当前位置:   article > 正文

3.spring security授权流程_springsecurity授权流程

springsecurity授权流程

授权定义:

授权的方式包括 web授权和方法授权:

web授权是通过 url拦截进行授权,比如 

方法授权是通过 方法拦截进行授权。(在controller添加注解进行方法的授权)

他们都会调用accessDecisionManager进行授权决策:若为web授权则拦截器为FilterSecurityInterceptor;若为方法授权则拦截器为MethodSecurityInterceptor。

如果同时通过web授权和方法授权则先执行web授权,再执行方法授权,最后决策通过,则允许访问资源,否则将禁止访问。

Spring Security的授权流程如下:

 分析授权流程:

1. 拦截请求,已认证用户访问受保护的web资源将被SecurityFilterChain中的 FilterSecurityInterceptor 的子类拦截。

2. 获取资源访问策略,FilterSecurityInterceptor会从 SecurityMetadataSource 的子类 DefaultFilterInvocationSecurityMetadataSource 获取要访问当前资源所需要的权限 Collection 。 SecurityMetadataSource其实就是读取访问策略的抽象,而读取的内容,其实就是我们配置的访问规则, 读取访问策略如:

  1. http
  2. .authorizeRequests()
  3. .antMatchers("/r/r1").hasAuthority("p1")
  4. .antMatchers("/r/r2").hasAuthority("p2")
  5. ...

3. 最后,FilterSecurityInterceptor会调用 AccessDecisionManager 进行授权决策,若决策通过,则允许访问资源,否则将禁止访问。

AccessDecisionManager(访问决策管理器)的核心接口如下:

  1. public interface AccessDecisionManager {
  2. /**
  3. * 通过传递的参数来决定用户是否有访问对应受保护资源的权限
  4. * configAttributes为要访问当前资源所需要的权限
  5. */
  6. void decide(Authentication authentication , Object object, Collection<ConfigAttribute>
  7. configAttributes ) throws AccessDeniedException, InsufficientAuthenticationException;
  8. //略..
  9. }

这里着重说明一下decide的参数:

authentication:要访问资源的访问者的身份

object:要访问的受保护资源,web请求对应FilterInvocation

configAttributes:是受保护资源的访问策略(要访问当前资源所需要的权限),通过SecurityMetadataSource获取。 decide接口就是用来鉴定当前用户是否有访问对应受保护资源的权限。

decide接口就是用来鉴定当前用户是否有访问对应受保护资源的权限。

准备环境:

角色表:

CREATE TABLE `t_role` ( `id` varchar(32) NOT NULL, `role_name` varchar(255) DEFAULT NULL, `description` varchar(255) DEFAULT NULL, `create_time` datetime DEFAULT NULL, `update_time` datetime DEFAULT NULL, `status` char(1) NOT NULL, PRIMARY KEY (`id`), UNIQUE KEY `unique_role_name` (`role_name`) ) ENGINE=InnoDB DEFAULT CHARSET=utf8 insert into `t_role`(`id`,`role_name`,`description`,`create_time`,`update_time`,`status`) values ('1','管理员',NULL,NULL,NULL,'');

用户角色关系表:

CREATE TABLE `t_user_role` ( `user_id` varchar(32) NOT NULL, `role_id` varchar(32) NOT NULL, `create_time` datetime DEFAULT NULL, `creator` varchar(255) DEFAULT NULL, PRIMARY KEY (`user_id`,`role_id`) ) ENGINE=InnoDB DEFAULT CHARSET=utf8 insert into `t_user_role`(`user_id`,`role_id`,`create_time`,`creator`) values ('1','1',NULL,NULL);

权限表:

CREATE TABLE `t_permission` ( `id` varchar(32) NOT NULL, `code` varchar(32) NOT NULL COMMENT '权限标识符', `description` varchar(64) DEFAULT NULL COMMENT '描述', `url` varchar(128) DEFAULT NULL COMMENT '请求地址', PRIMARY KEY (`id`) ) ENGINE=InnoDB DEFAULT CHARSET=utf8 insert into `t_permission`(`id`,`code`,`description`,`url`) values ('1','p1','测试资源 1','/r/r1'),('2','p3','测试资源2','/r/r2'); 

角色权限关系表:

CREATE TABLE `t_role_permission` ( `role_id` varchar(32) NOT NULL, `permission_id` varchar(32) NOT NULL, PRIMARY KEY (`role_id`,`permission_id`) ) ENGINE=InnoDB DEFAULT CHARSET=utf8 insert into `t_role_permission`(`role_id`,`permission_id`) values ('1','1'),('1','2'); 

新增UserDao中的方法:

  1. package com.example.springsecurity.mapper;
  2. import com.baomidou.mybatisplus.core.mapper.BaseMapper;
  3. import com.example.springsecurity.entity.Permission;
  4. import com.example.springsecurity.entity.User;
  5. import org.apache.ibatis.annotations.Select;
  6. import org.springframework.stereotype.Repository;
  7. import java.util.List;
  8. @Repository
  9. public interface UserDao extends BaseMapper<User>
  10. {
  11. public User findUserByUserName(String userName);
  12. public List<Permission> findPermissionsByUserId(String userId);
  13. }

  1. <?xml version="1.0" encoding="UTF-8" ?>
  2. <!--MyBatis配置文件-->
  3. <!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Config 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
  4. <mapper namespace="com.example.springsecurity.mapper.UserDao">
  5. <select id="findUserByUserName" parameterType="string" resultType="com.example.springsecurity.entity.User">
  6. select * from t_user where username = #{userName} limit 1
  7. </select>
  8. <select id="findPermissionsByUserId" parameterType="string" resultType="com.example.springsecurity.entity.Permission">
  9. SELECT * FROM t_permission where id in
  10. (
  11. select permission_id from t_role_permission where role_id in
  12. (select role_id from t_user_role where user_id = #{userId} )
  13. )
  14. </select>
  15. </mapper>
UserDetails:
通过数据库中的userName查询该用户对应的权限,并把信息传给userDetails,让springsecurity通过判断前端传入的password(后端加密过后的)与userDetails的password进行比对,如果相等就进入首页index。
再将获得的userDetails的权限与index中的需要的权限进行比对,并判断是否显示。
  1. package com.example.springsecurity.service;
  2. import com.example.springsecurity.entity.Permission;
  3. import com.example.springsecurity.mapper.UserDao;
  4. import org.springframework.beans.factory.annotation.Autowired;
  5. import com.example.springsecurity.entity.User;
  6. import org.springframework.security.core.userdetails.UserDetails;
  7. import org.springframework.security.core.userdetails.UserDetailsService;
  8. import org.springframework.security.core.userdetails.UsernameNotFoundException;
  9. import org.springframework.stereotype.Service;
  10. import java.util.List;
  11. @Service
  12. public class UserDetailsServiceImpl implements UserDetailsService
  13. {
  14. @Autowired
  15. private UserDao userDao;
  16. @Override
  17. public UserDetails loadUserByUsername(String userName) throws UsernameNotFoundException
  18. {
  19. User user = userDao.findUserByUserName(userName);
  20. if(user == null)
  21. return null;
  22. List<Permission> permissionList = userDao.findPermissionsByUserId(user.getId());
  23. //将permissionList转换成数组
  24. String[] permissionCodes = new String[permissionList.size()];
  25. for(int i=0;i<permissionCodes.length;i++)
  26. {
  27. permissionCodes[i] = permissionList.get(i).getCode();
  28. }
  29. return org.springframework.security.core.userdetails.User.withUsername(user.getUsername()).password(user.getPassword()).authorities(permissionCodes).build();
  30. }
  31. }

index:

  1. <!--菜单根据用户的角色动态的实现-->
  2. <!--登陆的角色权限有vip1,才显示level1组件-->
  3. <div class="column" sec:authorize="hasRole('vip1')">
  4. <div class="ui raised segment">
  5. <div class="ui">
  6. <div class="content">
  7. <h5 class="content">Level 1</h5>
  8. <hr>
  9. <div><a th:href="@{/level1/1}"><i class="bullhorn icon"></i> Level-1-1</a></div>
  10. <div><a th:href="@{/level1/2}"><i class="bullhorn icon"></i> Level-1-2</a></div>
  11. <div><a th:href="@{/level1/3}"><i class="bullhorn icon"></i> Level-1-3</a></div>
  12. </div>
  13. </div>
  14. </div>
  15. </div>
  16. <div class="column" sec:authorize="hasAuthority('vip2')">
  17. <!--登陆的角色权限有vip2,才显示level2组件-->
  18. <div class="ui raised segment">
  19. <div class="ui">
  20. <div class="content">
  21. <h5 class="content">Level 2</h5>
  22. <hr>
  23. <div><a th:href="@{/level2/1}"><i class="bullhorn icon"></i> Level-2-1</a></div>
  24. <div><a th:href="@{/level2/2}"><i class="bullhorn icon"></i> Level-2-2</a></div>
  25. <div><a th:href="@{/level2/3}"><i class="bullhorn icon"></i> Level-2-3</a></div>
  26. </div>
  27. </div>
  28. </div>
  29. </div>l
  30. l
  31. <div class="column" sec:authorize="hasRole('vip3')">
  32. <!--登陆的角色权限有vip3,才显示level3组件-->
  33. <div class="ui raised segment">
  34. <div class="ui">
  35. <div class="content">
  36. <h5 class="content">Level 3</h5>
  37. <hr>
  38. <div><a th:href="@{/level3/1}"><i class="bullhorn icon"></i> Level-3-1</a></div>
  39. <div><a th:href="@{/level3/2}"><i class="bullhorn icon"></i> Level-3-2</a></div>
  40. <div><a th:href="@{/level3/3}"><i class="bullhorn icon"></i> Level-3-3</a></div>
  41. </div>
  42. </div>
  43. </div>
  44. </div>

web授权

在上面例子中我们完成了认证拦截,并对/level/**下的某些资源进行简单的授权保护,但是我们想进行灵活的授权控 制该怎么做呢?通过给 http.authorizeRequests() 添加多个子节点来定制需求到我们的URL,如下代码:

  1. //开启请求认证
  2. http.authorizeRequests() .antMatchers("/level1/login").permitAll() //允许访问登录的请求
  3. .antMatchers("/level1/*").hasRole("vip1") // 访问请求为/level1需要有vip1的权限
  4. .antMatchers("/level1/*").hasAuthority("vip1")
  5. .antMatchers("/level2/*").hasRole("vip2")
  6. .antMatchers("/level2/*").hasAuthority("vip2")
  7. .antMatchers("/level3/*").hasRole("vip3")
  8. .antMatchers("/level3/*").hasAnyAuthority("vip1","vip3");

注意: 规则的顺序是重要的,更具体的规则应该先写.因此,登录的规则/level1/login应该在/level1/*规则之前,如果写在后面就不能进入登录页。

保护URL常用的方法有:

  • authenticated() 保护URL,需要用户登录
  • permitAll() 指定URL无需保护,一般应用与静态资源文件
  • hasRole(String role) 限制单个角色访问,角色将被增加 “ROLE_” .所以”ADMIN” 将和 “ROLE_ADMIN”进行比较.
  • hasAuthority(String authority) 限制单个权限访问
  • hasAnyRole(String… roles)允许多个角色访问.
  • hasAnyAuthority(String… authorities) 允许多个权限访问.
  • access(String attribute) 该方法使用 SpEL表达式, 所以可以创建复杂的限制.
  • hasIpAddress(String ipaddressExpression) 限制IP地址或子网

方法授权:

现在我们已经掌握了使用如何使用 http.authorizeRequests() 对web资源进行授权保护,从Spring Security2.0版 本开始,它支持服务层方法的安全性的支持。

本节学习@PreAuthorize,@PostAuthorize, @Secured(不常用)三类注解。

我们可以在任何 @Configuration 实例上使用 @EnableGlobalMethodSecurity 注释来启用基于注解的安全性。

开启Spring Security的 @prePost注解。

  1. @Configuration
  2. @EnableWebSecurity
  3. @EnableGlobalMethodSecurity(prePostEnabled = true)
  4. public class SecurityConfig extends WebSecurityConfigurerAdapter
  5. {}

在controller方法上添加权限认证:

  1. @RequestMapping("/level1/{id}")
  2. @PreAuthorize("isAnonymous()") //可以匿名访问
  3. public String level1(@PathVariable("id") int id)
  4. {
  5. return "views/level1/"+id;
  6. }
  7. @RequestMapping("/level2/{id}")
  8. @PreAuthorize("hasAnyAuthority('vip2','vip3')") //拥有vip2或者vip3权限才可以访问
  9. public String level2(@PathVariable("id") int id)
  10. {
  11. return "views/level2/"+id;
  12. }
  13. @RequestMapping("/level3/{id}")
  14. @PreAuthorize("hasAuthority('vip3')") //拥有vip3权限才可以访问
  15. public String level3(@PathVariable("id") int id)
  16. {
  17. return "views/level3/"+id;
  18. }

 

 

 用lisi登录,只有vip1和vip2的权限,所以没有vip3的权限,不能显示level3页面,更不能显示level3对应哪个页面了

对应的逻辑也就是先登录=》通过自定义UserDetailsServiceImpl的loadUserByUsername方法获取对应的用户密码和权限=》spring security验证密码对不对,验证成功跳转到index页面=》index页面通过sec:authorize="hasAuthority('对应权限')"来判断是否显示该level=》

通过点击index的levelx-x跳转到对应的controller方法中,controller通过@PreAuthorize()判断是否该用户有权限调用该接口,有权限的话再跳转到对应页面。

 

  1. <div class="column" sec:authorize="hasAuthority('vip1')">
  2. <div class="ui raised segment">
  3. <div class="ui">
  4. <div class="content">
  5. <h5 class="content">Level 1</h5>
  6. <hr>
  7. <div><a th:href="@{/level1/1}"><i class="bullhorn icon"></i> Level-1-1</a></div>
  8. <div><a th:href="@{/level1/2}"><i class="bullhorn icon"></i> Level-1-2</a></div>
  9. <div><a th:href="@{/level1/3}"><i class="bullhorn icon"></i> Level-1-3</a></div>
  10. </div>
  11. </div>
  12. </div>
  13. </div>
  14. <div class="column" sec:authorize="hasAuthority('vip2')">
  15. <!--登陆的角色权限有vip2,才显示level2组件-->
  16. <div class="ui raised segment">
  17. <div class="ui">
  18. <div class="content">
  19. <h5 class="content">Level 2</h5>
  20. <hr>
  21. <div><a th:href="@{/level2/1}"><i class="bullhorn icon"></i> Level-2-1</a></div>
  22. <div><a th:href="@{/level2/2}"><i class="bullhorn icon"></i> Level-2-2</a></div>
  23. <div><a th:href="@{/level2/3}"><i class="bullhorn icon"></i> Level-2-3</a></div>
  24. </div>
  25. </div>
  26. </div>
  27. </div>l
  28. l
  29. <div class="column" sec:authorize="hasAuthority('vip3')">
  30. <!--登陆的角色权限有vip3,才显示level3组件-->
  31. <div class="ui raised segment">
  32. <div class="ui">
  33. <div class="content">
  34. <h5 class="content">Level 3</h5>
  35. <hr>
  36. <div><a th:href="@{/level3/1}"><i class="bullhorn icon"></i> Level-3-1</a></div>
  37. <div><a th:href="@{/level3/2}"><i class="bullhorn icon"></i> Level-3-2</a></div>
  38. <div><a th:href="@{/level3/3}"><i class="bullhorn icon"></i> Level-3-3</a></div>
  39. </div>
  40. </div>
  41. </div>
  42. </div>

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/木道寻08/article/detail/842430
推荐阅读
相关标签
  

闽ICP备14008679号