用户权限表结构设计_基于 Spring Session & Spring Security 微服务权限控制

最新推荐文章于 2024-05-25 22:12:54 发布
最新推荐文章于 2024-05-25 22:12:54 发布
阅读量429 收藏
点赞数
文章标签: 用户权限表结构设计 用户没有create session权限

微服务架构

bb7f27d5cf7fdde622dc7fd01e8ed5d6.png
  • 网关:路由用户请求到指定服务,转发前端 Cookie 中包含的 Session 信息;
  • 用户服务:用户登录认证(Authentication),用户授权(Authority),用户管理(Redis Session Management)
  • 其他服务:依赖 Redis 中用户信息进行接口请求验证

用户 - 角色 - 权限表结构设计

  • 权限表

权限表最小粒度的控制单个功能,例如用户管理、资源管理,表结构示例:

c82f7aa57b63ce839096238017c4e604.png
  • 角色 - 权限表

自定义角色,组合各种权限,例如超级管理员拥有所有权限,表结构示例:

c2439a999f26e4c1c563ac05138f2312.png
  • 用户 - 角色表

用户绑定一个或多个角色,即分配各种权限,示例表结构:

2e3722fa9749912c37928e05018acfa8.png

用户服务设计

Maven 依赖(所有服务)

 org.springframework.boot spring-boot-starter-security org.springframework.session spring-session-data-redis

应用配置 application.yml 示例:

# Spring Session 配置spring.session.store-type=redisserver.servlet.session.persistent=trueserver.servlet.session.timeout=7dserver.servlet.session.cookie.max-age=7d# Redis 配置spring.redis.host=spring.redis.port=6379# MySQL 配置spring.datasource.driver-class-name=com.mysql.jdbc.Driverspring.datasource.url=jdbc:mysql://:3306/testspring.datasource.username=spring.datasource.password=

用户登录认证(authentication)与授权(authority)

@Slf4jpublic class CustomAuthenticationFilter extends AbstractAuthenticationProcessingFilter { private final UserService userService; CustomAuthenticationFilter(String defaultFilterProcessesUrl, UserService userService) { super(new AntPathRequestMatcher(defaultFilterProcessesUrl, HttpMethod.POST.name())); this.userService = userService; } @Override public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException { JSONObject requestBody = getRequestBody(request); String username = requestBody.getString("username"); String password = requestBody.getString("password"); UserDO user = userService.getByUsername(username); if (user != null && validateUsernameAndPassword(username, password, user)){ // 查询用户的 authority List userAuthorities = userService.getSimpleGrantedAuthority(user.getId()); return new UsernamePasswordAuthenticationToken(user.getId(), null, userAuthorities); } throw new AuthenticationServiceException("登录失败"); } /** * 获取请求体 */ private JSONObject getRequestBody(HttpServletRequest request) throws AuthenticationException{ try { StringBuilder stringBuilder = new StringBuilder(); InputStream inputStream = request.getInputStream(); byte[] bs = new byte[StreamUtils.BUFFER_SIZE]; int len; while ((len = inputStream.read(bs)) != -1) { stringBuilder.append(new String(bs, 0, len)); } return JSON.parseObject(stringBuilder.toString()); } catch (IOException e) { log.error("get request body error."); } throw new AuthenticationServiceException(HttpRequestStatusEnum.INVALID_REQUEST.getMessage()); } /** * 校验用户名和密码 */ private boolean validateUsernameAndPassword(String username, String password, UserDO user) throws AuthenticationException { return username == user.getUsername() && password == user.getPassword(); }}@EnableWebSecurity@AllArgsConstructorpublic class WebSecurityConfig extends WebSecurityConfigurerAdapter { private static final String LOGIN_URL = "/user/login"; private static final String LOGOUT_URL = "/user/logout"; private final UserService userService; @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers(LOGIN_URL).permitAll() .anyRequest().authenticated() .and() .logout().logoutUrl(LOGOUT_URL).clearAuthentication(true).permitAll() .and() .csrf().disable(); http.addFilterAt(bipAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class) .rememberMe().alwaysRemember(true); } /** * 自定义认证过滤器 */ private CustomAuthenticationFilter customAuthenticationFilter() { CustomAuthenticationFilter authenticationFilter = new CustomAuthenticationFilter(LOGIN_URL, userService); return authenticationFilter; }}

其他服务设计

应用配置 application.yml 示例:

# Spring Session 配置spring.session.store-type=redis# Redis 配置spring.redis.host=spring.redis.port=6379

全局安全配置

@EnableWebSecuritypublic class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .anyRequest().authenticated() .and() .csrf().disable(); }}

用户认证信息获取

用户通过用户服务登录成功后,用户信息会被缓存到 Redis,缓存的信息与 CustomAuthenticationFilter 中 attemptAuthentication() 方法返回的对象有关,如上所以,返回的对象是 new UsernamePasswordAuthenticationToken(user.getId(), null, userAuthorities) ,即 Redis 缓存了用户的 ID 和用户的权力(authorities)。

