Spring Security動態權限的實現方法詳解

最近在做 TienChin 項目,用的是 RuoYi-Vue 腳手架,在這個腳手架中,訪問某個接口需要什麼權限,這個是在代碼中硬編碼的,具體怎麼實現的,松哥下篇文章來和大傢分析,有的小夥伴可能希望能讓這個東西像 vhr 一樣,可以在數據庫中動態配置,因此這篇文章和小夥伴們簡單介紹下 Spring Security 中的動態權限方案,以便於小夥伴們更好的理解 TienChin 項目中的權限方案。

1. 動態管理權限規則

通過代碼來配置 URL 攔截規則和請求 URL 所需要的權限,這樣就比較死板,如果想要調整訪問某一個 URL 所需要的權限,就需要修改代碼。

動態管理權限規則就是我們將 URL 攔截規則和訪問 URL 所需要的權限都保存在數據庫中,這樣,在不改變源代碼的情況下,隻需要修改數據庫中的數據,就可以對權限進行調整。

1.1 數據庫設計

簡單起見,我們這裡就不引入權限表瞭,直接使用角色表,用戶和角色關聯,角色和資源關聯,設計出來的表結構如圖 13-9 所示。

圖13-9  一個簡單的權限數據庫結構

menu 表是相當於我們的資源表,它裡邊保存瞭訪問規則,如圖 13-10 所示。

圖13-10  訪問規則

role 是角色表,裡邊定義瞭系統中的角色,如圖 13-11 所示。

圖13-11  用戶角色表

user 是用戶表,如圖 13-12 所示。

圖13-12  用戶表

user_role 是用戶角色關聯表,用戶具有哪些角色,可以通過該表體現出來,如圖 13-13 所示。

圖13-13  用戶角色關聯表

menu_role 是資源角色關聯表,訪問某一個資源,需要哪些角色,可以通過該表體現出來,如圖 13-14 所示。

圖13-14  資源角色關聯表

至此,一個簡易的權限數據庫就設計好瞭(在本書提供的案例中,有SQL腳本)。

1.2 實戰

項目創建

創建 Spring Boot 項目,由於涉及數據庫操作,這裡選用目前大傢使用較多的 MyBatis 框架,所以除瞭引入 Web、Spring Security 依賴之外,還需要引入 MyBatis 以及 MySQL 依賴。

最終的 pom.xml 文件內容如下:

<dependencies>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-security</artifactId>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-web</artifactId>
    </dependency>
    <dependency>
        <groupId>org.mybatis.spring.boot</groupId>
        <artifactId>mybatis-spring-boot-starter</artifactId>
        <version>2.1.3</version>
    </dependency>
    <dependency>
        <groupId>mysql</groupId>
        <artifactId>mysql-connector-java</artifactId>
        <scope>runtime</scope>
    </dependency>
</dependencies>

項目創建完成後,接下來在 application.properties 中配置數據庫連接信息:

spring.datasource.username=root
spring.datasource.password=123
spring.datasource.url=jdbc:mysql:///security13?useUnicode=true&characterEncoding=UTF-8&serverTimezone=Asia/Shanghai

配置完成後,我們的準備工作就算完成瞭。

創建實體類

根據前面設計的數據庫,我們需要創建三個實體類。

首先來創建角色類 Role:

public class Role {
    private Integer id;
    private String name;
    private String nameZh;
       //省略getter/setter
}

然後創建菜單類 Menu:

public class Menu {
    private Integer id;
    private String pattern;
    private List<Role> roles;
    //省略getter/setter
}

菜單類中包含一個 roles 屬性,表示訪問該項資源所需要的角色。

最後我們創建 User 類:

public class User implements UserDetails {
    private Integer id;
    private String password;
    private String username;
    private boolean enabled;
    private boolean locked;
    private List<Role> roles;
    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return roles.stream()
                        .map(r -> new SimpleGrantedAuthority(r.getName()))
                        .collect(Collectors.toList());
    }
    @Override
    public String getPassword() {
        return password;
    }
    @Override
    public String getUsername() {
        return username;
    }
    @Override
    public boolean isAccountNonExpired() {
        return true;
    }
    @Override
    public boolean isAccountNonLocked() {
        return !locked;
    }
    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }
    @Override
    public boolean isEnabled() {
        return enabled;
    }
    //省略其他getter/setter
}

由於數據庫中有 enabled 和 locked 字段,所以 isEnabled() 和 isAccountNonLocked() 兩個方法如實返回,其他幾個賬戶狀態方法默認返回 true 即可。在 getAuthorities() 方法中,我們對 roles 屬性進行遍歷,組裝出新的集合對象返回即可。

創建Service

接下來我們創建 UserService 和 MenuService,並提供相應的查詢方法。

先來看 UserService:

@Service
public class UserService implements UserDetailsService {
    @Autowired
    UserMapper userMapper;
    @Override
    public UserDetails loadUserByUsername(String username) 
                                             throws UsernameNotFoundException {
        User user = userMapper.loadUserByUsername(username);
        if (user == null) {
            throw new UsernameNotFoundException("用戶不存在");
        }
        user.setRoles(userMapper.getUserRoleByUid(user.getId()));
        return user;
    }
}

這段代碼應該不用多說瞭,不熟悉的讀者可以參考本書 2.4 節。

對應的 UserMapper 如下:

@Mapper
public interface UserMapper {
    List<Role> getUserRoleByUid(Integer uid);
    User loadUserByUsername(String username);
}

UserMapper.xml:

<!DOCTYPE mapper
        PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN"
        "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="org.javaboy.base_on_url_dy.mapper.UserMapper">
    <select id="loadUserByUsername" 
                         resultType="org.javaboy.base_on_url_dy.model.User">
        select * from user where username=#{username};
    </select>
    <select id="getUserRoleByUid" 
                         resultType="org.javaboy.base_on_url_dy.model.Role">
        select r.* from role r,user_role ur where ur.uid=#{uid} and ur.rid=r.id
    </select>
</mapper>

再來看 MenuService,該類隻需要提供一個方法,就是查詢出所有的 Menu 數據,代碼如下:

@Service
public class MenuService {
    @Autowired
    MenuMapper menuMapper;
    public List<Menu> getAllMenu() {
        return menuMapper.getAllMenu();
    }
}

MenuMapper:

@Mapper
public interface MenuMapper {
    List<Menu> getAllMenu();
}

MenuMapper.xml:

<!DOCTYPE mapper
        PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN"
        "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="org.javaboy.base_on_url_dy.mapper.MenuMapper">
    <resultMap id="MenuResultMap" 
                                type="org.javaboy.base_on_url_dy.model.Menu">
        <id property="id" column="id"/>
        <result property="pattern" column="pattern"></result>
        <collection property="roles" 
                              ofType="org.javaboy.base_on_url_dy.model.Role">
            <id column="rid" property="id"/>
            <result column="rname" property="name"/>
            <result column="rnameZh" property="nameZh"/>
        </collection>
    </resultMap>
    <select id="getAllMenu" resultMap="MenuResultMap">
        select m.*,r.id as rid,r.name as rname,r.nameZh as rnameZh from menu m left join menu_role mr on m.`id`=mr.`mid` left join role r on r.`id`=mr.`rid`
    </select>
</mapper>

需要註意,由於每一個 Menu 對象都包含瞭一個 Role 集合,所以這個查詢是一對多,這裡通過 resultMap 來進行查詢結果映射。

至此,所有基礎工作都完成瞭,接下來配置 Spring Security。

配置Spring Security

回顧 13.3.6 小節的內容,SecurityMetadataSource 接口負責提供受保護對象所需要的權限。在本案例中,受保護對象所需要的權限保存在數據庫中,所以我們可以通過自定義類繼承自 FilterInvocationSecurityMetadataSource,並重寫 getAttributes 方法來提供受保護對象所需要的權限,代碼如下:

@Component
public class CustomSecurityMetadataSource 
                         implements FilterInvocationSecurityMetadataSource {
    @Autowired
    MenuService menuService;
    AntPathMatcher antPathMatcher = new AntPathMatcher();

    @Override
    public Collection<ConfigAttribute> getAttributes(Object object) 
                                               throws IllegalArgumentException {
        String requestURI = 
                   ((FilterInvocation) object).getRequest().getRequestURI();
        List<Menu> allMenu = menuService.getAllMenu();
        for (Menu menu : allMenu) {
            if (antPathMatcher.match(menu.getPattern(), requestURI)) {
                String[] roles = menu.getRoles().stream()
                               .map(r -> r.getName()).toArray(String[]::new);
                return SecurityConfig.createList(roles);
            }
        }
        return null;
    }

    @Override
    public Collection<ConfigAttribute> getAllConfigAttributes() {
        return null;
    }

    @Override
    public boolean supports(Class<?> clazz) {
        return FilterInvocation.class.isAssignableFrom(clazz);
    }
}

自定義 CustomSecurityMetadataSource 類並實現 FilterInvocationSecurityMetadataSource 接口,然後重寫它裡邊的三個方法:

