快捷導(dǎo)航

Spring Security 控制授權(quán)的方法

更新時(shí)間：2018年02月26日 13:50:41 作者：盲枸

本篇文章主要介紹了Spring Security 控制授權(quán)的方法，小編覺得挺不錯(cuò)的，現(xiàn)在分享給大家，也給大家做個(gè)參考。一起跟隨小編過(guò)來(lái)看看吧

本文介紹了Spring Security 控制授權(quán)的方法，分享給大家，具體如下：

使用授權(quán)方法進(jìn)行授權(quán)配置

每一個(gè) Spring Security 控制授權(quán)表達(dá)式（以下簡(jiǎn)稱為表達(dá)式）實(shí)際上都在在 API 中對(duì)應(yīng)一個(gè)授權(quán)方法，該方法是請(qǐng)求的 URL 權(quán)限配置時(shí)的處理方法。例如：

@Override
protected void configure(HttpSecurity http) throws Exception {
  http.authorizeRequests()
    .antMatchers(HttpMethod.DELETE, "/user/*").hasRole("ADMIN")
    .antMatchers("/index").permitAll()
    .antMatchers("/pay").hasAnyRole("WE_CHAT_PAY", "ALI_PAY")
    .antMatchers("/debug").hasIpAddress("192.168.1.0/24");
}

使用授權(quán)表達(dá)式給多權(quán)限要求的請(qǐng)求授權(quán)

那么，何時(shí)需要用到表達(dá)式進(jìn)行授權(quán)處理呢？一個(gè)安全應(yīng)用的權(quán)限要求往往是復(fù)雜多樣的，比如，項(xiàng)目的調(diào)試請(qǐng)求希望訪問(wèn)者既要擁有管理員權(quán)限又必須是通過(guò)公司內(nèi)部局域網(wǎng)內(nèi)部訪問(wèn)。而這樣的需求下，僅僅通過(guò)Security API 提供的方法是無(wú)法滿足的，因?yàn)檫@些授權(quán)方法是無(wú)法連續(xù)調(diào)用的。

此時(shí)就可以使用授權(quán)表達(dá)式解決：

@Override
protected void configure(HttpSecurity http) throws Exception {
  http.authorizeRequests()
    .antMatchers("/debug")
      .access("hasRole('ADMIN') and hasIpAddress('192.168.1.0/24')");
}

授權(quán)表達(dá)式舉例說(shuō)明

表達(dá)式	說(shuō)明
permitAll	永遠(yuǎn)返回 true
denyAll	永遠(yuǎn)返回 false
anonyous	當(dāng)前用戶若是匿名用戶返回 true
rememberMe	當(dāng)前用戶若是 rememberMe 用戶返回 true
authenticated	當(dāng)前用戶若不是匿名（已認(rèn)證）用戶返回 true
fullAuthenticated	當(dāng)前用戶若既不是匿名用戶又不是 rememberMe 用戶時(shí)返回 true
hasRole(role)	當(dāng)前用戶權(quán)限集合中若擁有指定的 role 角色權(quán)限（匹配時(shí)會(huì)在你所指定的權(quán)限前加'ROLE_'，即判斷是否有“ROLE_role”權(quán)限）時(shí)返回 true
hasAnyRole(role1, role2, ...)	當(dāng)前用戶權(quán)限集合中若擁有任意一個(gè)角色權(quán)限時(shí)返回 true
hasAuthority(authority)	當(dāng)前用戶權(quán)限集合中若具有 authority 權(quán)限（匹配是否有“authority”權(quán)限）時(shí)返回 true
hasAnyAuthority(authority)	當(dāng)前用戶權(quán)限集合中若擁有任意一個(gè)權(quán)限時(shí)返回 true
hasIpAddress("192.168.1.0/24")	發(fā)送請(qǐng)求的IP匹配時(shí)fanhui true

基于角色的訪問(wèn)控制 RBAC（Role-Based Access Control）

或許你會(huì)認(rèn)為上述方式已能滿足絕大多數(shù)應(yīng)用安全授權(quán)管理。但事實(shí)上的企業(yè)級(jí)應(yīng)用的授權(quán)往往是基于數(shù)據(jù)庫(kù)數(shù)據(jù)動(dòng)態(tài)變化的，若是使用上述方式進(jìn)行字符串拼接，不僅對(duì)于開發(fā)者極不友好（每一次人人員變動(dòng)都意味著需要改代碼，顯然不合理），而且應(yīng)用的性能也會(huì)隨之降低。那么，如何解決呢？

數(shù)據(jù)模型

通用的 RBAC 數(shù)據(jù)模型，一般需要五張表（三張實(shí)體表，兩張關(guān)系表）。三張實(shí)體表包括用戶表、角色表、資源表。兩張關(guān)系表包括。其之間關(guān)系如下圖：

RBAC數(shù)據(jù)模型

用戶表

任何一個(gè)用戶都必須要有用戶表，當(dāng)公司發(fā)生人員變動(dòng)時(shí)，由業(yè)務(wù)人員（如人力資源）對(duì)該數(shù)據(jù)表進(jìn)行增刪記錄。

角色表

公司有哪些身份的人，例如總裁、副總裁、部門經(jīng)理等，有業(yè)務(wù)人員根據(jù)公司的具體情況對(duì)該表數(shù)據(jù)進(jìn)行操作。

資源表

存儲(chǔ)需要進(jìn)行權(quán)限控制的資源，由于我們進(jìn)行控制授權(quán)時(shí)實(shí)際上是基于 URL 的，但業(yè)務(wù)人員非按 URL 組織數(shù)據(jù)條目，而是以視圖界面的形式進(jìn)行曹操作。所以在這張表中存儲(chǔ)的是呈現(xiàn)給業(yè)務(wù)人員的菜單、按鈕及其所進(jìn)行權(quán)限控制的 URL 。

用戶—角色關(guān)系表

用戶表與角色表（用戶 id 與角色id ）之間是一個(gè)多對(duì)多的關(guān)系。一個(gè)用戶可以是多個(gè)角色（一個(gè)用戶既可以是部門經(jīng)理又可以是某個(gè)管理員），而一個(gè)角色往往對(duì)應(yīng)多個(gè)用戶。

角色—資源關(guān)系表

角色表與資源表（）也是一個(gè)多對(duì)多的關(guān)系。一種角色可以訪問(wèn)多個(gè)資源（按鈕或菜單等），一個(gè)資源也可以被多個(gè)角色訪問(wèn)。

spring security 還支持自定義表達(dá)式來(lái)完成這項(xiàng)工作，就像這樣

以上就是本文的全部?jī)?nèi)容，希望對(duì)大家的學(xué)習(xí)有所幫助，也希望大家多多支持腳本之家。

您可能感興趣的文章: