還想看更多文章的朋友可以訪問(wèn)我的個(gè)人博客
使用授權(quán)方法進(jìn)行授權(quán)配置
每一個(gè) Spring Security 控制授權(quán)表達(dá)式(以下簡(jiǎn)稱(chēng)為表達(dá)式)實(shí)際上都在 API 中對(duì)應(yīng)一個(gè)授權(quán)方法遮糖,該方法是請(qǐng)求的 URL 權(quán)限配置時(shí)的處理方法。例如:
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.antMatchers(HttpMethod.DELETE, "/user/*").hasRole("ADMIN")
.antMatchers("/index").permitAll()
.antMatchers("/pay").hasAnyRole("WE_CHAT_PAY", "ALI_PAY")
.antMatchers("/debug").hasIpAddress("192.168.1.0/24");
}
使用授權(quán)表達(dá)式給多權(quán)限要求的請(qǐng)求授權(quán)
那么叠赐,何時(shí)需要用到表達(dá)式進(jìn)行授權(quán)處理呢止吁?一個(gè)安全應(yīng)用的權(quán)限要求往往是復(fù)雜多樣的,比如燎悍,項(xiàng)目的調(diào)試請(qǐng)求希望訪問(wèn)者既要擁有管理員權(quán)限又必須是通過(guò)公司內(nèi)部局域網(wǎng)內(nèi)部訪問(wèn)敬惦。而這樣的需求下,僅僅通過(guò)Security API 提供的方法是無(wú)法滿足的谈山,因?yàn)檫@些授權(quán)方法是無(wú)法連續(xù)調(diào)用的俄删。
此時(shí)就可以使用授權(quán)表達(dá)式解決:
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.antMatchers("/debug")
.access("hasRole('ADMIN') and hasIpAddress('192.168.1.0/24')");
}
授權(quán)表達(dá)式舉例說(shuō)明
| 表達(dá)式 | 說(shuō)明 |
|---|---|
permitAll |
永遠(yuǎn)返回 true |
denyAll |
永遠(yuǎn)返回 false |
anonyous |
當(dāng)前用戶若是匿名用戶返回 true |
rememberMe |
當(dāng)前用戶若是 rememberMe 用戶返回 true |
authenticated |
當(dāng)前用戶若不是匿名(已認(rèn)證)用戶返回 true |
fullAuthenticated |
當(dāng)前用戶若既不是匿名用戶又不是 rememberMe 用戶時(shí)返回 true |
hasRole(role) |
當(dāng)前用戶權(quán)限集合中若擁有指定的 role 角色權(quán)限(匹配時(shí)會(huì)在你所指定的權(quán)限前加'ROLE_',即判斷是否有“ROLE_role”權(quán)限)時(shí)返回 true |
hasAnyRole(role1, role2, ...) |
當(dāng)前用戶權(quán)限集合中若擁有任意一個(gè)角色權(quán)限時(shí)返回 true |
hasAuthority(authority) |
當(dāng)前用戶權(quán)限集合中若具有 authority 權(quán)限(匹配是否有“authority”權(quán)限)時(shí)返回 true |
hasAnyAuthority(authority) |
當(dāng)前用戶權(quán)限集合中若擁有任意一個(gè)權(quán)限時(shí)返回 true |
hasIpAddress("192.168.1.0/24") |
發(fā)送請(qǐng)求的IP匹配時(shí)fanhui true |
使用自定義授權(quán)表達(dá)式進(jìn)行訪問(wèn)控制
或許你會(huì)認(rèn)為上述方式已能滿足絕大多數(shù)應(yīng)用安全授權(quán)管理奏路。但事實(shí)上的企業(yè)級(jí)應(yīng)用的授權(quán)往往是基于數(shù)據(jù)庫(kù)數(shù)據(jù)動(dòng)態(tài)變化的畴椰,若是使用上述方式進(jìn)行字符串拼接,不僅對(duì)于開(kāi)發(fā)者極不友好(每一次人人員變動(dòng)都意味著需要改代碼鸽粉,顯然不合理)斜脂,而且應(yīng)用的性能也會(huì)隨之降低。那么触机,如何解決呢帚戳?
基本思想是自定義授權(quán)管理模塊(從數(shù)據(jù)庫(kù)中插查詢用戶角色權(quán)限及可以訪問(wèn)的資源),并利用自定義授權(quán)表達(dá)式進(jìn)行授權(quán)管理儡首。此處的數(shù)據(jù)結(jié)構(gòu)基于RBAC數(shù)據(jù)模型構(gòu)建
基于角色的訪問(wèn)控制 RBAC 數(shù)據(jù)模型(Role-Based Access Control)
通用的 RBAC 數(shù)據(jù)模型片任, 一般需要五張表(三張實(shí)體表,兩張關(guān)系表)蔬胯。三張實(shí)體表包括用戶表对供、角色表、資源表氛濒。兩張關(guān)系表包括产场。其之間關(guān)系如下圖:
用戶表
任何一個(gè)系統(tǒng)都必須要有用戶表鹅髓,當(dāng)公司發(fā)生人員變動(dòng)時(shí),由業(yè)務(wù)人員(如人力資源)對(duì)該數(shù)據(jù)表進(jìn)行增刪記錄京景。
角色表
公司有哪些身份的人迈勋,例如總裁、副總裁醋粟、部門(mén)經(jīng)理等靡菇,由業(yè)務(wù)人員根據(jù)公司的具體情況對(duì)該表數(shù)據(jù)進(jìn)行操作。
資源表
存儲(chǔ)需要進(jìn)行權(quán)限控制的資源米愿,由于我們進(jìn)行控制授權(quán)時(shí)實(shí)際上是基于 URL 的厦凤,但業(yè)務(wù)人員并非按 URL 組織數(shù)據(jù)條目(事實(shí)上大多數(shù)業(yè)務(wù)人員也不懂這些),而是以視圖界面的形式進(jìn)行操作育苟。所以在這張表中存儲(chǔ)的是呈現(xiàn)給業(yè)務(wù)人員的菜單较鼓、按鈕及其所進(jìn)行權(quán)限控制的 URL 。
用戶—角色關(guān)系表
用戶表與角色表(用戶 id 與角色id )之間是一個(gè)多對(duì)多的關(guān)系违柏。一個(gè)用戶可以是多個(gè)角色(一個(gè)用戶既可以是部門(mén)經(jīng)理又可以是某個(gè)管理員)博烂,而一個(gè)角色往往對(duì)應(yīng)多個(gè)用戶。
角色—資源關(guān)系表
角色表與資源表()也是一個(gè)多對(duì)多的關(guān)系漱竖。一種角色可以訪問(wèn)多個(gè)資源(按鈕或菜單等)禽篱,一個(gè)資源也可以被多個(gè)角色訪問(wèn)。
自定義授權(quán)表達(dá)式
spring security 支持自定義表達(dá)式來(lái)完成這項(xiàng)工作馍惹,下面是一個(gè)簡(jiǎn)單的例子:
首先定義自己的授權(quán)模塊并聲明為 Spring 的 Bean
如下躺率,此處方法名可以任意,但參數(shù)必須提供HttpServletRequest及Authentication万矾。
@Component
public class RbacService {
private AntPathMatcher antPathMatcher = new AntPathMatcher();
public boolean hasPermission(HttpServletRequest request, Authentication auth) {
final boolean[] hasPermission = {false};
Object principal = auth.getPrincipal();
// 只有對(duì)非匿名用戶才有必要進(jìn)行權(quán)限控制
if (principal instanceof UserDetails) {
String username = (UserDetails) principal.getUsername();
// 根據(jù)username 查詢用戶所擁有權(quán)限的所有URL
Set<String> urls = getUrlsByUsername(username);
// 遍歷判斷用戶所訪問(wèn)的請(qǐng)求是否在其權(quán)限允許的范圍內(nèi)
urls.forEach(url -> {
if (antPathMatcher.match(url, request.getRequestURI())) {
hasPermission[0] = true;
}
});
}
return hasPermission[0];
}
}
然后在 Spring Security 安全配置中使用自定義授權(quán)表達(dá)式添加自己的授權(quán)邏輯:
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.anyRequest()
.access("@rbacService.hasPermission(request, authentication)");
}
Okay,這樣一來(lái)悼吱,就可以將自己的授權(quán)邏輯與 Spring Security 模塊銜接起來(lái)了。
