SpringSecurity原理(三)——授权

最新推荐文章于 2024-01-19 13:37:02 发布
最新推荐文章于 2024-01-19 13:37:02 发布
阅读量1k 收藏 1
点赞数 5
分类专栏: Spring Java 文章标签: SpringSecurity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/trayvontang/article/details/116492041
版权
Java 同时被 2 个专栏收录
28 篇文章 0 订阅
订阅专栏
Spring
22 篇文章 4 订阅
订阅专栏

文章目录

概述

SpringSecurity原理(一)——初探
SpringSecurity原理(二)——认证
SpringSecurity原理(三)——授权
SpringSecurity原理(四)——过滤器
SpringSecurity原理(五)——扩展与配置

前面,我们已经简单的介绍了一下校验用户名和密码的认证过程。

这里,我们来了解一下Spring Security的权限校验过程。

首先,我们还是先通过一个简单的示例,来大致了解一下Spring Security的授权是个什么操作。

示例

首先,我们还是尽量保持简单,在之前的项目之上稍作修改,项目结构基本没有变化,只是修改一下我们的UserDetailsService,添加上用户的权限,然后修改我们的测试接口,给它添加上权限限制。

项目结构

UserDetailsService

import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;

import java.util.List;

@Service
public class MyUserDetailService implements UserDetailsService {

	@Override
	public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
		String authority = "ROLE_admin,ROLE_teacher,read,write";
		List<GrantedAuthority> grantedAuthorities = AuthorityUtils.commaSeparatedStringToAuthorityList(authority);
		return User.builder()
				.username("bob")
				.password("$2a$10$344aKAgXr17q7u.8l5i7Cu8wUJr/cxBIniLsVtf/WwFrPx0khY62K")
				.authorities(grantedAuthorities)
				.build();
	}
}

如果我们没有做特别的修改配置,Spring Security默认使用的GrantedAuthority是SimpleGrantedAuthority。

SimpleGrantedAuthority权限很简单,对得起它Simple的前缀,就只有一个字符串变量role表示角色。

权限类怎么设计是一回事,怎样校验权限又是另一回事,并且是更重要的一回事。

例如,看SimpleGrantedAuthority源码设计的目的肯定是用来表示一个用户有没有admin、editor、tech这类角色属性的。

但是和@PreAuthorize、@PostAuthorize、@Secured一起就被摆弄了十八般模样,变成:

可以校验:权限和角色

但是SimpleGrantedAuthority要守规矩:标识角色的SimpleGrantedAuthority的role必须有:ROLE_前缀,当然这也是可以反抗的,配置为其他前缀也行,但SimpleGrantedAuthority本身没啥发言权,自主权不在身上只能任人宰割。

Spring Security的User很给力,接收SimpleGrantedAuthority参数,也可以接收代表权限的字符串list,底层还是转为了SimpleGrantedAuthority列表。当然更给力的是User提供了一个roles接口,可以直接设置角色role,而不用自己去加ROLE_前缀了。

例如,向我们之前配置测试用户就用过的:

auth.inMemoryAuthentication()
				.withUser("tim")
				.password("111111")
				.roles("admin")
				.and()
				.withUser("allen")
				.password("222222")
				.roles("user");

当然,也可以像上面的示例代码一样,使用写成一个字符串,用逗号分割,然后通过工具类方法AuthorityUtils.commaSeparatedStringToAuthorityList转换。

IndexController

import org.springframework.security.access.annotation.Secured;
import org.springframework.security.access.prepost.PreAuthorize;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
@RequestMapping("/index")
public class IndexController {

    @RequestMapping("/hello")
    public String hello(){
        return "Hello World";
    }

    @PreAuthorize("hasRole('admin')")
    @RequestMapping("/admin")
    public String admin() {
        return "admin";
    }

    @PreAuthorize("hasRole('admin') && hasAuthority('update')")
    @RequestMapping("/admin-update")
    public String adminAndUpdate() {
        return "adminAndUpdate";
    }

    @PreAuthorize("hasAuthority('read')")
    @RequestMapping("/read")
    public String read() {
        return "read";
    }

    @PreAuthorize("hasAuthority('update')")
    @RequestMapping("/update")
    public String update() {
        return "update";
    }

    @Secured({"ROLE_user"})
    @RequestMapping("/user")
    public String user() {
        return "user";
    }
}

