热门标签
热门文章
- 1快手直播带货案例解析,普通人也能复制的操作模式丨国仁网络_直播实操案例分析
- 2VSCode提交代码_vscode使用git提交代码
- 3windows驱动签名之使用vhdx搭建 HLK测试环境(管理端)
- 4LPDDR5 DRAM工作流程详解_lpddr5 odt
- 5jackson、gson、fastjson和json-lib四种主流json解析框架对比_jackson和fastjson哪个好
- 6二分查找算法简介_无序 可以用二分吗
- 7【定制开发】【M3】基于Python+pygame实现的人机AI对战五子棋游戏(保姆级入门讲解)_pygame五子棋ai算法
- 8HarmonyOS 应用开发-使用colorPicker实现背景跟随主题颜色转换_鸿蒙开发中颜色随着动画的效果发生渐变
- 9FPGA千兆以太网UDP收发状态机实现_fpga千兆以太网通信
- 10HighTec_TC4 编译器移植 Aurix ADS_hightec软件转ads
当前位置: article > 正文
Spring Boot 访问安全之认证和鉴权_spring 权限认证 排除某个路径
作者:神奇cpp | 2024-08-09 02:29:36
赞
踩
spring 权限认证 排除某个路径
在web应用中有大量场景需要对用户进行安全校,一般人的做法就是硬编码的方式直接埋到到业务代码中,但可曾想过这样做法会导致代码不够简洁(大量重复代码)、有个性化时难维护(每个业务逻辑访问控制策略都不相同甚至差异很大)、容易发生安全泄露(有些业务可能不需要当前登录信息,但被访问的数据可能是敏感数据由于遗忘而没有受到保护)。为了更安全、更方便的进行访问安全控制,我们可以想到的就是使用springmvc的拦截器(HandlerInterceptor),但其实更推荐使用更为成熟的spring security来完成认证和鉴权。
拦截器
拦截器HandlerInterceptor确实可以帮我们完成登录拦截、或是权限校验、或是防重复提交等需求。其实基于它也可以实现基于url或方法级的安全控制。如果你对spring mvc的请求处理流程相对的了解,它的原理容易理解,具体可以参阅我之前的分享。
- public interface HandlerInterceptor {
- /**
- * Intercept the execution of a handler. Called after HandlerMapping determined
- * an appropriate handler object, but before HandlerAdapter invokes the handler.
- *
- * 在业务处理器处理请求之前被调用。预处理,可以进行编码、安全控制、权限校验等处理
- *
- * handler:controller内的方法,可以通过HandlerMethod method= ((HandlerMethod)handler);获取到@RequestMapping
- */
- boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception;
-
- /**
- * Intercept the execution of a handler. Called after HandlerAdapter actually
- * invoked the handler, but before the DispatcherServlet renders the view.
- *
- * 在业务处理器处理请求执行完成后,生成视图之前执行。后处理(调用了Service并返回ModelAndView,但未进行页面渲染),有机会修改ModelAndView
- */
- void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception;
-
- /**
- * Callback after completion of request processing, that is, after rendering
- * the view. Will be called on any outcome of handler execution, thus allows
- * for proper resource cleanup.
- *
- * 在DispatcherServlet完全处理完请求后被调用,可用于清理资源等。返回处理(已经渲染了页面)
- *
- */
- void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception;
- }
- //你可以基于有些url进行拦截
- @Configuration
- public class UserSecurityInterceptor extends WebMvcConfigurerAdapter {
- @Override
- public void addInterceptors(InterceptorRegistry registry) {
- String[] securityUrls = new String[]{"/**"};
- String[] excludeUrls = new String[]{"/**/esb/**", "/**/dictionary/**"};
- registry.addInterceptor(userLoginInterceptor()).excludePathPatterns(excludeUrls).addPathPatterns(securityUrls);
- super.addInterceptors(registry);
- }
-
- /** fixed: url中包含// 报错
- * org.springframework.security.web.firewall.RequestRejectedException: The request was rejected because the URL was not normalized.
- * @return
- */
- @Bean
- public HttpFirewall allowUrlEncodedSlashHttpFirewall() {
- DefaultHttpFirewall firewall = new DefaultHttpFirewall();
- firewall.setAllowUrlEncodedSlash(true);
- return firewall;
- }
-
- @Bean
- public AuthInterceptor userLoginInterceptor() {
- return new AuthInterceptor();
- }
-
- public class AuthInterceptor implements HandlerInterceptor {
- public Logger logger = LoggerFactory.getLogger(AuthInterceptor.class);
- @Autowired
- private ApplicationContext applicationContext;
-
- public AuthInterceptor() {
- }
-
- @Override
- public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
- LoginUserInfo user = null;
- try {
- user = (LoginUserInfo) SSOUserUtils.getCurrentLoginUser();
- } catch (Exception e) {
- logger.error("从SSO登录信息中获取用户信息失败! 详细错误信息:%s", e);
- throw new ServletException("从SSO登录信息中获取用户信息失败!", e);
- }
-
- String[] profiles = applicationContext.getEnvironment().getActiveProfiles();
- if (!Arrays.isNullOrEmpty(profiles)) {
- if ("dev".equals(profiles[0])) {
- return true;
- }
- }
- if (user == null || UserUtils.ANONYMOUS_ROLE_ID.equals(user.getRoleId())) {
- throw new ServletException("获取登录用户信息失败!");
- }
- return true;
- }
-
- @Override
- public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
-
- }
-
- @Override
- public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
-
- }
- }
- }
认证
确认一个访问请求发起的时候背后的用户是谁,他的用户信息是怎样的。在spring security 里面认证支持很多种方式,最简单的就是用户名密码,还有LDAP、OpenID、CAS等等。
而在我们的系统里面,用户信息需要通过kxtx-sso模块进行获取。通过sso认证比较简单,就是要确认用户是否通过会员系统登录,并把登录信息包装成授权对象放到SecurityContext中,通过一个filter来完成:
- @Data
- @EqualsAndHashCode(callSuper = false)
- public class SsoAuthentication extends AbstractAuthenticationToken {
- private static final long serialVersionUID = -1799455508626725119L;
-
- private LoginUserInfo user;
-
- public SsoAuthentication(LoginUserInfo user) {
- super(null);
- this.user = user;
- }
-
- @Override
- public Object getCredentials() {
- return "kxsso";
- }
-
- @Override
- public Object getPrincipal() {
- return user;
- }
-
- @Override
- public String getName() {
- return user.getName();
- }
- }
- public class SsoAuthenticationProcessingFilter extends OncePerRequestFilter {
- @Override
- protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)
- throws ServletException, IOException {
- LoginUserInfo user = (LoginUserInfo) SSOUserUtils.getCurrentLoginUser();
- SsoAuthentication auth = new SsoAuthentication(user );
- SecurityContextHolder.getContext().setAuthentication(auth);
- filterChain.doFilter(request, response);
- }
- }
- @Component
- public class SsoAuthenticationProvider implements AuthenticationProvider {
-
- @Value("${env}")
- String env;
-
- @Override
- public Authentication authenticate(Authentication authentication) throws AuthenticationException {
- LoginUserInfo loginUserInfo = (LoginUserInfo) authentication.getPrincipal();
- /*
- * DEV环境允许匿名用户访问,方便调试,其他环境必须登录。
- */
- if (!UserUtils.ANONYMOUS_ROLE_ID.equals(loginUserInfo.getRoleId()) || "dev".equals(env)) {
- authentication.setAuthenticated(true);
- } else {
- throw new BadCredentialsException("请登录");
- }
- return authentication;
- }
-
- @Override
- public boolean supports(Class<?> authentication) {
- return SsoAuthentication.class.equals(authentication);
- }
- }
- @Configuration
- @EnableWebSecurity
- @EnableGlobalMethodSecurity(securedEnabled = true, prePostEnabled = true)
- public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
-
- protected void configure(HttpSecurity http) throws Exception {
- // 关闭session
- http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and();
-
- // 允许访问所有URL,通过方法保护的形式来限制访问。
- http.authorizeRequests().anyRequest().permitAll();
-
- // 注册sso filter
- http.addFilterBefore(ssoAuthenticationProcessingFilter(), UsernamePasswordAuthenticationFilter.class);
- }
-
- @Bean
- SsoAuthenticationProcessingFilter ssoAuthenticationProcessingFilter() {
- return new SsoAuthenticationProcessingFilter();
- }
- }
鉴权
控制一个功能是否能被当前用户访问,对不符合要求的用户予以拒绝。spring security 主要有两种控制点:
- 基于请求路径的:控制某一URL模式必须符合某种要求;
- 基于方法的:控制某一方法必须符合某种要求;
而控制形式就比较多样化了:
- 代码配置;
- xml配置;
- 注解控制;
- el表达式;
- 自定义访问控制器;
目前鉴权的需求比较简单:登录允许访问,未登录禁止访问。因此可以定义了一个切面,控制所有需要安全控制的Controller。
spring security 提供了一些注解:
| @PreAuthorize | 控制一个方法是否能够被调用,业务方法(HandlerMethod )的前置处理,比如: @PreAuthorize("#id<10")限制只能查询Id小于10的用户 @PreAuthorize("principal.username.equals(#username)")限制只能查询自己的信息 @PreAuthorize("#user.name.equals('abc')")限制只能新增用户名称为abc的用户 |
| @PostAuthorize | 业务方法调用完之后进行权限检查,后置处理,比如: @PostAuthorize("returnObject.id%2==0") public User find(int id) {} 返回值的id是偶数则表示校验通过,否则表示校验失败,将抛出AccessDeniedException |
| @PreFilter | 对集合类型的参数进行过滤,比如: 对集合ids中id不为偶数的进行移除 |
| @PostFilter | 对集合类型的返回值进行过滤,比如: 将对返回结果中id不为偶数的list中的对象进行移除 @PostFilter("filterObject.id%2==0") |
| @AuthenticationPrincipal | 解决在业务方法内对当前用户信息的方法 |
- @Aspect
- @Component
- public class InControllerAspect {
- @Autowired
- BeforeInControllerMethods beforeInMethods;
-
- @Pointcut("execution(public * com.kxtx.oms.portal.controller.in.*.*(..)) && @annotation(org.springframework.web.bind.annotation.RequestMapping)")
- public void hp() {
- };
-
- @Before("hp()")
- public void befor() {
- beforeInMethods.before();
- }
- }
- @Component
- public class BeforeInControllerMethods {
- //@PreAuthorize("authenticated")要求所有访问此方法的用户必须登录
- @PreAuthorize("authenticated")
- public void before() {
- }
- }
- //用户信息获取
- @RequestMapping("/order/submit")
- public ModelAndView findMessagesForUser(@AuthenticationPrincipal CustomUser customUser) {
- // .. find messages for this user and return them ...
- }
是不是有点复杂,复杂的是表现形式,实际上需要真正理解它的目的(为了要解决什么问题)。
参考资料
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/神奇cpp/article/detail/951006
推荐阅读
相关标签
