Spring Security 實現(xiàn)動態(tài)刷新 URL 白名單

Spring Security 實現(xiàn)動態(tài)刷新 URL 白名單

前言

  • 根據(jù) Spring Security 的默認安全配置指定路徑不需要認證的話漂羊,是無法動態(tài)更新匹配 URL 白名單的規(guī)則;
  • 現(xiàn)在我們的需求是通過 Nacos 隨時更新發(fā)布新的配置 或者 通過從 Redis / 數(shù)據(jù)庫 等方式獲取到匹配 URL 白名單的規(guī)則痘拆;
  • 目標是能夠自定義函數(shù)實現(xiàn)動態(tài)加載 URL 白名單的加載,在匹配時時候根據(jù)自定義函數(shù)獲取對應(yīng)匹配數(shù)據(jù)新啼;

版本說明

基于 Spring Security 5.7 進行改造的案例,其他版本可以作為參考础嫡,改造方法類似氛谜。

實現(xiàn)

  1. 不能實現(xiàn)動態(tài)刷新的案例
/**
 * 資源服務(wù)器配置
 */
@Configuration
@AllArgsConstructor
@EnableResourceServer
@EnableGlobalMethodSecurity(prePostEnabled = true, jsr250Enabled = true, securedEnabled = true)
public class ResourceServerConfig extends ResourceServerConfigurerAdapter {
    private TokenStore tokenStore;
    // 放在 Nacos 上的配置文件
    private SecurityCommonProperties securityProperties;

    @Override
    public void configure(ResourceServerSecurityConfigurer resources) {
        resources.resourceId(SpringContextUtils.applicationName());
        resources.tokenStore(tokenStore);
        resources.authenticationEntryPoint(new SecurityAuthenticationEntryPoint());
    }

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                .and()
                .authorizeRequests()
                // 根據(jù) securityProperties 的 UrlWhiteArray 白名單放行部分 URL 
                .antMatchers(securityProperties.getUrlWhiteArray()).permitAll()
                .anyRequest().authenticated();
    }
}
  • 案例是我們項目上的代碼掏觉,不能通過發(fā)布 Nacos 配置動態(tài)更新 URL 白名單

通過 Nacos 修改白名單配置雖然是可以動態(tài)刷新 SecurityCommonProperties 對應(yīng)字段的數(shù)據(jù),但是 Spring Security 的白名單是不會刷新的值漫。因為內(nèi)容已經(jīng)在啟動應(yīng)用時候加載進去了澳腹,后續(xù)并沒有變化

  • 需要通過重啟應(yīng)用才能生效,如果在生產(chǎn)環(huán)境或者開發(fā)環(huán)境杨何,這個操作是十分不方便的
  1. 動態(tài)刷新實現(xiàn)

自定義 org.springframework.security.web.util.matcher.RequestMatcher

  • LazyMvcRequestMatcher 代碼
import lombok.extern.slf4j.Slf4j;
import org.springframework.security.web.util.matcher.RequestMatcher;
import org.springframework.util.AntPathMatcher;
import org.springframework.util.PathMatcher;
import org.springframework.web.util.UrlPathHelper;

import javax.servlet.http.HttpServletRequest;
import java.util.*;
import java.util.function.Supplier;

import static java.util.stream.Collectors.toSet;

/**
 * @author hdfg159
 */
@Slf4j
public class LazyMvcRequestMatcher implements RequestMatcher {
    private final UrlPathHelper pathHelper = new UrlPathHelper();
    private final PathMatcher pathMatcher = new AntPathMatcher();

    // 獲取白名單的 Java8 Supplier 函數(shù)
    private final Supplier<Set<String>> patternsSupplier;

    public LazyMvcRequestMatcher(Supplier<Set<String>> patternsSupplier) {
        this.patternsSupplier = patternsSupplier;
    }

    /**
     * 獲取白名單列表
     * @return {@code Set<String>}
     */
    public Set<String> getPatterns() {
        try {
            return Optional.ofNullable(patternsSupplier)
                    .map(Supplier::get)
                    .map(patterns -> patterns.stream().filter(Objects::nonNull).filter(s -> !s.isBlank()).collect(toSet()))
                    .orElse(new HashSet<>());
        } catch (Exception e) {
            log.error("Get URL Pattern Error,Return Empty Set", e);
            return new HashSet<>();
        }
    }

    private boolean matches(String pattern, String lookupPath) {
        boolean match = pathMatcher.match(pattern, lookupPath);
        log.debug("Match Result:{},Pattern:{},Path:{}", match, pattern, lookupPath);
        return match;
    }

    @Override
    public MatchResult matcher(HttpServletRequest request) {
        var patterns = getPatterns();
        var lookupPath = pathHelper.getLookupPathForRequest(request);
        for (String pattern : patterns) {
            if (matches(pattern, lookupPath)) {
                Map<String, String> variables = pathMatcher.extractUriTemplateVariables(pattern, lookupPath);
                return MatchResult.match(variables);
            }
        }
        return MatchResult.notMatch();
    }

    @Override
    public boolean matches(HttpServletRequest request) {
        var lookupPath = pathHelper.getLookupPathForRequest(request);
        return getPatterns().stream().anyMatch(pattern -> matches(pattern, lookupPath));
    }
}
  • Spring Security 安全配置寫法案例
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.oauth2.config.annotation.web.configuration.ResourceServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configurers.ResourceServerSecurityConfigurer;
import org.springframework.security.oauth2.provider.token.TokenStore;

public abstract class DefaultResourceServerConfig extends ResourceServerConfigurerAdapter {
    private final TokenStore store;
    private final SecurityCommonProperties properties;

    public DefaultResourceServerConfig(TokenStore store, SecurityCommonProperties properties) {
        this.store = store;
        this.properties = properties;
    }

    @Override
    public void configure(ResourceServerSecurityConfigurer resources) {
        resources.resourceId(SpringContextUtils.applicationName());
        resources.tokenStore(store);
        resources.authenticationEntryPoint(new SecurityAuthenticationEntryPoint());
    }

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                .and()
                .authorizeRequests()
                // 關(guān)鍵點配置在這里酱塔,通過使用自己實現(xiàn)的 RequestMatcher
                .requestMatchers(new LazyMvcRequestMatcher(() -> 
                        // 函數(shù)內(nèi)實現(xiàn)獲取白名單規(guī)則代碼,可以通過 Nacos 動態(tài)刷新配置 危虱、 讀取 Redis 羊娃、 讀取數(shù)據(jù)庫等操作
                        properties.applicationDefaultWhitelistUrlPattern(SpringContextUtils.applicationName())
                )).permitAll()
                .anyRequest().authenticated();
    }
}

上面代碼的實現(xiàn),是可以在匹配時候動態(tài)獲取對應(yīng)名單埃跷,從而達到動態(tài)刷新白名單的效果

注意:獲取白名單函數(shù)內(nèi)的代碼邏輯盡量簡單蕊玷,不要編寫執(zhí)行時間長的代碼,這樣很容易影響應(yīng)用的性能捌蚊,每次路徑匹配都會對函數(shù)進行調(diào)用集畅,很容易成造成性能問題。

總結(jié)

