SpringBoot - 安全管理框架Spring Security使用詳解(4)-基於數據庫的URL權限規則配置

  雖然前面我們實現了通過數據庫來配置用戶與角色，但認證規則仍然是使用 HttpSecurity 進行配置，還是不夠靈活，無法實現資源和角色之間的動態調整。

    要實現動態配置  URL 權限，就需要開發者自定義權限配置，具體步驟如下。

 

四、基於數據庫的URL權限規則配置 

1，數據庫設計

這裏的數據庫在前文（點擊查看）的基礎上增加一張資源表和一張資源角色管理表，並添加一些預置數據：

• 資源表中定義了用戶能夠訪問的 URL 模式。
• 資源角色表則定義了訪問該模式的 URL 需要什麼樣的角色。

 

2，創建實體類 

在前文的基礎上再創建一個資源表對應的實體類。

1 2 3 4 5 6 7

@Setter @Getter public class Menu {     private Integer id;     private String pattern;     private List<Role> roles; }

 

3，創建數據庫訪問層

（1）首先創建 MenuMapper 接口：

1 2 3 4

@Mapper public interface MenuMapper {     List<Menu> getAllMenus(); }

（2）接着在 MenuMapper 相同的位置創建 MenuMapper.xml 文件，內容如下：

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18

<?xml version="1.0" encoding="UTF-8" ?> <!DOCTYPE mapper         PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN"         "http://mybatis.org/dtd/mybatis-3-mapper.dtd"> <mapper namespace="com.example.demo.mapper.MenuMapper">     <resultMap id="BaseResultMap" type="com.example.demo.bean.Menu">         <id property="id" column="id"/>         <result property="pattern" column="pattern"/>         <collection property="roles" ofType="com.example.demo.bean.Role">             <id property="id" column="rid"/>             <result property="name" column="rname"/>             <result property="nameZh" column="rnameZh"/>         </collection>     </resultMap>     <select id="getAllMenus" resultMap="BaseResultMap">         SELECT m.*,r.id AS rid,r.name AS rname,r.nameZh AS rnameZh FROM menu m LEFT JOIN menu_role mr ON m.`id`=mr.`mid` LEFT JOIN role r ON mr.`rid`=r.`id`     </select> </mapper>

（3）由於在 Maven 工程中，XML 配置文件建議寫在 resources 目錄下，但上面的 MenuMapper.xml 文件寫在包下，Maven 在運行時會忽略包下的 XML 文件。因此需要在 pom.xml 文件中重新指明資源文件位置，配置如下：

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20

<build>     <plugins>         <plugin>             <groupId>org.springframework.boot</groupId>             <artifactId>spring-boot-maven-plugin</artifactId>         </plugin>     </plugins>     <!-- 重新指明資源文件位置 -->     <resources>         <resource>             <directory>src/main/java</directory>             <includes>                 <include>**/*.xml</include>             </includes>         </resource>         <resource>             <directory>src/main/resources</directory>         </resource>     </resources> </build>

 

4，自定義 FilterInvocationSecurityMetadataSource

要實現動態配置權限，首先需要自定義 FilterInvocationSecurityMetadataSource：

注意：自定義 FilterInvocationSecurityMetadataSource 主要實現該接口中的 getAttributes 方法，該方法用來確定一個請求需要哪些角色。

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49

@Component public class CustomFilterInvocationSecurityMetadataSource         implements FilterInvocationSecurityMetadataSource {       // 創建一個AnipathMatcher，主要用來實現ant風格的URL匹配。     AntPathMatcher antPathMatcher = new AntPathMatcher();       @Autowired     MenuMapper menuMapper;       @Override     public Collection<ConfigAttribute> getAttributes(Object object)             throws IllegalArgumentException {         // 從參數中提取出當前請求的URL         String requestUrl = ((FilterInvocation) object).getRequestUrl();           // 從數據庫中獲取所有的資源信息，即本案例中的menu表以及menu所對應的role         // 在真實項目環境中，開發者可以將資源信息緩存在Redis或者其他緩存數據庫中。         List<Menu> allMenus = menuMapper.getAllMenus();           // 遍歷資源信息，遍歷過程中獲取當前請求的URL所需要的角色信息並返回。         for (Menu menu : allMenus) {             if (antPathMatcher.match(menu.getPattern(), requestUrl)) {                 List<Role> roles = menu.getRoles();                 String[] roleArr = new String[roles.size()];                 for (int i = 0; i < roleArr.length; i++) {                     roleArr[i] = roles.get(i).getName();                 }                 return SecurityConfig.createList(roleArr);             }         }           // 如果當前請求的URL在資源表中不存在相應的模式，就假設該請求登錄後即可訪問，即直接返回 ROLE_LOGIN.         return SecurityConfig.createList("ROLE_LOGIN");     }       // 該方法用來返回所有定義好的權限資源，Spring Security在啓動時會校驗相關配置是否正確。     @Override     public Collection<ConfigAttribute> getAllConfigAttributes() {         // 如果不需要校驗，那麼該方法直接返回null即可。         return null;     }       // supports方法返回類對象是否支持校驗。     @Override     public boolean supports(Class<?> clazz) {         return FilterInvocation.class.isAssignableFrom(clazz);     } }

