雖然前面我們實現了通過數據庫來配置用戶與角色,但認證規則仍然是使用 HttpSecurity 進行配置,還是不夠靈活,無法實現資源和角色之間的動態調整。
要實現動態配置 URL 權限,就需要開發者自定義權限配置,具體步驟如下。
四、基於數據庫的URL權限規則配置
1、數據庫設計
這裏的數據庫在前文(點擊查看)的基礎上增加一張資源表和一張資源角色管理表,並添加一些預置數據:
- 資源表中定義了用戶能夠訪問的 URL 模式。
- 資源角色表則定義了訪問該模式的 URL 需要什麼樣的角色。
2、創建實體類
在前文的基礎上再創建一個資源表對應的實體類。
@Setter
@Getter
public class Menu {
private Integer id;
private String pattern;
private List<Role> roles;
}
3、創建數據庫訪問層
(1)首先創建 MenuMapper 接口:
@Mapper
public interface MenuMapper {
List<Menu> getAllMenus();
}
(2)接着在 MenuMapper 相同的位置創建 MenuMapper.xml 文件,內容如下:
<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE mapper
PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN"
"http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="com.example.demo.mapper.MenuMapper">
<resultMap id="BaseResultMap" type="com.example.demo.bean.Menu">
<id property="id" column="id"/>
<result property="pattern" column="pattern"/>
<collection property="roles" ofType="com.example.demo.bean.Role">
<id property="id" column="rid"/>
<result property="name" column="rname"/>
<result property="nameZh" column="rnameZh"/>
</collection>
</resultMap>
<select id="getAllMenus" resultMap="BaseResultMap">
SELECT m.*,r.id AS rid,r.name AS rname,r.nameZh AS rnameZh FROM menu m LEFT JOIN menu_role mr ON m.`id`=mr.`mid` LEFT JOIN role r ON mr.`rid`=r.`id`
</select>
</mapper>
(3)由於在 Maven 工程中,XML 配置文件建議寫在 resources 目錄下,但上面的 MenuMapper.xml 文件寫在包下,Maven 在運行時會忽略包下的 XML 文件。因此需要在 pom.xml 文件中重新指明資源文件位置,配置如下:
<build>
<plugins>
<plugin>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-maven-plugin</artifactId>
</plugin>
</plugins>
<!-- 重新指明資源文件位置 -->
<resources>
<resource>
<directory>src/main/java</directory>
<includes>
<include>**/*.xml</include>
</includes>
</resource>
<resource>
<directory>src/main/resources</directory>
</resource>
</resources>
</build>
4、自定義 FilterInvocationSecurityMetadataSource
要實現動態配置權限,首先需要自定義 FilterInvocationSecurityMetadataSource:
注意:自定義 FilterInvocationSecurityMetadataSource 主要實現該接口中的 getAttributes 方法,該方法用來確定一個請求需要哪些角色。
@Component
public class CustomFilterInvocationSecurityMetadataSource
implements FilterInvocationSecurityMetadataSource {
// 創建一個AnipathMatcher,主要用來實現ant風格的URL匹配。
AntPathMatcher antPathMatcher = new AntPathMatcher();
@Autowired
MenuMapper menuMapper;
@Override
public Collection<ConfigAttribute> getAttributes(Object object)
throws IllegalArgumentException {
// 從參數中提取出當前請求的URL
String requestUrl = ((FilterInvocation) object).getRequestUrl();
// 從數據庫中獲取所有的資源信息,即本案例中的menu表以及menu所對應的role
// 在真實項目環境中,開發者可以將資源信息緩存在Redis或者其他緩存數據庫中。
List<Menu> allMenus = menuMapper.getAllMenus();
// 遍歷資源信息,遍歷過程中獲取當前請求的URL所需要的角色信息並返回。
for (Menu menu : allMenus) {
if (antPathMatcher.match(menu.getPattern(), requestUrl)) {
List<Role> roles = menu.getRoles();
String[] roleArr = new String[roles.size()];
for (int i = 0; i < roleArr.length; i++) {
roleArr[i] = roles.get(i).getName();
}
return SecurityConfig.createList(roleArr);
}
}
// 如果當前請求的URL在資源表中不存在相應的模式,就假設該請求登錄後即可訪問,即直接返回 ROLE_LOGIN.
