0
点赞
收藏
分享

微信扫一扫

SpringSecurity授权

  之前的文章中,一直在写SpringSecurity的认证方面的知识,本片文章SpringSecurity学习的终章,将讲述一下授权方面的内容。

1.授权的定义

  我们这里讲的授权是指能否访问相关的资源,而不是前端中页面某个用户能否看到某个按钮,一个资源能否被访问是SpringSecurity所关注的,按钮能否被看见只是用户体验的问题,如下图所示:


2.SpringSecurity在系统中的应用

  一般来说我们在公司中会开发两种系统,一种是业务系统,一种是内管系统。什么是业务系统呢?只有登录和简单的角色就是业务系统,比如说我们登录云闪付、淘宝这样的系统直接就可以购买东西,顶多就是有一些什么VIP角色就够了,角色不会经常改变。但是内管系统就不一样了,比如一些人力资源系统,leader、总公司、分公司不同的用户拥有的权限是不一样的,而且这些权限是经常改变的。SpringSecurity对这两类系统都有很好的支持。


3.如何把控权限

  一般我们的应用系统都会两个信息,一个是系统配置信息,配置了对应的资源需要什么的权限。一个是用户权限信息,存储了用户对应的权限。所以用户访问某个资源的时候,我们可以通过资源查找需要的权限,通过用户查找其所拥有的权限然后判断用户是否能访问该资源


4.SpringSecurity授权原理解析

  作为终章,我们的Filter基本上也画的差不多了,授权当中我们最关系的是最后3个Filter,如下图所示:


4.1AnonymousAuthenticationFilter

  这个Filter作为绿色Filter当中的最后一环,做了什么事情呢?



  如果说前面的Filter没有把用户的Authentication放到Context中,这个时候Filter会创建一个名为anonymousUser的Authentication,然后传递到后面的FilterSecurityInterceptor,由它来决定是否能问restApi。

4.2请求鉴权流程

  先看一张图,可能东西有点多,不过我们一点点来解释。



  当一个服务请求到达之后,经历到FilterSecurityInterceptor的时候,会由3个很重要的东东来决定是否允许访问后面的资源。第一个是SecurityConfig生成的ConfigAttribute,这个就是我们代码里面写的这些东西:



  第二个是SecurityContextHolder中的Authentication,其实就是看看用户的权限有哪些。第三个很重要就是AccessDecisionManager,决定了是否访问的生杀大权。它是一个接口,有一个抽象实现类AbstractAccessDecisionManager,它利用AccessDecisionVoter进行投票,它包含了一组投票器,但是版本更新升级后,现在由一个叫做WebExpressionVoter包揽了所有的投票工作。AbstractAccessDecisionManager这个抽象实现类有3个实现类就是图中的3个绿色方框,不过Spring主要用的是AffirmativeBased这个实现类,它是什么意思呢?如果说投票组中有一个否认就拒绝,相当于一票否决权。UnanimousBased是一票肯定权~~

5.权限表达式

  SpringSecurity内置的权限表达式如下:


5.1实战

  我们的一个整体思路如下图所示:



我们希望把公共的权限模块放到权限模块中,关于用户的权限模块单独放到一个模块中,如果用户自己想设置权限可以在自己的模块中实现对应的权限。所以我们需要定义一个AuthorizeConfigProvider接口由各个模块去实现,放入自己想要的权限。在定义一个AuthorizeConfigManager来统一收集所有的Provider,使其生效。

5.1.1 AuthorizeConfigProvider接口

public interface AuthorizeConfigProvider {
    
    void config(ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry config);

}

config里面的参数就是authorizeRequests()方法里面返回的对象。

5.1.2 ImoocAuthorizeConfigProvider

ImoocAuthorizeConfigProvider对AuthorizeConfigProvider的实现,其实我们把之前APP和BROWSER中的一些公共配置放到这里面来了。

@Component
@Order(Integer.MIN_VALUE)
public class ImoocAuthorizeConfigProvider implements AuthorizeConfigProvider {

    @Autowired
    private SecurityProperties securityProperties;
    
    @Override
    public void config(ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry config) {
        config.antMatchers(
                SecurityConstants.DEFAULT_UNAUTHENTICATION_URL,
                SecurityConstants.DEFAULT_LOGIN_PROCESSING_URL_MOBILE,
                SecurityConstants.DEFAULT_LOGIN_PROCESSING_URL_OPENID,
                securityProperties.getBrowser().getLoginPage(),
                SecurityConstants.DEFAULT_VALIDATE_CODE_URL_PREFIX+"/*",
                securityProperties.getBrowser().getSignUpUrl(),
                securityProperties.getBrowser().getSession().getSessionInvalidUrl(),
                securityProperties.getBrowser().getSignOutUrl())
        .permitAll();
    }

