還想看更多文章的朋友可以訪問我的個人博客
使用授權方法進行授權配置
每一個 Spring Security 控制授權表達式(以下簡稱為表達式)實際上都在 API 中對應一個授權方法,該方法是請求的 URL 權限配置時的處理方法。例如:
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.antMatchers(HttpMethod.DELETE, "/user/*").hasRole("ADMIN")
.antMatchers("/index").permitAll()
.antMatchers("/pay").hasAnyRole("WE_CHAT_PAY", "ALI_PAY")
.antMatchers("/debug").hasIpAddress("192.168.1.0/24");
}
使用授權表達式給多權限要求的請求授權
那么,何時需要用到表達式進行授權處理呢?一個安全應用的權限要求往往是復雜多樣的,比如,項目的調試請求希望訪問者既要擁有管理員權限又必須是通過公司內部局域網內部訪問。而這樣的需求下,僅僅通過Security API 提供的方法是無法滿足的,因為這些授權方法是無法連續調用的。
此時就可以使用授權表達式解決:
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.antMatchers("/debug")
.access("hasRole('ADMIN') and hasIpAddress('192.168.1.0/24')");
}
授權表達式舉例說明
| 表達式 | 說明 |
|---|---|
permitAll |
永遠返回 true |
denyAll |
永遠返回 false |
anonyous |
當前用戶若是匿名用戶返回 true |
rememberMe |
當前用戶若是 rememberMe 用戶返回 true |
authenticated |
當前用戶若不是匿名(已認證)用戶返回 true |
fullAuthenticated |
當前用戶若既不是匿名用戶又不是 rememberMe 用戶時返回 true |
hasRole(role) |
當前用戶權限集合中若擁有指定的 role 角色權限(匹配時會在你所指定的權限前加'ROLE_',即判斷是否有“ROLE_role”權限)時返回 true |
hasAnyRole(role1, role2, ...) |
當前用戶權限集合中若擁有任意一個角色權限時返回 true |
hasAuthority(authority) |
當前用戶權限集合中若具有 authority 權限(匹配是否有“authority”權限)時返回 true |
hasAnyAuthority(authority) |
當前用戶權限集合中若擁有任意一個權限時返回 true |
hasIpAddress("192.168.1.0/24") |
發送請求的IP匹配時fanhui true |
使用自定義授權表達式進行訪問控制
或許你會認為上述方式已能滿足絕大多數應用安全授權管理。但事實上的企業級應用的授權往往是基于數據庫數據動態變化的,若是使用上述方式進行字符串拼接,不僅對于開發者極不友好(每一次人人員變動都意味著需要改代碼,顯然不合理),而且應用的性能也會隨之降低。那么,如何解決呢?
基本思想是自定義授權管理模塊(從數據庫中插查詢用戶角色權限及可以訪問的資源),并利用自定義授權表達式進行授權管理。此處的數據結構基于RBAC數據模型構建
基于角色的訪問控制 RBAC 數據模型(Role-Based Access Control)
通用的 RBAC 數據模型, 一般需要五張表(三張實體表,兩張關系表)。三張實體表包括用戶表、角色表、資源表。兩張關系表包括。其之間關系如下圖:
用戶表
任何一個系統都必須要有用戶表,當公司發生人員變動時,由業務人員(如人力資源)對該數據表進行增刪記錄。
角色表
公司有哪些身份的人,例如總裁、副總裁、部門經理等,由業務人員根據公司的具體情況對該表數據進行操作。
資源表
存儲需要進行權限控制的資源,由于我們進行控制授權時實際上是基于 URL 的,但業務人員并非按 URL 組織數據條目(事實上大多數業務人員也不懂這些),而是以視圖界面的形式進行操作。所以在這張表中存儲的是呈現給業務人員的菜單、按鈕及其所進行權限控制的 URL 。
用戶—角色關系表
用戶表與角色表(用戶 id 與角色id )之間是一個多對多的關系。一個用戶可以是多個角色(一個用戶既可以是部門經理又可以是某個管理員),而一個角色往往對應多個用戶。
角色—資源關系表
角色表與資源表()也是一個多對多的關系。一種角色可以訪問多個資源(按鈕或菜單等),一個資源也可以被多個角色訪問。
自定義授權表達式
spring security 支持自定義表達式來完成這項工作,下面是一個簡單的例子:
首先定義自己的授權模塊并聲明為 Spring 的 Bean
如下,此處方法名可以任意,但參數必須提供HttpServletRequest及Authentication。
@Component
public class RbacService {
private AntPathMatcher antPathMatcher = new AntPathMatcher();
public boolean hasPermission(HttpServletRequest request, Authentication auth) {
final boolean[] hasPermission = {false};
Object principal = auth.getPrincipal();
// 只有對非匿名用戶才有必要進行權限控制
if (principal instanceof UserDetails) {
String username = (UserDetails) principal.getUsername();
// 根據username 查詢用戶所擁有權限的所有URL
Set<String> urls = getUrlsByUsername(username);
// 遍歷判斷用戶所訪問的請求是否在其權限允許的范圍內
urls.forEach(url -> {
if (antPathMatcher.match(url, request.getRequestURI())) {
hasPermission[0] = true;
}
});
}
return hasPermission[0];
}
}
然后在 Spring Security 安全配置中使用自定義授權表達式添加自己的授權邏輯:
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.anyRequest()
.access("@rbacService.hasPermission(request, authentication)");
}
Okay,這樣一來,就可以將自己的授權邏輯與 Spring Security 模塊銜接起來了。
