2. 程式人生 > 其它 >SpringBoot — 安全框架 Spring Security 詳解四

SpringBoot — 安全框架 Spring Security 詳解四

阿新 發佈:2020-12-14

技術標籤:SpringBootSpringBootSpringSecurit

雖然前面我們實現了通過資料庫來配置使用者與角色,但認證規則仍然是使用HttpSecurity進行配置,還是不夠靈活,無法實現資源和角色之間的動態調整。這篇文章我們就介紹一下通過資料庫查詢某個URL資源的訪問角色。

四、基於資料庫的URL許可權規則配置

1、資料庫設計

這裡在上一篇文章的基礎上再新增 資源表資源許可權表 兩種資料表,表結構如下所示:

  • 資源表,儲存每個選單的URL
 CREATE TABLE `menus` (
  `id` bigint(20) unsigned NOT NULL AUTO_INCREMENT, -- 主鍵
  `menu` varchar(20) NOT NULL,                      -- 選單路徑
  `menu_name` varchar(30) NOT NULL,                 -- 選單名稱
  `enabled` tinyint(1) DEFAULT '1',                 -- 是否啟用 1-啟用,0-未啟用
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=1 DEFAULT CHARSET=utf8
  • 資源角色表,主要儲存 每個URL允許哪幾個角色訪問
CREATE TABLE `menu_role` (
  `id` bigint(20) unsigned NOT NULL AUTO_INCREMENT, -- 主鍵
  `m_id` bigint(20) unsigned DEFAULT NULL,          -- 資源ID
  `r_id` bigint(20) unsigned DEFAULT NULL,          -- 角色ID
  PRIMARY KEY (`id`),
  UNIQUE KEY `m_r_idx` (`m_id`,`r_id`)
) ENGINE=InnoDB AUTO_INCREMENT=1 DEFAULT CHARSET=utf8

2、建立實體類及資料訪問層

(1)、建立menus表的實體類 Menus

@AllArgsConstructor
@NoArgsConstructor
@Getter
@Setter
public class Menus {
    private Long id;
    private String menu;
    private String menuName;
    private short enabled;
}

(2)、建立menus表的資料訪問層 MenusMapper


@Repository
public interface MenusMapper {

    @Select("select * from `menus`")
    @Results(value = {
            @Result(property = "id", column = "id"),
            @Result(property = "menu", column = "menu"),
            @Result(property = "menu_name", column = "menuName"),
            @Result(property = "enabled", column = "enabled"),
            @Result(property = "roles", column = "id",
                    many = @Many(select = "com.yuange.www.mapper.MenusMapper.queryRoleByMenuId"))
    })
    public List<Menus> queryAllMenus();

    @Select("select * from `role` as r, menu_role as mr where r.id = mr.r_id and mr.m_id = #{id}")
    @ResultType(Role.class)
    List<Role> queryRoleByMenuId(Long id);
}

3、自定義 FilterInvocationSecurityMetadataSource

要實現動態配置許可權,首先需要自定義FilterInvocationSecurityMetadataSource:

注意:自定義FilterInvocationSecurityMetadataSource主要實現該介面中的getAttributes方法,該方法用來確定一個請求需要哪些角色。

@Component
public class MySecurityMetadataSource implements FilterInvocationSecurityMetadataSource {

    // 建立一個AnipathMatcher,主要用來實現ant風格的URL匹配。
    private AntPathMatcher antPathMatcher = new AntPathMatcher();
    @Resource
    private MenusMapper menusMapper;

    @Override
    public Collection<ConfigAttribute> getAttributes(Object object) throws IllegalArgumentException {
        //從引數中獲取請求URL
        String url = ((FilterInvocation) object).getRequestUrl();
        //查詢所有的選單需要的許可權,實際專案中可以先載入到快取中
        List<Menus> menus = menusMapper.queryAllMenus();
        Collection<String> roles = null;
        try {
            //匹配出符合條件的URL,並把URL所需要的許可權返回
            roles  = menus.stream()
                    .filter(menu -> antPathMatcher.match(menu.getMenu(), url))
                    .findFirst().orElse(new Menus()).getRoles()
                    .stream().map(Role::getName).collect(Collectors.toList());
        } catch (Exception e) {
            System.err.printf("解析url[%s]需要的角色時出現異常: %s \n", url, e.getMessage());
        }
        //如果沒有匹配到需要重新登入
        if(CollectionUtils.isEmpty(roles)){
            roles = Collections.singleton("ROLE_LOGIN");
        }
        return SecurityConfig.createList(roles.toArray(new String[]{}));
    }

    @Override
    public Collection<ConfigAttribute> getAllConfigAttributes() {
        return null;
    }

    @Override
    public boolean supports(Class<?> clazz) {
        return FilterInvocation.class.isAssignableFrom(clazz);
    }
}

4、自定義AccessDecisionManager

當一個請求走完FilterInvocationSecurityMetadataSource中的getAttributes方法後,接下來就會來到AccessDecisionManager類中進行角色資訊的對比,自定義AccessDecisionManager程式碼如下:


@Component
public class MyAccessDecisionManager implements AccessDecisionManager {
    @Override
    public void decide(Authentication authentication, Object object, Collection<ConfigAttribute> configAttributes) throws AccessDeniedException, InsufficientAuthenticationException {

        //獲取當前登入使用者的角色資訊
        Collection<? extends GrantedAuthority> authorities = authentication.getAuthorities();

        for (ConfigAttribute ca: configAttributes){
            //如果此時是 ROLE_LOGIN 角色並且使用者登入操作,則直接放開
            if("ROLE_LOGIN".equals(ca.getAttribute()) && authentication instanceof UsernamePasswordAuthenticationToken){
                 return;
            }
            for(GrantedAuthority ga: authorities){
                //如使用者角色中有匹配的角色則直接結束
               if(ca.getAttribute().equals(ga.getAuthority())){
                   return;
               }
            }
        }
        //沒有匹配的角色說明沒有許可權訪問此資源
        throw new AccessDeniedException("許可權不足!");
    }

    @Override
    public boolean supports(ConfigAttribute attribute) {
        return true;
    }

    @Override
    public boolean supports(Class<?> clazz) {
        return true;
    }
}

5、配置Security

這裡與前文的配置相比,主要是修改了configure(HttpSecurity http)方法的實現並注入了兩個Bean。至此我們邊實現了動態許可權配置,許可權和資源的關係可以在menu_role表中動態調整。


@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    //注入userDetailsService
    @Resource
    private UserDetailsService userDetailsService;
    @Resource
    @Qualifier("MyAccessDecisionManager")
    private AccessDecisionManager accessDecisionManager;
    @Resource
    @Qualifier("MySecurityMetadataSource")
    private FilterInvocationSecurityMetadataSource metadataSource;

    //配置記憶體使用者
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
       auth.userDetailsService(userDetailsService) //修改預設的 userDetailsService
           .passwordEncoder(NoOpPasswordEncoder.getInstance());
    }

    // URL訪問許可權配置
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .withObjectPostProcessor(new ObjectPostProcessor<FilterSecurityInterceptor>() {
                    @Override
                    public <O extends FilterSecurityInterceptor> O postProcess(O object) {
                        object.setAccessDecisionManager(accessDecisionManager);
                        object.setSecurityMetadataSource(metadataSource);
                        return object;
                    }
                })
                .and().formLogin().loginProcessingUrl("/login").permitAll()
                .and().csrf().disable();
    }
}

6、重啟執行測試

(1)、用 admin 使用者登入訪問 “/add” 可以正常訪問

(2)、用 user 使用者登入訪問 “/add”則出現如下錯誤

相關推薦

SpringBoot安全框架 Spring Security

技術標籤:SpringBootSpringBootSpringSecurit 雖然前面我們實現了通過資料庫來配置使用者與角色,但認證規則仍然是使用HttpSecurity進行配置,還是不夠靈活,無法實現資源和角色之間的動態調整。這篇文章我們就

