使用spring security实现角色继承的权限控制

最新推荐文章于 2023-12-27 18:13:24 发布
最新推荐文章于 2023-12-27 18:13:24 发布
阅读量385 收藏
点赞数
分类专栏: 学习笔记 文章标签: spring java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/z313410164/article/details/126038755
版权

使用角色继承

spring security通过启用方法拦截,控制访问权限

注解 EnableGlobalMethodSecurity

注解@EnableGlobalMethodSecurity可以开启spring security的全局安全设置,其自动化配置位于类GlobalMethodSecurityConfiguration中。

该注解提供了三种类型的安全设置:

prePostEnabled

是否开启方法前后拦截,默认为false。

设置true

  • 可开启@PreAuthorize@PostAuthorize, 这两个注解可接受一个EL表达式,非常灵活的控制权限。从字面意思可直观看出,一个用于进入方法前,一个用于进入方法后,后者等同于放开权限,但是控制返回。

  • 可开启@PreFilter@PostFilter,从字面意思可以看出,用于方法前后的两个注解,该注解用于操作入参和出参。

securedEnabled

是否开启@Secure,默认false,该注解仅接受一个角色/权限,一般用于粗劣度控制。

jsr250Enabled

使用较少,从字面意思可以看出属于jsr250的范畴,目前位于jakarta项目。

启用jsr250,可以使用如 @DenyAll @AllowAll @RolesAllowed等注解。

使用@PreAuthorize开启基于角色继承的权限控制

树形结构的组织架构是一种比较常见的架构形式,基于组织架构的角色授予也通常会表显出一种树形结构,节点之上的角色通常会拥有子节点的权限,也表现出一种树形结构。

比如:

角色架构
经理
组长
成员
组织架构
组A
项目经理
组B
组员1
组员2
组员3

此时文字表示即:Role_经理 > Role_组长 > Role_成员

在接口方法上使用@PreAuthorize控制权限的写法即 @PreAuthorize("hasRole('Role_经理')") [依此类推]

为了实现角色继承,需要使用接口RoleHierarchy

RoleHierarchy接口

该接口只有一个方法,返回了角色的层级关系。

非常简单,不啰嗦,直接上代码。

@Bean
public RoleHierarchy roleHierarchy() {
    RoleHierarchyImpl roleHierarchy = new RoleHierarchyImpl();
    Map<String, List<String>> map = MapBuilder.create(new HashMap<String, List<String>>())
            .put("ROLE_经理", Lists.newArrayList("ROLE_组长", "ROLE_成员"))
            .put("ROLE_组长", Lists.newArrayList("ROLE_成员"))
            .build();
    roleHierarchy.setHierarchy(RoleHierarchyUtils.roleHierarchyFromMap(map));
    return roleHierarchy;
}

只需要提供一个该接口的实现并注册即可

RoleHierarchyImpl是spring已经给我们的一种实现

解释

为什么这么简单即可实现角色的继承控制,其实就是一个AOP的问题。

找到@PreAuthorize是怎么实现功能的接口。
ReactiveMethodSecurityConfiguration中定义了一个方法拦截器

@Bean
public PrePostAdviceReactiveMethodInterceptor securityMethodInterceptor(AbstractMethodSecurityMetadataSource source, MethodSecurityExpressionHandler handler) {

	ExpressionBasedPostInvocationAdvice postAdvice = new ExpressionBasedPostInvocationAdvice(
			handler);
	ExpressionBasedPreInvocationAdvice preAdvice = new ExpressionBasedPreInvocationAdvice();
	preAdvice.setExpressionHandler(handler);

	return new PrePostAdviceReactiveMethodInterceptor(source, preAdvice, postAdvice);
}

这里头的条条框框不细说,吧唧吧唧很多,最后就是拦截@PreAuthorize这个注解,然后解析这个注解里面的表达式。

跟代码最后会进入到MethodSecurityExpressionRoot这个里头,但是这个是依赖其父类SecurityExpressionRoot来实现的,这个父类提供的一系列final方法,都可以用到@PreAuthorize注解中(既然是EL表达式,当然支持逻辑运算与或非),找到hasRole方法开始跟代码(也许聪明如你,通过idea的插件,直接找到了这里,.)

private Set<String> getAuthoritySet() {
	if (roles == null) {
		Collection<? extends GrantedAuthority> userAuthorities = authentication
				.getAuthorities();

		if (roleHierarchy != null) {
			userAuthorities = roleHierarchy
					.getReachableGrantedAuthorities(userAuthorities);
		}

		roles = AuthorityUtils.authorityListToSet(userAuthorities);
	}

	return roles;
}

这里获取用户的角色时(字面意思看起来叫权限,角色=权限的集合),判断了如果注入了角色继承就会计算一把角色继承关系。

再顺着这里反过来找,最后会找到前面说的GlobalMethodSecurityConfiguration

在方法afterSingletonsInstantiated中有一段:

RoleHierarchy roleHierarchy = getSingleBeanOrNull(RoleHierarchy.class);
if (roleHierarchy != null) {
	this.defaultMethodExpressionHandler.setRoleHierarchy(roleHierarchy);
}

此处获取了RoleHierarchy的一个单例实例,并注入进来。

zaink2022
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity详解
m0_71012114的博客
10-19 4910
本文详解介绍了security原理、多种方式配置登录、角色权限访问控制、常用注解、用户注销。
十、Spring Boot 安全管理(3)
走在bug的路上
08-10 1130
高级配置
利用@PreAuthorize注解自定义权限校验
m0_37541228的博客
04-01 7502
有没有办法在@Preauthorize块中创建更具表现力的语句?这是我发现自己重复的一个例子,因为@Preauthorize不是非常聪明的开箱即用。 @RequestMapping(value = "{id}", method = RequestMethod.DELETE) public void deleteGame(@PathVariable int id, @ModelAttribute User authenticatingUser) { Game currentGame = ga.
Spring Security# RoleHierarchy
来啊 快活啊
09-08 2237
参考RoleVoter RoleHierarchyVoter RoleHierarchyImpl spring-security-reference#Hierarchical Roles Spring Security Role Hierarchy not working using Java Config
2.Spring Security 用户,角色权限 详解
热门推荐
妖怪的博客
08-26 1万+
本文主要介绍Spring Security使用数据库存储角色权限,并在此情况下进行登录操作,同时介绍了记住我操作
后端进阶之路——浅谈Spring Security用户、角色权限和访问规则(三)
Why_does_it_work的博客
08-04 3687
通过定义用户、角色权限和访问规则 可以在SpringSecurity实现灵活的访问控制权限管理。可以使用内存方式或数据库方式定义用户,设置用户名、密码和角色等信息。角色可以用来组织和控制权限,可以将一组权限赋予特定角色,并将角色分配给用户。权限是指用户可以执行的特定操作或访问的资源,可以细化到每个功能或数据级别。可以使用Ant风格的路径匹配规则或表达式语言编写更复杂的访问规则,以限制用户对特定路径或功能的访问权限。 通过定义这些元素,可以确保系统的安全性和可靠性。
初学spring security(四)-----角色权限控制
m0_48631806的博客
03-25 1173
在配置类中通过hasAuthority(“admin”)设置具有admin权限时才能访问。2.hasAnyAuthority(String ...) 如果用户具备给定权限中某一个,就允许访问。// 如果用户没有"adMin","admiN"这两个权限,将被拒绝访问(区分大小写)3.hasRole(String) 如果用户具备给定角色就允许访问。否则出现403。参数取值来源于自定义登录逻辑UserDetailsService实现类中创建User对象时给User赋予的授权。
Spring Security系列】基于Spring Security实现权限动态分配之用户-角色分配
c18213590220的博客
12-27 1215
本文将介绍基于Spring Security实现安全框架中角色动态分配的功能。
Spring Security 为用户示例添加角色
allway2的博客
09-21 1878
以 Web 形式更新用户的角色。这里很酷的是,Thymeleaf 会根据分配给用户的角色自动显示选择的角色。此外,您可以在此处简单地选中/取消选中角色来更新用户的角色。这是一些关于在 Spring Boot Web 应用程序中向用户添加角色的代码示例。现在,我将向您展示如何使用 Web 用户界面编写编辑用户功能的代码,我们可以在其中更改分配给用户的角色。用户注册中的一个常见场景是为新注册的用户设置默认角色,例如用户或客户角色。一个用户可以有一个或多个角色,一个角色可以分配给一个或多个用户,因此。
SpringSecurity配置高级用户拥有低级用户权限(权限继承)
hehehehao1的博客
11-29 302
【代码】SpringSecurity配置高级用户拥有低级用户权限(权限继承) SpringSecurity配置权限层级,高级用户管理员用户拥(继承)低权限用户的所有权限权限继承
SpringBoot集成Spring Security实现角色继承【完整源码+数据库】
02-16
SpringBoot集成Spring Security实现角色继承 适合小白,刚刚接触security权限框架的小白,或者开发人员,可以加深对security的理解
springsecurity+jwt权限系统demo.zip
11-19
springsecurity+jwt权限系统demo,只有后端,测试请使用postman,未登录情况下不可以访问指定路径的接口,用户登录之后不可以访问管理员接口,管理员可以访问其角色一下的所有接口,角色可以继承
基于 OAuth2.0 的 Spring Cloud 权限管理系统
03-10
整体接入OAuth2 提供标准专业的权限管理深度封装 spring security oauth2 只需要继承封装类,即可接入OAuth2 6. ORM 全面使用 Mybatis Plus 3,采用lambda 重构 7. 全面重构业务代码 使用lambda、stream、 lombok ...
citrus:基于SpringBoot 2.3.2 + Mybatis-Plus + SpringSecurity + JWT 的前后分离后台管理系统 ,统一的认证入口、易于扩展的认证与权限校验、细粒度的权限与数据范围设计、动态数据源+多数据源事务
04-09
Citrus: 低代码开发脚手架项目简介基于SpringBoot 2.3.2 + Mybatis-Plus + SpringSecurity + JWT 的前后分离后台管理系统前端仓库地址:项目特性开箱即用,引入starter依赖后即可启动高效开发,只需要定义实体与库表...
Pre基于Spring Boot 、Spring Security的RBAC权限管理系统, 做更简洁的后台管理系统。.zip
最新发布
03-03
Java是一种高性能、跨平台的面向...自动内存管理(垃圾回收): Java具有自动内存管理机制,通过垃圾回收器自动回收不再使用的对象,使得开发者不需要手动管理内存,减轻了程序员的负担,同时也减少了内存泄漏的风险。
Spring Security 基于角色的访问控制
qq_18208265的博客
09-10 1870
Spring Security 作为安全框架包含类两大核心的模块:认证与鉴权。在前两篇文章中展现了 Spring Security 中的认证模块一些内容,紧接着这篇文章会将目光放到 Spring Security 的鉴权模块中。介绍一下在 Spring Security 中如何使用鉴权功能。 那接下来就看一看在 Spring Security 中如何实现基于角色的访问控制吧! 本文配套的示例源码: https://github.com/lxiaocode/spring-security-examples
SpringSecurity、RBAC角色权限控制
user__kk的博客
09-12 801
RBAC 全称为用户角色权限控制,通过角色关联用户,角色关联权限,这种方式,间阶的赋予用户的权限。对于通常的系统而言,存在多个用户具有相同的权限,在分配的时候,要为指定的用户分配相关的权限,修改的时候也要依次的对这几个用户的权限进行修改,有了角色这个权限,在修改权限的时候,只需要对角色进行修改,就可以实现相关的权限的修改。这样做增加了效率,减少了权限漏洞的发生。权限是资源的集合,这里的资源指的是软件中的所有的内容,即,对页面的操作权限,对页面的访问权限,对数据的增删查改的权限
后端进阶之路——深入理解Spring Security配置(二)
Why_does_it_work的博客
08-04 1999
小结: 在本文中,我们介绍了Spring Security的作用和重要性,并讨论了配置用户、角色权限和访问规则的必要性。然后,我们演示了如何创建一个基本的Spring项目。 首先,我们使用Maven创建了一个新的项目。Maven是一个流行的构建工具,可以帮助我们管理项目的依赖项和构建过程。 接下来,我们添加了Spring Security的依赖项。Spring Security是一个强大的安全框架,可以帮助我们保护应用程序免受各种常见的安全威胁。 通过完成这些步骤,我们为我们的项目设置了一个基本的
spring security入门--基于角色实现用户登录访问
xiaoheihai666的博客
08-31 466
接上篇,我们搭建好了基本框架之后,怎么实现自定义用户及角色来登录不同的系统呢?一、首先创建一个自定义的配置类,继承WebSecurityConfigurerAdapter类。使用zhangsan账号登录 helloUser 方法成功。二、在controller类中编写不同角色登录的代码。三、运行启动类进行测试。...
如何使用springsecurity权限控制实现一个用户多个角色
03-24
可以使用Spring Security角色继承实现一个用户拥有多个角色权限控制。具体实现步骤如下: 1. 定义角色:定义多个角色,例如ROLE_ADMIN、ROLE_USER等。 2. 定义用户:定义多个用户,并为每个用户分配一个或多个角色。 3. 配置角色继承使用<intercept-url>标签配置角色继承,例如: <intercept-url pattern="/admin/**" access="ROLE_ADMIN"/> <intercept-url pattern="/user/**" access="ROLE_USER"/> 这样,用户拥有ROLE_ADMIN角色权限也会自动拥有ROLE_USER角色权限。 4. 配置用户认证:使用<authentication-provider>标签配置用户认证方式,例如: <authentication-provider> <user-service> <user name="admin" password="admin" authorities="ROLE_ADMIN,ROLE_USER"/> <user name="user" password="user" authorities="ROLE_USER"/> </user-service> </authentication-provider> 这样,用户admin拥有ROLE_ADMIN和ROLE_USER角色权限,用户user只拥有ROLE_USER角色权限。 5. 配置访问控制使用<http>标签配置访问控制,例如: <http> <intercept-url pattern="/admin/**" access="ROLE_ADMIN"/> <intercept-url pattern="/user/**" access="ROLE_USER"/> <form-login/> </http> 这样,访问/admin/**的URL需要拥有ROLE_ADMIN角色权限,访问/user/**的URL需要拥有ROLE_USER角色权限。 以上就是使用Spring Security实现一个用户拥有多个角色权限控制的步骤。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值