return SecurityConfig.createList("ROLE_LOGIN");
}
// 該方法用來返回所有定義好的權限資源,Spring Security在啓動時會校驗相關配置是否正確。
@Override
public Collection<ConfigAttribute> getAllConfigAttributes() {
// 如果不需要校驗,那麼該方法直接返回null即可。
return null;
}
// supports方法返回類對象是否支持校驗。
@Override
public boolean supports(Class<?> clazz) {
return FilterInvocation.class.isAssignableFrom(clazz);
}
}
5、自定義 AccessDecisionManager
當一個請求走完 FilterInvocationSecurityMetadataSource 中的 getAttributes 方法後,接下來就會來到 AccessDecisionManager 類中進行角色信息的對比,自定義 AccessDecisionManager 代碼如下:
@Component
public class CustomAccessDecisionManager
implements AccessDecisionManager {
// 該方法判斷當前登錄的用戶是否具備當前請求URL所需要的角色信息
@Override
public void decide(Authentication auth,
Object object,
Collection<ConfigAttribute> ca){
Collection<? extends GrantedAuthority> auths = auth.getAuthorities();
// 如果具備權限,則不做任何事情即可
for (ConfigAttribute configAttribute : ca) {
// 如果需要的角色是ROLE_LOGIN,說明當前請求的URL用戶登錄後即可訪問
// 如果auth是UsernamePasswordAuthenticationToken的實例,說明當前用戶已登錄,該方法到此結束
if ("ROLE_LOGIN".equals(configAttribute.getAttribute())
&& auth instanceof UsernamePasswordAuthenticationToken) {
return;
}
// 否則進入正常的判斷流程
for (GrantedAuthority authority : auths) {
// 如果當前用戶具備當前請求需要的角色,那麼方法結束。
if (configAttribute.getAttribute().equals(authority.getAuthority())) {
return;
}
}
}
// 如果不具備權限,就拋出AccessDeniedException異常
throw new AccessDeniedException("權限不足");
}
@Override
public boolean supports(ConfigAttribute attribute) {
return true;
}
@Override
public boolean supports(Class<?> clazz) {
return true;
}
}
6、配置 Spring Security
這裏與前文的配置相比,主要是修改了 configure(HttpSecurity http) 方法的實現並添加了兩個 Bean。至此我們邊實現了動態權限配置,權限和資源的關係可以在 menu_role 表中動態調整。
@Configuration
public class MyWebSecurityConfig extends WebSecurityConfigurerAdapter {
@Autowired
UserService userService;
// 指定密碼的加密方式
@SuppressWarnings("deprecation")
@Bean
PasswordEncoder passwordEncoder(){
// 不對密碼進行加密
return NoOpPasswordEncoder.getInstance();
}
// 配置用戶及其對應的角色
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.userDetailsService(userService);
}
// 配置 URL 訪問權限
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.withObjectPostProcessor(new ObjectPostProcessor<FilterSecurityInterceptor>() {
@Override
public <O extends FilterSecurityInterceptor> O postProcess(O object) {
object.setSecurityMetadataSource(cfisms());
object.setAccessDecisionManager(cadm());
return object;
}
})
.and().formLogin().loginProcessingUrl("/login").permitAll()//開啓表單登錄並配置登錄接口
.and().csrf().disable(); // 關閉csrf
}
@Bean
CustomFilterInvocationSecurityMetadataSource cfisms() {
return new CustomFilterInvocationSecurityMetadataSource();
}
@Bean
CustomAccessDecisionManager cadm() {
return new CustomAccessDecisionManager();
}
}
7、運行測試
(1)啓動項目,我們使用 hangge 用戶進行登錄,由於該用戶具有 USER 角色,所以登錄後可以訪問 /hello、 /user/hello 這兩個接口。
(2)而由於 /db/hello 接口需要 DBA 角色,因此 hangge 用戶仍然無法訪問。