Spring Security(4)------- 动态权限管理(自定义决策管理器)

前言

权限的动态的验证,也就是实现Spring Security的决策管理器AccessDecisionManager

权限资源 SecurityMetadataSource

要实现动态的权限验证,当然要先有对应的访问权限资源了。Spring Security是通过SecurityMetadataSource来加载访问时所需要的具体权限,所以第一步需要实现SecurityMetadataSource

SecurityMetadataSource是一个接口,同时还有一个接口FilterInvocationSecurityMetadataSource继承于它,但FilterInvocationSecurityMetadataSource只是一个标识接口,对应于FilterInvocation,本身并无任何内容:

/**
 * Marker interface for <code>SecurityMetadataSource</code> implementations that are
 * designed to perform lookups keyed on {@link FilterInvocation}s.
 *
 * @author Ben Alex
 */
public interface FilterInvocationSecurityMetadataSource extends SecurityMetadataSource {
}

因为我们做的一般都是web项目,所以实际需要实现的接口是FilterInvocationSecurityMetadataSource,这是因为Spring Security中很多web才使用的类参数类型都是FilterInvocationSecurityMetadataSource

下面是一个自定义实现类CustomSecurityMetadataSource的示例代码,它的主要责任就是当访问一个url时返回这个url所需要的访问权限。

/**
 * Created by liyd on 16/12/9.
 */
public class CustomSecurityMetadataSource implements FilterInvocationSecurityMetadataSource {


    public Collection<ConfigAttribute> getAttributes(Object object) throws IllegalArgumentException {

        FilterInvocation fi = (FilterInvocation) object;

        Map<String, Collection<ConfigAttribute>> metadataSource = CustomSecurityContext.getMetadataSource();

        for (Map.Entry<String, Collection<ConfigAttribute>> entry : metadataSource.entrySet()) {
            String uri = entry.getKey();
            RequestMatcher requestMatcher = new AntPathRequestMatcher(uri);
            if (requestMatcher.matches(fi.getHttpRequest())) {
                return entry.getValue();
            }
        }

        return null;
    }

    public Collection<ConfigAttribute> getAllConfigAttributes() {
        return null;
    }

    public boolean supports(Class<?> clazz) {
        return FilterInvocation.class.isAssignableFrom(clazz);
    }
}

getAttributes方法返回本次访问需要的权限,可以有多个权限。在上面的实现中如果没有匹配的url直接返回null,也就是没有配置权限的url默认都为白名单,想要换成默认是黑名单只要修改这里即可。

getAllConfigAttributes方法如果返回了所有定义的权限资源,Spring Security会在启动时校验每个ConfigAttribute是否配置正确,不需要校验直接返回null。

supports方法返回类对象是否支持校验,web项目一般使用FilterInvocation来判断,或者直接返回true。

在上面我们主要定义了两个权限码:

user=/user
admin=/admin

也就是CustomSecurityContext.getMetadataSource()加载的内容,主要加载代码如下:

ResourcePatternResolver resourcePatternResolver = new PathMatchingResourcePatternResolver();
Resource[] resources = resourcePatternResolver.getResources("classpath*:/security/*.properties");
if (ArrayUtils.isEmpty(resources)) {
    return;
}

Properties properties = new Properties();
for (Resource resource : resources) {
    properties.load(resource.getInputStream());
}

for (Map.Entry<Object, Object> entry : properties.entrySet()) {

    String key = (String) entry.getKey();
    String value = (String) entry.getValue();

    String[] values = StringUtils.split(value, ",");

    Collection<ConfigAttribute> configAttributes = new ArrayList<ConfigAttribute>();
    ConfigAttribute configAttribute = new SecurityConfig(key);
    configAttributes.add(configAttribute);

    for (String v : values) {
        METADATA_SOURCE_MAP.put(StringUtils.trim(v), configAttributes);
    }
}

这里我们把权限的配置信息写在了properties文件中,当然你也可以存在数据库中或其它任何地方。

在加载的时候,这里的url是key,value是访问需要的权限码,一个权限码可以对应多个url,一个url也可以有多个权限码,想要怎么玩都可以在这里实现,示例中只是最简单的。

权限决策 AccessDecisionManager

有了权限资源,知道了当前访问的url需要的具体权限,接下来就是决策当前的访问是否能通过权限验证了。

这需要通过实现自定义的AccessDecisionManager来实现。Spring Security内置的几个AccessDecisionManager就不讲了,在web项目中基本用不到。

以下是示例代码:

public class CustomAccessDecisionManager implements AccessDecisionManager {

    public void decide(Authentication authentication, Object object, Collection<ConfigAttribute> configAttributes) throws AccessDeniedException, InsufficientAuthenticationException {

        Iterator<ConfigAttribute> iterator = configAttributes.iterator();
        while (iterator.hasNext()) {

            if (authentication == null) {
                throw new AccessDeniedException("当前访问没有权限");
            }

            ConfigAttribute configAttribute = iterator.next();
            String needCode = configAttribute.getAttribute();

            Collection<? extends GrantedAuthority> authorities = authentication.getAuthorities();
            for (GrantedAuthority authority : authorities) {
                if (StringUtils.equals(authority.getAuthority(), "ROLE_" + needCode)) {
                    return;
                }
            }
        }

        throw new AccessDeniedException("当前访问没有权限");
    }

    public boolean supports(ConfigAttribute attribute) {
        return true;
    }

    public boolean supports(Class<?> clazz) {
        return FilterInvocation.class.isAssignableFrom(clazz);
    }
}

同样的也有三个方法,其它两个和SecurityMetadataSource类似,这里主要讲讲decide方法。

decide方法的三个参数中:

  • authentication包含了当前的用户信息,包括拥有的权限。这里的权限来源就是前面登录时UserDetailsService中设置的authorities
  • object就是FilterInvocation对象,可以得到request等web资源。
  • configAttributes是本次访问需要的权限。

上面的实现中,当需要多个权限时只要有一个符合则校验通过,即的关系,想要的关系只需要修改这里的逻辑即可。

配置使用自定义实现类

上面权限的资源和验证我们已经都实现了,接下来就是指定让Spring Security使用我们自定义的实现类了。

在以前xml的配置中,一般都是自己实现一个FilterSecurityInterceptor,然后注入自定义的SecurityMetadataSourceAccessDecisionManager,就像下面这样:

<b:bean id="customFilterSecurityInterceptor" class="com.dexcoder.security.CustomFilterSecurityInterceptor">  
        <b:property name="authenticationManager" ref="customAuthenticationManager" />  
        <b:property name="accessDecisionManager" ref="customAccessDecisionManager" />  
        <b:property name="securityMetadataSource" ref="customSecurityMetadataSource" />  
</b:bean>

Spring BootJavaConfig中并没有这样的实现方式,但是提供了ObjectPostProcessor以让用户实现更多想要的高级配置。具体看下面代码,注意withObjectPostProcessor部分:

@Bean
public AccessDecisionManager accessDecisionManager() {
    return new CustomAccessDecisionManager();
}

@Bean
public FilterInvocationSecurityMetadataSource securityMetadataSource() {
    return new CustomSecurityMetadataSource();
}


protected void configure(HttpSecurity http) throws Exception {
    http.authorizeRequests().antMatchers("/", "/index").permitAll().anyRequest().authenticated().and().formLogin()
            .loginPage("/login").defaultSuccessUrl("/user").permitAll().and().logout().permitAll()

            .and().authorizeRequests().anyRequest().authenticated()
            .withObjectPostProcessor(new ObjectPostProcessor<FilterSecurityInterceptor>() {

        public <O extends FilterSecurityInterceptor> O postProcess(O fsi) {
            fsi.setAccessDecisionManager(accessDecisionManager());
            fsi.setSecurityMetadataSource(securityMetadataSource());
            return fsi;
        }
    });
}

主要是在创建默认的FilterSecurityInterceptor的时候把我们的accessDecisionManagersecurityMetadataSource设置进去,至于authenticationManager因为我们已经声明了authenticationProvider并设置了userDetailService,所以这里可以省去。

既然扯到了FilterSecurityInterceptor这里再唠叨两句,Spring Security内部默认主要有三个实现,见下图:

Spring Security Interceptor

AspectJMethodSecurityInterceptorMethodSecurityInterceptorspring-security-core包内,FilterSecurityInterceptorspring-security-web包内,这也说明FilterSecurityInterceptor是web项目专用的。

在前面默认的实现中,Controller上加注解@PreAuthorize使用的是MethodSecurityInterceptor,但是在经过我们一番改造后,已经使用了FilterSecurityInterceptorMethodSecurityInterceptor已经没用到了。

当然你需要把Controller方法上的注解去掉:

@RequestMapping(value = "/admin", method = RequestMethod.GET)
//    @PreAuthorize("hasAnyRole('admin')")
public String helloAdmin() {
    return "admin";
}

@RequestMapping(value = "/user", method = RequestMethod.GET)
//    @PreAuthorize("hasAnyRole('admin','user')")
public String helloUser() {
    return "user";
}

测试

因为原来Controller中的helloUser方法注解上,hasAnyRole中有两个值,所在这里在授权的时候也需要授权两个,也就是数据库中admin要多加一条权限记录。

随后访问不同的url,发现跟基本一样,也是在我们预期当中。

最后

到这里一般情况下已经够用了,但是项目中往往会有很多“奇葩”的需求,下一章将讲解如何实现自定义的登录过滤器,实现各种客户端各种方式的登录,如区分手势密码、指纹登录及正常html外的.json.xml等方式的访问。

附件列表

posted @ 2020-08-05 18:13  爱你爱自己  阅读(1481)  评论(0编辑  收藏  举报