快捷導(dǎo)航

Spring?Security實現(xiàn)基于RBAC的權(quán)限表達(dá)式動態(tài)訪問控制的操作方法

更新時間：2022年04月20日 08:40:03 作者：碼農(nóng)小胖哥

這篇文章主要介紹了Spring?Security實現(xiàn)基于RBAC的權(quán)限表達(dá)式動態(tài)訪問控制,資源權(quán)限表達(dá)式動態(tài)權(quán)限控制在Spring Security也是可以實現(xiàn)的，首先開啟方法級別的注解安全控制，本文結(jié)合實例代碼給大家介紹的非常詳細(xì)，需要的朋友可以參考下

昨天有個粉絲加了我，問我如何實現(xiàn)類似shiro的資源權(quán)限表達(dá)式的訪問控制。我以前有一個小框架用的就是shiro，權(quán)限控制就用了資源權(quán)限表達(dá)式，所以這個東西對我不陌生，但是在Spring Security中我并沒有使用過它，不過我認(rèn)為Spring Security可以實現(xiàn)這一點。是的，我找到了實現(xiàn)它的方法。

資源權(quán)限表達(dá)式

說了這么多，我覺得應(yīng)該解釋一下什么叫資源權(quán)限表達(dá)式。權(quán)限控制的核心就是清晰地表達(dá)出特定資源的某種操作，一個格式良好好的權(quán)限聲明可以清晰表達(dá)出用戶對該資源擁有的操作權(quán)限。

通常一個資源在系統(tǒng)中的標(biāo)識是唯一的，比如User用來標(biāo)識用戶，ORDER標(biāo)識訂單。不管什么資源大都可以歸納出以下這幾種操作

在 shiro權(quán)限聲明通常對上面的這種資源操作關(guān)系用冒號分隔的方式進(jìn)行表示。例如讀取用戶信息的操作表示為USER:READ，甚至還可以更加細(xì)一些，用USER:READ:123表示讀取ID為123的用戶權(quán)限。

資源操作定義好了，再把它和角色關(guān)聯(lián)起來不就是基于RBAC的權(quán)限資源控制了嗎？就像下面這樣：

這樣資源和角色的關(guān)系可以進(jìn)行CRUD操作進(jìn)行動態(tài)綁定。

Spring Security中的實現(xiàn)

資源權(quán)限表達(dá)式動態(tài)權(quán)限控制在Spring Security也是可以實現(xiàn)的。首先開啟方法級別的注解安全控制。

/**
 * 開啟方法安全注解
 *
 * @author felord.cn
 */
@EnableGlobalMethodSecurity(prePostEnabled = true,
        securedEnabled = true,
        jsr250Enabled = true)
public class MethodSecurityConfig {
    
}

MethodSecurityExpressionHandler

MethodSecurityExpressionHandler 提供了一個對方法進(jìn)行安全訪問的門面擴(kuò)展。它的實現(xiàn)類DefaultMethodSecurityExpressionHandler更是提供了針對方法的一系列擴(kuò)展接口，這里我總結(jié)了一下：

這里的PermissionEvaluator正好可以滿足需要。

PermissionEvaluator

PermissionEvaluator 接口抽象了對一個用戶是否有權(quán)限訪問一個特定的領(lǐng)域?qū)ο蟮脑u估過程。

public interface PermissionEvaluator extends AopInfrastructureBean {
	boolean hasPermission(Authentication authentication, 
                          Object targetDomainObject, Object permission);
                          Serializable targetId, String targetType, Object permission);
}

這兩個方法僅僅參數(shù)列表不同，這些參數(shù)的含義為：

authentication 當(dāng)前用戶的認(rèn)證信息，持有當(dāng)前用戶的角色權(quán)限。
targetDomainObject 用戶想要訪問的目標(biāo)領(lǐng)域?qū)ο?，例如上面?code>USER。
permission 這個當(dāng)前方法設(shè)定的目標(biāo)領(lǐng)域?qū)ο蟮臋?quán)限，例如上面的READ。
targetId 這種是對上面targetDomainObject 的具體化，比如ID為123的USER，我覺得還可以搞成租戶什么的。
targetType 是為了配合targetId 。

第一個方法是用來實現(xiàn)USER:READ的；第二個方法是用來實現(xiàn)USER:READ:123的。

思路以及實現(xiàn)

targetDomainObject:permission不就是USER:READ的抽象嗎？只要找出USER:READ對應(yīng)的角色集合，和當(dāng)前用戶持有的角色進(jìn)行比對，它們存在交集就證明用戶有權(quán)限訪問。借著這個思路胖哥實現(xiàn)了一個PermissionEvaluator:

/**
 * 資源權(quán)限評估
 * 
 * @author felord.cn
 */
public class ResourcePermissionEvaluator implements PermissionEvaluator {
    private final BiFunction<String, String, Collection<? extends GrantedAuthority>> permissionFunction;

    public ResourcePermissionEvaluator(BiFunction<String, String, Collection<? extends GrantedAuthority>> permissionFunction) {
        this.permissionFunction = permissionFunction;
    }
    @Override
    public boolean hasPermission(Authentication authentication, Object targetDomainObject, Object permission) {
        //查詢方法標(biāo)注對應(yīng)的角色
        Collection<? extends GrantedAuthority> resourceAuthorities = permissionFunction.apply((String) targetDomainObject, (String) permission);
        // 用戶對應(yīng)的角色
        Collection<? extends GrantedAuthority> userAuthorities = authentication.getAuthorities();
         // 對比 true 就能訪問  false 就不能訪問
        return userAuthorities.stream().anyMatch(resourceAuthorities::contains);
    public boolean hasPermission(Authentication authentication, Serializable targetId, String targetType, Object permission) {
        //todo
        System.out.println("targetId = " + targetId);
        return true;
}

第二個方法沒有實現(xiàn)，因為兩個差不多，第二個你可以想想具體的使用場景。

配置和使用

PermissionEvaluator 需要注入到Spring IoC，并且Spring IoC只能有一個該類型的Bean：

@Bean
    PermissionEvaluator resourcePermissionEvaluator() {
        return new ResourcePermissionEvaluator((targetDomainObject, permission) -> {
            //TODO 這里形式其實可以不固定
            String key = targetDomainObject + ":" + permission;
            //TODO  查詢 key 和  authority 的關(guān)聯(lián)關(guān)系
            //  模擬 permission 關(guān)聯(lián)角色   根據(jù)key 去查 grantedAuthorities
            Set<SimpleGrantedAuthority> grantedAuthorities = new HashSet<>();
            grantedAuthorities.add(new SimpleGrantedAuthority("ROLE_ADMIN"));
            return "USER:READ".equals(key) ? grantedAuthorities : new HashSet<>();
        });
    }

接下來寫個接口，用@PreAuthorize注解標(biāo)記，然后直接用hasPermission('USER','READ')來靜態(tài)綁定該接口的訪問權(quán)限表達(dá)式：

 @GetMapping("/postfilter")
    @PreAuthorize("hasPermission('USER','READ')")
    public Collection<String> postfilter(){
        List<String> list = new ArrayList<>();
        list.add("felord.cn");
        list.add("碼農(nóng)小胖哥");
        list.add("請關(guān)注一下");
        return list;
    }

然后定義一個用戶：

  @Bean
    UserDetailsService users() {
        UserDetails user = User.builder()
                .username("felord")
                .password("123456")
      .passwordEncoder(PasswordEncoderFactories.createDelegatingPasswordEncoder()::encode)
                .roles("USER")
                .authorities("ROLE_ADMIN","ROLE_USER")
                .build();
        return new InMemoryUserDetailsManager(user);
    }

接下來肯定是正常能夠訪問接口的。當(dāng)你改變了@PreAuthorize中表達(dá)式的值或者移除了用戶的ROLE_ADMIN權(quán)限，再或者USER:READ關(guān)聯(lián)到了其它角色等等，都會返回403。

留給你去測試的

你可以看看注解改成這樣會是什么效果：

@PreAuthorize("hasPermission('1234','USER','READ')")

還有這個：

@PreAuthorize("hasPermission('USER','READ') or hasRole('ADMIN')")

或者讓targetId動態(tài)化：

 @PreAuthorize("hasPermission(#id,'USER','READ')")
    public Collection<String> postfilter(String id){
        
    }

到此這篇關(guān)于Spring Security實現(xiàn)基于RBAC的權(quán)限表達(dá)式動態(tài)訪問控制的文章就介紹到這了,更多相關(guān)Spring Security實現(xiàn)RBAC權(quán)限表達(dá)式內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: