Spring Security實現基於RBAC的許可權表達式動態訪問控制

-Advertisement-

昨天有個粉絲加了我，問我如何實現類似shiro的資源許可權表達式的訪問控制。我以前有一個小框架用的就是shiro，許可權控制就用了資源許可權表達式，所以這個東西對我不陌生，但是在Spring Security中我並沒有使用過它，不過我認為Spring Security可以實現這一點。是的，我找到了實現它的 ...

昨天有個粉絲加了我，問我如何實現類似shiro的資源許可權表達式的訪問控制。我以前有一個小框架用的就是shiro，許可權控制就用了資源許可權表達式，所以這個東西對我不陌生，但是在Spring Security中我並沒有使用過它，不過我認為Spring Security可以實現這一點。是的，我找到了實現它的方法。

資源許可權表達式

說了這麼多，我覺得應該解釋一下什麼叫資源許可權表達式。許可權控制的核心就是清晰地表達出特定資源的某種操作，一個格式良好好的許可權聲明可以清晰表達出用戶對該資源擁有的操作許可權。

通常一個資源在系統中的標識是唯一的，比如User用來標識用戶，ORDER標識訂單。不管什麼資源大都可以歸納出以下這幾種操作

在 shiro許可權聲明通常對上面的這種資源操作關係用冒號分隔的方式進行表示。例如讀取用戶信息的操作表示為USER:READ，甚至還可以更加細一些，用USER:READ:123表示讀取ID為123的用戶許可權。

資源操作定義好了，再把它和角色關聯起來不就是基於RBAC的許可權資源控制了嗎？就像下麵這樣：

這樣資源和角色的關係可以進行CRUD操作進行動態綁定。

Spring Security中的實現

資源許可權表達式動態許可權控制在Spring Security也是可以實現的。首先開啟方法級別的註解安全控制。

/**
 * 開啟方法安全註解
 *
 * @author felord.cn
 */
@EnableGlobalMethodSecurity(prePostEnabled = true,
        securedEnabled = true,
        jsr250Enabled = true)
public class MethodSecurityConfig {
    
}

MethodSecurityExpressionHandler

MethodSecurityExpressionHandler 提供了一個對方法進行安全訪問的門面擴展。它的實現類DefaultMethodSecurityExpressionHandler更是提供了針對方法的一系列擴展介面，這裡我總結了一下：

這裡的PermissionEvaluator正好可以滿足需要。

PermissionEvaluator

PermissionEvaluator 介面抽象了對一個用戶是否有許可權訪問一個特定的領域對象的評估過程。

public interface PermissionEvaluator extends AopInfrastructureBean {

 
	boolean hasPermission(Authentication authentication, 
                          Object targetDomainObject, Object permission);

 
	boolean hasPermission(Authentication authentication, 
                          Serializable targetId, String targetType, Object permission);

}

這兩個方法僅僅參數列表不同，這些參數的含義為：

authentication 當前用戶的認證信息，持有當前用戶的角色許可權。
targetDomainObject 用戶想要訪問的目標領域對象，例如上面的USER。
permission 這個當前方法設定的目標領域對象的許可權，例如上面的READ。
targetId 這種是對上面targetDomainObject 的具體化，比如ID為123的USER，我覺得還可以搞成租戶什麼的。
targetType 是為了配合targetId 。

第一個方法是用來實現USER:READ的；第二個方法是用來實現USER:READ:123的。

思路以及實現

targetDomainObject:permission不就是USER:READ的抽象嗎？只要找出USER:READ對應的角色集合，和當前用戶持有的角色進行比對，它們存在交集就證明用戶有許可權訪問。藉著這個思路胖哥實現了一個PermissionEvaluator:

/**
 * 資源許可權評估
 * 
 * @author felord.cn
 */
public class ResourcePermissionEvaluator implements PermissionEvaluator {
    private final BiFunction<String, String, Collection<? extends GrantedAuthority>> permissionFunction;

    public ResourcePermissionEvaluator(BiFunction<String, String, Collection<? extends GrantedAuthority>> permissionFunction) {
        this.permissionFunction = permissionFunction;
    }

    @Override
    public boolean hasPermission(Authentication authentication, Object targetDomainObject, Object permission) {
        //查詢方法標註對應的角色
        Collection<? extends GrantedAuthority> resourceAuthorities = permissionFunction.apply((String) targetDomainObject, (String) permission);
        // 用戶對應的角色
        Collection<? extends GrantedAuthority> userAuthorities = authentication.getAuthorities();
         // 對比 true 就能訪問  false 就不能訪問
        return userAuthorities.stream().anyMatch(resourceAuthorities::contains);
    }

    @Override
    public boolean hasPermission(Authentication authentication, Serializable targetId, String targetType, Object permission) {
        //todo
        System.out.println("targetId = " + targetId);
        return true;
    }
}

第二個方法沒有實現，因為兩個差不多，第二個你可以想想具體的使用場景。

配置和使用

PermissionEvaluator 需要註入到Spring IoC，並且Spring IoC只能有一個該類型的Bean：

    @Bean
    PermissionEvaluator resourcePermissionEvaluator() {
        return new ResourcePermissionEvaluator((targetDomainObject, permission) -> {
            //TODO 這裡形式其實可以不固定
            String key = targetDomainObject + ":" + permission;
            //TODO  查詢 key 和  authority 的關聯關係
            //  模擬 permission 關聯角色   根據key 去查 grantedAuthorities
            Set<SimpleGrantedAuthority> grantedAuthorities = new HashSet<>();
            grantedAuthorities.add(new SimpleGrantedAuthority("ROLE_ADMIN"));
            return "USER:READ".equals(key) ? grantedAuthorities : new HashSet<>();
        });
    }

接下來寫個介面，用@PreAuthorize註解標記，然後直接用hasPermission('USER','READ')來靜態綁定該介面的訪問許可權表達式：

    @GetMapping("/postfilter")
    @PreAuthorize("hasPermission('USER','READ')")
    public Collection<String> postfilter(){
        List<String> list = new ArrayList<>();
        list.add("felord.cn");
        list.add("碼農小胖哥");
        list.add("請關註一下");
        return list;
    }

然後定義一個用戶：

    @Bean
    UserDetailsService users() {
        UserDetails user = User.builder()
                .username("felord")
                .password("123456")
      .passwordEncoder(PasswordEncoderFactories.createDelegatingPasswordEncoder()::encode)
                .roles("USER")
                .authorities("ROLE_ADMIN","ROLE_USER")
                .build();
        return new InMemoryUserDetailsManager(user);
    }

接下來肯定是正常能夠訪問介面的。當你改變了@PreAuthorize中表達式的值或者移除了用戶的ROLE_ADMIN許可權，再或者USER:READ關聯到了其它角色等等，都會返回403。

留給你去測試的

你可以看看註解改成這樣會是什麼效果：

  @PreAuthorize("hasPermission('1234','USER','READ')")

還有這個：

  @PreAuthorize("hasPermission('USER','READ') or hasRole('ADMIN')")

或者讓targetId動態化：

    @PreAuthorize("hasPermission(#id,'USER','READ')")
    public Collection<String> postfilter(String id){
        
    }

關註公眾號：Felordcn 獲取更多資訊

個人博客：https://felord.cn

博主：碼農小胖哥
出處：felord.cn
本文版權歸原作者所有，不可商用，轉載需要聲明出處，否則保留追究法律責任的權利。如果文中有什麼錯誤，歡迎指出。以免更多的人被誤導。

您的分享是我們最大的動力!

-Advertisement-

更多相關文章

【FAQ】HMS Core推送服務與本地創建通知消息如何相互覆蓋？

我們知道，單獨使用HMS Core推送服務或本地創建通知消息，都可以實現通知消息的覆蓋，方式分別為： 1、本地創建通知消息（簡稱本地通知消息）通過notificationManager.notify(notifyId, notification)設置相同的notifyId即可實現。 2、HMS C ...
【Codelabs挑戰賽示例講解2】核酸檢測結果認證查詢系統-數據導入與查詢

上文（【Codelabs挑戰賽示例講解1】核酸檢測結果認證查詢系統-認證登錄）實現了核酸檢測結果認證查詢系統的認證登錄部分的功能，認證登錄完成後，接下來便是要實現核酸檢測結果數據的導入與查詢功能。雲資料庫是一款端雲協同的資料庫產品，提供端雲數據的協同管理、統一的數據模型和豐富的數據管理API介面等 ...
設計原則之SOLID 原則

介紹 SOLID 原則是由 5 個設計原則組成的，分別為：(S)單一職責原則、(O)開閉原則、(L)里式替換原則、(I)介面隔離原則和(D)依賴反轉原則；單一職責原則 SRP 單一職責原則的英文是 Single Responsibility Principle，縮寫為 SRP；它的意思是一個類或 ...
行為型：六. 迭代器模式

迭代器模式是什麼迭代器模式是一種行為設計模式，讓你能在不暴露集合底層表現形式（列表、棧和樹等）的情況下遍歷集合中所有的元素。為什麼用迭代器模式當集合背後為複雜的數據結構，且你希望對客戶端隱藏其複雜性時（出於使用便利性或安全性的考慮），可以使用迭代器模式。迭代器封裝了與複雜數據結構進行 ...
第四範式智能風控中台架構設計及應用

**導讀：**風控是金融最常見的場景之一，本文將從業務和技術架構兩個層面和大家探討如何落地智能風控中台系統。分享主要圍繞下麵五點展開：風控中台的設計背景策略的全周期管理模型的全周期管理業務架構和能力原子化應用案例 -- 01 風控中台的設計背景首先大風控體系或者風控中台的建設在本質上是服 ...
python中的類的創建、使用和繼承

在面向對象編程中，先編寫表示現實世界中的事物和情景的類，並基於這些類來創建對象。基於類創建對象時，每個對象都自動具備類的通用行為，同時可根據需要賦予每個對象獨特的個性，在實例中存儲特定信息及操作根據類來創建對象被稱為實例化類，也可以用來擴展既有類的功能，讓相似的類能夠高效地共用代碼一、創建和使用類 ...
java基礎4.18

1.java的"一次編寫，處處運行"如何實現？: 答:java之所有能實現一次編譯，到處運行，是因為java在每個系統平臺上都有java虛擬機（jvm）,java編譯的中間文件class是由java虛擬機在運行時動態轉換為對應平臺的機器代碼 2.描述jvm的運行原理: 答: Java平臺由Java虛 ...
python代碼統計核酸檢測結果截圖

#QQ：[email protected]#本截圖適合安康碼截圖，如需其他地區截圖統計，可與我QQ或QQ郵箱聯繫#1、在當前文件夾下創建imgs文件夾用於存放圖片，圖片格式.jpg#2、在當前文件夾下創建“shuju.xlsx”的Excel用於存放統計結果文件夾目錄樣式統計結果Excel樣式具體代 ...