前言:
通过本篇文章你将了解到:
- SpringSecurity 中的一些核心类
- 使用SpringSecurity基于角色的权限校验
- SpringSecurity的不足
SpringSecurity核心类
登录校验流程:
- UsernamePasswordAuthenticationFilter => 用户登陆验证,但这个类里并不会正真去进行登陆校验,而是通过ProviderManager
- ProviderManager => 这个类里有一个List,提供了不同的校验方式,只要其中一个通过即可。一般我们什么都不配的情况下是根据用户名和密码,这时候AuthenticationProvider实现类为AbstractUserDetailsAuthenticationProvider
- AbstractUserDetailsAuthenticationProvider => 其登陆校验是通过子类的additionalAuthenticationChecks方法完成的
- DaoAuthenticationProvider => AbstractUserDetailsAuthenticationProvider的唯一子类,如果我们设定的密码(可以基于内存也可以基于数据库)和传过来的密码比对不上登陆校验失败
- UserDetailsService => 通过这个接口唯一的方法loadUserByUsername返回我们设定的用户名和密码等用户信息(被封装为UserDetails的实现类)
小结:登陆验证就是拿到客户端的用户名密码和我们设定的用户名密码(即UserDetails的实现类)进行比对,拿到我们设定的用户名密码是通过UserDetailsService.loadUserByUsername(String userName)实现的[划重点,一会要考],框架实现的UserDetailsService一般没法满足项目要求,就需要自己手动实现了,同时如果框架自带的UserDetails的实现类没法满足要求我们也可以自己实现UserDetails
权限校验:
- FilterSecurityInterceptor => 基于角色的权限校验拦截器,调用父类AbstractSecurityInterceptor的beforeInvocation方法进行鉴权
- AbstractSecurityInterceptor => 调用AccessDecisionManager实现类的decide方法进行鉴权,所以如何想自定义鉴权方式可以写一个类然后实现AccessDecisionManager
- AffirmativeBased=> 默认使用的AccessDecisionManager实现类,调用AccessDecisionVoter实现类的vote方法进行鉴权,返回1权限校验通过,其实跟踪到最后其实还是比对字符串不能说是投票吧,方法名容易让人误解
- WebExpressionVoter => 默认使用的AccessDecisionVoter实现类,调用Authentication的authentication方法进行鉴权
- SecurityExpressionOperations => 获取Authentication对象接口
- SecurityExpressionRoot => SecurityExpressionOperations实现类
小结:一般不自定鉴权方式的话这些我们都可以不需要管,虽然层层调用了很多层,其实实质就是判断当前的用户所包含的权限列表中是否包含访问指定url所需要的权限
SpringBoot整合SpringSecurity
依赖
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
<version>1.4.1.RELEASE</version>
</dependency>
UserDetails实现类:UserDTO.java
public class UserDTO implements UserDetails {
/**
* 用户名
* */
private String username;
/**
* 密码
* */
private String password;
/**
* 角色列表
* */
private List<String> roleList;
public void setUsername(String username) {
this.username = username;
}
public void setPassword(String password) {
this.password = password;
}
public List<String> getRoleList() {
return roleList;
}
public void setRoleList(List<String> roleList) {
this.roleList = roleList;
}
@Override
public Collection<? extends GrantedAuthority> getAuthorities() {
List<GrantedAuthority> authorityList = new ArrayList<>();
for (String role : roleList) {
authorityList.add(new SimpleGrantedAuthority(role));
}
return authorityList;
}
@Override
public String getPassword() {
return password;
}
@Override
public String getUsername() {
return username;
}
@Override
public boolean isAccountNonExpired() {
return true;
}
@Override
public boolean isAccountNonLocked() {
return true;
}
@Override
public boolean isCredentialsNonExpired() {
return true;
}
@Override
public boolean isEnabled() {
return true;
}
}
