一二三应用开发平台——集成Spring Security组件实现功能权限控制

最新推荐文章于 2025-01-08 12:03:04 发布
原创 最新推荐文章于 2025-01-08 12:03:04 发布 · 1.1k 阅读 · 22 ·
CC 4.0 BY-SA版权
本文为博主原创文章,未经博主允许不得转载。
文章标签:

#Spring Security #功能权限 #Security集成 #功能权限实现 #功能权限设计 #安全框架集成 #Apache Shiro

背景

前文对整体实现方案做了说明,接下来,我们来让这一方案落地。

主流安全框架

在java开源领域,主流安全框架有两个,分别是Spring Security和Apache Shiro,以下是它们的一些比较:

  1. 集成和生态系统

Spring Security:

与Spring框架紧密集成,提供了对Spring应用程序的全面安全支持。
作为Spring生态系统的一部分,它可以很容易地与Spring Data、Spring Boot等其他Spring项目集成。
Apache Shiro:

独立于Spring,可以轻松集成到任何Java应用程序中,不仅限于Spring。
提供了与Java EE环境的集成,如Servlets和Java EE realms。
2. 配置和易用性
Spring Security:

配置相对复杂,尤其是对于初学者。它提供了XML配置和Java配置两种方式。
随着Spring Boot的出现,Spring Security的配置变得更加简洁,许多配置可以自动完成。
Apache Shiro:

配置相对简单直观,易于理解和使用。
提供了基于INI配置文件的方式,使得配置变得非常灵活和可读。
3. 功能和特性
Spring Security:

提供了丰富的安全特性,包括OAuth2、LDAP、X.509、CAS等。
支持多种认证方式,如表单登录、HTTP Basic、Digest、OAuth等。
Apache Shiro:

提供了核心的安全功能,包括认证、授权、加密和会话管理。
支持自定义的Realms,可以轻松扩展以支持各种认证和授权机制。
4. 性能
Spring Security:

由于其丰富的特性和Spring框架的重量级,可能在性能上不如Apache Shiro轻量。
Apache Shiro:

以轻量级著称,性能优异,适合对性能要求较高的应用。
5. 社区和文档
Spring Security:

拥有庞大的社区和丰富的文档资源,易于获取帮助和最佳实践。
Apache Shiro:

社区相对较小,但文档齐全,对于熟悉Apache项目的用户来说,学习和使用起来也很方便。
6. 学习曲线
Spring Security:

学习曲线较陡峭,尤其是对于Spring Security的高级特性。
Apache Shiro:

学习曲线较为平缓,易于上手。

总结
选择Spring Security还是Apache Shiro取决于项目需求、团队熟悉度以及对性能的要求。如果你的项目已经在使用Spring框架,并且需要一个功能丰富且与Spring生态系统紧密集成的安全解决方案,Spring Security可能是更好的选择。如果你需要一个轻量级、易于配置且性能优异的安全框架,Apache Shiro可能更适合你的需求。

简单来说,Apache Shiro更轻量级,配置简单,而Spring Security功能更强大,配置也相对更复杂一些,门槛较高。

考虑到平台的扩展性,这里我最终选择了Spring Security。

实现

首先说明一点,Spring Security是一个安全框架,基于RBAC模型实现了功能权限控制,但是对于基础的关系表(用户、角色、权限项)及对应关系(用户与角色、角色与权限项),Spring Security并不负责创建和管理,仍需要平台或系统自行实现。

Spring Security提供了框架,通过预置的接口和服务,来实现最终的功能权限控制功能。

控制器层

需要在具体的控制器类的方法上,添加注解,如下示例:

/**
 * 列表
 */
@GetMapping("/list")
@SystemLog(value = "用户-列表")
@PreAuthorize("hasPermission(null,'system:user:query')")
public ResponseEntity<Result> list(UserVO queryVO, SortInfo sortInfo) {
    // 构造查询条件
    QueryWrapper<User> queryWrapper = QueryGenerator.generateQueryWrapper(User.class, queryVO, sortInfo);
    List<User> list = userService.list(queryWrapper);
    // 转换vo
    List<UserVO> userVOList = convert2VO(list);
    return ResultUtil.success(userVOList);
}

Spring Security提供了权限注解为@PreAuthorize:

@PreAuthorize("hasPermission(null,'system:user:query')")

在Spring Security中,@PreAuthorize 注解用于在方法执行之前进行权限检查。如果检查通过,则方法可以正常执行;如果检查不通过,则会抛出异常,阻止方法的执行。