如果不去深究@PreAuthorize、@PostAuthorize、@Secured原理,只是使用非常简单,只需要添加上下面的注解,然后就可以放心使用了。

@EnableGlobalMethodSecurity(prePostEnabled = true,securedEnabled = true)

  1. @PreAuthorize是接口执行之前调用
  2. @PostAuthorize是接口执行之后调用
  3. @Secured校验角色的时候必须加上ROLE_前缀

其他添加权限控制方式

除了@PreAuthorize、@PostAuthorize、@Secured控制权限外,我们还可以通过HttpSecurity来配置权限。

在SecurityConfig(继承了WebSecurityConfigurerAdapter)中添加:

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.authorizeRequests()
            .antMatchers("/home", "/js/*","/img/*").permitAll()
            .antMatchers("/admin/**","/upload/**").hasAnyRole("admin")
            .antMatchers("/order/**").hasAnyRole("user","admin")
            .antMatchers("/tech/**").hasAnyRole("tech","admin")
            .anyRequest().authenticated();
    http.formLogin();
}

HttpSecurity还可以配置很多东西,我们后面再一点一点介绍。

上面我们简单的了解了一下Spring Security为我们提供的权限控制与校验,一般也就够用了。

但是,如果我们要:

  1. 设计自己的权限体系
  2. 修改权限校验的规则
  3. 自定义权限和自定义校验

那又该如何?

下面,我们就来简单了解一下Spring Security的权限与鉴权的流程。

GrantedAuthority

首先还是GrantedAuthority,它是用户权限的抽象,例如拥有什么角色role,有什么标识principal之类。

Spring Security为我们提供了3个GrantedAuthority实现类:

  1. SimpleGrantedAuthority:最重要的权限是角色
  2. SwitchUserGrantedAuthority:存储用户切换原用户的Authentication,像Windows用户切换用户操作
  3. JaasGrantedAuthority:除了角色,还多了Principal

JaasGrantedAuthority中的JASS(Java Authentication and Authorization Service),Java认证与授权服务,这个类更多是设计为JaasAuthenticationProvider与DefaultJaasAuthenticationProvider服务的,但是需要自己实现AuthorityGranter。

怎么设计GrantedAuthority很灵活,根据实际情况设计即可,问题的关键在于怎样校验。

在Spring Security授权体系中有一个非常重要的类FilterSecurityInterceptor,它虽然是以Interceptor结尾,但是它是一个拦截器。它控制了授权流程,为了过于算乱,跑遍了,我们在后面文章的过滤器中再介绍。

这里,我们先介绍一下和权限具体判定有关的投票者(AccessDecisionVoter)和投票管理器(AccessDecisionManager)。

AccessDecisionVoter

投票者有3个选项,已经固化在了它们的身体中:

// 同意
int ACCESS_GRANTED = 1;
// 弃权
int ACCESS_ABSTAIN = 0;
// 拒绝
int ACCESS_DENIED = -1;

Spring Security已经为我们提供了很多默认的投票者:
投票者

RoleVoter的投票方式就是,如果权限authority为空就拒绝,如果权限中有一个角色role和检查权限equals就同意。

RoleHierarchy表示角色继承,例如角色admin可以访问角色tech的所有权限,就可以表示为:

@Bean
protected RoleHierarchy roleHierarchy() {
    RoleHierarchyImpl hierarchy = new RoleHierarchyImpl();
    hierarchy.setHierarchy("ROLE_admin > ROLE_tech");
    return hierarchy;
}

WebExpressionVoter就是根据SpEL表达式的计算值是否为true来决定同意还是拒绝。

我们前面介绍的@PreAuthorize、@PostAuthorize、@Secured就是使用的WebExpressionVoter。

如果对Spring EL不熟悉,可以看一下:

Spring EL小记一
Spring EL小记二

AccessDecisionManager

AccessDecisionManager是投票管理器,一次投票一般不会只有一个投票者,投票管理器的作用就是持有投票者的list,然后根据投票者的投票,最终统计出一个结果。

这里就涉及不同投票统计的策略了,所以Spring Security为我们提供了3个具体实现类:

  1. AffirmativeBased,霸权模式,表示一票通过
  2. ConsensusBased,民主模式,表示少数服从多数
  3. UnanimousBased,投资人模式,表示一票否决

在使用@PreAuthorize、@PostAuthorize、@Secured的时候,默认就是AffirmativeBased,只要有一票就通过。

TIP:和AccessDecisionManager比较像的是AfterInvocationManager,它管理一些AfterInvocationProvider,用于决定调用返回值。

