Spring Security 控制授权

Java框架

浏览数:160

2019-2-24

AD:资源代下载服务

还想看更多文章的朋友可以访问我的个人博客

使用授权方法进行授权配置

每一个 Spring Security 控制授权表达式(以下简称为表达式)实际上都在 API 中对应一个授权方法,该方法是请求的 URL 权限配置时的处理方法。例如:

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.authorizeRequests()
        .antMatchers(HttpMethod.DELETE, "/user/*").hasRole("ADMIN")
        .antMatchers("/index").permitAll()
        .antMatchers("/pay").hasAnyRole("WE_CHAT_PAY", "ALI_PAY")
        .antMatchers("/debug").hasIpAddress("192.168.1.0/24");
}

使用授权表达式给多权限要求的请求授权

那么,何时需要用到表达式进行授权处理呢?一个安全应用的权限要求往往是复杂多样的,比如,项目的调试请求希望访问者既要拥有管理员权限又必须是通过公司内部局域网内部访问。而这样的需求下,仅仅通过Security API 提供的方法是无法满足的,因为这些授权方法是无法连续调用的。

此时就可以使用授权表达式解决:

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.authorizeRequests()
        .antMatchers("/debug")
            .access("hasRole('ADMIN') and hasIpAddress('192.168.1.0/24')");
}

授权表达式举例说明

表达式 说明
permitAll 永远返回 true
denyAll 永远返回 false
anonyous 当前用户若是匿名用户返回 true
rememberMe 当前用户若是 rememberMe 用户返回 true
authenticated 当前用户若不是匿名(已认证)用户返回 true
fullAuthenticated 当前用户若既不是匿名用户又不是 rememberMe 用户时返回 true
hasRole(role) 当前用户权限集合中若拥有指定的 role 角色权限(匹配时会在你所指定的权限前加’ROLE_’,即判断是否有“ROLE_role”权限)时返回 true
hasAnyRole(role1, role2, ...) 当前用户权限集合中若拥有任意一个角色权限时返回 true
hasAuthority(authority) 当前用户权限集合中若具有 authority 权限(匹配是否有“authority”权限)时返回 true
hasAnyAuthority(authority) 当前用户权限集合中若拥有任意一个权限时返回 true
hasIpAddress("192.168.1.0/24") 发送请求的IP匹配时fanhui true

使用自定义授权表达式进行访问控制

或许你会认为上述方式已能满足绝大多数应用安全授权管理。但事实上的企业级应用的授权往往是基于数据库数据动态变化的,若是使用上述方式进行字符串拼接,不仅对于开发者极不友好(每一次人人员变动都意味着需要改代码,显然不合理),而且应用的性能也会随之降低。那么,如何解决呢?

基本思想是自定义授权管理模块(从数据库中插查询用户角色权限及可以访问的资源),并利用自定义授权表达式进行授权管理。此处的数据结构基于RBAC数据模型构建

基于角色的访问控制 RBAC 数据模型(Role-Based Access Control)

通用的 RBAC 数据模型, 一般需要五张表(三张实体表,两张关系表)。三张实体表包括用户表、角色表、资源表。两张关系表包括。其之间关系如下图:

RBAC数据模型

用户表

任何一个系统都必须要有用户表,当公司发生人员变动时,由业务人员(如人力资源)对该数据表进行增删记录。

角色表

公司有哪些身份的人,例如总裁、副总裁、部门经理等,由业务人员根据公司的具体情况对该表数据进行操作。

资源表

存储需要进行权限控制的资源,由于我们进行控制授权时实际上是基于 URL 的,但业务人员并非按 URL 组织数据条目(事实上大多数业务人员也不懂这些),而是以视图界面的形式进行操作。所以在这张表中存储的是呈现给业务人员的菜单、按钮及其所进行权限控制的 URL 。

用户—角色关系表

用户表与角色表(用户 id 与角色id )之间是一个多对多的关系。一个用户可以是多个角色(一个用户既可以是部门经理又可以是某个管理员),而一个角色往往对应多个用户。

角色—资源关系表

角色表与资源表()也是一个多对多的关系。一种角色可以访问多个资源(按钮或菜单等),一个资源也可以被多个角色访问。

自定义授权表达式

spring security 支持自定义表达式来完成这项工作,下面是一个简单的例子:

首先定义自己的授权模块并声明为 Spring 的 Bean
如下,此处方法名可以任意,但参数必须提供HttpServletRequestAuthentication

@Component
public class RbacService {

    private AntPathMatcher antPathMatcher = new AntPathMatcher();

    public boolean hasPermission(HttpServletRequest request, Authentication auth) {
            final boolean[] hasPermission = {false};
            Object principal = auth.getPrincipal();
    
            // 只有对非匿名用户才有必要进行权限控制
            if (principal instanceof UserDetails) {
                String username = (UserDetails) principal.getUsername();
    
                // 根据username 查询用户所拥有权限的所有URL
                Set<String> urls = getUrlsByUsername(username);
                // 遍历判断用户所访问的请求是否在其权限允许的范围内
                urls.forEach(url -> {
                    if (antPathMatcher.match(url, request.getRequestURI())) {
                        hasPermission[0] = true;
                    }
                });
            }
    
            return hasPermission[0];
        }
}

然后在 Spring Security 安全配置中使用自定义授权表达式添加自己的授权逻辑:

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.authorizeRequests()
        .anyRequest()
            .access("@rbacService.hasPermission(request, authentication)");
}

Okay,这样一来,就可以将自己的授权逻辑与 Spring Security 模块衔接起来了。