2. 程式人生 > >許可權管理之Spring Security(一)

許可權管理之Spring Security(一)

阿新 發佈:2019-01-06

本文只是我對security的一些簡單看法,如有錯誤,敬請指正。

從最簡單的demo說起

一個最簡單的springboot+security的demo到底可以簡單到什麼程度?請看以下程式碼:

null

 

如果說maven引入jar包不算程式碼的話,那麼最簡單的啟用security沒有任何程式碼!首先建立一個springboot專案,引入security以及web即可

當我們引入spring-boot-starter-security 之後就已經預設啟用了security,在這之後,只有通過驗證的使用者才可以訪問,在web環境下,security會有一個預設的登入介面和預設的使用者(使用者名稱為user,密碼列印在控制檯)

系統的使用者肯定是由我們自己管理的而不是由security預設的,所以我們需要給security提供使用者支援,這裡就是security的一個核心所在,認證!

security支援多種使用者認證方式,常用的有ldap,jdbc等等。你只需要根據相應的認證方式進行配置就可以使用該認證方式進行工作。以jdbc為例,我們只需要配置查詢使用者的sql,DataSource就可以使security從我們的資料來查詢使用者進行認證了。認證的核心java配置如下

1,新建security包

2,新建SecurityConfig類,繼承WebSecurityConfigurerAdapter類(security的預設配置類),重寫configureGlobal(AuthenticationManagerBuilder auth)方法

@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
        
    }
}

當我們需要快速使用security進行使用者認證時,只需要在這個方法裡進行配置即可,以記憶體認證為例:

@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
                .withUser("user").password("123456").roles("ADMIN");
    }
}

以上程式碼我們在記憶體中定義了一個使用者名稱為user,密碼為123456,角色為ADMIN的使用者,我們現在啟動專案,然後進行登入認證,會發現報錯

java.lang.IllegalArgumentException: There is no PasswordEncoder mapped for the id "null"

這是因為在新版本中,security必須指定密碼編碼器,通常情況下我們使用的是BCryptPasswordEncoder,

在這裡我們配置為明文密碼NoOpPasswordEncoder,詳見  官方文件

    @Bean
    public static NoOpPasswordEncoder passwordEncoder() {
        return (NoOpPasswordEncoder) NoOpPasswordEncoder.getInstance();
    }

再次啟動專案,進行認證會認證成功!

auth中包含許多的認證方式,我們需要用到那種就用那種即可。用這些的好處是快,能夠快速的對應用進行安全保護。但通常情況下,我們不會選擇這些預設的方式,我們需要自己實現自己的認證方式,就需要用到兩個關鍵的物件。1,UserDetailsService,它是security提供的一個介面,唯一的方法是 loadUserByUsername,作用是根據使用者名稱獲取使用者物件;2,UserDetails,它是security的使用者物件介面,security已經預設實現了該介面。但不管怎麼樣,只要認證,都需要在configureGlobal(AuthenticationManagerBuilder auth) 這個方法裡進行配置

當我們需要自定義認證時,首先需要的是實現UserDetailsService介面,程式碼如下:

class MyUserDetailsService implements UserDetailsService {

        private Map<String, User> userRepository = new HashMap<String, User>();

        public MyUserDetailsService() {
            List<SimpleGrantedAuthority> authorities = new ArrayList<>();
            authorities.add(new SimpleGrantedAuthority("ROLE_USER"));
            User user1 = new User("user1", "password1", authorities);
            userRepository.put("user1", user1);
            User user2 = new User("user2", "password2", authorities);
            userRepository.put("user2", user2);
        }

        @Override
        public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
            User user = userRepository.get(s);
            return user;
        }
    }

在上面的程式碼中,我們實現了UserDetailsService介面,重寫了loadUserByUsername方法。在這裡我們構造了兩個使用者以及他們的角色列表。在實際情況在,這裡遠遠不是這樣,我們可以根據自己的需求來獲取使用者資訊。只需要理解一點,這個方法是用來根據使用者名稱獲取使用者資訊的(包含角色列表,賬號是否啟用等等)。

接下來,我們需要在configureGlobal(AuthenticationManagerBuilder auth)這個方法裡設定我們自己的UserDetailsService

@Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(new MyUserDetailsService());
    }

到這裡,我們已經完成了基礎的認證,總之認證的核心方法就是configureGlobal,而自定義認證的核心是實現UserDetailsService介面。具體請看  官方文件​​​​​​

當我們完成認證之後,接下來就是授權,使用者到底能夠訪問那些連結。在上面的認證中,我們說到loadUserByUsername這個方法主要是根據使用者名稱查詢使用者資訊,包括使用者的角色資訊,在授權這裡,我們就需要用到使用者的角色資訊。

首先我們需要開啟security基於註解授權的功能,只需要在配置類上加 “@EnableGlobalMethodSecurity(prePostEnabled = true) ”註解即可

其次,我們來改造一下啟動類,增加幾個放法,程式碼如下:

@SpringBootApplication
@RestController
public class SimpleSecurityApplication {

    public static void main(String[] args) {
        SpringApplication.run(SimpleSecurityApplication.class, args);
    }

    @GetMapping("test")
    public String test(){
        return "test!";
    }

    @GetMapping("role")
    @PreAuthorize("hasRole('USER')")
    public String role(){
        return "role!";
    }

    @GetMapping("admin")
    @PreAuthorize("hasRole('ADMIN')")
    public String admin(){
        return "admin!";
    }
}

可以看到,test方法是都可以訪問的,role需要角色USER才可以訪問,admin需要角色ADMIN才可以訪問,接下來我們啟動專案會得到預期結果。至此,springboot整合security最基礎的demo完成,如果要進行實際使用,我們只需要完善MyUserDetailsService 類即可,同時為每個方法分配角色就可以完成對系統許可權的管理。

在我看來,security強大的地方是在於方法級別的許可權控制,在訪問方法的過程中進行許可權控制,訪問前滿足條件允許訪問,訪問時滿足條件允許訪問,訪問後滿足條件允許訪問之類的控制,就是aop(官方文件)。所以security貌似沒有所謂的許可權這一概念,而是通過role來限制使用者是否可以訪問介面。我們常用的許可權管理模型為RBAC模型,我認為,如果用security來實現的話,我們應該將security中ROLE概念認為是許可權,每個方法一個ROLE。通過在資料庫裡配置使用者擁有的ROLE(許可權,非角色)即可實現許可權控制。

相關推薦

許可權管理Spring Security

本文只是我對security的一些簡單看法,如有錯誤,敬請指正。 從最簡單的demo說起 一個最簡單的springboot+security的demo到底可以簡單到什麼程度?請看以下程式碼: null   如果說maven引入jar包不算程式碼的話,那麼最簡單的啟用

我們一起學習SpringSpring簡介

邏輯 style 發的 nfa 不同的 構建 john 局限 認識   首先聲明,我是一個spring初學者,寫這篇blog的目的是為了能和大家交流。文中不當之處還望大佬指出,不勝感激!   好了,現在我們開始進入正題。   很多小夥伴在學習Java的時候都會有人建議你去學

【SSH框架】Spring系列

oca getc per 名稱 寫入 xmla java開發 無需 不能 微信公眾號:compassblog 歡迎關註、轉發,互相學習,共同進步! 有任何問題,請後臺留言聯系! 1、前言 前面更新過幾篇關於 Struts2 框架和 Hibernate 框架的文章,但鑒於

Spring Security:官網嚮導翻譯

原文出自  https://spring.io/guides/topicals/spring-security-architecture Spring Security Architecture      This guide is a primer for Spring

複習spring基礎——控制反轉ioc和依賴注入di

Spring的核心——控制反轉 ioc: 反轉控制. 建立物件的方式反轉了.從我們自己建立物件,反轉給spring(程式)來建立. 實現ioc思想需要,di做支援 di: 依賴注入.將必須的屬性注入到物件當中.是實現ioc思想必須條件. 三種物件建立方式 無參

RBAC許可權管理系統實現思路

RBAC(Role-Based Access Contro) 是基於角色的許可權訪問控制,系統根據登入使用者的角色不同,從而給予不同的系統訪問許可權,角色的許可權隨角色創立時進行分配。 首先,許可權控制很多系統中都需要,但是不同的系統對於許可權的敏感程度不同,

Spring Security:整合JWT

違背的青春 今天寫下Spring Security整合jwt的一個簡單小Demo,目的是登入後實現返回token,其實整個過程很簡單。 匯入依賴 <dependency>    <groupId>io.jsonwe

Spring Security入門

1、新建maven專案,匯入依賴 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apac

Spring Security

Spring Security(一) 基本原理 前言 Spring Security核心功能 認證(你是誰) 授權(你能幹什麼) 攻擊防護(防止偽造身份) Srping Security基本原理 專案中如果加入了Spring Security的依賴不做任何配置情況下,啟動專案後,

重拾後端Spring Boot:REST API的搭建可以這樣簡單

Spring Boot 話說我當年接觸Spring的時候著實興奮了好一陣,IoC的概念當初第一次聽說,感覺有種開天眼的感覺。記得當時的web框架和如今的前端框架的局面差不多啊,都是群雄紛爭。但一晃好多年沒寫過後端,程式碼這東西最怕手生,所以當作重新學習了,順便寫個學習筆記。 Spring Boot是什麼?

Spring security 架構框架-Component、Service、Filter分析

1.spring security 認證和授權流程 常見認證和授權流程可以分成: A user is prompted to log in with a username and password (使用者用賬密碼登入) The system (successfully) verifies that th

許可權管理系統】Spring security---認證過程原理解析,demo

  在前面兩節Spring security (一)架構框架-Component、Service、Filter分析和Spring Security(二)--WebSecurityConfigurer配置以及filter順序為Spring Security認證作好了準備,可以讓我們更好的理解認證過程以及專案程式

Spring源碼分析IOC容器

util 感覺 不能 end bsp initial 博文 要掌握 sof   Spring作為當今風靡世界的Web領域的第一框架,作為一名Java開發程序員是一定要掌握的,除了需要掌握基本的使用之外,更需要掌握其實現原理,因為我們往往在開發的過程中,會出現各種各樣的異常問

Spring源碼閱讀Springs-beans容器的基本實現

beans 閱讀 gin com -i add wid ans lock 一、Spring-beans Spring源碼閱讀之Springs-beans(一)容器的基本實現

spring boot入門配置

麻煩 config src 符號 pos files 分享圖片 PE strong yml、properties配置文件   yml相比properties配置文件,yml可以省略不必要的前綴,並且看起來更加的有層次感。推薦使用yml文件。    @Value   根據

嵌入式linux學習基礎知識 linux檔案許可權

linux 檔案許可權相關 Linux使用者分為: 擁有者、組群(Group)、其他(Other) linux檔案的許可權總共有10位,如 -rwxrwxr-x ,分為4段。 第一段 佔1位 表示檔案的型別 - :表示普通檔案 d :表示資料夾、目錄 l :表示連結檔案,類似window

複習spring基礎——Spring 的事務管理—配置AOP事務XML和註解方式

事務 事務邏輯上的一組操作,組成這組操作的各個邏輯單元,要麼一起成功,要麼一起失敗 事務的特性 原子性 :強調事務的不可分割. 一致性 :事務的執行的前後資料的完整性保持一致. 隔離性 :一個事務執行的過程中,不應該受到其他事務的干擾. 永續性 :事務一旦結束

Spring Boot 入門基礎篇

一、前言 Spring Boot 是由 Pivotal 團隊提供的全新框架,其設計目的是用來簡化新 Spring 應用的初始搭建以及開發過程。該框架使用了特定的方式來進行配置,從而使開發人員不再需要定義樣板化的配置。 本系列以快速入門為主,可當作工具小手冊閱讀

spring cloud微服務eureka使用新建eureka服務端

eurekaz作為spring cloud中的雲端服務發現,一個基於 REST 的服務,用於定位服務,以實現雲端中間層服務發現和故障轉移。下面簡單為大家說下eureka的簡單入門使用,次節講解新建一個eureka 服務端及其客戶端專案。一、新建一個eureka服務端專案   

spring學習屬性管理PropertySource類

一、PropertySource:用於存放key-value物件的抽象,子類需要實現getProperty(String name)返回對應的Value方法,其中value可以是任何型別不侷限在字串 注:PropertySource裡的屬性name和source都是fin