Spring安全的角色和許可權原始碼與教程 - javadevjournal
在本文中,我們將研究Spring安全形色和特權以及如何使用此功能來構建您的應用程式。
企業應用程式包含多個部分,它不允許所有使用者訪問整個應用程式。我們可能會提出一些要求,即我們希望根據使用者角色和特權提供對應用程式的訪問。讓我們以管理電子商務商店的簡單後端應用程式為例。
- 具有ADMIN角色的使用者將具有執行任何操作的完全許可權。
- 客戶服務代理可以讀取客戶和訂單資訊,但看不到其他選項。
- 產品經理只能看到更新/建立產品的選項。
Spring安全性使使用角色和特權來構建這些型別的規則變得更加容易。我們可以在註冊/建立過程中為使用者分配角色和特權以及這些角色。在本文中,我們將瞭解如何使用Spring安全形色和特權功能來處理此類用例。為了確保我們有共同的理解,讓我們看幾個重要的術語。
- Role角色:角色代表了系統的高階別角色(例如ADMIN,MANAGER等),每個角色都可以具有低階別的許可權。
- Privileges 許可權:許可權定義角色的低階許可權(例如,ADMIN可以讀取/寫入/刪除,但MANAGER只能讀取/編輯)
可以從GitHub Repository下載完整的應用程式。
1.資料庫設計
設計spring安全形色和許可權的方法有多種,但是最常見和靈活的方法之一是圍繞使用者組構建角色和特權模組。作為任何應用程式的一部分,將使用者分為幾類,讓我們以下面的示例為例,以便更好地理解:
- 前端使用者應轉到“CUSTOMER組”。
- 後端使用者可以EMPLOYEE分組。
- 我們可以建立支援使用者的另一個變體(例如ADMIN,MANAGER等等)
我們將使用相同的應用程式概念。應用程式的每個使用者都將屬於某個組,我們將使用這些組來驅動角色和許可權。這是我們的應用程式的資料庫設計。
- 每個使用者都屬於某個組。
- 組將在註冊/建立時分配給使用者。
- principle_group 定義系統中所有可用的組(例如客戶,管理員等)
UserGoup實體:
@Entity @Table(name = "principle_groups") public class Group{ //removed getter and setter to save space @Id @GeneratedValue(strategy = GenerationType.IDENTITY) private Long id; @Column(unique = true, nullable = false) private String code; private String name; @ManyToMany(mappedBy = "userGroups") private Set<UserEntity> users; } |
Group是一個簡單的JPA實體,幷包含了組名稱和程式碼資訊。有趣的部分是@ManyToMany與User實體的關係。這種多對多關係將為我們建立另一個資料庫表
UserEntity重點是與Group實體的關係。
@Entity @Table(name = "user") public class UserEntity { @Id @GeneratedValue(strategy = GenerationType.IDENTITY) private Long id; private String firstName; private String lastName; @Column(unique = true) private String email; private String password; private String token; private boolean accountVerified; private int failedLoginAttempts; private boolean loginDisabled; @OneToMany(mappedBy = "user") private Set<SecureToken> tokens; @ManyToMany(cascade = { CascadeType.PERSIST, CascadeType.MERGE }) @JoinTable(name = "user_groups", joinColumns =@JoinColumn(name = "customer_id"), inverseJoinColumns = @JoinColumn(name = "group_id" )) private Set<Group> userGroups= new HashSet<>(); public Set<Group> getUserGroups() { return userGroups; } public void setUserGroups(Set<Group> userGroups) { this.userGroups = userGroups; } } |
我們可以根據您的要求將資料填充到principal_groups表中。我們將填充以下2組:
- 顧客
- 行政
2.向使用者新增組
分配給使用者的組上派生spring安全形色和許可權。讓我們更改註冊過程,以將使用者組分配給使用者。我們將對我們的DefaultUserService內容進行微小的更改。在註冊過程中,我們會將組新增到使用者個人資料中。
@Service("userService") public class DefaultUserService implements UserService{ @Autowired private UserRepository userRepository; @Autowired UserGroupRepository groupRepository; @Override public void register(UserData user) throws UserAlreadyExistException { if(checkIfUserExist(user.getEmail())){ throw new UserAlreadyExistException("User already exists for this email"); } UserEntity userEntity = new UserEntity(); BeanUtils.copyProperties(user, userEntity); encodePassword(user, userEntity); updateCustomerGroup(userEntity); userRepository.save(userEntity); sendRegistrationConfirmationEmail(userEntity); } private void updateCustomerGroup(UserEntity userEntity){ Group group= groupRepository.findByCode("customer"); userEntity.addUserGroups(group); } } |
您始終可以根據需要更改組分配邏輯。我們甚至可以在後端系統中構建邏輯以將組分配給使用者。
3.自定義UserDetailsService實現
UserDetailsService是Spring Security框架中的類,是用來檢索使用者的身份驗證和授權資訊的核心介面。該介面還負責提供使用者GrantedAuthority列表,該列表用於為使用者派生我們的spring安全形色和許可權。讓我們實現spring security的自定義UserDetailsService,以返回GrantedAuthority基於使用者組的列表。
