Spring Security实战(二)动态权限
好消息好消息!Security系列终于有了第二期,最近在看项目源码忍不住又搞起来Spring Security,来给大家分享一下,虽然和上一节说好的内容不同🤭
回顾
上节我们介绍了如何进行简单的权限配置,包括url权限和方法权限,还有如何授予用户权限。
protected void configure(HttpSecurity http) throws Exception {
http
.authorizeRequests()
.antMatchers("/", "/home").permitAll()
// 测试配置URL权限
.antMatchers("/match/**").hasAuthority("sys:match")
// 对某URL添加多个权限,可以多次配置
.antMatchers("/match/**").hasAuthority("sys:mm")
.anyRequest().authenticated()
.and()
.formLogin()
.loginPage("/login")
.permitAll()
.and()
.logout()
.permitAll()
.and()
;
}
但是如果现在你的业务系统要求动态权限呢?
比如用户权限变更了,我们可以重新构建Security上下文中Authentication 对象,这还好说。如果说某个接口的权限修改了,如果按照上述的方法来做的话,是不可能实现动态修改的。
本节我们来介绍一下Spring Security 如何实现动态权限
实现原理
FilterSecurityInterceptor 负责 Security中的权限控制,其核心代码在父类AbstractSecurityInterceptor中,我们来看一下
image
这里我删了一些与核心逻辑无关的代码,我们只需要关注红框里的内容
这时候聪明的你应该已经明白了FilterSecurityInterceptor是如何管理权限的,我们完全可以自己实现上面的AccessDecisionManager和SecurityMetadataSource来实现我们的动态权限
但是先别急,先看看AccessDecisionManager的默认实现AffirmativeBased
image
这代码写的有意思了,通过遍历所有的Voter,每个Voter实现具体的判断逻辑,返回 1,0,-1(分别代表同意、弃权、拒绝),当存在拒绝时直接抛出AccessDeniedException
非常的民主,我们只需要实现一个Voter即可
注:AccessDecisionManager 还有其他的默认实现,感兴趣的同学可以自行查看源码
Coding
OK,首先我们先捋一下思路
- 实现SecurityMetadataSource,提供当前资源要求的权限
- 实现AccessDecisionVoter,用于判断当前用户是否有权限访问
- 将我们自己的实现注册到FilterSecurityInterceptor中
OK,可以开搞了
SecurityService
实现一个Service,用于从数据库加载数据
@Service
public class SecurityService {
@Autowired
private JdbcTemplate jdbcTemplate;
/**
* 加载资源要求的权限
*
* @param resource
* @return
*/
public List<String> getPermByResource(String resource) {
return jdbcTemplate.queryForList(Sql.getPermByResource, String.class, resource);
}
/**
* 当前用户的权限
*
* @param username
* @return
*/
public List<String> getPermByUsername(String username) {
return jdbcTemplate.queryForList(Sql.getPermByUsername, String.class, username);
}
}
注:这里两个方法都可以加上缓存,由于demo演示,我就没有这么做
实现SecurityMetadataSource
MySecurityMetadataSource 很简单,就是通过SecurityService加载一下数据
public class MySecurityMetadataSource implements FilterInvocationSecurityMetadataSource {
private SecurityService securityService;
public MySecurityMetadataSource(SecurityService securityService) {
this.securityService = securityService;
}
@Override
public Collection<ConfigAttribute> getAttributes(Object object) throws IllegalArgumentException {
String uri = ((FilterInvocation) object).getHttpRequest().getRequestURI();
List<String> list = securityService.getPermByResource(uri);
if (list != null && list.size() != 0) {
return SecurityConfig.createList(list.toArray(new String[0]));
}
return null;
}
@Override
public Collection<ConfigAttribute> getAllConfigAttributes() {
return null;
}
@Override
public boolean supports(Class<?> clazz) {
return FilterInvocation.class.isAssignableFrom(clazz);
}
}
实现AccessDecisionVoter
这里加载一下当前用户的权限,判断用户是否满足当前资源所要求的权限
public class MyAccessDecisionVoter implements AccessDecisionVoter<Object> {
private SecurityService securityService;
public MyAccessDecisionVoter(SecurityService securityService) {
this.securityService = securityService;
}
@Override
public boolean supports(ConfigAttribute attribute) {
return true;
}
@Override
public boolean supports(Class<?> clazz) {
return true;
}
@Override
public int vote(Authentication authentication, Object object, Collection<ConfigAttribute> attributes) {
Object principal = authentication.getPrincipal();
if ("anonymousUser".equals(principal)) {
// 当前用户未登录,如果不要求权限->允许访问,否则拒绝访问
return CollectionUtils.isEmpty(attributes) ? ACCESS_GRANTED : ACCESS_DENIED;
} else {
// 这里我的逻辑是,当前资源的要求权限,用户必须全部满足时才可以访问
User user = (User) principal;
List<String> permitList = securityService.getPermByUsername(user.getUsername());
List<String> stringAttributes = attributes.stream().map(ConfigAttribute::getAttribute).collect(Collectors.toList());
return permitList.containsAll(stringAttributes) ? ACCESS_GRANTED : ACCESS_DENIED;
}
}
}
注册到FilterSecurityInterceptor
我们核心的业务已经实现完了,现在需要把MySecurityMetadataSource和MyAccessDecisionVoter注册到FilterSecurityInterceptor中
需要注意的是,FilterSecurityInterceptor并不可以通过@Bean的方式来声明,该对象是在WebSecurityConfigurerAdapter的初始化方法中默认创建的
但是Spring Security为我们提供了ObjectPostProcessor,用于解决上述问题,具体用法如下
http
.authorizeRequests()
.antMatchers("/", "/home", "/403").permitAll()
.anyRequest().authenticated()
.withObjectPostProcessor(new ObjectPostProcessor<FilterSecurityInterceptor>() {
@Override
public <O extends FilterSecurityInterceptor> O postProcess(
O fsi) {
fsi.setSecurityMetadataSource(new MySecurityMetadataSource(securityService));
fsi.setAccessDecisionManager(new AffirmativeBased(getDecisionVoters()));
return fsi;
}
})
完整Demo
Github 👉 https://github.com/TavenYin/security-example/tree/master/dynamic-permissions
