ch11:精确授权——页面级权限控制与方法级权限控制

本节给大家介绍Spring Security精确授权。用户通过认证只是证明了访问者得身法是否合法,但是并未确认其能访问和可执行的动作。精确授权就是对其能够进行哪些操作的细粒度的控制。
页面级精确授权一般是指对页面中的部分元素进行选择性的显示控制,而不是控制整个页面。此外,页面授权只是控制功能的显示与不显示,对于那些绕过界面直接访问服务的行为,还需要方法授权加以保护。Spring Security为我们提供了页面级和方法级两种精确授权。

页面授权主要是通过Jsp标签库在页面添加条件声明来实现

  1. 基于URL控制页面元素
    这种方式主要依据用户权限配置的URL。我们在配置文件中配置了
    .antMatchers("/admin/**").hasRole("ADMIN"),即只有具有ROLE_ADMIN的用户才能访问/admin及其下级页面。当使用以下标签时,Spring Security会根据该配置控制元素的显示。
<sec:authorize url="/admin">
        <h1>通过Url控制访问:</h1>
        <c:out value="/admin"/>
</sec:authorize>

当用户具备能够访问对应URL的角色时,标签内部的元素就会显示。

  1. 基于Spring EL控制页面元素
    当我们没有配置URL与角色关系时,我们可以使用Spring EL表达式控制页面元素的显示。
<sec:authorize access="hasRole('ROLE_ADMIN') and fullyAuthenticated">
        <h1>通过Spring EL控制访问:</h1>
        <c:out value="hasRole('ROLE_ADMIN') and fullyAuthenticated"/>
</sec:authorize>

当用户具备Spring EL描述的角色时,标签内部的元素就会显示。

方法授权主要是通过Annotation或者Java Configuration来实现

  1. Annotation
    在要控制访问的方法上添加注解就可以实现访问控制,前提是方法所在的实例应是Spring的bean。
    在@Configuration之后增加@EnableGlobalMethodSecurity(prePostEnabled = true)注解以开启方法保护,其中prePostEnabled = true标识允许使用@PreAuthorize()注解。在UserService的preAuthorizeMethod方法标记注解,限制只有具备ROLE_ADMIN的用户才能访问该方法,否则系统抛出AccessDeniedException。
    @PreAuthorize("hasRole('ROLE_ADMIN')")
    public String preAuthorizeMethod() {
        return "This method is protected by Spring Security Annotation.";
    }

通过使用@PreFilter还可以控制集合的元素

    @PostFilter("((filterObject.contains('2') or filterObject.contains('4')) and hasRole('ROLE_USER')) or hasRole('ROLE_ADMIN')")
    public List<String> postFilter() {
        List<String> list = new ArrayList<>();
        for (int index = 0; index < 10; index++) {
            list.add("Item" + index);
        }
        return list;
    }

ROLE_USER角色只能访问集合中的部分元素,而ROLE_ADMIN可以访问全部元素

  1. Java Configuration
    使用Annotation需要我们在每个需要控制的方法上都要增加注解,这样做非常繁杂且不易维护。Spring Security为我们提供了通过Java Configuration的方式控制方法访问的渠道。那么我们就可以通过数据库等方式动态访问权限,简化控制设置。为了实现Java Configuration的方式我们需要多做一些工作。
    创建一个新的类继承GlobalMethodSecurityConfiguration,并且标记@EnableGlobalMethodSecurity。重写方法customMethodSecurityMetadataSource就可以实现对于任意类的任意方法的精确授权。
   @Override
    protected MethodSecurityMetadataSource customMethodSecurityMetadataSource() {
        MapBasedMethodSecurityMetadataSource metadataSource = new MapBasedMethodSecurityMetadataSource();
        metadataSource.addSecureMethod(UserService.class, "javaConfiguredMethod", SecurityConfig.createList("ROLE_ADMIN"));
        return metadataSource;
    }

该方法至此静态授权,即系统初始化时就确定好方法的访问权限,初始化后不可再修改。查看源代码发现,所有的方法授权都存储在一个Spring bean中,DelegatingMethodSecurityMetadataSource包含所有的静态授权权限。

@Bean
    public MethodSecurityMetadataSource methodSecurityMetadataSource() {
        List<MethodSecurityMetadataSource> sources = new ArrayList<MethodSecurityMetadataSource>();
        ExpressionBasedAnnotationAttributeFactory attributeFactory = new ExpressionBasedAnnotationAttributeFactory(
                getExpressionHandler());
        MethodSecurityMetadataSource customMethodSecurityMetadataSource = customMethodSecurityMetadataSource();
        if (customMethodSecurityMetadataSource != null) {
            sources.add(customMethodSecurityMetadataSource);
        }
        if (prePostEnabled()) {
            sources.add(new PrePostAnnotationSecurityMetadataSource(attributeFactory));
        }
        if (securedEnabled()) {
            sources.add(new SecuredAnnotationSecurityMetadataSource());
        }
        if (jsr250Enabled()) {
            GrantedAuthorityDefaults grantedAuthorityDefaults =
                    getSingleBeanOrNull(GrantedAuthorityDefaults.class);
            if (grantedAuthorityDefaults != null) {
                this.jsr250MethodSecurityMetadataSource.setDefaultRolePrefix(
                        grantedAuthorityDefaults.getRolePrefix());
            }
            sources.add(jsr250MethodSecurityMetadataSource);
        }
        return new DelegatingMethodSecurityMetadataSource(sources);
    }

如果希望实现动态的授权,可以重新定义该bean("methodSecurityMetadataSource"),扩展MethodSecurityMetadataSource,增加通过数据库等方式获取方法授权的信息即可。

代码示例:https://github.com/wexgundam/spring.security/tree/master/ch11

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 215,076评论 6 497
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 91,658评论 3 389
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 160,732评论 0 350
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,493评论 1 288
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,591评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,598评论 1 293
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,601评论 3 415
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,348评论 0 270
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,797评论 1 307
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 37,114评论 2 330
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,278评论 1 344
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,953评论 5 339
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,585评论 3 322
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,202评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,442评论 1 268
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 47,180评论 2 367
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,139评论 2 352

推荐阅读更多精彩内容