SpringBoot - 安全管理框架Spring Security使用详解4(基于数据库的URL权限规则配置 )
虽然前面我们实现了通过数据库来配置用户与角色,但认证规则仍然是使用 HttpSecurity 进行配置,还是不够灵活,无法实现资源和角色之间的动态调整。
(2)接着在 MenuMapper 相同的位置创建 MenuMapper.xml 文件,内容如下:
(3)由于在 Maven 工程中,XML 配置文件建议写在 resources 目录下,但上面的 MenuMapper.xml 文件写在包下,Maven 在运行时会忽略包下的 XML 文件。因此需要在 pom.xml 文件中重新指明资源文件位置,配置如下:
要实现动态配置 URL 权限,就需要开发者自定义权限配置,具体步骤如下。
四、基于数据库的URL权限规则配置
1,数据库设计
这里的数据库在前文(点击查看)的基础上增加一张资源表和一张资源角色管理表,并添加一些预置数据:
- 资源表中定义了用户能够访问的 URL 模式。
- 资源角色表则定义了访问该模式的 URL 需要什么样的角色。
2,创建实体类
在前文的基础上再创建一个资源表对应的实体类。
@Setter @Getter public class Menu { private Integer id; private String pattern; private List<Role> roles; }
3,创建数据库访问层
(1)首先创建 MenuMapper 接口:
@Mapper public interface MenuMapper { List<Menu> getAllMenus(); }
(2)接着在 MenuMapper 相同的位置创建 MenuMapper.xml 文件,内容如下:
<?xml version="1.0" encoding="UTF-8" ?> <!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd"> <mapper namespace="com.example.demo.mapper.MenuMapper"> <resultMap id="BaseResultMap" type="com.example.demo.bean.Menu"> <id property="id" column="id"/> <result property="pattern" column="pattern"/> <collection property="roles" ofType="com.example.demo.bean.Role"> <id property="id" column="rid"/> <result property="name" column="rname"/> <result property="nameZh" column="rnameZh"/> </collection> </resultMap> <select id="getAllMenus" resultMap="BaseResultMap"> SELECT m.*,r.id AS rid,r.name AS rname,r.nameZh AS rnameZh FROM menu m LEFT JOIN menu_role mr ON m.`id`=mr.`mid` LEFT JOIN role r ON mr.`rid`=r.`id` </select> </mapper>
(3)由于在 Maven 工程中,XML 配置文件建议写在 resources 目录下,但上面的 MenuMapper.xml 文件写在包下,Maven 在运行时会忽略包下的 XML 文件。因此需要在 pom.xml 文件中重新指明资源文件位置,配置如下:
<build> <plugins> <plugin> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-maven-plugin</artifactId> </plugin> </plugins> <!-- 重新指明资源文件位置 --> <resources> <resource> <directory>src/main/java</directory> <includes> <include>**/*.xml</include> </includes> </resource> <resource> <directory>src/main/resources</directory> </resource> </resources> </build>
4,自定义 FilterInvocationSecurityMetadataSource
要实现动态配置权限,首先需要自定义 FilterInvocationSecurityMetadataSource:
注意:自定义 FilterInvocationSecurityMetadataSource 主要实现该接口中的 getAttributes 方法,该方法用来确定一个请求需要哪些角色。
@Component public class CustomFilterInvocationSecurityMetadataSource implements FilterInvocationSecurityMetadataSource { // 创建一个AnipathMatcher,主要用来实现ant风格的URL匹配。 AntPathMatcher antPathMatcher = new AntPathMatcher(); @Autowired MenuMapper menuMapper; @Override public Collection<ConfigAttribute> getAttributes(Object object) throws IllegalArgumentException { // 从参数中提取出当前请求的URL String requestUrl = ((FilterInvocation) object).getRequestUrl(); // 从数据库中获取所有的资源信息,即本案例中的menu表以及menu所对应的role // 在真实项目环境中,开发者可以将资源信息缓存在Redis或者其他缓存数据库中。 List<Menu> allMenus = menuMapper.getAllMenus(); // 遍历资源信息,遍历过程中获取当前请求的URL所需要的角色信息并返回。 for (Menu menu : allMenus) { if (antPathMatcher.match(menu.getPattern(), requestUrl)) { List<Role> roles = menu.getRoles(); String[] roleArr = new String[roles.size()]; for (int i = 0; i < roleArr.length; i++) { roleArr[i] = roles.get(i).getName(); } return SecurityConfig.createList(roleArr); } } // 如果当前请求的URL在资源表中不存在相应的模式,就假设该请求登录后即可访问,即直接返回 ROLE_LOGIN. return SecurityConfig.createList("ROLE_LOGIN"); } // 该方法用来返回所有定义好的权限资源,Spring Security在启动时会校验相关配置是否正确。 @Override public Collection<ConfigAttribute> getAllConfigAttributes() { // 如果不需要校验,那么该方法直接返回null即可。 return null; } // supports方法返回类对象是否支持校验。 @Override public boolean supports(Class<?> clazz) { return FilterInvocation.class.isAssignableFrom(clazz); } }
5,自定义 AccessDecisionManager
当一个请求走完 FilterInvocationSecurityMetadataSource 中的 getAttributes 方法后,接下来就会来到 AccessDecisionManager 类中进行角色信息的对比,自定义 AccessDecisionManager 代码如下:
@Component public class CustomAccessDecisionManager implements AccessDecisionManager { // 该方法判断当前登录的用户是否具备当前请求URL所需要的角色信息 @Override public void decide(Authentication auth, Object object, Collection<ConfigAttribute> ca){ Collection<? extends GrantedAuthority> auths = auth.getAuthorities(); // 如果具备权限,则不做任何事情即可 for (ConfigAttribute configAttribute : ca) { // 如果需要的角色是ROLE_LOGIN,说明当前请求的URL用户登录后即可访问 // 如果auth是UsernamePasswordAuthenticationToken的实例,说明当前用户已登录,该方法到此结束 if ("ROLE_LOGIN".equals(configAttribute.getAttribute()) && auth instanceof UsernamePasswordAuthenticationToken) { return; } // 否则进入正常的判断流程 for (GrantedAuthority authority : auths) { // 如果当前用户具备当前请求需要的角色,那么方法结束。 if (configAttribute.getAttribute().equals(authority.getAuthority())) { return; } } } // 如果不具备权限,就抛出AccessDeniedException异常 throw new AccessDeniedException("权限不足"); } @Override public boolean supports(ConfigAttribute attribute) { return true; } @Override public boolean supports(Class<?> clazz) { return true; } }
6,配置 Spring Security
这里与前文的配置相比,主要是修改了 configure(HttpSecurity http) 方法的实现并添加了两个 Bean。至此我们边实现了动态权限配置,权限和资源的关系可以在 menu_role 表中动态调整。@Configuration public class MyWebSecurityConfig extends WebSecurityConfigurerAdapter { @Autowired UserService userService; // 指定密码的加密方式 @SuppressWarnings("deprecation") @Bean PasswordEncoder passwordEncoder(){ // 不对密码进行加密 return NoOpPasswordEncoder.getInstance(); } // 配置用户及其对应的角色 @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userService); } // 配置 URL 访问权限 @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .withObjectPostProcessor(new ObjectPostProcessor<FilterSecurityInterceptor>() { @Override public <O extends FilterSecurityInterceptor> O postProcess(O object) { object.setSecurityMetadataSource(cfisms()); object.setAccessDecisionManager(cadm()); return object; } }) .and().formLogin().loginProcessingUrl("/login").permitAll()//开启表单登录并配置登录接口 .and().csrf().disable(); // 关闭csrf } @Bean CustomFilterInvocationSecurityMetadataSource cfisms() { return new CustomFilterInvocationSecurityMetadataSource(); } @Bean CustomAccessDecisionManager cadm() { return new CustomAccessDecisionManager(); } }
7,运行测试
(1)启动项目,我们使用 hangge 用户进行登录,由于该用户具有 USER 角色,所以登录后可以访问 /hello、 /user/hello 这两个接口。(2)而由于 /db/hello 接口需要 DBA 角色,因此 hangge 用户仍然无法访问。