 

5，自定義 AccessDecisionManager

    當一個請求走完 FilterInvocationSecurityMetadataSource 中的 getAttributes 方法後，接下來就會來到 AccessDecisionManager 類中進行角色信息的對比，自定義 AccessDecisionManager 代碼如下：

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43

@Component public class CustomAccessDecisionManager         implements AccessDecisionManager {       // 該方法判斷當前登錄的用戶是否具備當前請求URL所需要的角色信息     @Override     public void decide(Authentication auth,                        Object object,                        Collection<ConfigAttribute> ca){         Collection<? extends GrantedAuthority> auths = auth.getAuthorities();           // 如果具備權限，則不做任何事情即可         for (ConfigAttribute configAttribute : ca) {             // 如果需要的角色是ROLE_LOGIN，說明當前請求的URL用戶登錄後即可訪問             // 如果auth是UsernamePasswordAuthenticationToken的實例，說明當前用戶已登錄，該方法到此結束             if ("ROLE_LOGIN".equals(configAttribute.getAttribute())                     && auth instanceof UsernamePasswordAuthenticationToken) {                 return;             }               // 否則進入正常的判斷流程             for (GrantedAuthority authority : auths) {                 // 如果當前用戶具備當前請求需要的角色，那麼方法結束。                 if (configAttribute.getAttribute().equals(authority.getAuthority())) {                     return;                 }             }         }           // 如果不具備權限，就拋出AccessDeniedException異常         throw new AccessDeniedException("權限不足");     }       @Override     public boolean supports(ConfigAttribute attribute) {         return true;     }       @Override     public boolean supports(Class<?> clazz) {         return true;     } }

 

6，配置 Spring Security

    這裏與前文的配置相比，主要是修改了 configure(HttpSecurity http) 方法的實現並添加了兩個 Bean。至此我們邊實現了動態權限配置，權限和資源的關係可以在 menu_role 表中動態調整。

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45

@Configuration public class MyWebSecurityConfig extends WebSecurityConfigurerAdapter {     @Autowired     UserService userService;       // 指定密碼的加密方式     @SuppressWarnings("deprecation")     @Bean     PasswordEncoder passwordEncoder(){         // 不對密碼進行加密         return NoOpPasswordEncoder.getInstance();     }       // 配置用戶及其對應的角色     @Override     protected void configure(AuthenticationManagerBuilder auth) throws Exception {         auth.userDetailsService(userService);     }       // 配置 URL 訪問權限     @Override     protected void configure(HttpSecurity http) throws Exception {         http.authorizeRequests()                 .withObjectPostProcessor(new ObjectPostProcessor<FilterSecurityInterceptor>() {                     @Override                     public <O extends FilterSecurityInterceptor> O postProcess(O object) {                         object.setSecurityMetadataSource(cfisms());                         object.setAccessDecisionManager(cadm());                         return object;                     }                 })                 .and().formLogin().loginProcessingUrl("/login").permitAll()//開啓表單登錄並配置登錄接口                 .and().csrf().disable(); // 關閉csrf     }       @Bean     CustomFilterInvocationSecurityMetadataSource cfisms() {         return new CustomFilterInvocationSecurityMetadataSource();     }       @Bean     CustomAccessDecisionManager cadm() {         return new CustomAccessDecisionManager();     } }

 

7，運行測試

（1）啓動項目，我們使用 hangge 用戶進行登錄，由於該用戶具有 USER 角色，所以登錄後可以訪問 /hello、 /user/hello 這兩個接口。

 

（2）而由於 /db/hello 接口需要 DBA 角色，因此 hangge 用戶仍然無法訪問。