在Web應(yīng)用的開(kāi)發(fā)中，權(quán)限管理是必不可少的一環(huán)。繼上次分享了基于 用戶(hù)-權(quán)限-資源的權(quán)限控制后，這次我們來(lái)探討如何通過(guò)Spring Security實(shí)現(xiàn) 用戶(hù)-角色-資源的權(quán)限管理。

一、基于角色的請(qǐng)求控制

首先，我們需要根據(jù)不同的資源路徑設(shè)置相應(yīng)的角色要求。以下是安全配置的代碼：

@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
    // 開(kāi)啟授權(quán)保護(hù)
    http.authorizeHttpRequests(authorize -> authorize
            // 所有 /user/** 路徑下的請(qǐng)求需要 ADMIN 角色
            .requestMatchers("/user/**").hasRole("ADMIN")
            // 對(duì)所有請(qǐng)求開(kāi)啟授權(quán)保護(hù)
            .anyRequest()
            // 已認(rèn)證的請(qǐng)求自動(dòng)被授權(quán)
            .authenticated());
    // 其他配置省略...
}

在這段代碼中，我們通過(guò)hasRole("ADMIN")方法，指定訪問(wèn)/user/**路徑的請(qǐng)求需要具備ADMIN角色。這樣，我們就實(shí)現(xiàn)了基于角色的資源訪問(wèn)控制。

二、加載用戶(hù)角色信息

接下來(lái)，我們需要為用戶(hù)加載其對(duì)應(yīng)的角色信息。在Spring Security中，可以通過(guò)實(shí)現(xiàn)UserDetailsService接口的loadUserByUsername方法：

@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
    LambdaQueryWrapper<User> lambdaQueryWrapper = new LambdaQueryWrapper<>();
    lambdaQueryWrapper.eq(User::getUsername, username);
    User user = userMapper.selectOne(lambdaQueryWrapper);
    if (user == null) {
        throw new UsernameNotFoundException(username);
    } else {
        return org.springframework.security.core.userdetails.User.withUsername(user.getUsername())
                .password(user.getPassword())
                .disabled(!user.getEnabled())
            	// 設(shè)置用戶(hù)的憑據(jù)是否過(guò)期，false 表示憑據(jù)未過(guò)期
                .credentialsExpired(false)
            	// 設(shè)置賬戶(hù)是否被鎖定，false 表示賬戶(hù)未鎖定
                .accountLocked(false)
                // 為用戶(hù)分配 ADMIN 角色
                .roles("ADMIN")
                .build();
    }
}

在這個(gè)方法中，我們：

• 從數(shù)據(jù)庫(kù)中根據(jù)用戶(hù)名查詢(xún)用戶(hù)信息。
• 如果用戶(hù)存在，使用User.withUsername()方法構(gòu)建一個(gè)UserDetails對(duì)象。
• 通過(guò).roles("ADMIN")方法為用戶(hù)分配ADMIN角色。

需要注意的是，Spring Security在處理角色時(shí)，會(huì)自動(dòng)為角色名添加"ROLE_"前綴。因此，"ADMIN"角色實(shí)際上對(duì)應(yīng)權(quán)限"ROLE_ADMIN"。

三、角色與資源的關(guān)聯(lián)

通過(guò)上述配置，我們實(shí)現(xiàn)了以下功能：

• 用戶(hù)：通過(guò)數(shù)據(jù)庫(kù)加載，包含用戶(hù)名、密碼、是否啟用等信息。
• 角色：為用戶(hù)分配特定的角色，例如ADMIN。
• 資源：指定哪些URL路徑需要哪些角色才能訪問(wèn)。

當(dāng)用戶(hù)嘗試訪問(wèn)受保護(hù)的資源時(shí)，Spring Security會(huì)根據(jù)用戶(hù)的角色信息決定是否授權(quán)。

