乐趣区

关于java:Spring-Security实现基于RBAC的权限表达式动态访问控制

昨天有个粉丝加了我,问我如何实现相似 shiro 的资源权限表达式的访问控制。我以前有一个小框架用的就是 shiro,权限管制就用了资源权限表达式,所以这个货色对我不生疏,然而在 Spring Security 中我并没有应用过它,不过我认为 Spring Security 能够实现这一点。是的,我找到了实现它的办法。

资源权限表达式

说了这么多,我感觉应该解释一下什么叫资源权限表达式。权限管制的外围就是清晰地表白出特定资源的某种操作,一个格局良好好的权限申明能够清晰表白出用户对该资源领有的操作权限。

通常一个资源在零碎中的标识是惟一的,比方 User 用来标识用户,ORDER标识订单。不论什么资源大都能够演绎出以下这几种操作

在 shiro 权限申明通常对下面的这种资源操作关系用冒号分隔的形式进行示意。例如读取用户信息的操作示意为 USER:READ,甚至还能够更加细一些,用USER:READ:123 示意读取 ID123的用户权限。

资源操作定义好了,再把它和角色关联起来不就是基于 RBAC 的权限资源管制了吗?就像上面这样:

这样资源和角色的关系能够进行 CRUD 操作进行动静绑定。

Spring Security 中的实现

资源权限表达式动静权限管制在 Spring Security 也是能够实现的。首先开启办法级别的注解安全控制。

/**
 * 开启办法平安注解
 *
 * @author felord.cn
 */
@EnableGlobalMethodSecurity(prePostEnabled = true,
        securedEnabled = true,
        jsr250Enabled = true)
public class MethodSecurityConfig {}

MethodSecurityExpressionHandler

MethodSecurityExpressionHandler 提供了一个对办法进行平安拜访的门面扩大。它的实现类 DefaultMethodSecurityExpressionHandler 更是提供了针对办法的一系列扩大接口,这里我总结了一下:

这里的 PermissionEvaluator 正好能够满足需要。

PermissionEvaluator

PermissionEvaluator 接口形象了对一个用户是否有权限拜访一个特定的畛域对象的评估过程。

public interface PermissionEvaluator extends AopInfrastructureBean {

 
    boolean hasPermission(Authentication authentication, 
                          Object targetDomainObject, Object permission);

 
    boolean hasPermission(Authentication authentication, 
                          Serializable targetId, String targetType, Object permission);

}

这两个办法仅仅参数列表不同,这些参数的含意为:

  • authentication 以后用户的认证信息,持有以后用户的角色权限。
  • targetDomainObject 用户想要拜访的指标畛域对象,例如下面的USER
  • permission 这个以后办法设定的指标畛域对象的权限,例如下面的READ
  • targetId 这种是对下面 targetDomainObject 的具体化,比方 ID 为123USER,我感觉还能够搞成租户什么的。
  • targetType 是为了配合targetId

第一个办法是用来实现 USER:READ 的;第二个办法是用来实现 USER:READ:123 的。

思路以及实现

targetDomainObject:permission不就是 USER:READ 的形象吗?只有找出 USER:READ 对应的角色汇合,和以后用户持有的角色进行比对,它们存在交加就证实用户有权限拜访。借着这个思路胖哥实现了一个PermissionEvaluator:

/**
 * 资源权限评估
 * 
 * @author felord.cn
 */
public class ResourcePermissionEvaluator implements PermissionEvaluator {
    private final BiFunction<String, String, Collection<? extends GrantedAuthority>> permissionFunction;

    public ResourcePermissionEvaluator(BiFunction<String, String, Collection<? extends GrantedAuthority>> permissionFunction) {this.permissionFunction = permissionFunction;}

    @Override
    public boolean hasPermission(Authentication authentication, Object targetDomainObject, Object permission) {
        // 查询方法标注对应的角色
        Collection<? extends GrantedAuthority> resourceAuthorities = permissionFunction.apply((String) targetDomainObject, (String) permission);
        // 用户对应的角色
        Collection<? extends GrantedAuthority> userAuthorities = authentication.getAuthorities();
         // 比照 true 就能拜访  false 就不能拜访
        return userAuthorities.stream().anyMatch(resourceAuthorities::contains);
    }

    @Override
    public boolean hasPermission(Authentication authentication, Serializable targetId, String targetType, Object permission) {
        //todo
        System.out.println("targetId =" + targetId);
        return true;
    }
}

第二个办法没有实现,因为两个差不多,第二个你能够想想具体的应用场景。

配置和应用

PermissionEvaluator 须要注入到 Spring IoC,并且Spring IoC 只能有一个该类型的Bean

    @Bean
    PermissionEvaluator resourcePermissionEvaluator() {return new ResourcePermissionEvaluator((targetDomainObject, permission) -> {
            //TODO 这里模式其实能够不固定
            String key = targetDomainObject + ":" + permission;
            //TODO  查问 key 和  authority 的关联关系
            //  模仿 permission 关联角色   依据 key 去查 grantedAuthorities
            Set<SimpleGrantedAuthority> grantedAuthorities = new HashSet<>();
            grantedAuthorities.add(new SimpleGrantedAuthority("ROLE_ADMIN"));
            return "USER:READ".equals(key) ? grantedAuthorities : new HashSet<>();});
    }

接下来写个接口,用 @PreAuthorize 注解标记,而后间接用 hasPermission('USER','READ') 来动态绑定该接口的拜访权限表达式:

    @GetMapping("/postfilter")
    @PreAuthorize("hasPermission('USER','READ')")
    public Collection<String> postfilter(){List<String> list = new ArrayList<>();
        list.add("felord.cn");
        list.add("码农小胖哥");
        list.add("请关注一下");
        return list;
    }

而后定义一个用户:

    @Bean
    UserDetailsService users() {UserDetails user = User.builder()
                .username("felord")
                .password("123456")
      .passwordEncoder(PasswordEncoderFactories.createDelegatingPasswordEncoder()::encode)
                .roles("USER")
                .authorities("ROLE_ADMIN","ROLE_USER")
                .build();
        return new InMemoryUserDetailsManager(user);
    }

接下来必定是失常可能拜访接口的。当你扭转了 @PreAuthorize 中表达式的值或者移除了用户的 ROLE_ADMIN 权限,再或者 USER:READ 关联到了其它角色等等,都会返回403

留给你去测试的

你能够看看注解改成这样会是什么成果:

  @PreAuthorize("hasPermission('1234','USER','READ')")

还有这个:

  @PreAuthorize("hasPermission('USER','READ') or hasRole('ADMIN')")

或者让 targetId 动态化:

    @PreAuthorize("hasPermission(#id,'USER','READ')")
    public Collection<String> postfilter(String id){}

关注公众号:Felordcn 获取更多资讯

集体博客:https://felord.cn

退出移动版