spring security 中的授权使用

一、认证

    身份认证,就是判断一个用户是否为合法用户的处理过程。Spring Security 中支持多种不同方式的认证,但是无论开发者使用那种方式认证,都不会影响授权功能使用。因为 SpringSecurity 很好做到了认证和授权解耦。

 

二、授权

    授权,即访问控制,控制谁能访问哪些资源。简单的理解授权就是根据系统提前设置好的规则,给用户分配可以访问某一个资源的权限,用户根据自己所具有权限,去执行相应操作。

2.1权限管理核心概念

     我们得知认证成功之后会将当前登录用户信息保存到Authentication 对象中,Authentication 对象中有一个getAuthorities() 方法,用来返回当前登录用户具备的权限信息,也就是当前用户具有权限信息。该方法的返回值为 Collection<?extends GrantedAuthorit,当需要进行权限判断时,就回根据集合返回权限信息调用相应方法进行判断。

2.2 GrantedAuthority 解释

 

    那么问题来了,针对于这个返回值 GrantedAuthority 应该如何理解呢? 是角色还是权限?

我们针对于授权可以是 基于角色权限管理 和 基于资源权限管理 ,从设计层面上来说,角色和权限是两个完全不同的东西: 权限是一些具体操作,角色则是某些权限集合。如:READ_BOOK 和 ROLE_ADMIN 是完全不同的。因此至于返回值是什么取决于你的业务设计情况:。基于角色权限设计就是: 用户 => 角色 => 资源  三者关系 返回就是用户的 角色。基于资源权限设计就是:用户e=>双限<=>资源”三者关系 返回就是用户的 权限。基于角色和资源权限设计就是: 用户角色<>权限<>资源 返回统称为用户的 权限为什么可以统称为权限,因为从代码层面角色和权限没有太大不同都是权限,特别是在Spring Security中,角色和权限处理方式基本上都是一样的。唯一区别 SpringSecurity在很多时候会自动给角色添加一个 ROLE_前缀,而权限则不会自动添加。

 

2.3 权限管理策略

 

Spring Security 中提供的权限管理策略主要有两种类型:

1)、基于过滤器(URL)的权限管理(FilterSecurityinterceptor)

           基于过滤器的权限管理主要是用来拦截 HTTP 请求,拦截下来之后,根据 HTTP 请求地址进行权限校验。

2)、基于AOP 的权限管理 (MethodSecurityinterceptor)

        基于AOP 权限管理主要是用来处理方法级别的权限问题。当需要调用某一个方法时,通过AOP 将操作拦截下来,然后判断用户是否具备相关的权限。

2.3.1 基于URL 权限管理

  在配置中写死,/** 需要有xx角色或者权限才能访问

2.3.1.1 准备工作

 

 1)pom.xml 依赖包

 2)测试controller

 3)security 配置

我们在controller中创建了三个方法,分别为

/adminInf   这个url(可以匹配 /adminInf.   /adminInf/  /adminInf.htm 等等)需要拥有admin的角色才能访问

/rootInf  这个url 需要拥有root的角色才能访问

/getUser 这个url 需要拥有read:user的权限才能才能访问

2.3.1.2 security 配置

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {/***  定义自己的userDetail**/@Beanpublic UserDetailsService userDetailsService() {InMemoryUserDetailsManager im = new InMemoryUserDetailsManager();im.createUser(User.withUsername("admin").password("{noop}123").roles("admin","root").build());im.createUser(User.withUsername("root").password("{noop}123").roles("root").build());im.createUser(User.withUsername("test").password("{noop}123").authorities("read:user").build());return im;}@Overrideprotected void configure(AuthenticationManagerBuilder auth) throws Exception {auth.userDetailsService(userDetailsService());}@Overrideprotected void configure(HttpSecurity http) throws Exception {http.authorizeRequests().mvcMatchers("/adminInf").hasRole("admin") // /adminInf 这个url下面必须有 admin的角色才能访问.mvcMatchers("/rootInf").hasAnyRole("admin","root") // /rootInf 这个url下面 有 admin 或者root 角色均可以访问.mvcMatchers("/getUser").hasAnyAuthority("read:user") // /getUser 这个url 下面必须有 read:user 这个权限才能访问.anyRequest().authenticated().and().formLogin()// 开启form表单登录.and().csrf().disable();}
}

2.3.1.3 测试controller

@RestController
public class HelloController {@GetMapping("/getUser")public String getUser() {return "userinfo authority ok ";}@GetMapping("/adminInf")public String admin() {return "admin role ok ";}@GetMapping("/rootInf")public String root() {return "root role ok ";}
}

2.3.1.4 测试结果

         1)、当我们登录admin 的用户时候访问,因为getUser没有配置权限,所以不能访问

7af3a7a0ad2445a788f6fd7da722af03.png

e8c37ed31867412381b5aa506fb8d49e.png

6328b9110ff344729794be73d6e45e7c.png

        2)、当我们登录test 的用户时候访问,因为rootinfo/ adminInfo没有配置角色,所以不能访问

ef84193f4c9943e8bccf36aa7c176174.png

cb7f6258d8b8449cb8c2f6e7d7c533aa.png

f687ec1ae1984c9c8b19236bb5624725.png

 

 

2.3.1.5 基于多种匹配规则

 

MvcMatchersAuthorizedUrl 、mvcMatchers 基于mvc 的匹配规则

 /test     可以匹配  /test.   /test/   /test.h...   多种

 

org.springframework.security.config.annotation.web.AbstractRequestMatcherRegistry#antMatchers(java.lang.String...)

.antMatchers()  早期 4.0 之前使用,基于全路径匹配

 /test     只能匹配  /test  这个路径下的方法

 

从用法上来看两个使用基本没有区别,区别主要是在于匹配的路径上,mvc 可以匹配范围更广,ant 是全匹配

org.springframework.security.config.annotation.web.AbstractRequestMatcherRegistry#regexMatchers(java.lang.String...)  基于正则方案,当我们写一个正则表达式就可以

049d8c078fb14b1ab376643dbf426180.png

 


2.4 基于方法的权限管理

     基于方法的权限管理主要是通过AOP 来实现的,Spring Security 中通过

MethodSecuritvInterceptor 来提供相关的实现。不同在于Filter Security interceptor 只是在请

求之前进行前置处理,MethodSecuritvinterceptor 除了前置处理之外还可以进行后置处理。

前置处理就是在请求之前判断是否具备相应的权限,后置处理则是对方法的执行结果进行二

次过滤。前置处理和后置处理分别对应了不同的实现类。

2.4.1 开启注解支持

@EnableGlobalMethodSecurity

3aeb81066f054d8aaf1d654c270da102.png

1)、perPostEnabled: 开启 Spring Security 提供的四个权限注解,@PostAuthorize

@PostFilter、@PreAuthorize 以及 @PreFilter。

2)、securedEnabled: 开启 Spring Security 提供的 @Secured 注解支持,该注解不支持权限表达式

3)、jsr250Enabled:开启JSR-250 提供的注解,主要是@DenyAll、@PermitAll、@RolesAll 同

样这些注解也不支持权限表达式

# 以上注解含义如下:

- @PostAuthorize: 在日标方法执行之后进行权限校验。

- @PostFiter: 在目标方法执行之后对方法的返回结果进行过滤。

- @PreAuthorize: 在目标方法执行之前进行权限校验。

- @PreFiter: 在日标方法执行之前对方法参数进行过滤

- @secured: 访问目标方法必须具各相应的角色

- @DenyA11: 拒绝所有访问。

- @PermitA1l: 允许所有访问。

- @RolesAllowed: 访问目标方法必须具备相应的角色

这些基于方法的权限管理相关的注解,一般来说只要设置 prePostEnabled=true 就够用了

 

2.4.2 权限表达式

e064275f9bcf42cca6becb50a9b74289.png

 

 

2.4.3 角色权限实战

1) 

    /**

     *  登录用户必须是  admin  而且角色必须是 ADMIN

     * @return

     */

    @PreAuthorize("hasRole('ADMIN') and authentication.name == 'admin'")

    @RequestMapping("hello")

    public String hello() {

        return "hello";

    }

4cf981fe5feb47709b465c8fb01cbfc8.png


2)、

    /**

     *  登录的用户名必须和传过来的用户名一致才能通过  spe 表达式

     * @param username

     * @return

     */

    @PreAuthorize("authentication.name == #username")

    @RequestMapping("username")

    public String username(String username) {

        return "hello:" + username;

}

e005bcd5189f4673b03211a13f6e2bbc.png


3)、

    /**

     *  过滤 users 对象里面的属性  id % 2 的数据,保留 不能整除的

     *  users 必须是一个集合,否则没法过滤  filterObject 固定写法

     * @param users

     * @return

     */

    @PreFilter(value = "filterObject.id % 2 != 0",filterTarget = "users")

    @RequestMapping("users")

    public String addUser(@RequestBody List<SecurityUser> users) {

        System.out.println(users);

        try {

            String userStr = new ObjectMapper().writeValueAsString(users);

            return userStr;

        } catch (JsonProcessingException e) {

            e.printStackTrace();

        }

        return "null ";

}

9b91e1103d1c441d809c55b398d144ed.png

ab343a982db24d99a87a88aa6a00fab7.png


4、    

   /**

     *  后置过滤   当请求过来的  id值为1的时候,那么就返回,否则就不返回

     * @param id

     * @return

     */

    @PostAuthorize(value = "returnObject.id ==1 ")

    @RequestMapping("getUserId")

    public SecurityUser getUserId(Integer id) {

       return new SecurityUser(id,"lq");

}

98e1c1e7d27d4822acc3725a15235a6d.png


5)

   /** 

     *  保留  id % 2 ==0 的数据返回,用来对方法返回值进行过滤

     * @return

     */

    @PostFilter(value = "filterObject.id %2==0 ")

    @RequestMapping("getAllUser")

    public List<SecurityUser> getAllUser() {

        List<SecurityUser> userList = new ArrayList<>();

        IntStream.rangeClosed(0,10)

                .forEach(index -> userList.add(new SecurityUser(index,"lq-"+index)));

 

        return userList;

 

    }

96722f9266e34d858930921018521df1.png

jsr250 使用比较少的,因为功能比较单一

/***  只能判断角色,而且需要自己加前缀  ROLE_     当前用户必须有 ADMIN 权限才能查看* @return*/
@Secured({"ROLE_ADMIN"})
@RequestMapping(value = "getUser1")
public SecurityUser getUser1() {return new SecurityUser(1,"lisi");
}/***  判断用户有  ADMIN或者 ROOT 角色就可以访问* @return*/
@Secured({"ROLE_ADMIN","ROLE_ROOT"})
@RequestMapping(value = "getUser2")
public SecurityUser getUser2() {return new SecurityUser(1,"王五");
}/***  所有的用户都可以访问* @return*/
@PermitAll
@RequestMapping(value = "permitAll")
public String perAll() {return "permitAll ok ";
}/***  所有的用户都拒绝访问* @return*/
@DenyAll
@RequestMapping(value = "denyAll")
public String denyAll() {return "denyAll ok ";
}/***  判断用户有  ADMIN或者 ROOT 角色就可以访问* @return*/
@RolesAllowed({"ROLE_ADMIN","ROLE_ROOT"})
@RequestMapping(value = "rolesAllowed")
public String rolesAllowed() {return "rolesAllowed ok ";
}

 

 

三、授权原理分析

 

 3.1 AccessDecisionManager

(访问决策管理器),用来决定此次访问是否被允许

56edef3ce0334557a7c3117da53dae06.png

 

3.2 AccessDecisionVoter

(访问决定投票器),投票器会检查用户是否具备应有的角色,进而投出赞成、反对或者弃权票。

6b041841af084d20b4e3994166f1a07d.pngAccesDecisionVoter和AccessDecisionManager 都有众多的实现类,在 AccessDecisionManager 中会换个遍历 AccessDecisionVoter,进而决定是否允许用户访问,因而 AaccesDecisionVoter 和 AccessDecisionManager 两者的关系类似于 AuthenticationProvider 和ProviderManager 的关系。

 

3.3 ConfigAttribute

用来保存授权时的角色信息

b1b94722d7614961859ae149b489faaf.png

   在 Spring Security 中,用户请求一个资源(通常是一个接口或者一个 Java 方法)需要的角色会被封装成一个 ConfigAttribute 对象,在configAttribute 中只有一个 getAttribute方法,该方法返回一个 Strng 字符串,就是角色的名称。一般来说,角色名称都带有一个 ROLE_前缀,投票器 AccessDecisionVoter 所做的事情,其实就是比较用户所具各的角色和请求某个资源所需的 ConfigAtuibute 之间的关系。

3.4 核心类 FilterSecurityInterceptor

db245317e7e84a7fbbf82ffca734c891.png

 

3.4.1 源码

        

org.springframework.security.web.access.intercept.FilterSecurityInterceptor

        org.springframework.security.web.access.intercept.FilterSecurityInterceptor#invoke

                         org.springframework.security.access.intercept.AbstractSecurityInterceptor#beforeInvocation

                        org.springframework.security.web.access.intercept.DefaultFilterInvocationSecurityMetadataSource#getAttributes

org.                                springframework.security.access.intercept.AbstractSecurityInterceptor#attemptAuthorization

9a89057254494904b0d84888dd82a459.png

 

3.4.2  SecurityMetadataSource

后期可以实现这个类,自定义过滤规则,我们下一章讲解动态从数据库如何配置,以及重写这个类的实现        

fa1358e18d9b48f485f7ce35b0670f85.png

47688253bce94646aca4434e0c253e21.png

 


