Spring Security權(quán)限控制框架使用指南
作者:wayn
本文給大家講解了后管系統(tǒng)如何引入權(quán)限控制框架 Spring Security 3.0 版本以及代碼實(shí)戰(zhàn)。
在常用的后臺(tái)管理系統(tǒng)中,通常都會(huì)有訪問(wèn)權(quán)限控制的需求,用于限制不同人員對(duì)于接口的訪問(wèn)能力,如果用戶(hù)不具備指定的權(quán)限,則不能訪問(wèn)某些接口。
本文將用 waynboot-mall 項(xiàng)目舉例,給大家介紹常見(jiàn)后管系統(tǒng)如何引入權(quán)限控制框架 Spring Security。大綱如下:
waynboot-mall 項(xiàng)目地址:https://github.com/wayn111/waynboot-mall
一、什么是 Spring Security
Spring Security 是一個(gè)基于 Spring 框架的開(kāi)源項(xiàng)目,旨在為 Java 應(yīng)用程序提供強(qiáng)大和靈活的安全性解決方案。Spring Security 提供了以下特性:
- 認(rèn)證:支持多種認(rèn)證機(jī)制,如表單登錄、HTTP 基本認(rèn)證、OAuth2、OpenID 等。
- 授權(quán):支持基于角色或權(quán)限的訪問(wèn)控制,以及基于表達(dá)式的細(xì)粒度控制。
- 防護(hù):提供了多種防護(hù)措施,如防止會(huì)話固定、點(diǎn)擊劫持、跨站請(qǐng)求偽造等攻擊。
- 集成:與 Spring 框架和其他第三方庫(kù)和框架進(jìn)行無(wú)縫集成,如 Spring MVC、Thymeleaf、Hibernate 等。
二、如何引入 Spring Security
在 waynboot-mall 項(xiàng)目中直接引入 spring-boot-starter-security 依賴(lài),
<dependencies>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
<version>3.1.0</version>
</dependency>
</dependencies>三、如何配置 Spring Security
在 Spring Security 3.0 中要配置 Spring Security 跟以往是有些不同的,比如不在繼承 WebSecurityConfigurerAdapter。在 waynboot-mall 項(xiàng)目中,具體配置如下,
@Configuration
@EnableWebSecurity
@AllArgsConstructor
@EnableMethodSecurity(securedEnabled = true, jsr250Enabled = true)
public class SecurityConfig {
private UserDetailsServiceImpl userDetailsService;
private AuthenticationEntryPointImpl unauthorizedHandler;
private JwtAuthenticationTokenFilter jwtAuthenticationTokenFilter;
private LogoutSuccessHandlerImpl logoutSuccessHandler;
@Bean
public SecurityFilterChain filterChain(HttpSecurity httpSecurity) throws Exception {
httpSecurity
// cors啟用
.cors(httpSecurityCorsConfigurer -> {})
.csrf(AbstractHttpConfigurer::disable)
.sessionManagement(httpSecuritySessionManagementConfigurer -> {
httpSecuritySessionManagementConfigurer.sessionCreationPolicy(SessionCreationPolicy.STATELESS);
})
.exceptionHandling(httpSecurityExceptionHandlingConfigurer -> {
httpSecurityExceptionHandlingConfigurer.authenticationEntryPoint(unauthorizedHandler);
})
// 過(guò)濾請(qǐng)求
.authorizeHttpRequests(authorizationManagerRequestMatcherRegistry -> {
authorizationManagerRequestMatcherRegistry
.requestMatchers("/favicon.ico", "/login", "/favicon.ico", "/actuator/**").anonymous()
.requestMatchers("/slider/**").anonymous()
.requestMatchers("/captcha/**").anonymous()
.requestMatchers("/upload/**").anonymous()
.requestMatchers("/common/download**").anonymous()
.requestMatchers("/doc.html").anonymous()
.requestMatchers("/swagger-ui/**").anonymous()
.requestMatchers("/swagger-resources/**").anonymous()
.requestMatchers("/webjars/**").anonymous()
.requestMatchers("/*/api-docs").anonymous()
.requestMatchers("/druid/**").anonymous()
.requestMatchers("/elastic/**").anonymous()
.requestMatchers("/message/**").anonymous()
.requestMatchers("/ws/**").anonymous()
// 除上面外的所有請(qǐng)求全部需要鑒權(quán)認(rèn)證
.anyRequest().authenticated();
})
.headers(httpSecurityHeadersConfigurer -> {
httpSecurityHeadersConfigurer.frameOptions(HeadersConfigurer.FrameOptionsConfig::disable);
});
// 處理跨域請(qǐng)求中的Preflight請(qǐng)求(cors),設(shè)置corsConfigurationSource后無(wú)需使用
// .requestMatchers(CorsUtils::isPreFlightRequest).permitAll()
// 對(duì)于登錄login 驗(yàn)證碼captchaImage 允許匿名訪問(wèn)
httpSecurity.logout(httpSecurityLogoutConfigurer -> {
httpSecurityLogoutConfigurer.logoutUrl("/logout");
httpSecurityLogoutConfigurer.logoutSuccessHandler(logoutSuccessHandler);
});
// 添加JWT filter
httpSecurity.addFilterBefore(jwtAuthenticationTokenFilter, UsernamePasswordAuthenticationFilter.class);
// 認(rèn)證用戶(hù)時(shí)用戶(hù)信息加載配置,注入springAuthUserService
httpSecurity.userDetailsService(userDetailsService);
return httpSecurity.build();
}
@Bean
public AuthenticationManager authenticationManager(AuthenticationConfiguration authenticationConfiguration) throws Exception {
return authenticationConfiguration.getAuthenticationManager();
}
/**
* 強(qiáng)散列哈希加密實(shí)現(xiàn)
*/
@Bean
public BCryptPasswordEncoder bCryptPasswordEncoder() {
return new BCryptPasswordEncoder();
}
}這里詳細(xì)介紹下 SecurityConfig 配置類(lèi):
- filterChain(HttpSecurity httpSecurity) 方法是訪問(wèn)控制的核心方法,這里面可以針對(duì) url 設(shè)置是否需要權(quán)限認(rèn)證、cors 配置、csrf 配置、用戶(hù)信息加載配置、jwt 過(guò)濾器攔截配置等眾多功能。
- authenticationManager(AuthenticationConfiguration authenticationConfiguration) 方法適用于啟用認(rèn)證接口,需要手動(dòng)聲明,否則啟動(dòng)報(bào)錯(cuò)。
- bCryptPasswordEncoder() 方法用戶(hù)定義用戶(hù)登錄時(shí)的密碼加密策略,需要手動(dòng)聲明,否則啟動(dòng)報(bào)錯(cuò)。
四、如何使用 Spring Security
要使用 Spring Security,只需要在需要控制訪問(wèn)權(quán)限的方法或類(lèi)上添加相應(yīng)的 @PreAuthorize 注解即可,如下,
@Slf4j
@RestController
@AllArgsConstructor
@RequestMapping("system/role")
public class RoleController extends BaseController {
private IRoleService iRoleService;
@PreAuthorize("@ss.hasPermi('system:role:list')")
@GetMapping("/list")
public R list(Role role) {
Page<Role> page = getPage();
return R.success().add("page", iRoleService.listPage(page, role));
}
}我們?cè)?list 方法上加了 @PreAuthorize("@ss.hasPermi('system:role:list')") 注解表示當(dāng)前登錄用戶(hù)擁有 system:role:list 權(quán)限才能訪問(wèn) list 方法,否則返回權(quán)限錯(cuò)誤。
五、獲取當(dāng)前登錄用戶(hù)權(quán)限
在 SecurityConfig 配置類(lèi)中我們定義了 UserDetailsServiceImpl 作為我們的用戶(hù)信息加載的實(shí)現(xiàn)類(lèi),從而通過(guò)讀取數(shù)據(jù)庫(kù)中用戶(hù)的賬號(hào)、密碼與前端傳入的賬號(hào)、密碼進(jìn)行比對(duì)。代碼如下,
@Slf4j
@Service
@AllArgsConstructor
public class UserDetailsServiceImpl implements UserDetailsService {
private IUserService iUserService;
private IDeptService iDeptService;
private PermissionService permissionService;
public static void main(String[] args) {
BCryptPasswordEncoder bCryptPasswordEncoder = new BCryptPasswordEncoder();
System.out.println(bCryptPasswordEncoder.encode("123456"));
}
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
// 1. 讀取數(shù)據(jù)庫(kù)中當(dāng)前用戶(hù)信息
User user = iUserService.getOne(new QueryWrapper<User>().eq("user_name", username));
// 2. 判斷該用戶(hù)是否存在
if (user == null) {
log.info("登錄用戶(hù):{} 不存在.", username);
throw new UsernameNotFoundException("登錄用戶(hù):" + username + " 不存在");
}
// 3. 判斷是否禁用
if (Objects.equals(UserStatusEnum.DISABLE.getCode(), user.getUserStatus())) {
log.info("登錄用戶(hù):{} 已經(jīng)被停用.", username);
throw new DisabledException("登錄用戶(hù):" + username + " 不存在");
}
user.setDept(iDeptService.getById(user.getDeptId()));
// 4. 獲取當(dāng)前用戶(hù)的角色信息
Set<String> rolePermission = permissionService.getRolePermission(user);
// 5. 根據(jù)角色獲取權(quán)限信息
Set<String> menuPermission = permissionService.getMenuPermission(rolePermission);
return new LoginUserDetail(user, menuPermission);
}
}針對(duì) UserDetailsServiceImpl 的代碼邏輯進(jìn)行一個(gè)講解,大家可以配合代碼理解。
- 讀取數(shù)據(jù)庫(kù)中當(dāng)前用戶(hù)信息
- 判斷該用戶(hù)是否存在
- 判斷是否禁用
- 獲取當(dāng)前用戶(hù)的角色信息
- 根據(jù)角色獲取權(quán)限信息
總結(jié)一下
本文給大家講解了后管系統(tǒng)如何引入權(quán)限控制框架 Spring Security 3.0 版本以及代碼實(shí)戰(zhàn)。相信能幫助大家對(duì)權(quán)限控制框架 Spring Security 有一個(gè)清晰的理解。后續(xù)大家可以按照本文的使用指南一步一步將 Spring Security 引入到的自己的項(xiàng)目中用于訪問(wèn)權(quán)限控制。
責(zé)任編輯:趙寧寧
來(lái)源:
程序員wayn
