下第二种方式,可以加深理解。

@Component
public class AuthManagerHandler implements ReactiveAuthorizationManager<AuthorizationContext> {

    @Autowired
    MeunMapper meunMapper;

    @Autowired
    RoleMapper roleMapper;
    private AntPathMatcher antPathMatcher = new AntPathMatcher();

    @Override
    public Mono<AuthorizationDecision> check(Mono<Authentication> authentication, AuthorizationContext object) {
        ServerHttpRequest request = object.getExchange().getRequest();
        String requestUrl = request.getPath().pathWithinApplication().value();
        List<MeunEntity> list = meunMapper.selectList(null);
        List<String> roles = new ArrayList<>();
        list.forEach(m -> {
            if (antPathMatcher.match(m.getPattern(), requestUrl)) {
                List<String> allRoleByMenuId = roleMapper.getAllRoleByMenuId(m.getId())
                        .stream()
                        .map(r -> r.getRole())
                        .collect(Collectors.toList());
                roles.addAll(allRoleByMenuId);
            }
        });
        if (roles.isEmpty()) {
            return Mono.just(new AuthorizationDecision(false));
        }
        return authentication
                .filter(a -> a.isAuthenticated())
                .flatMapIterable(a -> a.getAuthorities())
                .map(g -> g.getAuthority())
                .any(c -> {
                    if (roles.contains(String.valueOf(c))) {
                        return true;
                    }
                    return false;
                })
                .map(hasAuthority -> new AuthorizationDecision(hasAuthority))
                .defaultIfEmpty(new AuthorizationDecision(false));
    }

    @Override
    public Mono<Void> verify(Mono<Authentication> authentication, AuthorizationContext object) {
        return null;
    }
}

上面的程序的主要逻辑也是拷贝的前几篇我们在SpringMVC环境下写的代码,应该还是容易理解的,有兴趣也可以本专栏的其他文章。

下面还需修改下SecurityConfig的配制:

@Configuration
@EnableWebFluxSecurity
@EnableReactiveMethodSecurity
public class SecurityConfig {

    @Autowired
    UserDetailService userDetailService;

    @Autowired
    AuthManagerHandler authManagerHandler;

    @Bean
    public ReactiveAuthenticationManager authenticationManager() {
        UserDetailsRepositoryReactiveAuthenticationManager authenticationManager = new UserDetailsRepositoryReactiveAuthenticationManager(userDetailService);
        authenticationManager.setPasswordEncoder(passwordEncoder());
        return authenticationManager;
    }

    @Bean
    PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Bean
    SecurityWebFilterChain webFluxSecurityFilterChain(ServerHttpSecurity http) throws Exception {
        http.authorizeExchange()
                .pathMatchers("/**").access(authManagerHandler)
                .and().formLogin()
                .and().cors().disable();
        return http.build();
    }
}

下面重启项目,先看下数据库中的配制,其中/admin/**地址只有admin角色才可以访问,/common/**地址只有common的角色才可以访问。
在这里插入图片描述
使用admin用户访问http://localhost:8080/common/test
在这里插入图片描述
在这里插入图片描述
下面访问http://localhost:8080/admin/test则可以正常访问。
在这里插入图片描述

四、修改无权限的返回

从上面的演示中可以看出,无权限时,直接返回的Access Denied,这个有点不太友好,当然这里我们可以自定义返回,只需实现ServerAccessDeniedHandler接口即可:

@Component
public class AccessDeniedHandler implements ServerAccessDeniedHandler {
    @Override
    public Mono<Void> handle(ServerWebExchange serverWebExchange, AccessDeniedException e) {
        JSONObject params = new JSONObject();
        params.put("code", 403);
        params.put("msg", "您无此资源的访问权限!");

        ServerHttpResponse response = serverWebExchange.getResponse();

        response.getHeaders().setContentType(MediaType.APPLICATION_JSON_UTF8);
        Mono<Void> ret = null;
        try {
            ret = response.writeAndFlushWith(Flux.just(ByteBufFlux.just(response.bufferFactory().wrap(params.toJSONString().getBytes("UTF-8")))));
        } catch (UnsupportedEncodingException e0) {
            e0.printStackTrace();
        }
        return ret;
    }
}

还要修改SecurityConfig配制信息:

@Configuration
@EnableWebFluxSecurity
@EnableReactiveMethodSecurity
public class SecurityConfig {

    @Autowired
    UserDetailService userDetailService;

    @Autowired
    AuthManagerHandler authManagerHandler;

    @Autowired
    AccessDeniedHandler accessDeniedHandler;

    @Bean
    public ReactiveAuthenticationManager authenticationManager() {
        UserDetailsRepositoryReactiveAuthenticationManager authenticationManager = new UserDetailsRepositoryReactiveAuthenticationManager(userDetailService);
        authenticationManager.setPasswordEncoder(passwordEncoder());
        return authenticationManager;
    }

    @Bean
    PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Bean
    SecurityWebFilterChain webFluxSecurityFilterChain(ServerHttpSecurity http) throws Exception {
        http.authorizeExchange()
                .pathMatchers("/**").access(authManagerHandler)
                .and().formLogin()
                .and().exceptionHandling().accessDeniedHandler(accessDeniedHandler)
                .and().cors().disable();
        return http.build();
    }
}

重启项目,访问一个没有权限的接口,就可以看到我们自定义的返回内容:
在这里插入图片描述
在这里插入图片描述
喜欢的小伙伴可以关注我的个人微信公众号,获取更多学习资料!