@Service("userDetailsService") @Transactional public class CustomUserDetailService implements UserDetailsService{ @Autowired UserRepository userRepository; @Override public UserDetails loadUserByUsername(String email) throws UsernameNotFoundException { final UserEntity customer = userRepository.findByEmail(email); if (customer == null) { throw new UsernameNotFoundException(email); } boolean enabled = !customer.isAccountVerified(); // we can use this in case we want to activate account after customer verified the account UserDetails user = User.withUsername(customer.getEmail()) .password(customer.getPassword()) .disabled(customer.isLoginDisabled()) .authorities(getAuthorities(customer)).build() ; return user; } private Collection<GrantedAuthority> getAuthorities(UserEntity user){ Set<Group> userGroups = user.getUserGroups(); Collection<GrantedAuthority> authorities = new ArrayList<>(userGroups.size()); for(Group userGroup : userGroups){ authorities.add(new SimpleGrantedAuthority(userGroup.getCode().toUpperCase())); } return authorities; } } |
這裡有趣的事情是我們如何構建GrantedAuthority實體。我們使用一種簡單的邏輯來構建GrantedAuthority與分配的使用者組相同的列表。您可以更改/自定義邏輯以構建更復雜的GrantedAuthorities。
4. Spring Security Authority對映
透過UserDetailsService實現子類,我們可以開始透過hasAnyAuthority()或hasAuthority()方法使用授權處理UI上的資料資訊可見性。讓我們看一下修改後的spring安全配置。
@Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/login", "/register","/home") .permitAll() .antMatchers("/account/**").hasAnyAuthority("CUSTOMER", "ADMIN") .and() ... } |
看著上面的配置中,我們告訴Spring security,只允許CUSTOMER和ADMIN許可權使用者訪問 /account/**,注意使用者授權是由UserDetailsService提供。您也可以使用相同的選項根據使用者角色來顯示/隱藏連結。這裡將Spring安全性與Thymeleaf結合使用的示例程式碼。
<ul class="navbar-nav ml-auto"> <li class="dropdown user user-menu" sec:authorize="hasAnyAuthority('CUSTOMER', 'ADMIN')"> <a href="#" class="dropdown-toggle" data-toggle="dropdown" aria-expanded="false"> <span class="hidden-xs" sec:authentication="name"></span> </a> <ul class="dropdown-menu"> <li class="user-header"> <img th:src="@{/dist/img/avatar5.png}" class="img-circle" alt="User Image"> <p> Spring Security Course <small>Java Development Journal</small> </p> </li> <li class="user-footer"> <div class="pull-right"> <a href="javascript: document.logoutForm.submit()" class="btn btn-default btn-flat">Sign out</a> </div> </li> </ul> </li> <form name="logoutForm" th:action="@{/logout}" method="post" th:hidden="true"> <input hidden type="submit" value="Sign Out"/> </form> </ul> |
相關文章
- 資料庫安全之許可權與角色資料庫
- Oracle的物件許可權、角色許可權、系統許可權Oracle物件
- Django(63)drf許可權原始碼分析與自定義許可權Django原始碼
- 檢視角色裡包含的系統許可權、物件許可權和角色物件
- 角色許可權(Role)和系統許可權(System)的幾個澄清實驗
- Quarkus中基於角色的許可權訪問控制教程
- PostgreSQL學習手冊(角色和許可權)SQL
- Oracle內建角色connect與resource的許可權Oracle
- Oracle 查詢許可權角色Oracle
- 一對一原始碼,前端頁面許可權和按鈕許可權控制原始碼前端
- Oracle角色許可權之Default RoleOracle
- Java Web角色許可權設計JavaWeb
- MongoDB4.0建立自定義許可權(只有查詢,插入和更新的許可權)的角色步驟MongoDB
- drf 許可權校驗設定與原始碼分析原始碼
- 無程式碼實現CRM角色許可權問題
- 儲存過程,角色相關的呼叫者許可權和定義者許可權問題儲存過程
- MongoDB 3.2的使用者角色許可權介紹和配置MongoDB
- Oracle使用者角色許可權管理Oracle
- 系統,物件,角色許可權簡析物件
- Oracle使用者、許可權、角色管理Oracle
- MySQL5.7&8.0許可權-角色管理MySql
- 用無程式碼解決CRM角色許可權問題
- Spring Security原始碼分析十三:Spring Security 基於表示式的許可權控制Spring原始碼
- Oracle使用者訪問許可權與PUBLIC角色的關係Oracle訪問許可權
- linux 檔案許可權 s 許可權和 t 許可權解析Linux
- 基於角色的許可權系統的問題
- Think Authz:支援 ACL、RBAC、ABAC 等模型的授權(角色和許可權控制)庫模型
- 使用者角色許可權管理架構架構
- 系統、角色、物件相關許可權字典物件
- [學習]ORACLE使用者、角色、許可權Oracle
- Oracle使用者、許可權、角色管理【轉】Oracle
- linux中安全和許可權那些事Linux
- MVC3 角色管理|MVC3許可權設計|MVC3分散式角色許可權管理MVC分散式
- 檢視Oracle使用者的許可權或角色Oracle
- Oracle角色、許可權的一些常用檢視Oracle
- oracle受權與回收許可權grant和revokeOracle
- Spring WebFlux安全配置教程和原始碼 - vinsguruSpringWebUX原始碼
- Android系統許可權和root許可權Android