}

5.1.3 AuthorizeConfigManager

用于组合Provider的接口

public interface AuthorizeConfigManager {
    
    void config(ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry config);

}

5.1.4ImoocAuthorizeConfigManager

ImoocAuthorizeConfigManager对AuthorizeConfigManager的实现,这里它遍历所有的provider,并把其中的配置放进去。

@Component
public class ImoocAuthorizeConfigManager implements AuthorizeConfigManager {
    
    @Autowired
    private List<AuthorizeConfigProvider> authorizeConfigProviders;

    @Override
    public void config(ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry config) {
        for (AuthorizeConfigProvider authorizeConfigProvider : authorizeConfigProviders) {
            authorizeConfigProvider.config(config);
        }
    }
}

5.1.5 BrowserSecurityConfig

  authorizeConfigManager.config(http.authorizeRequests());一句话把之前的代码省略了~~如下图所示:



具体实现:

@Configuration
public class BrowserSecurityConfig extends AbstractChannelSecurityConfig {

    @Autowired
    private SecurityProperties securityProperties;
    
    @Autowired
    private DataSource dataSource;
    
    @Autowired
    private UserDetailsService userDetailsService;
    
    @Autowired
    private SmsCodeAuthenticationSecurityConfig smsCodeAuthenticationSecurityConfig;
    
    @Autowired
    private ValidateCodeSecurityConfig validateCodeSecurityConfig;
    
    @Autowired
    private SpringSocialConfigurer imoocSocialSecurityConfig;
    
    @Autowired
    private SessionInformationExpiredStrategy sessionInformationExpiredStrategy;
    
    @Autowired
    private InvalidSessionStrategy invalidSessionStrategy;
    
    @Autowired
    private LogoutSuccessHandler logoutSuccessHandler;
    
    @Autowired
    private AuthorizeConfigManager authorizeConfigManager;
    
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        
        applyPasswordAuthenticationConfig(http);
        
        http.apply(validateCodeSecurityConfig)
                .and()
            .apply(smsCodeAuthenticationSecurityConfig)
                .and()
            .apply(imoocSocialSecurityConfig)
                .and()
            .rememberMe()
                .tokenRepository(persistentTokenRepository())
                .tokenValiditySeconds(securityProperties.getBrowser().getRememberMeSeconds())
                .userDetailsService(userDetailsService)
                .and()
            .sessionManagement()
                .invalidSessionStrategy(invalidSessionStrategy)
                .maximumSessions(securityProperties.getBrowser().getSession().getMaximumSessions())
                .maxSessionsPreventsLogin(securityProperties.getBrowser().getSession().isMaxSessionsPreventsLogin())
                .expiredSessionStrategy(sessionInformationExpiredStrategy)
                .and()
                .and()
            .logout()
                .logoutUrl("/signOut")
                .logoutSuccessHandler(logoutSuccessHandler)
                .deleteCookies("JSESSIONID")
                .and()
            .csrf().disable();
        
        authorizeConfigManager.config(http.authorizeRequests());
        
    }

    @Bean
    public PersistentTokenRepository persistentTokenRepository() {
        JdbcTokenRepositoryImpl tokenRepository = new JdbcTokenRepositoryImpl();
        tokenRepository.setDataSource(dataSource);
//      tokenRepository.setCreateTableOnStartup(true);
        return tokenRepository;
    }
    
}

5.1.6 应用自定义DemoAuthorizeConifgProvider

  应用自定义的DemoAuthorizeConifgProvider会被装载到容器中,和core模块中的配置同时生效。这是因为都被Manager扫描到了。

@Component
public class DemoAuthorizeConifgProvider implements AuthorizeConfigProvider {

    /* (non-Javadoc)
     * @see com.imooc.security.core.authorize.AuthorizeConfigProvider#config(org.springframework.security.config.annotation.web.configurers.ExpressionUrlAuthorizationConfigurer.ExpressionInterceptUrlRegistry)
     */
    @Override
    public void config(ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry config) {
        
        config.antMatchers("/demo.html")
            .hasRole("ADMIN");
    }

}

OK,一个简单的SpringSecurity授权应用就搭建好了。

6.RBAC模型

  上面的实战是针对简单的权限规则搭建的,这里我们要针对复杂的权限规则讲一讲。这里要用到RBAC模型。RBAC模型由五张表组成,其中3张是实体表,2张是关系表。如下图所示:



  人力资源的小MM可以添加删除用户表中的内容,同时也可以添加角色,所以用户表角色表是由业务人员维护滴。资源表主要是菜单、按钮对应的URL,这个由开发人员维护。而且这个模型中,只有这张表是开发人员来维护。至于实现,这里就不贴出来了,需要代码的小伙伴可以私信我。
SpringSecurity系列今天就算结束了,从6.1号到6.23号,耗费的时间还是蛮长的~预先透露下一个专题系列:ElasticSearch

举报

相关推荐

0 条评论