小毕超
关注
专栏目录
springboot2 webflux集成spring security权限登陆校验
chiying5380的博客
06-13 1万+
一、主要pom依赖包 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter</artifac...
Spring WebFlux – CVE-2023-34034 – 撰写和概念验证
最新发布
技术超强的网络安全平台
08-28 5860
Spring框架是一个广泛使用的基于Java的应用程序框架,为企业级Java应用的开发提供基础设施支持。是一个功能强大的身份验证和访问控制框架,也是保护基于 Spring 的应用程序的行业标准。它提供身份验证和授权,并且可以轻松扩展以满足自定义要求。Spring WebFlux是在 Spring 5 中引入的,作为传统框架的响应式编程替代方案。Spring WebFlux 的核心设计旨在处理异步、非阻塞和反应式编程范例。它提供了一种反应式编程模型,允许开发人员构建可扩展、响应迅速且具有弹性的应用程序。
spring security WebFlux 动态加载权限
Frinday的博客
05-28 1752
权限校验会调用 DelegatingReactiveAuthorizationManager -> check方法。DelegatingReactiveAuthorizationManager 里的mappings保存的是pathMatcher和对应的权限。 思路是拿到mappings,替换之前的权限。 把ServerHttpSecurity里的authorizeExchangeSpec替换为自定义的,authorizeExchangeSpec的configure方法里创建Authorizati.
Spring Security 系列(3) —— Spring Security & Webflux
qq_38219153的博客
07-14 1440
编写主启动类 开启表单登陆 表单验证登陆时 Serverlet 与 Webflux 的相关核心类的对照情况 添加 WebSecurity 的配置类 测试效果 进入登陆页面,输入 test 的用户名和密码,在登陆成功后请求 test3 可以看到被校验通过WebFlux 与 Servelet 的 OAuth2 核心类对照表 修改 Webflux 的配置 添加登陆用的 DTO 添加 OAuth2 配置类 添加 Controller 授权码模式实现 注入一个 client 用于...
spring securityspring webflux 中的使用
xxxcyzyy的博客
01-05 1152
https://blog.csdn.net/joker_2007/article/details/82736183 pring5增加了reactive web模块,相应的在spring security中也增加了[webflux-web-security]模块,相对于spring security 在配置和使用方面有略微的差异,下面主要说明简单的配置和自定义用户信息的配置。 import...
SpringBoot WebFlux整合Spring Security进行权限认证
asoklove的专栏
01-14 2276
环境Springboot2.5.8 请先阅读: Reactor响应式编程(Flux、Mono)基本用法 Spring WebFlux入门实例并整合数据库实现基本的增删改查 Spring Boot Security防重登录及在线总数 简介 Spring SecurityWebFlux支持依赖于WebFilter,对Spring WebFluxSpring WebFlux.Fn的作用相同。WebMVC依赖于Filter。 依赖管理 <dependency> <gro
spring_gateway_security_webflux.rar
07-24
1.本项目为SpringCloud Gateway的微服务框架,整合了SpringSecurity,微服务间使用Redis来获取登陆的用户信息。 2.由于Gateway采用的是纯Webflux方式,所以原有的Spring基于传统拦截器、过滤器的方式无法正常使用SpringSecurity。 3.因此,本项目根据WebFlux的方式,进行了整合,实现了登录和权限验证。
spring-boot-webflux-jjwt:示例Spring Boot和带有Spring Security和JWT的WebFlux(响应式Web),用于令牌认证和授权
01-30
该项目是关于如何在Spring Boot应用中集成Spring Security和JWT(JSON Web Tokens)来实现响应式WebWebFlux)的认证和授权。Spring Boot简化了Java应用的开发,而Spring Security则提供了强大的安全框架,JWT则是...
spring security动态配置url权限的2种实现方法
08-27
通过这种方式,你可以在不破坏Spring Security原有结构的前提下,利用框架提供的扩展点实现动态权限配置。这样做的好处是,你仍然可以享受Spring Security提供的安全特性,比如CSRF防护、会话管理等,同时还能满足...
SpringCloud Gateway整合Spring Security Webflux的关键点(痛点解析),及示例项目
热门推荐
tiancao222的博客
02-18 1万+
最近公司项目需要用到后端的认证、授权,且公司项目目前是基于SpringCloud Gateway的,所以想到都是一家的产品就决定使用Spring Security了。 但是在整合过程中,经历了种种磨难,所以把最终的整合关键点列出来,让需要的读者不用再碰的头破血流了。。。 网上也有基于SpringCloud和Spring Security整合的方案,关键在于我们公司的项目使用的是Gateway,...
spring-security.rar
04-06
Spring Security支持基于角色(Role-based Access Control, RBAC)和表达式(Expression-Based Access Control, EBAC)的授权机制。 4. **UserDetailsService**:这是一个接口,用于获取用户信息,通常从数据库或...
spring-webflux-security-jwt:使用Spring Reactive WebfluxSpring Boot 2和Spring Security 5的JWT授权和认证实现