权限校验SpEL

最后,在说一点,我们使用的的SpEL的校验:

@PreAuthorize(“hasRole(‘admin’) && hasAuthority(‘update’)”)

实际使用了MethodSecurityExpressionRoot,它继承了SecurityExpressionRoot,最顶层接口是SecurityExpressionOperations,整个继承体系是:

在这里插入图片描述

正真执行是在SecurityExpressionRoot的hasAnyAuthorityName方法:

private boolean hasAnyAuthorityName(String prefix, String... roles) {
    Set<String> roleSet = getAuthoritySet();
    for (String role : roles) {
        String defaultedRole = getRoleWithDefaultPrefix(prefix, role);
        if (roleSet.contains(defaultedRole)) {
            return true;
        }
    }
    return false;
}

文档

Spring Security官方文档

trayvontang
关注
  • 5
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
【项目实训】Spring Security授权
par_ser的博客
06-11 391
授权是web应用常见的需求,我们需要针对不同的用户,根据他们不同的权限,放行相应的接口。在SpringSecurity中,会使用默认的FilterSecurityInterceptor来进行权限校验。在FilterSecurityInterceptor中会从SecurityContextHolder获取其中的Authentication,然后获取其中的权限信息。当前用户是否拥有访问当前资源所需的权限。因此,在应用spring security的项目中,我们需要将权限信息存入Authentication。sp
Spring Security API: GrantedAuthority
dengdeying的博客
12-27 523
GrantedAuthority Declared package org.springframework.security.core; public interface GrantedAuthority extends Serializable Class Jdoc 表示授权给用户的权限。 GrantedAuthority 必须是字符串,或者由AccessDecisionManager专门支持...
【详解】Spring Security的GrantedAuthority(已授予的权限)
蔡小波的博客
06-10 1万+
转自:https://www.cnblogs.com/longfurcat/p/9417422.html 感谢大佬 前言   这篇是很久之前学习Spring Security整理的博客,发现浏览量都1000多了,一个赞都没有,那说明写得确实不怎么样,哈哈。应该很多初学者对这个接口存在疑问,特别是如果学习这个框架之前还了解过Shiro,可能会因为这两个框架角色、权限的表示方式,产生困惑。现在重新整理一下。 GrantedAuthority接口 我们知道UserDeitails接口里面有一...
Spring Security自定义GrantedAuthority前缀
小汤圆
08-18 571
如果我们正使用Spring Security提供默认的基于方法的权限认证注解如下: @PreAuthorize(“hasAnyRole(‘ADMIN’, ‘USER’)”) public void moveTo(String id, String parentId) { // … } 而在我们自定义实现的GrantedAuthority,或是SS提供的SimpleGrantedAuthority, public interface GrantedAuthority extends Serializable
Spring Security:授权GrantedAuthority介绍
kaven
01-06 6963
在之前的博客中,已经介绍了Spring Security的用户UserDetails、用户服务UserDetailsService和密码编码器PasswordEncoder,它们都是用于验证用户的身份,而GrantedAuthority则表示用户验证通过后被授予的权限(可能授予多种权限),本篇博客介绍GrantedAuthority接口及其实现类。 Spring Security:用户UserDetails源码与Debug分析 Spring Security:用户服务UserDetailsService源
Spring Security 资料合集
01-24
这三份资料——"实战Spring Security 3.x.pdf"、"Spring Security 3.pdf" 和 "Spring Security使用手册.pdf" 将深入探讨这些概念,并提供实践指导,帮助读者掌握如何在实际项目中应用Spring Security。通过学习这些...
spring security3.1高级详细开发指南
04-07
Spring Security 是一个强大的安全框架,主要用于Java应用的安全管理。...这个高级详细开发指南将详细解析配置和代码,帮助读者深入理解Spring Security 3.1的工作原理和使用技巧,以便在实际项目中应用。
spring-security-core-2.0.6.RELEASE
07-14
《Spring Security核心模块详解——基于2.0.6.RELEASE版本》 在Java Web开发领域,Spring Security是一款广泛使用的安全框架,它为应用程序提供了全面的安全管理解决方案,包括身份验证、授权以及会话管理等关键...
Spring Security3.pdf
08-03
在Spring Security3中,我们首先会接触到的是其核心概念——访问控制。该框架采用基于角色的访问控制(RBAC)模型,允许开发者定义不同角色以及它们对资源的权限。通过配置XML或使用注解,我们可以为URL、方法甚至...
spring security 2.0 的简单配置使用(补)——用aop控制method级权限
03-01
对于深入理解Spring Security的工作原理,查看源码是十分有帮助的。例如,`AccessDecisionManager`的实现类,如`AffirmativeBased`和`UnanimousBased`,以及`AccessDecisionVoter`接口,它们共同决定了权限检查的...
Spring Security简单的登陆验证授权
shanying0324的博客
07-28 1940
Spring Security的介绍就省略了,直接记录一下登陆验证授权的过程。 Spring Security的几个重要词 1.SecurityContextHolder:是安全上下文容器,可以在此得知操作的用户是谁,该用户是否已经被认证,他拥有哪些角色权限…这些都被保存在SecurityContextHolder中。 Object principal = SecurityContextHolder.getContext().getAuthentication().getPrincipal()...
springboot3整合SpringSecurity实现登录校验与权限认证(万字超详细讲解)
热门推荐
2301_78646673的博客
12-11 1万+
用户提交登录请求Spring Security 将请求交给 UsernamePasswordAuthenticationFilter 过滤器处理。UsernamePasswordAuthenticationFilter 获取请求中的用户名和密码,并生成一个 AuthenticationToken 对象,将其交给 AuthenticationManager 进行认证。
Spring Security(15)——权限鉴定结构
dotedy的博客
10-16 2606
Spring Security角色继承AffirmativeBasedVoter权限鉴定 权限鉴定结构 目录 1.1      权限 1.2      调用前的处理 1.2.1     AccessDecisionManager 1.2.2     基于投票的AccessDecisionManager实现 1.3      调用后的处理 1.4      角色的继承
spring-security登录和权限管理
qq_44907404的博客
08-23 489
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Ma...
spring security(一)
qq_42847719的博客
01-02 153
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
SpringSecurity 源码解析 | 加JWT 实战 之 授权流程源码分析
qq_31142237的博客
09-13 496
前两篇分析了SpringSecurity 认证源码和自定义认证流程,本片主要讲下另一个核心授权。 简单理解: 登录认证是用来确认用户是否能访问系统。 授权就是:你认证通过之后,还要检查是你是否满足资源所要求的权限。 我们用之前的源码继续分析。 首选思考下,要是你来实现这个框架,你怎么去处理授权这个流程? 正常来说,基于RBAC思想(基于角色的权限控制),权限控制的源头是资源,比如 API_1,要想根据用户来控制是否能访问API_1,我们判断该用户是否有访问API_1的角色。 那么简单流程就是: .
SpringBoot中的Security简单入门实现
jingjiaohuan的博客
11-01 1591
以上是10月31日对29日的Security学习进行日常总结。
Spring Security 优化鉴权注解:自定义鉴权注解的崭新征程
最新发布
学IT,找陈寒
01-19 1846
Spring Security是一个功能强大且灵活的安全框架,用于保护Spring应用程序中的资源。它提供了身份验证(Authentication)和授权(Authorization)等安全性功能,可用于Web应用程序和非Web应用程序。自定义鉴权注解是指根据业务需求,在Spring Security基础上创建符合具体场景的鉴权注解。相对于接下来,让我们通过一个实际的例子来演示如何实现自定义鉴权注解。假设我们有一个场景,只有在特定时间段内才能执行某个操作,我们可以创建一个注解。@Target({
【详解】GrantedAuthority(已授予的权限)
dieqiuxie4160的博客
08-04 6109
前言   这篇是很久之前学习Spring Security整理的博客,发现浏览量都1000多了,一个赞都没有,那说明写得确实不怎么样,哈哈。应该很多初学者对这个接口存在疑问,特别是如果学习这个框架之前还了解过Shiro,可能会因为这两个框架角色、权限的表示方式,产生困惑。现在重新整理一下。 GrantedAuthority接口 我们知道UserDeitails接口里面有一个getA...
SpringSecurity笔记
09-24
SpringSecurity提供了灵活的授权模型,支持基于角色的访问控制(Role-Based Access Control, RBAC)和自定义策略。 在会话管理方面,SpringSecurity支持两种常见的方式: - **基于会话的认证**:用户登录成功后,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值