UsernamePasswordAuthenticationToken 构造函数的第一个参数是 Object 对象,所以可以自定义缓存对象。

在微服务各个模块获取用户的这些信息的方法如下:

@GetMapping() public WebResponse test(@AuthenticationPrincipal UsernamePasswordAuthenticationToken authenticationToken){ // 略 }

权限控制

  • 启用基于方法的权限注解
@SpringBootApplication@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)public class Application { public static void main(String[] args) { SpringApplication.run(Application.class, args); }}
  • 简单权限校验

例如,删除角色的接口,仅允许拥有 ROLE_ADMIN_USER 权限的用户访问。

/** * 删除角色 */ @PostMapping("/delete") @PreAuthorize("hasRole('ADMIN_USER')") public WebResponse deleteRole(@RequestBody RoleBean roleBean){ // 略 }

@PreAuthorize("hasRole('')") 可作用于微服务中的各个模块

  • 自定义权限校验

如上所示, hasRole() 方法是 Spring Security 内嵌的,如需自定义,可以使用 Expression-Based Access Control ,示例:

/** * 自定义校验服务 */@Servicepublic class CustomService{ public boolean check(UsernamePasswordAuthenticationToken authenticationToken, String extraParam){ // 略 }}/** * 删除角色 */ @PostMapping() @PreAuthorize("@customService.check(authentication, #userBean.username)") public WebResponse custom(@RequestBody UserBean userBean){ // 略 }

authentication 属于内置对象, # 获取入参的值

  • 任意用户权限动态修改

原理上,用户的权限信息保存在 Redis 中,修改用户权限就需要操作 Redis,示例:

@Service@AllArgsConstructorpublic class HttpSessionService { private final FindByIndexNameSessionRepository sessionRepository; /** * 重置用户权限 */ public void resetAuthorities(Long userId, List authorities){ UsernamePasswordAuthenticationToken newToken = new UsernamePasswordAuthenticationToken(userId, null, authorities); Map redisSessionMap = sessionRepository.findByPrincipalName(String.valueOf(userId)); redisSessionMap.values().forEach(session -> { SecurityContextImpl securityContext = session.getAttribute(HttpSessionSecurityContextRepository.SPRING_SECURITY_CONTEXT_KEY); securityContext.setAuthentication(newToken); session.setAttribute(HttpSessionSecurityContextRepository.SPRING_SECURITY_CONTEXT_KEY, securityContext); sessionRepository.save(session); }); }}

