权限管理 【SpringSecurity篇】

只要和用户打交道的系统基本都需要进行权限管理,不然哪一天操作不当给你删库了怎么办。开源的权限管理框架有SpringSecurity、Shiro,权限管理模型有RBAC、ACL等,是选择开源框架好还是基于权限管理模型造轮子好,必须都调研一下选一个适合公司业务的实现方式,首先先调研学习一波SpringSecurity

通过本篇文章你将了解到

  • SpringSecurity中的一些核心类
  • 使用SpringSecurity基于角色的权限校验
  • SpringSecurity的不足

SpringSecurity核心类

因为对SpringSecurity只是调研性的学习,所以这里并不会对源码进行介绍。权限管理就是授权、鉴权,要想鉴权必须首先登陆拿到用户信息,但是这里也不会去讲登陆、登出以及分布式session管理,只会介绍一下鉴权过程中的核心类,了解一下核心类可以快速整合SpringSecurity框架。

登陆校验
  • UsernamePasswordAuthenticationFilter => 用户登陆验证,但这个类里并不会正真去进行登陆校验,而是通过ProviderManager
  • ProviderManager => 这个类里有一个List<AuthenticationProvider>,提供了不同的校验方式,只要其中一个通过即可。一般我们什么都不配的情况下是根据用户名和密码,这时候AuthenticationProvider实现类为AbstractUserDetailsAuthenticationProvider
  • AbstractUserDetailsAuthenticationProvider => 其登陆校验是通过子类的additionalAuthenticationChecks方法完成的
  • DaoAuthenticationProvider => AbstractUserDetailsAuthenticationProvider的唯一子类,如果我们设定的密码(可以基于内存也可以基于数据库)和传过来的密码比对不上登陆校验失败
  • UserDetailsService => 通过这个接口唯一的方法loadUserByUsername返回我们设定的用户名和密码等用户信息(被封装为UserDetails的实现类

小结:登陆验证就是拿到客户端的用户名密码和我们设定的用户名密码(即UserDetails的实现类)进行比对,拿到我们设定的用户名密码是通过UserDetailsService.loadUserByUsername(String userName)实现的[划重点,一会要考],框架实现的UserDetailsService一般没法满足项目要求,就需要自己手动实现了,同时如果框架自带的UserDetails的实现类没法满足要求我们也可以自己实现UserDetails

权限校验
  • FilterSecurityInterceptor => 基于角色的权限校验拦截器,调用父类AbstractSecurityInterceptorbeforeInvocation方法进行鉴权
  • AbstractSecurityInterceptor => 调用AccessDecisionManager实现类的decide方法进行鉴权,所以如何想自定义鉴权方式可以写一个类然后实现AccessDecisionManager
  • AffirmativeBased=> 默认使用的AccessDecisionManager实现类,调用AccessDecisionVoter实现类的vote方法进行鉴权,返回1权限校验通过,其实跟踪到最后其实还是比对字符串不能说是投票吧,方法名容易让人误解
  • WebExpressionVoter => 默认使用的AccessDecisionVoter实现类,调用Authentication的authentication方法进行鉴权
  • SecurityExpressionOperations => 获取Authentication对象接口
  • SecurityExpressionRoot => SecurityExpressionOperations实现类

小结:一般不自定鉴权方式的话这些我们都可以不需要管,虽然层层调用了很多层,其实实质就是判断当前的用户所包含的权限列表中是否包含访问指定url所需要的权限

SpringBoot整合SpringSecurity

依赖
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
    <version>1.4.1.RELEASE</version>
</dependency>
UserDetails实现类:UserDTO.java
public class UserDTO implements UserDetails {
    /**
     * 用户名
     * */
    private String username;

    /**
     * 密码
     * */
    private String password;

    /**
     * 角色列表
     * */
    private List<String> roleList;

    public void setUsername(String username) {
        this.username = username;
    }

    public void setPassword(String password) {
        this.password = password;
    }

    public List<String> getRoleList() {
        return roleList;
    }

    public void setRoleList(List<String> roleList) {
        this.roleList = roleList;
    }

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        List<GrantedAuthority> authorityList = new ArrayList<>();
        for (String role : roleList) {
            authorityList.add(new SimpleGrantedAuthority(role));
        }

        return authorityList;
    }

    @Override
    public String getPassword() {
        return password;
    }

    @Override
    public String getUsername() {
        return username;
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return true;
    }
}

