Spring Security 動態權限與RBAC模型實戰
作者:全棧程序員老馬
權限控制是我們幾乎每個項目都要面對的問題, 而Spring Security作為Spring生態中的安全框架, 提供了強大的支持. 但很多同學在使用時會遇到一些困惑, 特別是如何實現動態權限控制, 今天我們就來詳細講一講.
權限控制是我們幾乎每個項目都要面對的問題, 而Spring Security作為Spring生態中的安全框架, 提供了強大的支持. 但很多同學在使用時會遇到一些困惑, 特別是如何實現動態權限控制, 今天我們就來詳細講一講.
一、權限控制概念
1) 什么是權限控制?
簡單來說, 權限控制就是決定"誰能在什么情況下對什么資源做什么操作". 比如:
- 普通用戶只能查看自己的訂單
- 管理員可以查看所有訂單
- 只有財務人員才能導出財務報表
2) 常見的權限模型
ACL, ACL是最直接的權限模型, 它直接維護了"主體-資源-操作"的對應關系. 比如:
用戶 | 資源 | 操作 |
張三 | /order | 查看 |
李四 | /report | 導出 |
這種模型簡單直接, 但當用戶和資源數量增多時, 維護成本會很高.
RBAC(Role-Based Access Control)引入了"角色"這一中間層, 是目前最流行的權限模型. 它的核心思想是:
- 用戶關聯角色
- 角色關聯權限
- 權限決定能否訪問資源
下面是ACL和RBAC的對比圖:
圖片
二、Spring Security中的RBAC實現
2.1 我們先看一個簡單一點的實現, 是基于配置的權限控制
1) 先來添加數據庫表:
--用戶表
CREATE TABLE user (
id BIGINT PRIMARY KEY,
username VARCHAR(50) NOT NULL,
password VARCHAR(100) NOT NULL
);
--角色表
CREATE TABLE role (
id BIGINT PRIMARY KEY,
name VARCHAR(50) NOT NULL
);
--用戶-角色關聯表
CREATE TABLE user_role (
user_id BIGINT,
role_id BIGINT,
PRIMARY KEY (user_id, role_id)
);
--權限表
CREATE TABLE permission (
id BIGINT PRIMARY KEY,
name VARCHAR(100) NOT NULL,
url VARCHAR(255) NOT NULL,
description VARCHAR(200)
);
--角色-權限關聯表
CREATE TABLE role_permission (
role_id BIGINT,
permission_id BIGINT,
PRIMARY KEY (role_id, permission_id)
);2) 接著是配置Spring Security:
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Autowired
private UserDetailsService userDetailsService;
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.antMatchers("/admin/**").hasRole("ADMIN")
.antMatchers("/user/**").hasAnyRole("USER", "ADMIN")
.antMatchers("/public/**").permitAll()
.anyRequest().authenticated()
.and()
.formLogin()
.and()
.logout().permitAll();
}
@Bean
public PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder();
}
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.userDetailsService(userDetailsService)
.passwordEncoder(passwordEncoder());
}
}這種方式的優點是簡單直接, 但缺點是權限規則硬編碼在配置類中, 不夠靈活.
2.2 實現動態的權限控制
要實現真正的動態權限(從數據庫加載權限規則), 我們需要自定義權限決策邏輯. 下面是實現步驟:
1) 自定義FilterInvocationSecurityMetadataSource:
@Component
public class DynamicSecurityMetadataSource implements FilterInvocationSecurityMetadataSource {
@Autowired
private PermissionService permissionService;
private Map<String, ConfigAttribute> permissionMap = null;
/**
* 加載所有權限規則
*/
public void loadDataSource() {
permissionMap = permissionService.getAllPermissionMap();
}
@Override
public Collection<ConfigAttribute> getAttributes(Object object) throws IllegalArgumentException {
if (permissionMap == null) {
this.loadDataSource();
}
HttpServletRequest request = ((FilterInvocation) object).getRequest();
String url = request.getRequestURI();
String method = request.getMethod();
//去掉URL中的參數部分
String path = url.split("\\?")[0];
//嘗試直接匹配URL
ConfigAttribute configAttribute = permissionMap.get(path + ":" + method);
if (configAttribute != null) {
return Collections.singletonList(configAttribute);
}
//嘗試通配符匹配
for (String pattern : permissionMap.keySet()) {
if (pathMatcher.match(pattern.split(":")[0], path)
&& method.equalsIgnoreCase(pattern.split(":")[1])) {
return Collections.singletonList(permissionMap.get(pattern));
}
}
// 如果沒有匹配到, 返回一個標記, 表示需要登錄但不需要特定權限
return SecurityConfig.createList("ROLE_LOGIN");
}
@Override
public Collection<ConfigAttribute> getAllConfigAttributes() {
return null;
}
@Override
public boolean supports(Class<?> clazz) {
return FilterInvocation.class.isAssignableFrom(clazz);
}
}2) 自定義AccessDecisionManager:
@Component
public class DynamicAccessDecisionManager implements AccessDecisionManager {
@Override
public void decide(Authentication authentication, Object object,
Collection<ConfigAttribute> configAttributes) throws AccessDeniedException, InsufficientAuthenticationException {
//如果沒有權限規則,直接放行
if (CollectionUtils.isEmpty(configAttributes)) {
return;
}
//檢查每個需要的權限
for (ConfigAttribute configAttribute : configAttributes) {
String needRole = configAttribute.getAttribute();
//只需要登錄的情況
if ("ROLE_LOGIN".equals(needRole)) {
if (authentication instanceof AnonymousAuthenticationToken) {
throw new AccessDeniedException("尚未登錄,請登錄");
} else {
return;
}
}
//檢查用戶是否有該角色
Collection<? extends GrantedAuthority> authorities = authentication.getAuthorities();
for (GrantedAuthority authority : authorities) {
if (authority.getAuthority().equals(needRole)) {
return;
}
}
}
throw new AccessDeniedException("抱歉,您沒有訪問權限");
}
@Override
public boolean supports(ConfigAttribute attribute) {
return true;
}
@Override
public boolean supports(Class<?> clazz) {
return true;
}
}3) 更新Security配置:
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Autowired
private DynamicSecurityMetadataSource dynamicSecurityMetadataSource;
@Autowired
private DynamicAccessDecisionManager dynamicAccessDecisionManager;
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.withObjectPostProcessor(new ObjectPostProcessor<FilterSecurityInterceptor>() {
@Override
public <O extends FilterSecurityInterceptor> O postProcess(O object) {
object.setSecurityMetadataSource(dynamicSecurityMetadataSource);
object.setAccessDecisionManager(dynamicAccessDecisionManager);
return object;
}
})
.and()
.formLogin()
.and()
.logout().permitAll();
}
// 其他配置...
}責任編輯:武曉燕
來源:
全棧程序員老馬