修改用户权限,仅需调用 httpSessionService.resetAuthorities() 方法即可,实时生效。

weixin_39890332
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
基于springboot+springSecurity+jwt实现的基于token的权限管理
02-24
这个基于"springboot+springSecurity+jwt实现的基于token的权限管理"的示例项目,旨在帮助开发者理解和实践这些技术。 首先,Spring Boot是Spring框架的简化版,它提供了快速构建和部署应用程序的能力。通过自动...
如何基于spring security实现在线用户统计
08-19
在本文中,我们将详细介绍如何基于 Spring Security 实现在线用户统计。在线用户统计是指在系统中实时统计当前活跃用户的数量,以便更好地监控和管理系统的使用情况。 Spring Security 概述 Spring Security 是一...
设计权限管理
KaKaa__的博客
11-11 1464
设计权限管理
用户·角色·权限·设计
u013595377的专栏
05-15 2万+
一.引言        因为做过的一些系统的权限管理的功能虽然在逐步完善,但总有些不尽人意的地方,总想抽个时间来更好的思考一下权限系统的设计。        权限系统一直以来是我们应用系统不可缺少的一个部分,若每个应用系统都重新对系统的权限进行设计,以满足不同系统用户的需求,将会浪费我们不少宝贵时间,所以花时间来设计一个相对通用的权限系统是很有意义的。 二.设计目标        设计一个
设计一个完美的用户角色权限
最新发布
weixin_44976692的博客
05-25 1万+
设计一个完美的用户角色权限需要考虑系统的安全性、灵活性和可扩展性。以下是一个详细的用户角色权限管理设计方案,包含多个结构和字段描述。
Springboot权限管理
zkk的博客
09-05 1777
现在鉴权模块已经非常成熟,以上仅为个人心得和实践,还有很多改进的地方欢迎评论,后续还会补充通过Shiro框架实现的鉴权这一模块。
springboot权限设计(经典五张)数据库到数据封装
xiaomingds的博客
11-16 4139
数据库设计 用户sys_user: 角色sys_role: 用户角色user_role: 权限menu_item: 角色权限role_menu: 数据库连接查询 SELECT mt.* FROM sys_user u, sys_role r,user_role ur, menu_item mt, role_menu rp WHERE u.loginName = 'admin' AND u.userId =
最全的权限系统设计
忆水思寒的博客
07-02 1873
目录 1 为什么需要权限管理 2 权限模型 2.1 权限设计 2.2 为什么需要角色 2.3 权限模型的演进 2.3.1 RBAC模型 2.3.2 角色继承的RBAC模型 2.3.3 带约束的RBAC模型 2.4 用户划分 2.4.1 用户组 2.4.2 组织 2.4.3 职位 2.5 理想的RBAC模型 3 权限系统设计 3.1 标准RBAC模型设计 3.2 ...
springSession+springSecurity结合使用实现redis管理session
热门推荐
nb7474的博客
03-20 2万+
目录1. pom.xml2. 进行springsession的redis配置3. session配置4. 查看redis5. 获取redis中的当前用户总结 springboot中使用security进行登录及权限控制可以查看之前的文章,springboot中使用spring-security进行登陆控制 此篇主要介绍在已经使用springsecuriy的项目中如何集成springsessi...
ss.rar_java security_spring security_springsecurity4xss
09-23
Spring Security 的核心设计理念是“最小权限原则”,即用户只能访问他们被明确允许访问的资源。 在Spring Security 4.x版本中,对XSS(跨站脚本)攻击的防护得到了强化。XSS是一种常见的网络安全漏洞,攻击者通过...
SpringCloud-Shop:基于Spring Boot,Spring Cloud的微服务商城demo
01-29
基于Spring Boot,Spring Cloud的微服务应用 本项目内容基于Spring Boot,Spring Cloud开发。实现电商应用基础服务,包括用户服务,商品服务,订单服务,功能包括用户注册,用户鉴权,商品列,商品详情,下单,...
spring security权限控制
10-15
Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架,用于保护基于Java的应用程序。在本文中,我们将深入探讨Spring Security如何实现权限控制,并通过一个名为"springsecuritydemo4"的示例项目来...
SpringSecurity in Action》六: 基于Session实现登陆认证源码分析
shangcunshanfu的博客
05-01 518
文章目录1 概述2 认证流程2.1 Session是如何参与的3 源码解析 1 概述 本篇基于《SpringSecurity in Action》一: 基于Session实现登陆认证 2 认证流程 在《SpringSecurity in Action》书中,对登陆认证流程的示意图,可以看到流程还是很简单的,所以我们只要清楚的认识到就是这么几步,对登陆认证过程的认识就不会差到哪去。 虽然流程图简单,但在细节上还是有很多需要学习的地方的,比如如何获取的用户信息,如何进行密码校验,登陆完成后做了什么,还有就是我
springsecurity实现原理_Spring Session 原理分析
weixin_39911056的博客
11-23 633
为什么要分布式 Session 呢?请参考下图:当后台集群部署时,单机的 Session 维护就会出现问题。假设登录的认证授权发生在 Tomcat A 服务器上, Tomcat A 在本地存储了用户 Session ,并签发认证令牌,用于验证用户身份。下次请求可能分发给 Tomcat B 服务器,而 Tomcat B 并没有用户 Session用户携带的认证令牌无效,得到 401 。除了 JW...
7、Spring Session-Spring Security集成
Ron.Zheng
09-22 6469
Spring Session提供了和Spring Security的集成。6.1. Spring Security Remember-Me的支持Spring Session 提供了和 Spring Security’s Remember-Me Authentication
Spring Boot动态权限变更实现的整体方案
chinaherolts2008的博客
07-14 301
1、前言 ​  在Web项目中,权限管理即权限访问控制为网站访问安全提vb.net教程供了保障,并且很多项目使用了Session作为缓存,结合AOP技术进行token认证和权限控制权限控制流程大致如下图所示: ​  现在,如果管理员修改了用户角色,或修改了角c#教程色的权限,都会导致用户权限发生变化,此时如何实现动态权限变更,使得前端能够更新用户权限树,后端访问鉴权AOP模块能够知悉这种变更呢? 2、问题及解决方案 ​​  现在的问题是,管理员没法访问用户Session,因此python基
Spring Security 登录获取用户信息流程分析
CHENFU_ZKK的博客
09-06 3406
Spring Security 登录获取用户信息流程分析
SpringSecurity in Action》一: 基于Session实现登陆认证
shangcunshanfu的博客
04-10 1467
SpringSecurity - 基于Session实现登陆认证1 依赖2 代码示例2.1 代码说明 1 依赖 <dependencies> <dependency> <groupId>org.projectlombok</groupId> <artifactId>lombok</artifactId> </dependency>
使用Spring Security实现RBAC权限模型 - 详细代码示例及设计
m0_49151953的博客
04-10 2653
RBAC(Role-Based Access Control)是一种常用的权限模型,它基于用户角色控制系统中的资源访问。本文介绍了如何使用Spring Security实现RBAC权限模型,包括设计、配置Spring Security、实现UserDetailsService以及实现RBAC权限控制。在Spring Security中实现RBAC权限模型的关键在于配置安全拦截器链,即定义哪些URL需要哪些权限才能访问。除了上面的配置和实现之外,我们还需要在业务代码中实现RBAC权限控制
使用Spring Security和Redis实现用户登录以及权限控制,介绍下细节
08-06
综上所述,使用Spring Security和Redis实现用户登录和权限控制,通过验证用户身份和对用户权限进行控制,可以保障系统的安全性和权限管理。该方案具备灵活性,并且可以与其他框架和工具(如Spring Cloud等)结合使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值