关于web项目鉴权的一些思考与三种实现方式
引言
项目登陆校验是一个项目的根基,鉴权又是根基之本。先结合实际的项目背景来解释什么是鉴权:有选课系统,会分成学生登陆,老师登陆,超级管理员登陆。那不同的人登陆的时候看到的菜单,内容会不一样。此时就不能只是鉴别账号密码是否正确,还要带上登陆人相应的操作权限。
当然,鉴权可以不一定发生在登陆的时候,也可以发生在请求接口的时候。如果是只在接口层面鉴权的话,那菜单的展示只能不做鉴权,也就是不同的账号进入看到的所有栏目都是完整的,只是没有点击和操作权限。在登陆的时候做鉴权,就可以把菜单栏目整个都放在后端控制。
下面我就来谈谈,项目中常用到的鉴权几种形式:
鉴权的三种方式
一、采用springSecurity内部的决策管理器和投票器实现
参考网址:
http://blog.51cto.com/5148737/2308131
https://blog.csdn.net/sinat_29899265/article/details/80771330
PS:个人觉得这种方式比较麻烦,不容易理解与配置,不推荐。
二、采用自行编写Filter或者Interceptor去拦截
关于二者的书写方法可以参考博主之前的博客:Fliter和Interceptor区别与@Autowired报错(空指针)解决,还是推荐采用springMVC的Interceptor,可以很便捷的对url进行模糊的通配符**匹配拦截。
三、 利用Spring Security利用@PreAuthorize注解,去对类或者接口判断是否具有访问权限。
具体有两种写法:
- 一种是采用默认提供的函数@PreAuthorize("hasAuthority('BBBB','AAAA'))。该方法要求在登陆鉴权那块,需要将AAAA和BBBB权限给加入到springsecurity的User对象中。
List<GrantedAuthority> authorities = new ArrayList<>();
authorities.add(new SimpleGrantedAuthority("BBBB"));
authorities.add(new SimpleGrantedAuthority("AAAA"));
//在创建user对象的时候要把authorities给注入
Account account = new Account(id, username, "empty", true,
true, true, true, authorities);
其中Account继承User类(springSecurity自带的,实现了UserDetails接口的类),调用父类的初始化方法。
public Account(Long accountId, String username, String password, boolean enabled, boolean accountNonExpired,
boolean credentialsNonExpired, boolean accountNonLocked,
Collection<? extends GrantedAuthority> authorities) {
super(username, password, enabled, accountNonExpired, credentialsNonExpired, accountNonLocked, authorities);
this.accountId = accountId;
}
private final Set<GrantedAuthority> authorities; 是springsecurity里面user的成员变量。 这样子user对象带上了BBBB和AAAA的权限,然后再将整个user给注册到springsecurity中:
public static void registerAuth(User account, ServletContext sc, HttpServletRequest request)
throws AccessDeniedException {
UsernamePasswordAuthenticationToken auth = new UsernamePasswordAuthenticationToken(account, "empty",
account.getAuthorities());
setDetails(request, auth);
//重点在这句
SecurityContextHolder.getContext().setAuthentication(auth);
HttpSession session = request.getSession();
session.setAttribute(HttpSessionSecurityContextRepository.SPRING_SECURITY_CONTEXT_KEY,
SecurityContextHolder.getContext());
WebApplicationContext webApplicationContext = WebApplicationContextUtils.getWebApplicationContext(sc);
webApplicationContext.publishEvent(new InteractiveAuthenticationSuccessEvent(auth, SecurityUtils.class));
}
那么就可以利用spring的上下文取出相应的Account对象的权限:
public static Account getLoginAccount() {
//重点在这句
Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
if (authentication == null) {
return null;
}
Object principal = authentication.getPrincipal();
if (principal == null) {
return null;
}
if (principal instanceof Account) {
return (Account) principal;
}
return null;
}
- 另外一种是采用自行撰写函数去控制@PreAuthorize("@checkPhoneAuthorityUtil.check()")。该方法要求在相应的类在spring容器之中,并且返回的是boolean类型。如果返回为false则无权限。
@Component("checkPhoneAuthorityUtil")
public class CheckPhoneAuthorityUtil {
public Boolean check() {
Account account = SecurityUtils.getLoginAccount();
if (StringUtils.isBlank(account.getPhone())){
throw new FantuanRuntimeException("请绑定手机号", HttpServletResponse.SC_UNAUTHORIZED);
}
return Boolean.TRUE;
}
}
- 如果要多种方式去控制权限的话,只需要在两种权限之间用and相连:
@PostMapping(value = "/yktest")
@PreAuthorize("hasAnyAuthority('AAAA','BBBB') and @checkPhoneAuthorityUtil .check()")
@ResponseBody
public RestResponse<String> yktest() throws Exception {
//鉴权demo
return RestResponse.ok("执行完成");
}
注:@PreAuthorize不仅可以注解在方法上,还可以注解在类上。
总结
虽然springSecurity给我们封装了很好的一个接口,但是用起来比较笨重,并且灵活性感觉不够,尤其是采用方法一的形式。并且如果在antMatchers()里面配置的话,就不会进行鉴权了。所以当需要多种鉴权等比较灵活的情况下,还是推荐自行撰写拦截器,或者自行编写的方法用在 @PreAuthorize中。