 

四、我们自己的角色如何放进去

我们通过参考

org.springframework.security.core.userdetails.User 类中的roles方法

0a0e211df1084fe99693b5c30ffa5892.png

 

4.1 代码实现

 // 获取权限信息 todo:后期从数据库查询

List<String>perList=Arrays.asList("new:query", "news:delete"); 

#角色 我们将这两个角色加上前缀

List<String>roles=Arrays.asList("ADMIN","USER");

List<String>roleList=roles.stream().map(r ->"ROLE_"+ r).collect(Collectors.toList());

 perList.addAll(roleList);

 

LoginSessionUserInf loginSessionUserInf=new LoginSessionUserInf(tUserInf, perList);

89717c79b7ca45228114e35641e4f94f.png

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/419182.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【Anaconda】修改jupyter notebook默认打开的工作目录、jupyter notebook快捷键

jupyter notebook快捷键 针对单元格的颜色蓝色命令行模式绿色编辑模式 两种模式的切换编辑模式切换到命令行模式 >>> esc键命令行模式切换到编辑模式 >>> 鼠标左键或者直接按enter键1.标题的书写方式1:1.esc进入命令行模式2.按m键3.写内容4.运行单元格即可方…

基于SpringBoot的智能制造云平台系统的设计与实现计算机毕设

一、选题背景与意义&#xff08;300字左右&#xff09; 根据工业4.0智能制造生态链中云工厂在实际生产当中的工作流程进行充分调研和整理出来的&#xff0c;描述最终用户在本系统中对于生产订单的处理、排产、以及生产的完整在线处理流程和业务需求的文档。 针对制造业而言&a…

COD论文笔记 BiRefNet

本质还是一个 U 型编码器解码器结构的分割模型。 我可以考虑将©和(d)结合&#xff0c;即对解码器的输入不进行 patchify,同时在各个阶段引入梯度参考信息 最近的相关工作&#xff0c;中间监督、额外先验(频率&#xff0c;梯度&#xff0c;边缘等)取得不错效果 作者观察到…

【数据分享】《中国城市统计年鉴》(1985-2023)全PDF版本 第一次补档

数据介绍 中国城市&#xff0c;如同一本生动的历史书&#xff0c;承载着经济、社会的快速变迁。《中国城市统计年鉴》记录了城市的发展轨迹&#xff0c;是我们理解城市化进程、洞察城市挑战的重要指南。 这份年鉴的数据庞大而详实&#xff0c;囊括了中国城市发展的多个方面。…

二、Maven工程的创建--JavaSEJavaEE

1、idea创建Maven JavaSE工程&#xff1a; 2、idea创建Maven JavaEE工程&#xff1a; &#xff08;1&#xff09;手动创建 &#xff08;2&#xff09;插件方式创建 在idea里安装插件JBLJavaToWeb&#xff1b; 选择需要生成的项目文件后&#xff0c;右击&#xff1a; 项目…

【verilog】1. 流水灯例程

文章目录 前言一、定义概念 缩写1. verilog 二、性质三、代码分解释四、完整代码参考文献 前言 数电课设 一、定义概念 缩写 1. verilog Verilog 是一种以代码形式来描述数字系统和电路的硬件描述语言 (HDL)。它由 Gateway Design Automation 在 20 世纪 80年代中期开发&a…

【Linux】进程控制(一)

1. 进程创建 &#xff08;一&#xff09;认识fork函数 从已存在进程中创建一个新进程&#xff08;新进程为子进程&#xff0c;而原进程为父进程&#xff09; 进程调用fork&#xff0c;当控制转移到内核中的fork代码后&#xff0c;内核做&#xff1a; 分配新的内存块和内核数…

JVM 调优篇1 类的加载器与加载过程

一 基本知识 1.1 JIT&AOT JIT: Just Time compilation 即时编译器 在程序运行时将字节码或中间表示转换为机器代码。 AOT: Ahead of Tmie Compilation &#xff1a; 预编译 在程序运行之前将高级语言代码完全编译成机器代码。 1.2 字面量和符号引用* 字面量&am…

逻辑代数的基本规则

目录 逻辑代数的基本规则 带入规则 反演规则 对偶规则 逻辑代数的基本规则 带入规则 将逻辑等式两边的某一变量均用同一个逻辑函数代替&#xff0c;等式仍然成立。 可以用A非代替A&#xff0c;也可以用C代替B。 也可使用BC这样一个整体代替B。 反演规则 可以把与换或&#x…

Mysql高级教程

1.安装部署 安装依赖性&#xff1a; [rootmysql-node10 ~]# dnf install cmake gcc-c openssl-devel ncurses-devel.x86_64 libtirpc-devel-1.3.3-8.el7_4.x86_64.rpm rpcgen.x86_64 下载并解压源码包 [rootmysql-node10 ~]# tar zxf mysql-boost-5.7.44.tar.gz [rootmysql-no…

Java项目——苍穹外卖(一)

Entity、DTO、VO Entity&#xff08;实体&#xff09; Entity 是表示数据库表的对象&#xff0c;通常对应数据库中的一行数据。它通常包含与数据库表对应的字段&#xff0c;并可能包含一些业务逻辑。 DTO&#xff08;数据传输对象&#xff09; 作用&#xff1a;DTO 是用于在…

AutosarMCAL开发——基于EB Gpt驱动

目录 1.Gpt原理2.EB配置以及接口应用2.1 EB配置2.2 接口应用 3.总结 1.Gpt原理 autosar GPT模块&#xff08;General Purpose Timer&#xff0c;通用定时器&#xff09;主要用于汽车ECU中的时间测量、计数和产生定时中断。它支持单次性和周期性定时器&#xff0c;可以在达到预…

Bitvise——进入服务器的快捷方式

第一步&#xff1a;在连接进服务器后&#xff0c;点击左侧的保存配置文件&#xff0c;保存至桌面。 第二步&#xff1a;将保存的配置文件&#xff08;后缀为 .tlp&#xff09;打开方式改为bitvise。 第三步&#xff1a;双击配置文件&#xff08;后缀为 .tlp&#xff09;&#…

kubelet组件的启动流程源码分析

概述 摘要: 本文将总结kubelet的作用以及原理&#xff0c;在有一定基础认识的前提下&#xff0c;通过阅读kubelet源码&#xff0c;对kubelet组件的启动流程进行分析。 正文 kubelet的作用 这里对kubelet的作用做一个简单总结。 节点管理 节点的注册 节点状态更新 容器管…

Android终端如何快速接入GB28181平台实现实时音视频回传

技术背景 GB28181是由中国国家标准委员会发布的基于IP网络的安防视频监控标准。Android平台GB28181设备对接模块&#xff0c;主要涉及到视频监控领域&#xff0c;可实现不具备国标音视频能力的 Android终端&#xff0c;通过平台注册接入到现有的GB/T28181—2016服务&#xff0…

Ifream实现微前端效果

记得有人曾问过我&#xff0c;老旧的项目内容很多&#xff0c;项目卡&#xff0c;想要改造成类似微前端&#xff0c;领导想要快速&#xff0c;又不想系统重构、而且是不同子系统的协同&#xff0c;要怎么做&#xff1f;对方不想做太大的改造&#xff0c;所以想用ifream的方式动…

如何打造高效办公楼物业管理系统?Java SpringBoot+Vue架构详解,实现智能化管理,提升工作效率

&#x1f34a;作者&#xff1a;计算机毕设匠心工作室 &#x1f34a;简介&#xff1a;毕业后就一直专业从事计算机软件程序开发&#xff0c;至今也有8年工作经验。擅长Java、Python、微信小程序、安卓、大数据、PHP、.NET|C#、Golang等。 擅长&#xff1a;按照需求定制化开发项目…

【全网最全】2024年数学建模国赛A题30页完整建模文档+17页成品论文+保奖matla代码+可视化图表等(后续会更新)

您的点赞收藏是我继续更新的最大动力&#xff01; 一定要点击如下的卡片那是获取资料的入口&#xff01; 【全网最全】2024年数学建模国赛A题30页完整建模文档17页成品论文保奖matla代码可视化图表等&#xff08;后续会更新&#xff09;「首先来看看目前已有的资料&#xff0…

Bat的退役前

我们很讨厌bat 语法这版的命令形式后缀尽管古老&#xff0c;可是在涉及细微VS 项目op 时候&#xff0c;它起到了不可忽视且非它不行的效应 我们不想替历史背上厚重的学习包袱&#xff0c;可是我们能忽视BAT 吗 如若进入到 无window时代&#xff0c;我们几乎得全然依仗BAT专家。…

Hiredis的使用

Hiredis的使用 &#x1f4f8;这里安利一个github仓库介绍 图片生成 Socialify 一键生成专业 GitHub 仓库简介图 一、Hiredis的安装与使用 1、下载hiredis软件包&#xff0c; https://github.com/redis/hiredis.git 或者使用git下载到本地 git clone https://github.com/redi…