Spring Security 中的種許可權控制方式

Spring Security 中對於許可權控制預設已經提供了很多了,但是,一個優秀的框架必須具備良好的擴充套件性,恰好,Spring Security 的擴充套件性就非常棒,我們既可以使用 Spring Security 提供的方式做授權,也可以自

springboot學習(七)安全管理 spring security

Spring Security入門 Spring SecuritySpring 家族中的一個安全管理框架Spring Boot 對於 Spring Security 提供了 自動化配置方案,可以零配置使用 Spring Security

Spring框架擴充套件點(BeanPostProcessor等)

在日常使用Spring框架的業務開發中,利用框架提供的擴充套件點完成某些功能的設計是很常見的,瞭解這些擴充套件點的原理也對理解框架非常有幫助。這裡做一個簡單的整理、總結。

Spring 使用Validation 驗證框架的問題

一、介紹 Spring Validation 驗證框架對引數的驗證機制提供了@Validated (Spring\'s R-303 規範,是標準 JSR-303 的一個變種),x 提供了@Valid(標準 JSR-303 規範),配合 BindingResult 可以直接提供引數驗證結果

Spring AOP

情景案例 小明辛苦忙了一整年終於完成了包含300個介面的業務系統專案。專案圓滿上線並穩定運行了一段時間了。突然有一天總監說,對於會造成資料變化的所有介面,我們必須記錄使用者的操作日誌。然後小明就吭哧吭哧給

Aspectj框架實戰案例

本文例項講述了Aspectj框架。分享給大家供大家參考,具體如下: 一 環境變數配置

Springboot中@Value的使用

Springboot通過@Value註解將配置檔案中的屬性注入到容器內元件中(可用在@Controller、@Service、@Configuration、@Component等Spring託管的類中)

SpringBoot整合Druid資料來源過程

這篇文章主要介紹了SpringBoot整合Druid資料來源過程,文中通過示例程式碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友可以參考下

MongoDB 3.0+安全許可權訪問控制

1、啟動沒有訪問控制的MongoDB服務 sudo service mongod start 2、連線到例項 mongo --port 27017

python飛機大戰pygame遊戲框架搭建操作

本文例項講述了python飛機大戰pygame遊戲框架搭建操作。分享給大家供大家參考,具體如下:

Laravel5.1 框架路由基礎

本文例項講述了Laravel5.1 框架路由基礎。分享給大家供大家參考,具體如下:

SpringBoot熱重啟配置

1.新增依賴 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-devtools</artifactId>

簡易JDBC框架實現過程

1 準備 JDBC 基本知識 JDBC元資料知識 反射基本知識 2: 兩個問題 業務背景:系統中所有實體物件都涉及到基本的CRUD操作。所有實體的CUD操作程式碼基本相同,僅僅是傳送給資料庫的sql語句不同而已,因此可以把CUD操

BootStrap前端框架使用方法

1.概念: Bootstrap,是目前很受歡迎的前端框架。Bootstrap 是基於 HTML、CSS、JavaScript 的,它簡潔靈活,使得 Web 開發更加快捷。

SpringBoot非同步任務使用方法

步驟,如圖所示: 1.新增非同步任務業務類 package top.ytheng.demo.task; import java.util.concurrent.Future;

PHP開發api介面安全驗證操作例項

本文例項講述了PHP開發api介面安全驗證操作.分享給大家供大家參考,具體如下:

Python ORM框架Peewee用法

之前在學Django時,發現它的模型層非常好用,把對資料庫的操作對映成對類、物件的操作,避免了我們直接寫在Web專案中SQL語句,當時想,如果這個模型層可以獨立出來使用就好了,那我們平臺操作資料庫也可以這麼玩了,

SpringBoot JPA使用配置過程

JPA是什麼? JPA(Java Persistence API)是Sun官方提出的Java持久化規範. 為Java開發人員提供了一種物件/關聯對映工具來管理Java應用中的關係資料. 它的出現是為了簡化現有的持久化開發工作和整合ORM技術. 結束各個

SpringBoot整合FastDFS方法過程

一.pom.xml <?xml version=\"1.0\" encoding=\"UTF-8\"?> <project xmlns=\"http://maven.apache.org/POM/4.0.0\" xmlns:xsi=\"http://www.w3.org/2001/XMLSchema-instance\"