  • getAttributes:該方法的參數是受保護對象,在基於 URL 地址的權限控制中,受保護對象就是 FilterInvocation;該方法的返回值則是訪問受保護對象所需要的權限。在該方法裡邊,我們首先從受保護對象 FilterInvocation 中提取出當前請求的 URL 地址,例如 /admin/hello,然後通過 menuService 對象查詢出所有的菜單數據(每條數據中都包含訪問該條記錄所需要的權限),遍歷查詢出來的菜單數據,如果當前請求的 URL 地址和菜單中某一條記錄的 pattern 屬性匹配上瞭(例如 /admin/hello 匹配上 /admin/**),那麼我們就可以獲取當前請求所需要的權限。從 menu 對象中獲取 roles 屬性,並將其轉為一個數組,然後通過 SecurityConfig.createList 方法創建一個 Collection<ConfigAttribute> 對象並返回。如果當前請求的 URL 地址和數據庫中 menu 表的所有項都匹配不上,那麼最終返回 null。如果返回 null,那麼受保護對象到底能不能訪問呢?這就要看 AbstractSecurityInterceptor 對象中的 rejectPublicInvocations 屬性瞭,該屬性默認為 false,表示當 getAttributes 方法返回 null 時,允許訪問受保護對象(回顧 13.4.4 小節中關於 AbstractSecurityInterceptor#beforeInvocation 的講解)。
  • getAllConfigAttributes:該方法可以用來返回所有的權限屬性,以便在項目啟動階段做校驗,如果不需要校驗,則直接返回 null 即可。
  • supports:該方法表示當前對象支持處理的受保護對象是 FilterInvocation。

CustomSecurityMetadataSource 類配置完成後,接下來我們要用它來代替默認的 SecurityMetadataSource 對象,具體配置如下:

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    CustomSecurityMetadataSource customSecurityMetadataSource;
    @Autowired
    UserService userService;

    @Override
    protected void configure(AuthenticationManagerBuilder auth) 
                                                                throws Exception {
        auth.userDetailsService(userService);
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        ApplicationContext applicationContext = 
                              http.getSharedObject(ApplicationContext.class);
        http.apply(new UrlAuthorizationConfigurer<>(applicationContext))
                .withObjectPostProcessor(new 
                           ObjectPostProcessor<FilterSecurityInterceptor>() {
                    @Override
                    public <O extends FilterSecurityInterceptor> O 
                                                            postProcess(O object) {
           object.setSecurityMetadataSource(customSecurityMetadataSource);
                        return object;
                    }
                });
        http.formLogin()
                .and()
                .csrf().disable();
    }
}

關於用戶的配置無需多說,我們重點來看 configure(HttpSecurity) 方法。

由於訪問路徑規則和所需要的權限之間的映射關系已經保存在數據庫中,所以我們就沒有必要在 Java 代碼中配置映射關系瞭,同時這裡的權限對比也不會用到權限表達式,所以我們通過 UrlAuthorizationConfigurer 來進行配置。

在配置的過程中,通過 withObjectPostProcessor 方法調用 ObjectPostProcessor 對象後置處理器,在對象後置處理器中,將 FilterSecurityInterceptor 中的 SecurityMetadataSource 對象替換為我們自定義的 customSecurityMetadataSource 對象即可。

2. 測試

接下來創建 HelloController,代碼如下:

@RestController
public class HelloController {
    @GetMapping("/admin/hello")
    public String admin() {
        return "hello admin";
    }
    @GetMapping("/user/hello")
    public String user() {
        return "hello user";
    }
    @GetMapping("/guest/hello")
    public String guest() {
        return "hello guest";
    }
    @GetMapping("/hello")
    public String hello() {
        return "hello";
    }
}

最後啟動項目進行測試。

首先使用 admin/123 進行登錄,該用戶具備 ROLE_ADMIN 角色,ROLE_ADMIN 可以訪問 /admin/hello/user/hello 以及 /guest/hello 三個接口。

接下來使用 user/123 進行登錄,該用戶具備 ROLE_USER 角色,ROLE_USER 可以訪問 /user/hello 以及 /guest/hello 兩個接口。

最後使用 javaboy/123 進行登錄,該用戶具備 ROLE_GUEST 角色,ROLE_GUEST 可以訪問 /guest/hello 接口。

由於 /hello 接口不包含在 URL-權限 映射關系中,所以任何用戶都可以訪問 /hello 接口,包括匿名用戶。如果希望所有的 URL 地址都必須在數據庫中配置 URL-權限 映射關系後才能訪問,那麼可以通過如下配置實現:

http.apply(new UrlAuthorizationConfigurer<>(applicationContext))
        .withObjectPostProcessor(new  
                           ObjectPostProcessor<FilterSecurityInterceptor>() {
            @Override
            public <O extends FilterSecurityInterceptor> O 
                                                           postProcess(O object) {   
           object.setSecurityMetadataSource(customSecurityMetadataSource);
                object.setRejectPublicInvocations(true);
                return object;
            }
        });

通過設置 FilterSecurityInterceptor 中的 rejectPublicInvocations 屬性為 true,就可以關閉URL的公開訪問,所有 URL 必須具備對應的權限才能訪問。

以上就是Spring Security動態權限的實現方法詳解的詳細內容,更多關於Spring Security動態權限的資料請關註WalkonNet其它相關文章!

推薦閱讀: