5-SpringSecurity:RBAC及方法授权

最新推荐文章于 2024-03-20 18:12:08 发布
最新推荐文章于 2024-03-20 18:12:08 发布
阅读量469 收藏 1
点赞数
分类专栏: SpringSecurity SpringBoot 文章标签: SpringSecurity 方法授权 Secured RBAC ROLE_
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013810234/article/details/111568102
版权

背景

本系列教程,是作为团队内部的培训资料准备的。主要以实验的方式来体验 SpringSecurity 的各项Feature。

RBAC是什么?Role Based Access Control,关于RBAC的介绍,网上资源很多,这里仅简单描述下。

  • 用户-权限:user, user-permission, permission
  • 用户-角色-权限:user, user-role, role, role-permission, permission

新建一个 SpringBoot 项目,起名 springboot-security-rbac ,核心依赖为 WebSpringSecurity

<dependencies>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-web</artifactId>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-security</artifactId>
    </dependency>

    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-devtools</artifactId>
        <scope>runtime</scope>
        <optional>true</optional>
    </dependency>
    <dependency>
        <groupId>org.projectlombok</groupId>
        <artifactId>lombok</artifactId>
        <optional>true</optional>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-test</artifactId>
        <scope>test</scope>
    </dependency>
</dependencies>

实验0:基本授权

创建资源接口: /user/add/user/query ,以及默认的home路径 / ,用以展示登录用户信息,若未登录,则展示匿名用户信息。

@RestController
@Slf4j
public class RoleAccessController {
    @GetMapping(value = "/user/add")
    public String accessResource1() {
        return " Access Resource 1: Add User";
    }

    @GetMapping(value = "/user/query")
    public String accessResource2() {
        return " Access Resource 2: Query User";
    }

    @GetMapping(value = "/")
    public String index() {
        log.info(SecurityContextHolder.getContext().getAuthentication().toString());
        return "Welcome " + SecurityContextHolder.getContext().getAuthentication();
    }
}

  • 在内存中创建两个用户:

    • dev用户具有dev与test角色;
    • test用户仅具有test角色;

  • 配置资源授权:

    • /user/add 需要有dev角色才可访问;
    • /user/query 需要有test角色才可访问;
@Configuration
@Slf4j
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Bean
    PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        // There is no PasswordEncoder mapped for the id "null"
        PasswordEncoder encoder = passwordEncoder();

        String yourPassword = "123";
        System.out.println("Encoded password: " + encoder.encode(yourPassword));

        // Config account info and permissions
        auth.inMemoryAuthentication()
                .withUser("dev").password(encoder.encode(yourPassword)).roles("dev", "test")
                .and()
                .withUser("test").password(encoder.encode(yourPassword)).authorities("ROLE_test");
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/user/add").hasRole("dev")
                .antMatchers("/user/query").hasAuthority("ROLE_test")
                .antMatchers("/user/**").authenticated()
                .anyRequest().permitAll() // Let other request pass
                .and()
                .formLogin();
    }
}
实验01:匿名用户

2020-12-22-Anonymous.jpg
此时访问 /user/add/user/query 都会跳转至登录页面;

实验02:dev用户

2020-12-22-Dev.jpgdev 用户同时具备 ROLE_devROLE_test 两个角色,此时访问 /user/add/user/query 都会成功;

实验03:test用户

2020-12-22-Test1.jpg2020-12-22-Test2.jpgtest 用户仅具有 ROLE_test 角色,此时访问 /user/add 失败,访问 /user/query 成功;

Note:

  • 上述代码中,在分配角色或授权时使用了 roles()authorities() ,两者区别如下:
  1. 使用 roles() 时,参数不可加 ROLE_ 前缀,否则报错。因为 roles() 自动会加这个前缀,参考源码 User类
  2. 使用 authorities() 时,则没有限制,配合 hasAuthority 使用时,权限命名一致即可。
public UserBuilder roles(String... roles) {
  List<GrantedAuthority> authorities = new ArrayList<>(roles.length);
  for (String role : roles) {
    Assert.isTrue(!role.startsWith("ROLE_"),
        () -> role + " cannot start with ROLE_ (it is automatically added)");
    authorities.add(new SimpleGrantedAuthority("ROLE_" + role));
  }
  return authorities(authorities);
}
  • 另外, roles()authorities() 不可在一个用户上同时使用,否则会发生覆盖,仅有最后一个会生效,参考源码 User类

2020-12-22-Roles.jpg2020-12-22-Authorities.jpg

实验1:方法授权-securedEnabled

在启动类或配置类上添加注解: @EnableWebSecurity@EnableGlobalMethodSecurity(securedEnabled=true) ,表示启用 SpringSecurity 默认的方法授权。

@SpringBootApplication
@EnableWebSecurity
@EnableGlobalMethodSecurity(securedEnabled=true)
public class SpringbootSecurityRbacApplication {
    public static void main(String[] args) {
        SpringApplication.run(SpringbootSecurityRbacApplication.class, args);
    }
}

为了方便演示,这里新建一个Controller: SecuredAccessController ,资源请求以及用户授权都与上一个实验相同,这里可以删除 SecurityConfig 类中关于 http 请求权限的配置。

@RestController
@RequestMapping("/user0")
@Slf4j
public class SecuredAccessController {
    @GetMapping(value = "/add")
    @Secured({"ROLE_dev", "ROLE_test"}) // only support OR relation
    public String accessResource1() {
        return " Access Resource 1: Add User";
    }

    @GetMapping(value = "/query")
    @Secured({"ROLE_test"})
    public String accessResource2() {
        return " Access Resource 2: Query User";
    }

    @GetMapping(value = "/")
    public String index() {
        log.info(SecurityContextHolder.getContext().getAuthentication().toString());
        return "Welcome " + SecurityContextHolder.getContext().getAuthentication();
    }
}

结果如下:

  • dev用户可以访问 /user0/add/user0/query
  • test用户也可以访问 /user0/add/user0/query

Note:

  1. @Secured({"ROLE_dev", "ROLE_test"}) 这里采用了角色组合,是“或”的关系。
  2. 鉴于 SpringSecurity 默认的方法授权的局限性,实际中更多地会使用 PreAuthorize ,可以实现“或”、“与”的关系,支持 Spring EL表达式 ,看下个实验。

实验2:方法授权-prePostEnabled

配置类的注解增加属性配置 prePostEnabled=true ,变成: @EnableGlobalMethodSecurity(securedEnabled=true, prePostEnabled=true)

为了方便演示,这里新建一个Controller: PrePostAccessController ,资源请求以及用户授权都与上一个实验相同,这里可以删除 SecurityConfig 类中关于 http 请求权限的配置。

@RestController
@RequestMapping("/user1")
@Slf4j
public class PrePostAccessController {
    @GetMapping(value = "/add")
//    @PreAuthorize("hasRole('ROLE_dev')")
    @PreAuthorize("hasRole('dev')")
//    @PreAuthorize("hasAnyRole('ROLE_dev', 'ROLE_test')")
//    @PreAuthorize("hasRole('ROLE_dev') and hasRole('ROLE_test')")
    public String accessResource1() {
        return " Access Resource 1: Add User";
    }

    @GetMapping(value = "/query")
    @PreAuthorize("hasAuthority('ROLE_test')")
    public String accessResource2() {
        return " Access Resource 2: Query User";
    }

    @GetMapping(value = "/")
//    @PreAuthorize("authenticated")
    public String index() {
        log.info(SecurityContextHolder.getContext().getAuthentication().toString());
        return "Welcome " + SecurityContextHolder.getContext().getAuthentication();
    }

    @GetMapping(value = "/res")
    @PostAuthorize("returnObject==true")
    public boolean response() {
        int i = new Random().nextInt();
        log.info("Response, {}", i);
        return i > 0;
    }
}

分别演示 PreAuthorize 本身及多个权限组合与 PostAuthorize ,可打开注释进行测试,具体结果:略。

实验3:方法授权-jsr250Enabled

其实,除了 securedEnabledprePostEnabled@EnableGlobalMethodSecurity 还有第三个选项: jsr250Enabled

2020-12-22-Global.jpg
具体使用方法,此处不作演示了。

Note:虽然 SpringSecurity@EnableGlobalMethodSecurity 注解提供了三种选项来使用方法级别的授权,但是实际使用时不建议混合使用,参考官方文档关于这一点的说明:

2020-12-22-Suggestion.jpg

Reference

If you have any questions or any bugs are found, please feel free to contact me.

Your comments and suggestions are welcome!

Heartsuit
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Spring SecurityRBAC模型
yinyin_xiao的博客
08-23 1753
Spring Security基于RBAC模型实现权限管理
spring-security-rbac:Spring Security实现RBAC权限管理
05-15
Spring Security实现RBAC权限管理一简介在企业应用中,认证和授权是非常重要的一部分内容,业界最出名的两个框架就是大名鼎鼎的Shiro和Spring Security。由于Spring Boot非常的流行,选择Spring Security做认证和...
SpringBoot_SpringSecurity_JWT_RBAC:前后端分离,基于 JWT、RBAC 的登录拦截设计
05-01
SpringBoot_SpringSecurity_JWT_RBAC
Spring Security实现RBAC权限模型练习
pikcacho_pkq的博客
02-09 2597
Spring Security的核心功能就是认证、授权、攻击防护,Spring Boot项目启动之后会自动进行配置,其核心就是一组链式过滤器。如下图所示,对于一个用户请求,Username Password Authentication Filter验证用户名和密码是否正确,通过就放行,然后Basic Authentication Filter就实现了去验证请求中是否包含有权限认证的basic信息。FilterSecurityInterceptor验证请求是否能够访问REST API,如果不能够访问即被拒绝
SpringSecurity实现RBAC权限验证
最新发布
weixin_45881125的博客
03-20 1564
基于角色的访问控制(RBAC)是一种访问控制策略,用于管理系统、应用程序或网络中的用户对资源的访问权限。RBAC 将用户分配给角色,然后将权限分配给角色,而不是直接将权限分配给个别用户。这种方式简化了权限管理,特别是在大型组织或系统中,可以更轻松地管理权限。角色(Roles):角色是一组具有相似职责或权限需求的用户集合。例如,一个企业应用可能有角色如“管理员”、“普通用户”、“审计员”等。
第四阶段-12关于Spring Security框架,RBAC,密码加密原则
aiheshuicxy的博客
02-28 619
第四阶段-12关于Spring Security框架,RBAC,密码加密原则
SpringSecurity从入门到放弃之RBAC权限认证(二)
qq_33479841的博客
06-06 3408
上文写到了SpringSecurity从入门到放弃之JWT认证登陆(一),该文章介绍了spring security的登陆原理以及整合JWT的登陆案例,本文将基于上文,介绍spring securtity整合RBAC权限模型,实现按权访问接口。
Spring Security实现RBAC权限管理_RBAC_spring_spring security_springclou
09-24
在企业应用中,认证和授权是非常重要的一部分内容,业界最出名...由于Spring Boot非常的流行,选择Spring Security做认证和授权的 人越来越多,今天我们就来看看用SpringSpring Security如何实现基于RBAC的权限管理
apache-fortress-demo:示例Web应用程序演示了JavaEE,Spring SecurityRBAC细粒度授权的端到端安全性。 所有连接均使用SSL
04-28
