权限管理 【SpringSecurity篇】
只要和用户打交道的系统基本都须要进行权限管理,否则哪一天操做不当给你删库了怎么办。开源的权限管理框架有SpringSecurity、Shiro,权限管理模型有RBAC、ACL等,是选择开源框架好仍是基于权限管理模型造轮子好,必须都调研一下选一个适合公司业务的实现方式,首先先调研学习一波SpringSecuritycss
经过本篇文章你将了解到
SpringSecurity中的一些核心类- 使用
SpringSecurity基于角色的权限校验 SpringSecurity的不足
SpringSecurity核心类
由于对SpringSecurity只是调研性的学习,因此这里并不会对源码进行介绍。权限管理就是受权、鉴权,要想鉴权必须首先登录拿到用户信息,可是这里也不会去讲登录、登出以及分布式session管理,只会介绍一下鉴权过程当中的核心类,了解一下核心类能够快速整合SpringSecurity框架。java
登录校验
UsernamePasswordAuthenticationFilter=> 用户登录验证,但这个类里并不会正真去进行登录校验,而是经过ProviderManagerProviderManager=> 这个类里有一个List<AuthenticationProvider>,提供了不一样的校验方式,只要其中一个经过便可。通常咱们什么都不配的状况下是根据用户名和密码,这时候AuthenticationProvider实现类为AbstractUserDetailsAuthenticationProviderAbstractUserDetailsAuthenticationProvider=> 其登录校验是经过子类的additionalAuthenticationChecks方法完成的DaoAuthenticationProvider=>AbstractUserDetailsAuthenticationProvider的惟一子类,若是咱们设定的密码(能够基于内存也能够基于数据库)和传过来的密码比对不上登录校验失败UserDetailsService=> 经过这个接口惟一的方法loadUserByUsername返回咱们设定的用户名和密码等用户信息(被封装为UserDetails的实现类)
小结:登录验证就是拿到客户端的用户名密码和咱们设定的用户名密码(即UserDetails的实现类)进行比对,拿到咱们设定的用户名密码是经过UserDetailsService.loadUserByUsername(String userName)实现的[划重点,一会要考],框架实现的UserDetailsService通常无法知足项目要求,就须要本身手动实现了,同时若是框架自带的UserDetails的实现类无法知足要求咱们也能够本身实现UserDetailsgit
权限校验
FilterSecurityInterceptor=> 基于角色的权限校验拦截器,调用父类AbstractSecurityInterceptor的beforeInvocation方法进行鉴权AbstractSecurityInterceptor=> 调用AccessDecisionManager实现类的decide方法进行鉴权,因此如何想自定义鉴权方式能够写一个类而后实现AccessDecisionManagerAffirmativeBased=> 默认使用的AccessDecisionManager实现类,调用AccessDecisionVoter实现类的vote方法进行鉴权,返回1权限校验经过,其实跟踪到最后其实仍是比对字符串不能说是投票吧,方法名容易让人误解WebExpressionVoter=> 默认使用的AccessDecisionVoter实现类,调用Authentication的authentication方法进行鉴权SecurityExpressionOperations=> 获取Authentication对象接口SecurityExpressionRoot=>SecurityExpressionOperations实现类
小结:通常不自定鉴权方式的话这些咱们均可以不须要管,虽然层层调用了不少层,其实实质就是判断当前的用户所包含的权限列表中是否包含访问指定url所须要的权限github
SpringBoot整合SpringSecurity
依赖
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
<version>1.4.1.RELEASE</version>
</dependency>
复制代码
UserDetails实现类:UserDTO.java
public class UserDTO implements UserDetails {
/**
* 用户名
* */
private String username;
/**
* 密码
* */
private String password;
/**
* 角色列表
* */
private List<String> roleList;
public void setUsername(String username) {
this.username = username;
}
public void setPassword(String password) {
this.password = password;
}
public List<String> getRoleList() {
return roleList;
}
public void setRoleList(List<String> roleList) {
this.roleList = roleList;
}
@Override
public Collection<? extends GrantedAuthority> getAuthorities() {
List<GrantedAuthority> authorityList = new ArrayList<>();
for (String role : roleList) {
authorityList.add(new SimpleGrantedAuthority(role));
}
return authorityList;
}
@Override
public String getPassword() {
return password;
}
@Override
public String getUsername() {
return username;
}
@Override
public boolean isAccountNonExpired() {
return true;
}
@Override
public boolean isAccountNonLocked() {
return true;
}
@Override
public boolean isCredentialsNonExpired() {
return true;
}
@Override
public boolean isEnabled() {
return true;
}
}
复制代码
实现类须要实现接口,这里咱们将查询到的roleList字符串封装到SimpleGrantedAuthority中,SimpleGrantedAuthority是GrantedAuthority的一个实现类,若是默认实现无法知足需求可本身从新实现。UserDetail是SpringSecurity和应用之间的桥梁,无论你数据库怎么建,只要你最后将用户信息和权限的关系封装为UserDetails,SpringSecurity就能够按它本身的机制进行权限校验web
UserDetailsService实现类:UserDetailsServiceImpl.java
public class UserDetailsServiceImpl implements UserDetailsService {
@Resource
private UsersService usersService;
/**
* 根据用户名获取用户信息
*/
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
Users users = new Users();
users.setUsername(username);
List<Users> usersList = usersService.selectList(users);
return buildUserDTO(usersList);
}
/**
* 封装UserDTO对象
*
* @param usersList
* @return
* */
private UserDTO buildUserDTO(List<Users> usersList) {
UserDTO userDTO = new UserDTO();
userDTO.setUsername(usersList.get(0).getUsername());
userDTO.setPassword(usersList.get(0).getPassword());
List<String> roleList = new ArrayList<>();
for (Users users : usersList) {
roleList.add(String.format("ROLE_%s", users.getRole()));
}
userDTO.setRoleList(roleList);
return userDTO;
}
}
复制代码
该类做用就是将用户信息和权限信息从数据库查找到封装为一个UserDetails返回spring
权限配置类:WebSecurityConfig.java
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true) // 开启方法级安全验证
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
@Autowired
private UserDetailsServiceImpl userDetailsService;
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.anyRequest().authenticated() //任何请求,登陆后能够访问
.and().formLogin().permitAll(); //登陆页面用户任意访问
// 关闭CSRF跨域
http.csrf().disable();
}
@Override
public void configure(WebSecurity web) throws Exception {
// 设置拦截忽略文件夹,能够对静态资源放行
web.ignoring().antMatchers("/css/**", "/js/**", "/templates/**");
}
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
//1.设置自定义userDetailService
//2.校验时指定密码解码方式
auth.userDetailsService(userDetailsService).passwordEncoder(new BCryptPasswordEncoder());
}
}
复制代码
这个类里配置了登录页面以及一些简单权限设置,好比任何请求登录后可访问、登陆页面全部人能够访问。由于经过@EnableGlobalMethodSecurity注解开启了方法级别验证,在这个方法里没有配置方法级别的权限。同时经过指定本身实现的UserDetailsService以及密码解码方式,若是不指定密码解码方式将会报错在最新的SpringSecurity版本中数据库
控制层注解使用方式
@RestController
@RequestMapping("/api/user")
public class UsersController {
@GetMapping("/guest")
@PreAuthorize("hasAnyRole('guest')")
public Object guest() {
return "hello guest";
}
@PreAuthorize("hasAnyRole('admin')")
@GetMapping("/admin")
public Object admin() {
return "hello admin";
}
}
复制代码
经过@PreAuthorize来进行权限控制,在hasAnyRole中写入访问该api具备的权限(角色),除了可使用@PreAuthorize注解,还可使用@Secured、@PostAuthorize注解api
SpringSecurity框架的不足
-
对项目代码有入侵跨域
-
不够通用,全部须要权限校验的系统都须要整合
SpringSecurity框架,不一样应用系统数据库设计不一样,UserDetail通常需本身实现【只是举个例子,实际开发过程当中重写的类可能更多】缓存 -
角色应该是动态的,但经过
SpringSecurity配置的角色是静态的,在数据库新添角色时必须对代码进行修改,不然没法使用 -
并非一个
RBAC的设计模型而是一个ACL模型,角色权限的划分并非特别清楚,权限也能够是角色,若是想基于RBAC的权限校验就必须本身从新写权限校验方法 -
权限管理粒度不够细,好比无法支持到方法级别的权限校验,想支持更细粒度的权限必须本身写权限校验
-
提供的三种缓存用户信息的方式,分别为
NullUserCache、EhCacheBasedUserCache、SpringCacheBasedUserCache。第一种永远return null,至关于没使用缓存,后二者是内存缓存,在分布式部署中会出现缓存命中率低、缓存不一致的状况,须要本身实现缓存仅是本身的一些见解,若有纰漏欢迎指正
最后附:项目源码
- 1. 权限管理 【SpringSecurity篇】
- 2. SpringSecurity实现动态管理权限(三)
- 3. SpringSecurity权限管理系统实战—6、SpringSecurity整合JWT
- 4. SpringSecurity权限管理系统实战—4、整合SpringSecurity(上)
- 5. SpringSecurity权限管理系统实战—5、整合SpringSecurity(下)
- 6. SpringSecurity权限参数
- 7. SpringSecurity--权限配置
- 8. 权限管理-chattr权限
- 9. 权限及权限管理
- 10. 管理权限
- 更多相关文章...
- • Swarm 集群管理 - Docker教程
- • Maven 依赖管理 - Maven教程
- • Docker 清理命令
- • Docker容器实战(六) - 容器的隔离与限制
-
每一个你不满意的现在,都有一个你没有努力的曾经。