  1. Spring Security 配置中自定義 org.springframework.security.web.util.matcher.RequestMatcher (Spring Security 請求匹配器)
  2. 通過 函數(shù)式編程 的方式缅糟,就是 Lambda 的延遲執(zhí)行,對實時規(guī)則進行讀取匹配
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 人面猴
    序言:七十年代末祷愉,一起剝皮案震驚了整個濱河市窗宦,隨后出現(xiàn)的幾起案子,更是在濱河造成了極大的恐慌二鳄,老刑警劉巖赴涵,帶你破解...
    沈念sama閱讀 206,968評論 6 482
  • 死咒
    序言:濱河連續(xù)發(fā)生了三起死亡事件,死亡現(xiàn)場離奇詭異订讼,居然都是意外死亡髓窜,警方通過查閱死者的電腦和手機,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 88,601評論 2 382
  • 救了他兩次的神仙讓他今天三更去死
    文/潘曉璐 我一進店門欺殿,熙熙樓的掌柜王于貴愁眉苦臉地迎上來寄纵,“玉大人,你說我怎么就攤上這事脖苏〕淌茫” “怎么了?”我有些...
    開封第一講書人閱讀 153,220評論 0 344
  • 道士緝兇錄:失蹤的賣姜人
    文/不壞的土叔 我叫張陵棍潘,是天一觀的道長恃鞋。 經(jīng)常有香客問我崖媚,道長,這世上最難降的妖魔是什么恤浪? 我笑而不...
    開封第一講書人閱讀 55,416評論 1 279
  • ?港島之戀(遺憾婚禮)
    正文 為了忘掉前任畅哑,我火速辦了婚禮,結(jié)果婚禮上水由,老公的妹妹穿的比我還像新娘敢课。我一直安慰自己,他們只是感情好绷杜,可當我...
    茶點故事閱讀 64,425評論 5 374
  • 惡毒庶女頂嫁案:這布局不是一般人想出來的
    文/花漫 我一把揭開白布直秆。 她就那樣靜靜地躺著,像睡著了一般鞭盟。 火紅的嫁衣襯著肌膚如雪圾结。 梳的紋絲不亂的頭發(fā)上,一...
    開封第一講書人閱讀 49,144評論 1 285
  • 城市分裂傳說
    那天齿诉,我揣著相機與錄音筝野,去河邊找鬼。 笑死粤剧,一個胖子當著我的面吹牛歇竟,可吹牛的內(nèi)容都是我干的。 我是一名探鬼主播抵恋,決...
    沈念sama閱讀 38,432評論 3 401
  • 雙鴛鴦連環(huán)套:你想象不到人心有多黑
    文/蒼蘭香墨 我猛地睜開眼焕议,長吁一口氣:“原來是場噩夢啊……” “哼!你這毒婦竟也來了弧关?” 一聲冷哼從身側(cè)響起盅安,我...
    開封第一講書人閱讀 37,088評論 0 261
  • 萬榮殺人案實錄
    序言:老撾萬榮一對情侶失蹤,失蹤者是張志新(化名)和其女友劉穎世囊,沒想到半個月后别瞭,有當?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體,經(jīng)...
    沈念sama閱讀 43,586評論 1 300
  • ?護林員之死
    正文 獨居荒郊野嶺守林人離奇死亡株憾,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點故事閱讀 36,028評論 2 325
  • ?白月光啟示錄
    正文 我和宋清朗相戀三年蝙寨,在試婚紗的時候發(fā)現(xiàn)自己被綠了。 大學時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片嗤瞎。...
    茶點故事閱讀 38,137評論 1 334
  • 活死人
    序言:一個原本活蹦亂跳的男人離奇死亡墙歪,死狀恐怖,靈堂內(nèi)的尸體忽然破棺而出猫胁,到底是詐尸還是另有隱情箱亿,我是刑警寧澤,帶...
    沈念sama閱讀 33,783評論 4 324
  • ?日本核電站爆炸內(nèi)幕
    正文 年R本政府宣布弃秆,位于F島的核電站届惋,受9級特大地震影響髓帽,放射性物質(zhì)發(fā)生泄漏。R本人自食惡果不足惜脑豹,卻給世界環(huán)境...
    茶點故事閱讀 39,343評論 3 307
  • 男人毒藥:我在死后第九天來索命
    文/蒙蒙 一郑藏、第九天 我趴在偏房一處隱蔽的房頂上張望。 院中可真熱鬧瘩欺,春花似錦必盖、人聲如沸。這莊子的主人今日做“春日...
    開封第一講書人閱讀 30,333評論 0 19
  • 一樁弒父案歌粥,背后竟有這般陰謀
    文/蒼蘭香墨 我抬頭看了看天上的太陽。三九已至拍埠,卻和暖如春失驶,著一層夾襖步出監(jiān)牢的瞬間,已是汗流浹背枣购。 一陣腳步聲響...
    開封第一講書人閱讀 31,559評論 1 262
  • 情欲美人皮
    我被黑心中介騙來泰國打工嬉探, 沒想到剛下飛機就差點兒被人妖公主榨干…… 1. 我叫王不留,地道東北人棉圈。 一個月前我還...
    沈念sama閱讀 45,595評論 2 355
  • 代替公主和親
    正文 我出身青樓涩堤,卻偏偏與公主長得像,于是被迫代替她去往敵國和親分瘾。 傳聞我的和親對象是個殘疾皇子胎围,可洞房花燭夜當晚...
    茶點故事閱讀 42,901評論 2 345

推薦閱讀更多精彩內(nèi)容