javascript
Spring Security构建Rest服务-1400-授权
安全分為 認證和授權,前邊講的都是認證,現在說授權。
前端業務系統的權限簡單些,一般只區分是否登錄,復雜點的還會區分 VIP用戶等簡單的角色,權限規則基本不變。
后臺系統比較復雜,角色眾多,權限隨著業務不斷變化。
?1,用代碼控制簡單的權限
直接在配置類 BrowserSecurityConfig? ?extends? ?WebSecurityConfigurerAdapter 的configure方法里
http //--------------授權相關的配置 --------------------- .authorizeRequests() // /authentication/require:處理登錄,securityProperties.getBrowser().getLoginPage():用戶配置的登錄頁 .antMatchers(SecurityConstants.DEFAULT_UNAUTHENTICATION_URL, securityProperties.getBrowser().getLoginPage(),//放過登錄頁不過濾,否則報錯 SecurityConstants.DEFAULT_LOGIN_PROCESSING_URL_MOBILE,SecurityConstants.SESSION_INVALID_PAGE,SecurityConstants.DEFAULT_VALIDATE_CODE_URL_PREFIX+"/*")//驗證碼.permitAll() //-------上邊的不用授權也允許訪問------//~=========簡單的權限控制,只區分是否登錄的情況可以配置在這里=======// /user 的post請求需要ADMIN權限 .antMatchers("/user/*").hasRole("ADMIN").anyRequest() //任何請求.authenticated() //都需要身份認證一行紅色部分配置就可以了,意思是 /user/* 的所有請求需要有ADMIN 權限,如果是Rest風格的服務,只需要配置成 antMatchers(HttpMethod.POST,"/user/*").hasRole("ADMIN") 格式即可。
這個權限在UserDetailsService 的loadUserByUsername方法返回的user的權限集合里定義。格式是ROLE_ADMIN( ROLE_權限名稱,ADMIN和匹配器里一致)(這個格式具體在ExpressionUrlAuthorizationConfigurer里)
?
?
private SocialUserDetails buildUser(String userId) {String password = passwordEncoder.encode("123456");System.err.println("加密后密碼: "+password);//參數:用戶名|密碼|是否啟用|賬戶是否過期|密碼是否過期|賬戶是否鎖定|權限集合return new SocialUser(userId,password,true,true,true,true,//工具類 將字符串轉換為權限集合,ROLE_角色 是spring要求的權限格式 AuthorityUtils.commaSeparatedStringToAuthorityList("ROLE_ADMIN"));}?
再說一個過濾器,AnonymousAuthenticationFilter,這個過濾器就是判斷前邊的過濾器是否認證成功,如果沒有認證成功,就創建一個默認的用戶創建一個Authentication 做登錄。具體代碼看其源碼。
SpringSecurity 授權相關類
?==============================================================================================================================
控制復雜權限:基于rbac
自定義查詢權限的類根據用戶名查詢用戶的權限
package com.imooc.security.rbac;import java.util.HashSet; import java.util.Set;import javax.servlet.http.HttpServletRequest;import org.springframework.security.core.Authentication; import org.springframework.security.core.userdetails.UserDetails; import org.springframework.stereotype.Component; import org.springframework.util.AntPathMatcher;@Component("rbacService") public class RbacServiceImpl implements RbacService {private AntPathMatcher antPathMatcher = new AntPathMatcher();@Overridepublic boolean hasPermission(HttpServletRequest request, Authentication authentication) {Object principal = authentication.getPrincipal();boolean hasPermission = false;if(principal instanceof UserDetails){String username = ((UserDetails)principal).getUsername();//讀取用戶所有權限的url,需要查詢數據庫Set<String> urls = new HashSet<>();urls.add("/user/*");for(String url : urls){if(antPathMatcher.match(url, request.getRequestURI())){hasPermission = true ;break ;}}}return hasPermission;}}配置,注意,授權的配置要配置在免登錄就能訪問的服務器的最后
?github:https://github.com/lhy1234/spring-security
轉載于:https://www.cnblogs.com/lihaoyang/p/8607595.html
總結
以上是生活随笔為你收集整理的Spring Security构建Rest服务-1400-授权的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: [LeetCode] 169. Majo
- 下一篇: Spring的事务传播性