SpringCloud Security OAuth2资源授权动态权限扩展

已于 2022-04-02 16:09:22 修改
阅读量842 收藏 6
点赞数
文章标签: java
于 2022-04-02 16:08:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42257298/article/details/123922351
版权

SpringCloud Security OAuth2资源授权动态权限扩展

在Spring Cloud Security 中,认证和授权都是通过FilterChainProxy(Servlet Filter过滤器)拦截然后进行操作的。FilterSecurityInterceptor过滤器拦截了受保护资源的请求,然后进行授权处理,授权验证的逻辑在其父类AbstractSecurityInterceptor实现。大致流程如下:

  1. 使用SecurityMetadataSource根据http请求获取对应拥有的权限。
  2. 使用Spring Security授权模块对用户访问的资源进行授权验证。

AbstractSecurityInterceptor的部分源码如下:

// AbstractSecurityInterceptor.java
 protected InterceptorStatusToken beforeInvocation(Object object) {
        ......
 
        // 根据http请求获取对应的配置的权限信息
  Collection<ConfigAttribute> attributes = this.obtainSecurityMetadataSource()
    .getAttributes(object);
 
     ......
        // 对用户认证进行校验
  Authentication authenticated = authenticateIfRequired();
  try {
            // 对用户的权限与访问资源拥有的权限进行校验
   this.accessDecisionManager.decide(authenticated, object, attributes);
  }
  catch (AccessDeniedException accessDeniedException) {
   publishEvent(new AuthorizationFailureEvent(object, attributes, authenticated,
     accessDeniedException));
 
   throw accessDeniedException;
  }
        ......
 }

默认的SecurityMetadataSource的子类DefaultFilterInvocationSecurityMetadataSource实现中,会把资源服务器配置的权限信息全部加载到内存。如果要实现授权权限的动态修改,需要扩展SecurityMetadataSource,例如,使权限数据能够动态的从数据库获取。并且,自定义根据动态权限认证逻辑AccessDecisionVoter。

扩展SecurityMetadataSource

自定义PermissionFilterInvocationSecurityMetadataSource,参考默认的DefaultFilterInvocationSecurityMetadataSource实现从数据库动态的根据访问http请求获取配置的权限。由于每次都需要获取全部的有效的权限配置数据,可以对权限数据做一个本地缓存,提交查询效率。

在ConfigAttribute的子类实现中,可以使用SecurityConfig保存配置的权限. 访问规则ConfigAttribute。实现代码如下:

public class PermissionFilterInvocationSecurityMetadataSource implements FilterInvocationSecurityMetadataSource {
 
    private final PermissionClient permissionClient;
 
    public PermissionFilterInvocationSecurityMetadataSource(PermissionClient permissionClient) {
        this.permissionClient = permissionClient;
    }
 
    /**
     * 转换权限列表
     */
    private Map<RequestMatcher, Collection<ConfigAttribute>> requestMatcherCollectionMap() {
 
        List<Permission> allPermissions = permissionClient.findAllList();
        if (CollectionUtils.isEmpty(allPermissions)) {
            return ImmutableMap.of();
        }
        return allPermissions.stream()
                .collect(Collectors.toMap(permission -> new AntPathRequestMatcher(permission.getUrl()),
                        permission -> Lists.newArrayList(new SecurityConfig(permission.getCode()))));
    }
 
 
    @Override
    public Collection<ConfigAttribute> getAttributes(Object object) throws IllegalArgumentException {
 
        final HttpServletRequest request = ((FilterInvocation) object).getRequest();
        for (Map.Entry<RequestMatcher, Collection<ConfigAttribute>> entry : requestMatcherCollectionMap().entrySet()) {
            if (entry.getKey().matches(request)) {
                return entry.getValue();
            }
        }
        return null;
    }
 
    @Override
    public Collection<ConfigAttribute> getAllConfigAttributes() {
        return requestMatcherCollectionMap().values()
                .stream().flatMap(Collection::stream)
                .collect(Collectors.toList());
    }
 
    @Override
    public boolean supports(Class<?> clazz) {
        return FilterInvocation.class.isAssignableFrom(clazz);
    }
}

扩展根据权限授权逻辑

自定义PermissionsVoter类实现AccessDecisionVoter接口,实现了用户只要拥有访问资源的权限就可以访问。参考RoleVoter具体的实现逻辑,代码如下:

public class PermissionsVoter implements AccessDecisionVoter<Object> {
 
    @Override
    public boolean supports(ConfigAttribute attribute) {
        return Objects.nonNull(attribute.getAttribute());
    }
 
    @Override
    public boolean supports(Class<?> clazz) {
        return true;
    }
 
    @Override
    public int vote(Authentication authentication, Object object, Collection<ConfigAttribute> attributes) {
 
        if (CollectionUtils.isEmpty(attributes)) {
            return ACCESS_DENIED;
        }
        // 用户授权的权限
        Collection<? extends GrantedAuthority> grantedAuthorities;
        if (Objects.isNull(authentication)
                || CollectionUtils.isEmpty(grantedAuthorities = extractAuthorities(authentication))
                || Objects.isNull(object)) {
 
            log.info("user no authentication!");
            return ACCESS_DENIED;
        }
        for (GrantedAuthority grantedAuthority : grantedAuthorities) {
 
            String authority;
            if (StringUtils.isNotBlank(authority = grantedAuthority.getAuthority())
                    && match(authority, attributes)) {
                return ACCESS_GRANTED;
            }
        }
        return ACCESS_DENIED;
    }
 
    private boolean match(String authority, Collection<ConfigAttribute> attributes) {
 
        for (ConfigAttribute configAttribute : attributes) {
            String attribute;
            if (StringUtils.isNotBlank(attribute = configAttribute.getAttribute())
                    && attribute.equals(authority)) {
                return true;
            }
        }
        return false;
    }
 
    /**
     * 获取用户权限列表
     */
    Collection<? extends GrantedAuthority> extractAuthorities(Authentication authentication) {
        return authentication.getAuthorities();
    }
}

配置资源服务器

在配置资源服务器,主要是如下配置:

  1. SecurityMetadataSource,获取资源权限的设置
  2. AccessDecisionManager,自定义授权逻辑的配置

重点讲解下自定义AccessDecisionManager的情况,

  1. 选择AffirmativeBased(只要有一个授权处理通过则可以进行访问)。
  2. 配置RoleVoter(角色授权),AuthenticatedVoter(认证信息授权),WebExpressionVoter(EL描述授权)spring security默认的授权逻辑。
  3. 重点讲解WebExpressionVoter的初始化。在生成WebExpressionVoter时,需要设置其expressionHandler为 OAuth2WebSecurityExpressionHandler,这样在进行验证时才不会报错。在使用默认的AccessDecisionManager启动进行验证时,Spring Security使用ExpressionUrlAuthorizationConfigurer默认配置WebExpressionVoter,并且在设置expressionHandler为OAuth2WebSecurityExpressionHandler。使用默认配置资源服务器启动时,调试的结果如下:

![在这里插入图片描述](https://img-blog.csdnimg.cn/87530dda1f134dad9719be7f42b5dec7.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA6ICB5p2o5bim5L2g55av54uC,size_20,color_FFFFFF,t_70,g_se,x_16

在这里插入图片描述
在资源资源服务器中的详细配置如下:

@Configuration
@EnableResourceServer
public class ResourceServerConfig extends ResourceServerConfigurerAdapter {
 
 
    /**
     * 资源服务器内的资源访问控制
     */
    @Override
    public void configure(HttpSecurity http) throws Exception {
 
        http.authorizeRequests()
                .antMatchers("/webjars/**", "/v2/api-docs", "/swagger-resources/**", "/swagger-ui.html", "/swagger.json").permitAll()
                .anyRequest().authenticated()
                .withObjectPostProcessor(new ObjectPostProcessor<FilterSecurityInterceptor>() {
 
                    @Override
                    public <O extends FilterSecurityInterceptor> O postProcess(O fsi) {
// 权限获取自定义配置
                        fsi.setSecurityMetadataSource(new PermissionFilterInvocationSecurityMetadataSource(permissionClient));
                        return fsi;
                    }
                })
                .accessDecisionManager(accessDecisionManager());
    }
 
    private AccessDecisionManager accessDecisionManager() {
 
        WebExpressionVoter webExpressionVoter = new WebExpressionVoter();
        webExpressionVoter.setExpressionHandler(new OAuth2WebSecurityExpressionHandler());
        // 授权逻辑自定义配置
        return new AffirmativeBased(Lists.newArrayList(new PermissionsVoter(), new RoleVoter(),
                new AuthenticatedVoter(), webExpressionVoter));
    }
}

授权测试

在这里插入图片描述

在访问时,调用自定义PermissionFilterInvocationSecurityMetadataSource获取配置权限的截图如下
在这里插入图片描述
在进行授权处理时,调用自定义 PermissionsVoter进行授权认证,截图如下:
在这里插入图片描述
不足与优化之处

一般的实现中,在每个单独的微服务中配置资源服务器,资源授权成功以后,SecurityContextPersistenceFilter已经把当前登录用户信息存储到SecurityContextHolder上下文,直接根据security提供的SecurityContextHolder.getContext().getAuthentication().getPrincipal()就可以获取当前登录用户信息。如果,微服务不断地增加,一般常见的电商系统都有用户服务,商品服务,订单服务等等,这时,该如何配置资源服务器呢?大家可以思考一下。

老杨带你疯狂
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringCloud集成Oauth2.0看完这个基本就理解原理了
qq_36973384的博客
07-05 924
5.1 ResourceServerConfig配置类,通过继承 ResourceServerConfigurerAdapter 实现token令牌的拦截,此外,还需要配置token的生成方法,即TokenConfig配置类。因为我把所有的配置都丢到了nacos,nacos管理了所有服务的配置,主要是nacos的自动更新配置的功能比较方便,即修改配置之后,可以实现自动刷新,无需重启服务,但需要在使用配置类中添加@RefreshScope注解才生效。通过扫描注入的方式,注入MybatisPlus。
SpringCloud微服务整合Spring Security OAuth2
lyy的博客
04-12 3141
要记得引入common后也要做必要的配置,比如nacos,相关配置可见博客:https://blog.csdn.net/qq_41076797/article/details/128509393、https://blog.csdn.net/qq_41076797/article/details/128508723;外面请求进来先通过网关进行身份认证,未登录的去登录,已登录的网关找到auth进行鉴权,通过才放行到具体的普通功能性微服务。代码会在后面给出,因为这段代码在后面的配置文件中。
SpringBoot OAuth2.0认证管理流程详解
热门推荐
u012477420的博客
12-12 1万+
OAuth2.0是一个开放的授权协议,可以用来实现第三方应用对我们API的访问控制,OAuth2.0中定义的角色包括: 1) Resource Owner(资源拥有者) 2) Client (第三方接入平台,请求者) 3) Resource Server (服务器资源: 数据中心) 4) Authorization Server (认证服务器) 授权认证的基本流程包括: 首先Client需要向Resource Ow......
springcloud-security-oauth2:安全整合oauth2
02-21
springcloud-security-oauth2 安全整合oauth2
玩转SpringCloud Security OAuth2资源授权动态权限扩展
Java知音
11-18 681
点击关注公众号,实用技术文章及时了解来源:blog.csdn.net/new_com/article/details/104731154在Spring Cloud Security 中,认...
Spring Cloud SecurityOauth2使用入门
macrozheng的专栏
11-04 2089
Spring Cloud Security 为构建安全的SpringBoot应用提供了一系列解决方案,结合Oauth2可以实现单点登录、令牌中继、令牌交换等功能,本文将对其结合Oauth2入门使用进行详细介绍。OAuth2 简介 OAuth 2.0是用于授权的行业标准协议。OAuth 2.0为简化客户端开发提供了特定的授权流,包括Web应用、桌面应用、移动端应用等。OAuth2 相关名词解释 Re...
Spring Cloud(十一):Spring Cloud Security Oauth2
Men-DD
11-18 2943
OAuth2 登录流程分析 令牌token与密码password差异 授权码模式 简化隐式模式 密码模式 客户端模式 令牌的使用 更新令牌 Spring Security OAuth2 配置spring security 配置认证服务器 配置授权服务器 基于redis存储Token 基于db存储Token 单点登录 基于Oauth2跨域单点登录 Oauth2整合网关实现微服务单点登录 JWT (JSON Web Token) JWT组成 Spring Security Oauth2整合JWT
Spring Cloud SecurityOauth2结合JWT使用
最新发布
smart_an的专栏
04-18 1150
JWT是JSON WEB TOKEN的缩写,它是基于 RFC 7519 标准定义的一种可以安全传输的的JSON对象,由于使用了数字签名,所以是可信任和安全的。
Spring Cloud 集成OAuth2实现身份认证和单点登录
10-20
在Spring Cloud中,我们可以使用Spring Security OAuth2模块来实现OAuth2的授权流程。 集成OAuth2的过程通常包括以下几个步骤: 1. **配置授权服务器**:授权服务器是负责处理用户登录、授权和令牌发放的组件。在...
springcloud整合oauth2和jwt
04-09
在Spring Cloud中,我们可以使用Spring Security OAuth2模块来实现OAuth2的授权服务器和资源服务器。 1. **OAuth2流程**: - 授权请求:客户端(如浏览器或移动应用)引导用户到授权服务器进行登录。 - 用户授权...
基于springcloud+security+oauth2.0实现的权限管理系统.zip
10-08
总结,基于SpringCloud+Security+OAuth2.0的权限管理系统,通过微服务架构实现了服务解耦,利用Spring Security提供了强大的安全保护,而OAuth2.0则为第三方应用的接入提供了安全的授权机制。这样的系统设计既保证了...
基于security_oauth2 构建spring cloud网关的安全认证服务
01-16
基于security_oauth2 构建spring cloud网关的安全认证服务,使用数据库存储和动态请求连接过滤的方式,实现细粒度的url权限控制
springCloud+Oauth2
02-17
在 `SpringCloud+Oauth2` 的应用场景中,`Spring Security` 是一个关键组件,它提供了实现 `OAuth2` 授权服务器的接口。`Spring Security SSO` 模块则专门处理单点登录问题。以下是实现这一系统的几个主要步骤: 1....
SpringCloud&OAuth2】三、Spring cloud security oauth2搭建
qwertyuiopasdfghjklzxcvbnm
04-21 979
简要描述 基于mysql8存储client客户端信息,基于jwt生成token,基于redis存储code和token pom.xml配置 &amp;amp;amp;amp;amp;amp;amp;lt;parent&amp;amp;amp;amp;amp;amp;amp;gt; &amp;amp;amp;amp;amp;amp;amp;lt;groupId&amp;amp;amp;amp;amp;amp;amp;gt;org.springframework.
SpringCloud SecurityOauth2 基本概念
weixin_40991408的博客
02-11 551
一.摘要 Spring Cloud Security 为构建安全的SpringBoot应用提供了一系列解决方案,结合Oauth2可以实现单点登录、令牌中继、令牌交换等功能。 二.OAuth2 简介 OAuth 2.0是用于授权的行业标准协议。OAuth 2.0为简化客户端开发提供了特定的授权流,包括Web应用、桌面应用、移动端应用等。 三.OAuth2 相关名词解释 Resource owner...
java_wxid项目】【第七章】【Spring Cloud Security Oauth2集成】
Java程序员廖志伟
08-25 1068
Spring Cloud Security Oauth2集成
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值