适用于Apache Fortress演示端到端安全示例的自述文件 本演示中的安全层 文件总览 本文档是apache堡垒演示网络应用程序的起点。 它提供了从github下载源包并生成包含实际安装说明的Java文档的说明。...
Java全栈工程师-Spring Security
06-22
由浅入深讲解从搭建Spring Security认证授权应用,到Spring Security底层过滤器原理?本课程讲解Spring Security三种使用方案:独立...本课程讲解Spring Security结合数据库的RBAC表进行动态的用户认证和授权的实现过程
认证和授权(Oauth2、RBAC、Casbin、Spring Security Oauth2)
05-08
认证和授权(Oauth2、RBAC、Casbin、Spring Security Oauth2)
基于springbootRBAC权限管理演示系统
01-17
这是一个RBAC权限管理系统,即基于角色的用户权限控制,,使用springboot框架开发,UI使用的是layui。。 演示地址:http://116.196.66.248:8090/page/index 欢迎大家下载。。。。另外,建议使用IDEA导入项目。。
SpringSecurity3.2.5搭建支持RBAC的源代码
12-12
SpringSecurity3.2.5搭建支持RBAC的源代码示例~~原文http://blog.csdn.net/yeluosc/article/details/41890351
springboot 整合 Spring Security 中篇(RBAC权限控制)
qq_30519365的博客
12-04 1416
主要在这个方法loadUserByUsername 从数据库读取用户的登录信息和权限信息import comthrow new UsernameNotFoundException("用户名不存在");} }throw new UsernameNotFoundException("用户名不存在");} }
基于springsecurity+springbootRBAC权限管理系统demo
CoderMy的博客
07-08 2618
介绍 这是一款基于springsecurity的极简RBAC权限管理系统 github地址 gitee地址 技术选型 1、springboot 2、mybatis 3、springsecurity 4、mysql 5、druid 6、swagger 7、ztree 8、dtree 9、xadmin 快速使用 下载maven项目 导入idea 导入docs文件夹下sql文件到数据库 修改数据库配置文件的路径,用户名等信息 运行 说明 1、 密码是基于BCryptPasswo
RBAC权限---SpringBoot整合Security
FirstMrRight的博客
12-13 355
引入SpringSecurity模块 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 加入这个依赖后表示所有的接口都是被保护的状态,访问的时候被Securi
spring boot整合spring security实现基于rbac的权限控制
热门推荐
轻描淡写
12-09 1万+
1.spring security基于rabc权限控制 1.1 引入依赖 <dependency> <groupId>org.projectlombok</groupId> <artifactId>lombok</artifactId> </dependency>...
springboot + spring security + token + rbac 角色权限验证(前后端分离)
奔波儿灞07的博客
07-16 3764
前言:最近做项目的时候,需要角色和权限的认证,前后端分离,查阅一番资料后,网上的大多都不符合项目的使用标准,于是自己写个博客跟大家分享一番,有什么欠缺的地方留言讨论 文章目录: 首先需要了解Spring Security的过滤链和认证流程 其次了解流程之后需要根据项目的需求做一些认证的变动(不过大体是一样的) 建立数据库脚本,引用security的配置,开始愉快的写代码了 代码放Gi...
springcloud入门到精通系列】1.准备工作创建父项目设置环境
Andyluna的博客
12-19 304
1.准备工作 项目采用idea创建、使用maven构建工具 修改/etc/hosts 在最下面 新增4行配置 127.0.0.1 eureka01 127.0.0.1 eureka02 127.0.0.1 eureka03 127.0.0.1 eureka04 2.新建一个项目spring-cloud-study父项目,用来管理所有spring cloud项...
springsecurityrbac实现权限控制
11-04
Spring Security是一个基于Spring框架的安全性框架,它提供了一组可以在任何Java应用程序中使用的安全性服务,包括身份验证、授权和攻击防护等。而RBAC(Role-Based Access Control)是一种基于角色的访问控制,它...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Heartsuit

别说什么鼓励,这就是互联网乞讨

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值