spring security实现简单的url权限拦截

忘是亡心i 2024-02-19 18:38 23阅读 0赞

在一个系统中，权限的拦截是很常见的事情，通常情况下我们都是基于url进行拦截。那么在spring security中应该怎么配置呢。

**大致步骤如下:**

1、用户登录成功后我们需要拿到用户所拥有的权限，并保存到当前的认证对象中。

|- SecurityUserDetailServiceImpl\#loadUserByUsername(String) 在根据用户名获取到用户后，一起查询出用户拥有的权限

2、当用户访问某一个url时，我们需要判断当前访问的url所需要的权限当前认证的用户是否拥有。

|- 系统加载时需要加载出 所有的资源(url)与之对应的权限

|- 用户访问url时，如果是有权限判断的url,取出url所需要的权限和用户当前的权限进行一个比对

> 成功 放行

> 无权 拒绝

3、修改spring security的配置文件，增加我们自己的权限判断

那么我们怎么知道我们拥有哪些权限呢？我们可以基于一个简单的rbac的权限模型来进行实现。系统中存在 用户(sys\_user),角色(sys\_role),资源(sys\_resources),用于和角色多对多关系(sys\_user\_role),角色和资源也是多对多关系(sys\_role\_resource)。

在资源这张表中记录着url和url所需要的权限。

基于上一篇 "认识 spring security" 我们来做一个简单的修改，实现url权限的拦截。

**一**、修改SecurityUserDetailServiceImpl这个类，在用户登录成功时，加入用户所拥有的权限  
![aHR0cDovL2RsMi5pdGV5ZS5jb20vdXBsb2FkL2F0dGFjaG1lbnQvMDEyNy82ODc3Lzk5NTAzZWFjLTRmZTQtMzNmMC05OGEyLTVkNGYxOGVmOTY2OS5wbmc][]  
 **注：在上图中可以看到用户拥有 admin、01、0102这三个权限**

**二、**编写一个方法实现系统中的url权限判断

/**
     * 系统中的安全资源决策
     * 
     * @描述
     * @作者 huan
     * @时间 2017年11月4日 - 下午12:32:11
     */
    @Slf4j
    @Component("securityResourceDecisionHandler")
    public class SecurityResourceDecisionHandler {
    
    	/**
    	 * 保存的是url以及url所需要的权限
    	 */
    	private static final Map<String, List<GrantedAuthority>> URL_AUTHS = new ConcurrentHashMap<>();
    
    	static {
    		URL_AUTHS.put("/xx", Arrays.asList(new SimpleGrantedAuthority("01")));
    		URL_AUTHS.put("/xx/x", Arrays.asList(new SimpleGrantedAuthority("01")));
    		URL_AUTHS.put("/yy", Arrays.asList(new SimpleGrantedAuthority("0102")));
    		URL_AUTHS.put("/zz/**", Arrays.asList(new SimpleGrantedAuthority("010201")));
    	}
    	AntPathMatcher pathMatcher = new AntPathMatcher();
    
    	/**
    	 * 自定义决策
    	 * 
    	 * @param authentication
    	 *            认证对象
    	 * @param request
    	 *            请求的request对象
    	 * @return true:有权限访问 false:无权限访问
    	 */
    	public boolean auth(Authentication authentication, HttpServletRequest request) {
    		String uri = request.getRequestURI().replace(request.getContextPath(), "");
    		for (Entry<String, List<GrantedAuthority>> entry : URL_AUTHS.entrySet()) {
    			if (pathMatcher.match(entry.getKey(), uri)) {
    				Collection<? extends GrantedAuthority> authorities = authentication.getAuthorities();
    				for (GrantedAuthority grantedAuthority : authorities) {
    					if (entry.getValue().contains(grantedAuthority)) {
    						return true;
    					}
    				}
    				log.warn("当前访问的uri:{},需要的权限是:{},当前用户无此权限.", uri, entry.getValue());
    				return false;
    			}
    		}
    
    		// 访问的是没有配置权限的功能，必须要登录用户才可以进行访问
    		if (authentication.isAuthenticated() && !Objects.equals("anonymousUser", authentication.getPrincipal())) {
    			return true;
    		}
    
    		// 没有登录，直接返回false
    		return false;
    	}
    }

**注： 注意一下 /zz/\*\* 这个url所需要的权限是010201,而这个权限当前登录用户是没有的**

**三、**修改spring security的配置文件  
![aHR0cDovL2RsMi5pdGV5ZS5jb20vdXBsb2FkL2F0dGFjaG1lbnQvMDEyNy82ODc5LzdiZjgwYzVmLTdlYTQtMzgwYy1hMTJkLWY4YTlhOGFlYjM4Mi5wbmc][]

**四、查看结果**（/zz/\*\*这个url需要的权限为010201,而我们只有01,0102,这2个权限，所有就报了无权访问这个。）  
![aHR0cDovL2RsMi5pdGV5ZS5jb20vdXBsb2FkL2F0dGFjaG1lbnQvMDEyNy82ODgxLzU4M2QzNjIxLTk4MTYtM2ZlYS04ZDk0LWY0ZmNhZTQzOWNmYi5wbmc][]  
到此，一个基于简单的url拦截的实现就完成了。

[aHR0cDovL2RsMi5pdGV5ZS5jb20vdXBsb2FkL2F0dGFjaG1lbnQvMDEyNy82ODc3Lzk5NTAzZWFjLTRmZTQtMzNmMC05OGEyLTVkNGYxOGVmOTY2OS5wbmc]: https://image.dandelioncloud.cn/pgy_files/images/2024/01/29/97c40b3ef8ec41c3ab166a0c21383469.png
[aHR0cDovL2RsMi5pdGV5ZS5jb20vdXBsb2FkL2F0dGFjaG1lbnQvMDEyNy82ODc5LzdiZjgwYzVmLTdlYTQtMzgwYy1hMTJkLWY4YTlhOGFlYjM4Mi5wbmc]: https://image.dandelioncloud.cn/pgy_files/images/2024/01/29/8586759ddd7f4311ac45b24434d92d04.png
[aHR0cDovL2RsMi5pdGV5ZS5jb20vdXBsb2FkL2F0dGFjaG1lbnQvMDEyNy82ODgxLzU4M2QzNjIxLTk4MTYtM2ZlYS04ZDk0LWY0ZmNhZTQzOWNmYi5wbmc]: https://image.dandelioncloud.cn/pgy_files/images/2024/01/29/207ce3584f57415bb1d9d02b2c76e526.png