实现类需要实现接口,这里我们将查询到的roleList字符串封装到SimpleGrantedAuthority中,SimpleGrantedAuthority是GrantedAuthority的一个实现类,如果默认实现没法满足需求可自己重新实现。UserDetail是SpringSecurity和应用之间的桥梁,不管你数据库怎么建,只要你最后将用户信息和权限的关系封装为UserDetails,SpringSecurity就可以按它自己的机制进行权限校验
UserDetailsService实现类:UserDetailsServiceImpl.java
public class UserDetailsServiceImpl implements UserDetailsService {
@Resource
private UsersService usersService;
/**
* 根据用户名获取用户信息
*/
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
Users users = new Users();
users.setUsername(username);
List<Users> usersList = usersService.selectList(users);
return buildUserDTO(usersList);
}
/**
* 封装UserDTO对象
*
* @param usersList
* @return
* */
private UserDTO buildUserDTO(List<Users> usersList) {
UserDTO userDTO = new UserDTO();
userDTO.setUsername(usersList.get(0).getUsername());
userDTO.setPassword(usersList.get(0).getPassword());
List<String> roleList = new ArrayList<>();
for (Users users : usersList) {
roleList.add(String.format("ROLE_%s", users.getRole()));
}
userDTO.setRoleList(roleList);
return userDTO;
}
}
该类作用就是将用户信息和权限信息从数据库查找到封装为一个UserDetails返回
权限配置类:WebSecurityConfig.java
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true) // 开启方法级安全验证
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
@Autowired
private UserDetailsServiceImpl userDetailsService;
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.anyRequest().authenticated() //任何请求,登录后可以访问
.and().formLogin().permitAll(); //登录页面用户任意访问
// 关闭CSRF跨域
http.csrf().disable();
}
@Override
public void configure(WebSecurity web) throws Exception {
// 设置拦截忽略文件夹,可以对静态资源放行
web.ignoring().antMatchers("/css/**", "/js/**", "/templates/**");
}
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
//1.设置自定义userDetailService
//2.校验时指定密码解码方式
auth.userDetailsService(userDetailsService).passwordEncoder(new BCryptPasswordEncoder());
}
}
这个类里配置了登陆页面以及一些简单权限设置,比如任何请求登陆后可访问、登录页面所有人可以访问。因为通过@EnableGlobalMethodSecurity注解开启了方法级别验证,在这个方法里没有配置方法级别的权限。同时通过指定自己实现的UserDetailsService以及密码解码方式,如果不指定密码解码方式将会报错在最新的SpringSecurity版本中
控制层注解使用方式
@RestController
@RequestMapping("/api/user")
public class UsersController {
@GetMapping("/guest")
@PreAuthorize("hasAnyRole('guest')")
public Object guest() {
return "hello guest";
}
@PreAuthorize("hasAnyRole('admin')")
@GetMapping("/admin")
public Object admin() {
return "hello admin";
}
}
通过@PreAuthorize来进行权限控制,在hasAnyRole中写入访问该api具有的权限(角色),除了可以使用@PreAuthorize注解,还可以使用@Secured、@PostAuthorize注解
SpringSecurity框架的不足
- 对项目代码有入侵
- 不够通用,所有需要权限校验的系统都需要整合SpringSecurity框架,不同应用系统数据库设计不同,UserDetail一般需自己实现【只是举个例子,实际开发过程中重写的类可能更多】
- 角色应该是动态的,但通过SpringSecurity配置的角色是静态的,在数据库新添角色时必须对代码进行修改,否则无法使用
- 并不是一个RBAC的设计模型而是一个ACL模型,角色权限的划分并不是特别清楚,权限也可以是角色,如果想基于RBAC的权限校验就必须自己重新写权限校验方法
- 权限管理粒度不够细,比如没法支持到方法级别的权限校验,想支持更细粒度的权限必须自己写权限校验权限管理粒度不够细,比如没法支持到方法级别的权限校验,想支持更细粒度的权限必须自己写权限校验
- 提供的三种缓存用户信息的方式,分别为NullUserCache、EhCacheBasedUserCache、SpringCacheBasedUserCache。第一种永远return null,相当于没使用缓存,后两者是内存缓存,在分布式部署中会出现缓存命中率低、缓存不一致的情况,需要自己实现缓存