四、測(cè)試角色權(quán)限控制

以下是一些測(cè)試場(chǎng)景，幫助驗(yàn)證我們的權(quán)限控制是否正確。

1. 未登錄用戶(hù)訪問(wèn)受保護(hù)資源

當(dāng)未登錄的用戶(hù)嘗試訪問(wèn)/user/list時(shí)，會(huì)被重定向到登錄頁(yè)面，提示需要先進(jìn)行身份認(rèn)證。

2. 登錄用戶(hù)訪問(wèn)受保護(hù)資源

使用具備ADMIN角色的用戶(hù)登錄后，嘗試訪問(wèn)/user/list，應(yīng)當(dāng)能夠正常訪問(wèn)。

3. 角色不足的用戶(hù)訪問(wèn)受保護(hù)資源（把前面改成.roles(“USER”)）

如果登錄的用戶(hù)沒(méi)有ADMIN角色，嘗試訪問(wèn)/user/list時(shí)，會(huì)收到權(quán)限不足的提示，無(wú)法訪問(wèn)該資源。

五、自定義異常處理

為了提升用戶(hù)體驗(yàn)，我們可以自定義異常處理器，返回統(tǒng)一的JSON格式錯(cuò)誤信息。

1. 自定義未授權(quán)處理器

public class MyAccessDeniedHandler implements AccessDeniedHandler {
    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response,
                       AccessDeniedException accessDeniedException) throws IOException, ServletException {
        // 創(chuàng)建結(jié)果對(duì)象
        HashMap<String, Object> result = new HashMap<>();
        result.put("code", -1);
        result.put("message", "沒(méi)有訪問(wèn)該資源的權(quán)限");
        // 轉(zhuǎn)換成JSON字符串
        String json = JSON.toJSONString(result);
        // 返回響應(yīng)
        response.setContentType("application/json;charset=utf-8");
        response.getWriter().println(json);
    }
}

2. 注冊(cè)自定義異常處理器

http.exceptionHandling(exception -> {
    // 請(qǐng)求未認(rèn)證的處理
    exception.authenticationEntryPoint(new MyAuthenticationEntryPoint());
    // 請(qǐng)求未授權(quán)的處理
    exception.accessDeniedHandler(new MyAccessDeniedHandler());
});

通過(guò)上述配置，當(dāng)用戶(hù)沒(méi)有權(quán)限訪問(wèn)某個(gè)資源時(shí)，會(huì)返回自定義的JSON錯(cuò)誤信息，方便前端進(jìn)行處理。

六、總結(jié)

通過(guò)以上步驟，我們實(shí)現(xiàn)了基于用戶(hù)-角色-資源的權(quán)限控制：

• 用戶(hù)：通過(guò)UserDetailsService加載用戶(hù)信息，并為其分配ADMIN角色。
• 角色：使用.roles("ADMIN")方法為用戶(hù)指定角色。
• 資源：通過(guò)requestMatchers("/user/**").hasRole("ADMIN")指定需要ADMIN角色才能訪問(wèn)的資源。

這種方式的優(yōu)勢(shì)在于：

• 管理方便：角色可以包含多個(gè)權(quán)限，簡(jiǎn)化了權(quán)限管理的復(fù)雜度。
• 靈活性高：可以根據(jù)需要?jiǎng)討B(tài)調(diào)整用戶(hù)的角色，進(jìn)而控制其訪問(wèn)權(quán)限。

在實(shí)際項(xiàng)目中，通常會(huì)有一個(gè)角色和權(quán)限的對(duì)應(yīng)關(guān)系表，角色下包含多個(gè)權(quán)限，用戶(hù)可以被分配一個(gè)或多個(gè)角色。

到此這篇關(guān)于使用Spring Security實(shí)現(xiàn)用戶(hù)-角色-資源的權(quán)限控制的文章就介紹到這了,更多相關(guān)Spring Security角色權(quán)限控制內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

最新評(píng)論