Spring Security 控制授权的方法

本文介绍了Spring Security 控制授权的方法,分享给大家,具体如下:

使用授权方法进行授权配置

每一个 Spring Security 控制授权表达式(以下简称为表达式)实际上都在在 API 中对应一个授权方法,该方法是请求的 URL 权限配置时的处理方法。例如:

@Override
protected void configure(HttpSecurity http) throws Exception {
  http.authorizeRequests()
    .antMatchers(HttpMethod.DELETE, "/user/*").hasRole("ADMIN")
    .antMatchers("/index").permitAll()
    .antMatchers("/pay").hasAnyRole("WE_CHAT_PAY", "ALI_PAY")
    .antMatchers("/debug").hasIpAddress("192.168.1.0/24");
}

使用授权表达式给多权限要求的请求授权

那么,何时需要用到表达式进行授权处理呢?一个安全应用的权限要求往往是复杂多样的,比如,项目的调试请求希望访问者既要拥有管理员权限又必须是通过公司内部局域网内部访问。而这样的需求下,仅仅通过Security API 提供的方法是无法满足的,因为这些授权方法是无法连续调用的。

此时就可以使用授权表达式解决:

@Override
protected void configure(HttpSecurity http) throws Exception {
  http.authorizeRequests()
    .antMatchers("/debug")
      .access("hasRole('ADMIN') and hasIpAddress('192.168.1.0/24')");
}

授权表达式举例说明

表达式 说明
permitAll 永远返回 true
denyAll 永远返回 false
anonyous 当前用户若是匿名用户返回 true
rememberMe 当前用户若是 rememberMe 用户返回 true
authenticated 当前用户若不是匿名(已认证)用户返回 true
fullAuthenticated 当前用户若既不是匿名用户又不是 rememberMe 用户时返回 true
hasRole(role) 当前用户权限集合中若拥有指定的 role 角色权限(匹配时会在你所指定的权限前加'ROLE_',即判断是否有“ROLE_role”权限)时返回 true
hasAnyRole(role1, role2, ...) 当前用户权限集合中若拥有任意一个角色权限时返回 true
hasAuthority(authority) 当前用户权限集合中若具有 authority 权限(匹配是否有“authority”权限)时返回 true
hasAnyAuthority(authority) 当前用户权限集合中若拥有任意一个权限时返回 true
hasIpAddress("192.168.1.0/24") 发送请求的IP匹配时fanhui true

基于角色的访问控制 RBAC(Role-Based Access Control)

或许你会认为上述方式已能满足绝大多数应用安全授权管理。但事实上的企业级应用的授权往往是基于数据库数据动态变化的,若是使用上述方式进行字符串拼接,不仅对于开发者极不友好(每一次人人员变动都意味着需要改代码,显然不合理),而且应用的性能也会随之降低。那么,如何解决呢?

数据模型

通用的 RBAC 数据模型, 一般需要五张表(三张实体表,两张关系表)。三张实体表包括用户表、角色表、资源表。两张关系表包括。其之间关系如下图:

RBAC数据模型

用户表

任何一个用户都必须要有用户表,当公司发生人员变动时,由业务人员(如人力资源)对该数据表进行增删记录。

角色表

公司有哪些身份的人,例如总裁、副总裁、部门经理等,有业务人员根据公司的具体情况对该表数据进行操作。

资源表

存储需要进行权限控制的资源,由于我们进行控制授权时实际上是基于 URL 的,但业务人员非按 URL 组织数据条目,而是以视图界面的形式进行曹操作。所以在这张表中存储的是呈现给业务人员的菜单、按钮及其所进行权限控制的 URL 。

用户—角色关系表

用户表与角色表(用户 id 与角色id )之间是一个多对多的关系。一个用户可以是多个角色(一个用户既可以是部门经理又可以是某个管理员),而一个角色往往对应多个用户。

角色—资源关系表

角色表与资源表()也是一个多对多的关系。一种角色可以访问多个资源(按钮或菜单等),一个资源也可以被多个角色访问。

spring security 还支持自定义表达式来完成这项工作,就像这样

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持我们。

您可能感兴趣的文章:

  • 详解使用Spring Security OAuth 实现OAuth 2.0 授权
(0)

相关推荐

  • 详解使用Spring Security OAuth 实现OAuth 2.0 授权

    详解使用Spring Security OAuth 实现OAuth 2.0 授权

    OAuth 2.0 是一种工业级的授权协议.OAuth 2.0是从创建于2006年的OAuth 1.0继承而来的.OAuth 2.0致力于帮助开发者简化授权并为web应用.桌面应用.移动应用.嵌入式应用提供具体的授权流程. OAuth 2.0 is the industry-standard protocol for authorization. OAuth 2.0 supersedes the work done on the original OAuth protocol created i

  • Spring Security 控制授权的方法

    Spring Security 控制授权的方法

    本文介绍了Spring Security 控制授权的方法,分享给大家,具体如下: 使用授权方法进行授权配置 每一个 Spring Security 控制授权表达式(以下简称为表达式)实际上都在在 API 中对应一个授权方法,该方法是请求的 URL 权限配置时的处理方法.例如: @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers(

  • 使用Spring Security控制会话的方法

    1.概述 在本文中,我们将说明Spring Security如何允许我们控制HTTP会话.此控件的范围从会话超时到启用并发会话和其他高级安全配置. 2.会话何时创建? 我们可以准确控制会话何时创建以及Spring Security如何与之交互: •always - 如果一个会话尚不存在,将始终创建一个会话 •ifRequired - 仅在需要时创建会话(默认) •never - 框架永远不会创建会话本身,但如果它已经存在,它将使用一个 •stateless - Spring Security不会

  • Spring Security OAuth2 授权码模式的实现

    写在前边 在文章OAuth 2.0 概念及授权流程梳理 中我们谈到OAuth 2.0的概念与流程,这里我准备分别记一记这几种授权模式的demo,一方面为自己的最近的学习做个总结,另一方面做下知识输出,如果文中有错误的地方,请评论指正,在此不胜感激 受众前提 阅读本文,默认读者已经过Spring Security有一定的了解,对OAuth2流程有一定了解 本文目标 带领读者对Spring Security OAuth2框架的授权码模式有一个比较直观的概念,能使用框架搭建授权码模式授权服务器与资源服

  • Spring Security结合JWT的方法教程

    概述 众所周知使用 JWT 做权限验证,相比 Session 的优点是,Session 需要占用大量服务器内存,并且在多服务器时就会涉及到共享 Session 问题,在手机等移动端访问时比较麻烦 而 JWT 无需存储在服务器,不占用服务器资源(也就是无状态的),用户在登录后拿到 Token 后,访问需要权限的请求时附上 Token(一般设置在Http请求头),JWT 不存在多服务器共享的问题,也没有手机移动端访问问题,若为了提高安全,可将 Token 与用户的 IP 地址绑定起来 前端流程 用户

  • Spring Security 自定义授权服务器实践记录

    Spring Security 自定义授权服务器实践记录

    目录 前言 授权服务器变迁 最小化配置 安装授权服务器 配置授权服务器 配置客户端 体验 总结 前言 在之前我们已经对接过了GitHub.Gitee客户端,使用OAuth2 Client能够快速便捷的集成第三方登录,集成第三方登录一方面降低了企业的获客成本,同时为用户提供更为便捷的登录体验.但是随着企业的发展壮大,越来越有必要搭建自己的OAuth2服务器.OAuth2不仅包括前面的OAuth客户端,还包括了授权服务器,在这里我们要通过最小化配置搭建自己的授权服务器.授权服务器主要提供OAuth

  • Spring Security实现分布式系统授权方案详解

    Spring Security实现分布式系统授权方案详解

    目录 1 需求分析 2 注册中心 3 网关 3.1 创建工程 3.2 token配置 3.3 配置资源服务 3.4 安全配置 4 转发明文token给微服务 5 微服务用户鉴权拦截 6 集成测试 7 扩展用户信息 7.1 需求分析 7.2 修改UserDetailService 7.3 修改资源服务过虑器 1 需求分析 回顾技术方案如下: 1.UAA认证服务负责认证授权. 2.所有请求经过 网关到达微服务 3.网关负责鉴权客户端以及请求转发 4.网关将token解析后传给微服务,微服务进行授权.

  • Spring Security使用中Preflight请求和跨域问题详解

    Spring Security使用中Preflight请求和跨域问题详解

    Spring Security Spring Security是能够为J2EE项目提供综合性的安全访问控制解决方案的安全框架.它依赖于Servlet过滤器.这些过滤器拦截进入请求,并且在应用程序处理该请求之前进行某些安全处理. Spring Security对用户请求的拦截过程如下: 背景 在一个前后端分离开发的项目中,使用SpringSecurity做安全框架,用JWT来实现权限管理提升RESTful Api的安全性.首先遇到的就是跨域问题,但是在携带jwt请求过程中出现了服务端获取不到jwt

  • Spring Security入门demo案例

    目录 一.简介 二.入门案例 三.自定义认证逻辑 四.自定义授权逻辑 五.注销登录 六.记住我功能 七.会话管理 一.简介 Spring Security是一个高度自定义的安全框架.利用Spring IoC/DI和AOP功能,为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作.主要包含如下几个重要的内容: 认证(Authentication),系统认为用户是否能登录. 授权(Authorization),系统判断用户是否有权限去做某些事情. 二.入门案例 首先引入必要的

  • 基于Spring Security的Oauth2授权实现方法

    基于Spring Security的Oauth2授权实现方法

    前言 经过一段时间的学习Oauth2,在网上也借鉴学习了一些大牛的经验,推荐在学习的过程中多看几遍阮一峰的<理解OAuth 2.0>,经过对Oauth2的多种方式的实现,个人推荐Spring Security和Oauth2的实现是相对优雅的,理由如下: 1.相对于直接实现Oauth2,减少了很多代码量,也就减少的查找问题的成本. 2.通过调整配置文件,灵活配置Oauth相关配置. 3.通过结合路由组件(如zuul),更好的实现微服务权限控制扩展. Oauth2概述 oauth2根据使用场景不同

  • Java Spring Security认证与授权及注销和权限控制篇综合解析

    Java Spring Security认证与授权及注销和权限控制篇综合解析

    Spring Security简介: Spring Security 是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型,它可以实现强大的Web安全控制,对于安全控制,我们只需要引入 spring-boot-starter-security 模块,进行少量的配置,即可实现强大的安全管理! 记住几个类: WebSecurityConfigurerAdapter:自定义Security策略 AuthenticationManagerBuilder:自定义认证策略

随机推荐