01-30
使用JWT与Spring WebFluxSpring Security Reactive进行身份验证和授权 首先阅读的好文档 在开始之前,我建议您先阅读下一份参考 启用S​​pring WebFlux安全性 在你的应用程序首先使Webflux安全@EnableWebFluxSecurity @SpringBootApplication @EnableWebFluxSecurity public class SecuredRestApplication { .... } 创建一个InMemory UserDetailsS​​ervice 定义一个自定义UserDetailsService bean,在其中添加具有密码和初始角色的User: @Bean public MapReactiveUserDetailsService userDetailsRepository() { UserDetails user = User . withDefaultPasswordEncoder() .username( " user " )
SpringSecurity - WebFlux环境下整合JWT使用 Token 认证授权
小毕超博客
01-15 7174
一、SpringSecurity - WebFlux 上篇文章我们讲解了SpringSecurityWebFlux环境下的动态角色权限的控制,本篇文章我们一起讲解下SpringSecurityWebFlux环境下整合JWT使用 Token 认证授权。 上篇文章地址:https://blog.csdn.net/qq_43692950/article/details/122511037 二、整合JWT使用 Token 认证授权 在关于SpringSecurityWebFlux环境下的使用,在前面
webflux 环境中使用 Spring Security
2301_76607156的博客
04-11 2210
复制日志中出现的名称:,在 idea 中按两下 shift在类中可以看到如下代码:可以看到密码的来源于 User 对象,而 User 对象,由方法传入,但值最终都是取自对象。而就是一个读取配置文件的类,定义如下:spring:security:user:复制代码再次启动项目,就可以使用cxyxj在 mvc 中还自定义过登录成功响应、登录失败响应、登录无权限访问响应、未登录访问认证资源响应、登出成功响应。那在 webflux 中如何自定义呢?
WebFluxSecurity6添加自定义登录过滤器
孔的博客
04-25 436
【代码】WebFluxSecurity6添加自定义登录过滤器。
Spring WebFlux (3): mysql+Springboot Security实现登录鉴权
泛泛之素
08-12 3464
Security主要有两个功能: 登录 鉴权 Security通过一个user相关类存储用户信息,实现UserDetails接口功能: 看一下Security自带的User类, 主要变量: password:密码 username: 账户名 authorities: 访问权限 accountNonExpired:账户没有过期 isAccountNonLocked:账户没被锁定 (是否冻结) isCredentialsNonExpired:密码没有过期 isEnabled:账户是否可用(是否被删除)
webflux+spring security+gateway使用
fall_hat的博客
04-08 1981
ReactiveUserDetailsService 是Webflux Security的一个核心接口, 代表了Spring Security 安全体系中的用户信息, 它只有一个接口方法Mono findByUsername(String username);
SpringBoot WebFlux集成WebFluxSecurity做登录权限验证
不会飞的小龙人的博客
08-31 1万+
前言 本文,演示Spring Boot Weflux集成SpringSecurity安全验证框架做项目的身份验证与权限管理;通过@EnableWebFluxSecurity注解加载与配置Security权限与用户登录信息,通过@EnableReactiveMethodSecurity注解在标准方法上用表达式模型做安全控制设置,如:使用@PreAuthorize注解在方法上控制用户访问RestAPI做权限验证;采用jwt做登录会话数字签名,通过jwt验证后,从jwt中获取用户唯一标识,在做相应业务验权和调用
spring security webflux 使用
weixin_43931625的博客
06-05 1661
springsecuritywebFlux使用
spring-boot-starter-webfluxspring-boot-starter-web
09-14
spring-boot-starter-webfluxspring-boot-starter-webSpring Boot 框架中用于构建 Web 应用程序的两个不同模块。 spring-boot-starter-web 是基于 Servlet 容器的传统 Web 开发模块,它使用的是 Servlet 技术栈,包括 Spring MVC 等组件。它适用于开发传统的同步阻塞式的 Web 应用程序。 而 spring-boot-starter-webflux 是基于响应式编程的 Web 开发模块,它使用的是 Reactor 技术栈,包括 Spring WebFlux 等组件。它适用于开发高并发、非阻塞、异步的 Web 应用程序。 两者之间的区别在于编程模型和底层实现方式。spring-boot-starter-webflux 提供了更高级别的抽象,使开发者能够更容易地编写非阻塞的、响应式的代码。而 spring-boot-starter-web 则更适合传统的同步阻塞式开发方式。 选择使用哪个模块取决于你的项目需求和开发团队的熟悉程度。如果你需要支持高并发、非阻塞的场景,或者希望使用响应式编程模型,那么可以选择 spring-boot-starter-webflux。如果你更熟悉传统的同步阻塞式开发方式,或者项目需求并不需要响应式编程,那么可以选择 spring-boot-starter-web
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小毕超

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值