昨天有个粉丝加了我,问我如何实现相似shiro的资源权限表达式的访问控制。我以前有一个小框架用的就是shiro,权限管制就用了资源权限表达式,所以这个货色对我不生疏,然而在Spring Security中我并没有应用过它,不过我认为Spring Security能够实现这一点。是的,我找到了实现它的办法。

资源权限表达式

说了这么多,我感觉应该解释一下什么叫资源权限表达式。权限管制的外围就是清晰地表白出特定资源的某种操作,一个格局良好好的权限申明能够清晰表白出用户对该资源领有的操作权限。

通常一个资源在零碎中的标识是惟一的,比方User用来标识用户,ORDER标识订单。不论什么资源大都能够演绎出以下这几种操作

在 shiro权限申明通常对下面的这种资源操作关系用冒号分隔的形式进行示意。例如读取用户信息的操作示意为USER:READ,甚至还能够更加细一些,用USER:READ:123示意读取ID123的用户权限。

资源操作定义好了,再把它和角色关联起来不就是基于RBAC的权限资源管制了吗?就像上面这样:

这样资源和角色的关系能够进行CRUD操作进行动静绑定。

Spring Security中的实现

资源权限表达式动静权限管制在Spring Security也是能够实现的。首先开启办法级别的注解安全控制。

/** * 开启办法平安注解 * * @author felord.cn */@EnableGlobalMethodSecurity(prePostEnabled = true,        securedEnabled = true,        jsr250Enabled = true)public class MethodSecurityConfig {    }

MethodSecurityExpressionHandler

MethodSecurityExpressionHandler 提供了一个对办法进行平安拜访的门面扩大。它的实现类DefaultMethodSecurityExpressionHandler更是提供了针对办法的一系列扩大接口,这里我总结了一下:

这里的PermissionEvaluator正好能够满足需要。

PermissionEvaluator

PermissionEvaluator 接口形象了对一个用户是否有权限拜访一个特定的畛域对象的评估过程。

public interface PermissionEvaluator extends AopInfrastructureBean {     boolean hasPermission(Authentication authentication,                           Object targetDomainObject, Object permission);     boolean hasPermission(Authentication authentication,                           Serializable targetId, String targetType, Object permission);}

这两个办法仅仅参数列表不同,这些参数的含意为:

  • authentication 以后用户的认证信息,持有以后用户的角色权限。
  • targetDomainObject 用户想要拜访的指标畛域对象,例如下面的USER
  • permission 这个以后办法设定的指标畛域对象的权限,例如下面的READ
  • targetId 这种是对下面targetDomainObject 的具体化,比方ID为123USER,我感觉还能够搞成租户什么的。
  • targetType 是为了配合targetId
第一个办法是用来实现USER:READ的;第二个办法是用来实现USER:READ:123的。

思路以及实现

targetDomainObject:permission不就是USER:READ的形象吗?只有找出USER:READ对应的角色汇合,和以后用户持有的角色进行比对,它们存在交加就证实用户有权限拜访。借着这个思路胖哥实现了一个PermissionEvaluator:

/** * 资源权限评估 *  * @author felord.cn */public class ResourcePermissionEvaluator implements PermissionEvaluator {    private final BiFunction<String, String, Collection<? extends GrantedAuthority>> permissionFunction;    public ResourcePermissionEvaluator(BiFunction<String, String, Collection<? extends GrantedAuthority>> permissionFunction) {        this.permissionFunction = permissionFunction;    }    @Override    public boolean hasPermission(Authentication authentication, Object targetDomainObject, Object permission) {        //查询方法标注对应的角色        Collection<? extends GrantedAuthority> resourceAuthorities = permissionFunction.apply((String) targetDomainObject, (String) permission);        // 用户对应的角色        Collection<? extends GrantedAuthority> userAuthorities = authentication.getAuthorities();         // 比照 true 就能拜访  false 就不能拜访        return userAuthorities.stream().anyMatch(resourceAuthorities::contains);    }    @Override    public boolean hasPermission(Authentication authentication, Serializable targetId, String targetType, Object permission) {        //todo        System.out.println("targetId = " + targetId);        return true;    }}
第二个办法没有实现,因为两个差不多,第二个你能够想想具体的应用场景。

配置和应用

PermissionEvaluator 须要注入到Spring IoC,并且Spring IoC只能有一个该类型的Bean

    @Bean    PermissionEvaluator resourcePermissionEvaluator() {        return new ResourcePermissionEvaluator((targetDomainObject, permission) -> {            //TODO 这里模式其实能够不固定            String key = targetDomainObject + ":" + permission;            //TODO  查问 key 和  authority 的关联关系            //  模仿 permission 关联角色   依据key 去查 grantedAuthorities            Set<SimpleGrantedAuthority> grantedAuthorities = new HashSet<>();            grantedAuthorities.add(new SimpleGrantedAuthority("ROLE_ADMIN"));            return "USER:READ".equals(key) ? grantedAuthorities : new HashSet<>();        });    }

接下来写个接口,用@PreAuthorize注解标记,而后间接用hasPermission('USER','READ')来动态绑定该接口的拜访权限表达式:

    @GetMapping("/postfilter")    @PreAuthorize("hasPermission('USER','READ')")    public Collection<String> postfilter(){        List<String> list = new ArrayList<>();        list.add("felord.cn");        list.add("码农小胖哥");        list.add("请关注一下");        return list;    }

而后定义一个用户:

    @Bean    UserDetailsService users() {        UserDetails user = User.builder()                .username("felord")                .password("123456")      .passwordEncoder(PasswordEncoderFactories.createDelegatingPasswordEncoder()::encode)                .roles("USER")                .authorities("ROLE_ADMIN","ROLE_USER")                .build();        return new InMemoryUserDetailsManager(user);    }

接下来必定是失常可能拜访接口的。当你扭转了@PreAuthorize中表达式的值或者移除了用户的ROLE_ADMIN权限,再或者USER:READ关联到了其它角色等等,都会返回403

留给你去测试的

你能够看看注解改成这样会是什么成果:

  @PreAuthorize("hasPermission('1234','USER','READ')")

还有这个:

  @PreAuthorize("hasPermission('USER','READ') or hasRole('ADMIN')")

或者让targetId动态化:

    @PreAuthorize("hasPermission(#id,'USER','READ')")    public Collection<String> postfilter(String id){            }

关注公众号:Felordcn 获取更多资讯

集体博客:https://felord.cn