溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
本文介紹了Spring Security 控制授權的方法,分享給大家,具體如下:
使用授權方法進行授權配置
每一個 Spring Security 控制授權表達式(以下簡稱為表達式)實際上都在在 API 中對應一個授權方法,該方法是請求的 URL 權限配置時的處理方法。例如:
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.antMatchers(HttpMethod.DELETE, "/user/*").hasRole("ADMIN")
.antMatchers("/index").permitAll()
.antMatchers("/pay").hasAnyRole("WE_CHAT_PAY", "ALI_PAY")
.antMatchers("/debug").hasIpAddress("192.168.1.0/24");
}
使用授權表達式給多權限要求的請求授權
那么,何時需要用到表達式進行授權處理呢?一個安全應用的權限要求往往是復雜多樣的,比如,項目的調試請求希望訪問者既要擁有管理員權限又必須是通過公司內部局域網內部訪問。而這樣的需求下,僅僅通過Security API 提供的方法是無法滿足的,因為這些授權方法是無法連續調用的。
此時就可以使用授權表達式解決:
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.antMatchers("/debug")
.access("hasRole('ADMIN') and hasIpAddress('192.168.1.0/24')");
}
授權表達式舉例說明
| 表達式 | 說明 |
|---|---|
| permitAll | 永遠返回 true |
| denyAll | 永遠返回 false |
| anonyous | 當前用戶若是匿名用戶返回 true |
| rememberMe | 當前用戶若是 rememberMe 用戶返回 true |
| authenticated | 當前用戶若不是匿名(已認證)用戶返回 true |
| fullAuthenticated | 當前用戶若既不是匿名用戶又不是 rememberMe 用戶時返回 true |
| hasRole(role) | 當前用戶權限集合中若擁有指定的 role 角色權限(匹配時會在你所指定的權限前加'ROLE_',即判斷是否有“ROLE_role”權限)時返回 true |
| hasAnyRole(role1, role2, ...) | 當前用戶權限集合中若擁有任意一個角色權限時返回 true |
| hasAuthority(authority) | 當前用戶權限集合中若具有 authority 權限(匹配是否有“authority”權限)時返回 true |
| hasAnyAuthority(authority) | 當前用戶權限集合中若擁有任意一個權限時返回 true |
| hasIpAddress("192.168.1.0/24") | 發送請求的IP匹配時fanhui true |
基于角色的訪問控制 RBAC(Role-Based Access Control)
或許你會認為上述方式已能滿足絕大多數應用安全授權管理。但事實上的企業級應用的授權往往是基于數據庫數據動態變化的,若是使用上述方式進行字符串拼接,不僅對于開發者極不友好(每一次人人員變動都意味著需要改代碼,顯然不合理),而且應用的性能也會隨之降低。那么,如何解決呢?
數據模型
通用的 RBAC 數據模型, 一般需要五張表(三張實體表,兩張關系表)。三張實體表包括用戶表、角色表、資源表。兩張關系表包括。其之間關系如下圖:
RBAC數據模型
用戶表
任何一個用戶都必須要有用戶表,當公司發生人員變動時,由業務人員(如人力資源)對該數據表進行增刪記錄。
角色表
公司有哪些身份的人,例如總裁、副總裁、部門經理等,有業務人員根據公司的具體情況對該表數據進行操作。
資源表
存儲需要進行權限控制的資源,由于我們進行控制授權時實際上是基于 URL 的,但業務人員非按 URL 組織數據條目,而是以視圖界面的形式進行曹操作。所以在這張表中存儲的是呈現給業務人員的菜單、按鈕及其所進行權限控制的 URL 。
用戶—角色關系表
用戶表與角色表(用戶 id 與角色id )之間是一個多對多的關系。一個用戶可以是多個角色(一個用戶既可以是部門經理又可以是某個管理員),而一個角色往往對應多個用戶。
角色—資源關系表
角色表與資源表()也是一個多對多的關系。一種角色可以訪問多個資源(按鈕或菜單等),一個資源也可以被多個角色訪問。
spring security 還支持自定義表達式來完成這項工作,就像這樣
以上就是本文的全部內容,希望對大家的學習有所幫助,也希望大家多多支持億速云。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