@PreAuthorize("hasPermission(null,'system:user:query')") 这行代码的含义是:

  • @PreAuthorize:这是一个Spring Security的注解,用于在方法执行前进行权限检查。
  • hasPermission:这是一个自定义的权限检查表达式,用于确定当前认证的用户是否具有执行该方法的权限。
  • null:在这里,null 通常表示当前请求中的域对象(domain object),在这个表达式中没有使用具体的域对象,所以传入null
  • 'system:user:query':这是一个权限字符串,表示具体的权限。在这个例子中,它可能表示查询用户信息的权限。

简而言之,@PreAuthorize("hasPermission(null,'system:user:query')") 表示在执行被注解的方法之前,需要检查当前用户是否具有system:user:query这个权限。如果用户没有这个权限,方法将不会被执行,并且通常会返回一个HTTP状态码403(禁止访问)。

请注意,hasPermission 表达式的确切行为取决于你的应用程序如何配置和实现权限检查逻辑。在Spring Security中,默认情况下,你可能需要使用@PreAuthorize("hasAuthority('system:user:query')") 或者 @PreAuthorize("hasRole('SYSTEM_USER_QUERY')") 这样的表达式,具体取决于你的权限配置和角色设置。hasPermission 可能需要自定义的权限评估器(PermissionEvaluator)来解析和验证权限表达式。

自定义权限评估器

上一章节,用到了一个hasPermission的表达式,这个表达式是我们自行定义的,继承Spring Security框架的PermissionEvaluator接口,如下所示:

package tech.abc.platform.framework.security;

import com.baomidou.mybatisplus.core.conditions.query.QueryWrapper;
import tech.abc.platform.common.enums.StatusEnum;
import tech.abc.platform.common.exception.CustomException;
import tech.abc.platform.common.utils.UserUtil;
import tech.abc.platform.framework.config.PlatformConfig;
import tech.abc.platform.system.entity.PermissionItem;
import tech.abc.platform.system.exception.PermissionItemExceptionEnum;
import tech.abc.platform.system.service.PermissionItemService;
import tech.abc.platform.system.service.UserService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.access.PermissionEvaluator;
import org.springframework.security.core.Authentication;
import org.springframework.stereotype.Component;

import java.io.Serializable;

/**
 * 自定义权限表达式
 *
 * @author wqliu
 * @date 2023-03-08
 */
@Component
public class MyPermissionEvaluator implements PermissionEvaluator {

    @Autowired
    private PermissionItemService permissionItemService;

    @Autowired
    private PlatformConfig appConfig;

    @Autowired
    private UserService userService;

    @Override
    public boolean hasPermission(Authentication authentication, Object targetDomainObject, Object permission) {

        return hasPermission(authentication, permission);
    }


    private boolean hasPermission(Authentication authentication, Object permission) {

        if (appConfig.getSystem().isEnablePermission()) {
            // 首先判断该资源
            QueryWrapper<PermissionItem> queryWrapper = new QueryWrapper<>();
            queryWrapper.lambda().eq(PermissionItem::getPermissionCode, permission.toString());
            PermissionItem entity = permissionItemService.getOne(queryWrapper);
            // 不存在
            if (entity == null) {
                throw new CustomException(PermissionItemExceptionEnum.NOT_EXIST);
            }
            // 停用
            if (entity.getStatus().equals(StatusEnum.DEAD.name())) {
                throw new CustomException(PermissionItemExceptionEnum.STATUS_IS_DEAD);
            }

            // 权限验证
            userService.checkPermission(UserUtil.getId(), entity.getPermissionCode());
            return true;

        } else {
            return true;
        }
    }

    @Override
    public boolean hasPermission(Authentication authentication, Serializable targetId, String targetType, Object permission) {
        return false;
    }
}

内部控制逻辑比较简单,先判断全局配置项,是否启用的权限控制,若开启,则先判断权限编码是否存在,如存在且状态为正常,则调用用户服务userService的权限验证方法checkPermission,验证是否有权限。

具体验证逻辑是验证当前用户拥有的用户组,是否具备权限编码对应的权限,sql如下:

 <select id="checkPermission" resultType="java.lang.Integer">
        select count(1) as count
        from sys_permission_item p
            left join sys_group_permission_item rp
        on p.id=rp.PERMISSION_ITEM_ID
            left join sys_user_group r on r.id=rp.group_ID
            left join sys_group_user ru on ru.group_id=r.id
            left join sys_user u on ru.user_id=u.id
        where u.id=#{id}
          and r.status='NORMAL'
          and p.status='NORMAL'
          and p.permission_code=#{permissionCode}
    </select>