实现类需要实现接口,这里我们将查询到的roleList字符串封装到SimpleGrantedAuthority中,SimpleGrantedAuthorityGrantedAuthority的一个实现类,如果默认实现没法满足需求可自己重新实现。UserDetailSpringSecurity和应用之间的桥梁,不管你数据库怎么建,只要你最后将用户信息和权限的关系封装为UserDetailsSpringSecurity就可以按它自己的机制进行权限校验

UserDetailsService实现类:UserDetailsServiceImpl.java
public class UserDetailsServiceImpl implements UserDetailsService {
    @Resource
    private UsersService usersService;

    /**
     * 根据用户名获取用户信息
     */
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        Users users = new Users();
        users.setUsername(username);
        List<Users> usersList = usersService.selectList(users);

        return buildUserDTO(usersList);
    }

    /**
     * 封装UserDTO对象
     *
     * @param usersList
     * @return
     * */
    private UserDTO buildUserDTO(List<Users> usersList) {
        UserDTO userDTO = new UserDTO();
        userDTO.setUsername(usersList.get(0).getUsername());
        userDTO.setPassword(usersList.get(0).getPassword());
        List<String> roleList = new ArrayList<>();
        for (Users users : usersList) {
            roleList.add(String.format("ROLE_%s", users.getRole()));
        }

        userDTO.setRoleList(roleList);
        return userDTO;
    }
}

该类作用就是将用户信息和权限信息从数据库查找到封装为一个UserDetails返回

权限配置类:WebSecurityConfig.java
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true) // 开启方法级安全验证
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    private UserDetailsServiceImpl userDetailsService;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .anyRequest().authenticated() //任何请求,登录后可以访问
                .and().formLogin().permitAll(); //登录页面用户任意访问

        // 关闭CSRF跨域
        http.csrf().disable();
    }

    @Override
    public void configure(WebSecurity web) throws Exception {
        // 设置拦截忽略文件夹,可以对静态资源放行
        web.ignoring().antMatchers("/css/**", "/js/**", "/templates/**");
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        //1.设置自定义userDetailService
        //2.校验时指定密码解码方式
        auth.userDetailsService(userDetailsService).passwordEncoder(new BCryptPasswordEncoder());
    }
}

这个类里配置了登陆页面以及一些简单权限设置,比如任何请求登陆后可访问、登录页面所有人可以访问。因为通过@EnableGlobalMethodSecurity注解开启了方法级别验证,在这个方法里没有配置方法级别的权限。同时通过指定自己实现的UserDetailsService以及密码解码方式,如果不指定密码解码方式将会报错在最新的SpringSecurity版本中

控制层注解使用方式

@RestController
@RequestMapping("/api/user")
public class UsersController {
    @GetMapping("/guest")
    @PreAuthorize("hasAnyRole('guest')")
    public Object guest() {
        return "hello guest";
    }

    @PreAuthorize("hasAnyRole('admin')")
    @GetMapping("/admin")
    public Object admin() {
        return "hello admin";
    }
}

通过@PreAuthorize来进行权限控制,在hasAnyRole中写入访问该api具有的权限(角色),除了可以使用@PreAuthorize注解,还可以使用@Secured@PostAuthorize注解

SpringSecurity框架的不足

  • 对项目代码有入侵

  • 不够通用,所有需要权限校验的系统都需要整合SpringSecurity框架,不同应用系统数据库设计不同,UserDetail一般需自己实现【只是举个例子,实际开发过程中重写的类可能更多】

  • 角色应该是动态的,但通过SpringSecurity配置的角色是静态的,在数据库新添角色时必须对代码进行修改,否则无法使用

  • 并不是一个RBAC的设计模型而是一个ACL模型,角色权限的划分并不是特别清楚,权限也可以是角色,如果想基于RBAC的权限校验就必须自己重新写权限校验方法

  • 权限管理粒度不够细,比如没法支持到方法级别的权限校验,想支持更细粒度的权限必须自己写权限校验

  • 提供的三种缓存用户信息的方式,分别为NullUserCacheEhCacheBasedUserCacheSpringCacheBasedUserCache。第一种永远return null,相当于没使用缓存,后两者是内存缓存,在分布式部署中会出现缓存命中率低、缓存不一致的情况,需要自己实现缓存

    仅是自己的一些看法,如有纰漏欢迎指正


最后附:项目源码

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 205,386评论 6 479
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 87,939评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 151,851评论 0 341
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,953评论 1 278
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,971评论 5 369
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,784评论 1 283
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,126评论 3 399
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,765评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 43,148评论 1 300
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,744评论 2 323
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,858评论 1 333
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,479评论 4 322
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,080评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,053评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,278评论 1 260
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,245评论 2 352
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,590评论 2 343

推荐阅读更多精彩内容