配置权限评估器

上一章节,我们自定义了权限评估器,需要注意的是,并不是定义了就会生效,需要额外配置,继承Spring Security框架类WebSecurityConfigurerAdapter的情况下,覆写其中的方法,如下:

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class Spring SecurityConfig extends WebSecurityConfigurerAdapter{

    @Override
    public void configure(WebSecurity web) {
        web.expressionHandler(new DefaultWebSecurityExpressionHandler() {
            @Override
            protected SecurityExpressionOperations createSecurityExpressionRoot(Authentication authentication, FilterInvocation fi) {
                WebSecurityExpressionRoot root = (WebSecurityExpressionRoot) super.createSecurityExpressionRoot(authentication, fi);
                root.setPermissionEvaluator(myPermissionEvaluator);
                return root;
            }
        });
    }
    
}

同时注意该类,需要添加注解@EnableGlobalMethodSecurity(prePostEnabled = true)。

在Spring Security中,@EnableGlobalMethodSecurity 注解用于开启全局方法安全性控制,即启用方法级别的安全性控制。当你使用这个注解时,Spring Security将开始处理所有被安全注解(如@PreAuthorize@PostAuthorize@Secured等)标记的方法调用。

配置权限控制

除了上一章节要做的配置外,还需要对权限控制进行配置,依然是继承Spring Security框架类WebSecurityConfigurerAdapter的情况下,覆写其中的方法,如下:

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class Spring SecurityConfig extends WebSecurityConfigurerAdapter {



    @Override
    protected void configure(HttpSecurity http) throws Exception {

        // 身份认证配置部分 略


        // 配置允许访问页面
        http.authorizeRequests()
                // 允许跨域请求中的Preflight请求
                .requestMatchers(CorsUtils::isPreFlightRequest).permitAll()
                // 允许swagger文档接口匿名访问
                .antMatchers("/swagger-ui.html").anonymous()
                .antMatchers("/swagger-resources/**").anonymous()
                .antMatchers("/webjars/**").anonymous()
                .antMatchers("/*/api-docs").anonymous()
        ;

        // 配置其他请求
        http.authorizeRequests()
                .anyRequest()
                // 注意:此处若设置为authenticated,则基于url的过滤器优先级高于方法体上的@PreAuthorize
                // 如通知公告中的图片请求,会因为没有附加token导致未认证被拦截
                .permitAll();

    }


}

有几个关键的点:

  1. requestMatchers(CorsUtils::isPreFlightRequest):这是一个请求匹配器,它使用CorsUtils.isPreFlightRequest()方法来检查请求是否是跨域请求中的预检请求(Preflight request)。预检请求是 CORS(跨源资源共享)的一部分,用于在实际请求之前检查服务器是否允许跨域请求。
  2. 对于一些无需登录即可访问的页面,如swagger生成的接口文档,使用.antMatchers(“/swagger-ui.html”).anonymous()方式来允许匿名访问。
  3. 对于其他请求,使用 permitAll(),这里的其他请求,实际是没有在控制器类中使用@PreAuthorize标注的方法。

自定义权限访问注解

此外,为了方便在控制类方法上灵活设置各种场景下的权限控制,使用了几个自定义注解,如下:

/**
 * 允许任意访问
 * 已确认,方法上不配置权限表达式,起到的效果一样
 * 但仍建议加上,以明确该方法允许访问。而不是忘记做权限控制
 *
 * @author wqliu
 * @date 2023-03-06
 */

@Retention(RetentionPolicy.RUNTIME)
@Target({ElementType.METHOD})
@PreAuthorize("permitAll()")
public @interface AllowAll {


}

/**
 * 允许匿名用户访问
 *
 * @author wqliu
 * @date 2023-03-06
 */

@Retention(RetentionPolicy.RUNTIME)
@Target({ElementType.METHOD})
@PreAuthorize("isAnonymous()")
public @interface AllowAnonymous {


}


/**
 * 允许已登录用户访问
 *
 * @author wqliu
 * @date 2023-03-06
 */

@Retention(RetentionPolicy.RUNTIME)
@Target({ElementType.METHOD})
@PreAuthorize("isAuthenticated()")
public @interface AllowAuthenticated {


}


/**
 * 禁止任何访问
 * 仅是预留,目前未有合适的场景使用,可能用于部分极其重要的控制器,仅限于内部使用
 * 但内部使用往往是服务层调用,而不是控制器层
 *
 * @author wqliu
 * @date 2023-03-06
 */

@Retention(RetentionPolicy.RUNTIME)
@Target({ElementType.METHOD})
@PreAuthorize("denyAll()")
public @interface DenyAll {


}

开源平台资料

平台名称:一二三开发平台

简介: 企业级通用开发平台

设计资料:[csdn专栏]

开源地址:[Gitee]

开源协议:MIT

如果您在阅读本文时获得了帮助或受到了启发,希望您能够喜欢并收藏这篇文章,为它点赞~
请在评论区与我分享您的想法和心得,一起交流学习,不断进步,遇见更加优秀的自己!

SpringBoot整合框架——集成SpringSecurityshiro
m0_61506558的博客
11-04 986
Spring Security 是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型,他可以实现强大的Web安全控制,对于安全控制,我们仅需要引入spring-boot-starter-security 模块,进行少量的配置,即可实现强大的安全管理WebSecurityConfigurerAdapter:自定义Security策略AuthenticationManagerBuilder:自定义认证策略。
SpringSecurity】认证与鉴权框架SpringSecurity——授权
低调做人,低调编码,神码都是浮云
06-24 1627
认证与鉴权框架SpringSecurity——授权
SpringSecurity 自定义PermissionEvaluator进行数据权限校验和访问限制
明平姚的博客
12-14 1537
SpringSecurity 自定义PermissionEvaluator进行数据权限校验和访问限制
Spring Security集成的详细步骤
最新发布
01-08 1389
这只是Spring Security集成的基本步骤。在实际应用中,可能还需要配置更多的功能,如自定义登录页面、与数据库集成进行用户认证、处理跨域资源共享(CORS)等。例如,要使用自定义登录页面,可以在。并且这个页面对于所有用户都是可访问的(这样,当用户需要登录时,会被重定向到。
Security6.2 中的SpEL 表达式应用(权限注解使用)
慢慢来的博客
02-20 1303
最近学习若依框架,里面的权限注解涉及到了SpEL表达式 @PreAuthorize("@ss.hasPermi('system:user:list')"),若依项目中用的是自己写的方法进行权限处理, 也可以只用security实现权限逻辑代码,下面写如何用security 实现。1、securityConfig文件上加入注解@EnableMethodSecurity,且引入自定义评估器:CustomPermissionEvaluator。2、编写CustomPermissionEvaluator文件。
spring 权限PermissionEvaluator
Alice_whj的博客
03-18 3234
Spring Security——基于表达式的权限控制 Spring Security允许我们在定义URL访问或方法访问所应有的权限时使用Spring EL表达式,在定义所需的访问权限时如果对应的表达式返回结果为true则表示拥有对应的权限,反之则无。 通过表达式控制方法权限 Spring Security中定义了四个支持使用表达式的注解,分别是@PreAuthorize、@PostAuthor...
SpringBoot集成Spring Security(5)——权限控制
SKT_T1_Faker的博客
11-20 1374
在第一篇中,我们说过,用户&lt;–&gt;角色&lt;–&gt;权限三层中,暂时不考虑权限,在这一篇,是时候把它完成了。 为了方便演示,这里的权限只是对角色赋予权限,也就是说同一个角色的用户,权限是一样的。当然了,你也可以精细化到为每一个用户设置权限,但是这不在本篇的探讨范围,有兴趣可以自己实验,原理都是一样的。 目录 一、数据准备 1.1 创建sys_permission表 1.2 ...
Spring boot 项目(二十二)——集成Spring Security,完成用户登录
weixin_45974176的博客
06-05 1394
集成SpringSecurity + mybatisplus完成自定义登录验证
springboot项目——基于springSecurity实现的前后端分离的企业级人事管理系统
10-03
本文将深入探讨如何在SpringBoot项目中集成SpringSecurity,构建一个前后端分离的企业级人事管理系统。 首先,SpringBoot简化了Spring应用的初始化和配置过程,使得开发者可以快速搭建项目结构。在这个案例中,...
SpringBoot集成Spring Security登录管理 添加 session 共享【完整源码+数据库】
02-16
在本文中,我们将深入探讨如何在SpringBoot应用中集成Spring Security进行登录管理,并实现session共享。这是一项关键的安全措施,可以确保用户会话在多个微服务之间的一致性。我们将基于给定的标签——SpringBoot、...
SpringSecurity权限控制
拒绝熬夜啊的博客
11-30 1398
文章目录SpringSecurity权限控制1 数据准备2 创建 POJO、Mapper、Service3 自定义PermissionEvaluator SpringSecurity权限控制 1 数据准备 创建 sys_permission 表并插入数据 CREATE TABLE `sys_permission` ( `id` int(11) NOT NULL AUTO_INCREMENT, `url` varchar(255) DEFAULT NULL, `role_id` int(1
Spring Security - 授权(Authorization)
Flying_Fish_roe的博客
09-28 1646
在 Web 应用程序中,授权(Authorization)是指确定用户是否有权访问特定资源或执行某个操作的过程。在授权之前,系统需要先完成身份认证(Authentication),即确定用户的身份。只有当用户的身份被确认后,才会进入授权阶段,判断该用户是否具备访问某些功能或资源的权限。是一个用于保护 Java Web 应用程序的安全框架,支持身份认证与授权。在 Spring Security 中,授权主要通过配置和注解来实现,开发者可以很方便地控制用户对不同资源的访问权限
基于Spring Security实现权限管理系统
热门推荐
要坚持,要认真。
11-06 7万+
基于Spring Security实现权限管理系统 稍微复杂一点的后台系统都会涉及到用户权限管理。何谓用户权限?我的理解就是,权限就是对数据(系统的实体类)和数据可进行的操作(增删查改)的集中管理。要构建一个可用的权限管理系统,涉及到三个核心类:一个是用户User,一个是角色Role,最后是权限Permission。接下来本文将介绍如何基于Spring Security 4.0一步一步构建起一个接...
从零开始java安全权限框架篇(二):spring security实现权限
qq_35755863的博客
08-31 1810
目录 一.spring security控制权限 二:后端验证 1.验证流程 2.配置 (1)配置自定义角色权限验证 (2)在config中声明改配置 (3).controller中配置权限 (4)注意点 (5)说明 三:权限控制按钮权限的显示 1.引入依赖 2.页面引入与控制 3.使用标签 4.修改登录方法 一.spring security控制权限 secu...
PermissionEvaluator接口的用处
taiguolaotu的博客
01-16 3594
这篇博客接上一篇博客,请大家完整阅读。 spring security中有一个PermissionEvaluator接口,其作用能够做到更好的鉴权的目的。 首先说明,我们需要先写一个类继承该接口。比如该类名字就叫做UserPermissionEvaluator,如何使该类生效,再次声明,请看上篇博客。 @PreAuthorize("hasPermission('...
Spring Security-- 使用权限编码控制权限
小毛贼_哪里逃
03-23 1791
spring security中,如果权限字符以"ROLE_"开头,者可以使用@PreAuthorize("hasRole('ROLE_ADMIN')")注解匹配,其他使用@PreAuthorize("hasAuthority('user:write')")注解匹配 修改建表结构 CREATE TABLE `permission` ( `id` bigint(11) NOT N...
分布式系统认证解决方案SpringSecurityOAuth2.0(一)认证授权
DreamsArchitects的博客
08-19 1223
目录一、简介二、认证2.1 认证流程2.2 代码实现表结构配置类 WebSecurityConfigurerAdapter认证逻辑 UserDetailsService2.3 认证测试匿名访问使用 zs 登录使用 ls 登录三、授权3.1 授权流程3.2 代码实现表结构授权逻辑 PermissionEvaluator@EnableGlobalMethodSecurity开启注解校验@PreAuthorize("hasPermission('/r/r1','p1')")3.3 授权测试使用 zs 登录3.4
Spring Boot 入门四】Spring Boot安全机制 - 保护你的应用安全
sinner小屋
11-11 987
实现接口在实际应用中,我们通常需要从数据库中获取用户信息进行身份验证。为此,我们可以实现接口。@Service@Override// 这里应该从数据库中查询用户信息} else {从数据库中获取用户信息进行身份验证在上述代码中,方法应该从数据库中查询用户信息。这里为了演示,我们只是简单地模拟了查询过程。实际应用中,我们需要连接数据库,根据用户名查询用户密码、角色等信息,并构建对象返回。在这篇文章中,我们深入学习了Spring Boot的安全机制。
spingsecurity中haspermission用法以及配置自定义PermissionEvaluator
xmj_0422的博客
08-13 1万+
一、原理剖析 先看一段官方文档对haspermission的描述(文档链接:https://docs.spring.io/spring-security/site/docs/5.2.7.BUILD-SNAPSHOT/reference/htmlsingle/#el-permission-evaluator) 开头的意思是haspermission的注解会委托给PermissionEvaluator接口,而这个接口默认实现是DenyAllPermissionEvaluator(源码如下) 这个类的两个
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

行者无疆1982

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值