锐客网

  1. 首页 > 睿知 > it技术 > >

Spring|Spring Security全新版本使用方式

目录

  • 基本使用
    • 升级版本
    • 旧用法
    • 新用法
  • 高级使用
    • 基于方法的动态权限
    • 基于路径的动态权限
  • 效果测试
    • 总结
      • 参考资料
        • 项目源码地址
          前不久Spring Boot 2.7.0 刚刚发布,Spring Security 也升级到了5.7.1 。升级后发现,原来一直在用的Spring Security配置方法,居然已经被弃用了。不禁感慨技术更新真快,用着用着就被弃用了!今天带大家体验下Spring Security的最新用法,看看是不是够优雅!
          SpringBoot实战电商项目mall(50k+star)地址:github.com/macrozheng/…

          基本使用
          我们先对比下Spring Security提供的基本功能登录认证,来看看新版用法是不是更好。

          升级版本
          首先修改项目的pom.xml文件,把Spring Boot版本升级至2.7.0版本。
          < parent> < groupId> org.springframework.boot< /groupId> < artifactId> spring-boot-starter-parent< /artifactId> < version> 2.7.0< /version> < relativePath/> < !-- lookup parent from repository --> < /parent> 复制代码


          旧用法
          在Spring Boot 2.7.0 之前的版本中,我们需要写个配置类继承WebSecurityConfigurerAdapter,然后重写Adapter中的三个方法进行配置;
          /** * SpringSecurity的配置 * Created by macro on 2018/4/26. */@Configuration@EnableWebSecurity@EnableGlobalMethodSecurity(prePostEnabled = true)public class OldSecurityConfig extends WebSecurityConfigurerAdapter {@Autowiredprivate UmsAdminService adminService; @Overrideprotected void configure(HttpSecurity httpSecurity) throws Exception {//省略HttpSecurity的配置}@Overrideprotected void configure(AuthenticationManagerBuilder auth) throws Exception {auth.userDetailsService(userDetailsService()).passwordEncoder(passwordEncoder()); }@Bean@Overridepublic AuthenticationManager authenticationManagerBean() throws Exception {return super.authenticationManagerBean(); }}复制代码

          如果你在SpringBoot 2.7.0版本中进行使用的话,你就会发现WebSecurityConfigurerAdapter已经被弃用了,看样子Spring Security要坚决放弃这种用法了!
          Spring|Spring Security全新版本使用方式
          文章图片


          新用法
          新用法非常简单,无需再继承WebSecurityConfigurerAdapter,只需直接声明配置类,再配置一个生成SecurityFilterChainBean的方法,把原来的HttpSecurity配置移动到该方法中即可。
          /** * SpringSecurity 5.4.x以上新用法配置 * 为避免循环依赖,仅用于配置HttpSecurity * Created by macro on 2022/5/19. */@Configurationpublic class SecurityConfig {@BeanSecurityFilterChain filterChain(HttpSecurity httpSecurity) throws Exception {//省略HttpSecurity的配置return httpSecurity.build(); }}复制代码

          新用法感觉非常简洁干脆,避免了继承WebSecurityConfigurerAdapter并重写方法的操作,强烈建议大家更新一波!

          高级使用
          升级 Spring Boot 2.7.0版本后,Spring Security对于配置方法有了大的更改,那么其他使用有没有影响呢?其实是没啥影响的,这里再聊聊如何使用Spring Security实现动态权限控制!

          基于方法的动态权限
          首先来聊聊基于方法的动态权限控制,这种方式虽然实现简单,但却有一定的弊端。
          • 在配置类上使用@EnableGlobalMethodSecurity来开启它;
          /** * SpringSecurity的配置 * Created by macro on 2018/4/26. */@Configuration@EnableWebSecurity@EnableGlobalMethodSecurity(prePostEnabled = true)public class OldSecurityConfig extends WebSecurityConfigurerAdapter {}复制代码

          • 然后在方法中使用@PreAuthorize配置访问接口需要的权限;
          /** * 商品管理Controller * Created by macro on 2018/4/26. */@Controller@Api(tags = "PmsProductController", description = "商品管理")@RequestMapping("/product")public class PmsProductController {@Autowiredprivate PmsProductService productService; @ApiOperation("创建商品")@RequestMapping(value = "https://www.it610.com/create", method = RequestMethod.POST)@ResponseBody@PreAuthorize("hasAuthority('pms:product:create')")public CommonResult create(@RequestBody PmsProductParam productParam, BindingResult bindingResult) {int count = productService.create(productParam); if (count > 0) {return CommonResult.success(count); } else {return CommonResult.failed(); }}}复制代码

          • 再从数据库中查询出用户所拥有的权限值设置到UserDetails对象中去,这种做法虽然实现方便,但是把权限值写死在了方法上,并不是一种优雅的做法。
          /** * UmsAdminService实现类 * Created by macro on 2018/4/26. */@Servicepublic class UmsAdminServiceImpl implements UmsAdminService {@Overridepublic UserDetails loadUserByUsername(String username){//获取用户信息UmsAdmin admin = getAdminByUsername(username); if (admin != null) {List< UmsPermission> permissionList = getPermissionList(admin.getId()); return new AdminUserDetails(admin,permissionList); }throw new UsernameNotFoundException("用户名或密码错误"); }}复制代码

          【Spring|Spring Security全新版本使用方式】
          基于路径的动态权限
          其实每个接口对应的路径都是唯一的,通过路径来进行接口的权限控制才是更优雅的方式。
          • 首先我们需要创建一个动态权限的过滤器,这里注意下doFilter方法,用于配置放行OPTIONS白名单请求,它会调用super.beforeInvocation(fi)方法,此方法将调用AccessDecisionManager中的decide方法来进行鉴权操作;
          /** * 动态权限过滤器,用于实现基于路径的动态权限过滤 * Created by macro on 2020/2/7. */public class DynamicSecurityFilter extends AbstractSecurityInterceptor implements Filter {@Autowiredprivate DynamicSecurityMetadataSource dynamicSecurityMetadataSource; @Autowiredprivate IgnoreUrlsConfig ignoreUrlsConfig; @Autowiredpublic void setMyAccessDecisionManager(DynamicAccessDecisionManager dynamicAccessDecisionManager) {super.setAccessDecisionManager(dynamicAccessDecisionManager); }@Overridepublic void init(FilterConfig filterConfig) throws ServletException {}@Overridepublic void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {HttpServletRequest request = (HttpServletRequest) servletRequest; FilterInvocation fi = new FilterInvocation(servletRequest, servletResponse, filterChain); //OPTIONS请求直接放行if(request.getMethod().equals(HttpMethod.OPTIONS.toString())){fi.getChain().doFilter(fi.getRequest(), fi.getResponse()); return; }//白名单请求直接放行PathMatcher pathMatcher = new AntPathMatcher(); for (String path : ignoreUrlsConfig.getUrls()) {if(pathMatcher.match(path,request.getRequestURI())){fi.getChain().doFilter(fi.getRequest(), fi.getResponse()); return; }}//此处会调用AccessDecisionManager中的decide方法进行鉴权操作InterceptorStatusToken token = super.beforeInvocation(fi); try {fi.getChain().doFilter(fi.getRequest(), fi.getResponse()); } finally {super.afterInvocation(token, null); }}@Overridepublic void destroy() {}@Overridepublic Class< ?> getSecureObjectClass() {return FilterInvocation.class; }@Overridepublic SecurityMetadataSource obtainSecurityMetadataSource() {return dynamicSecurityMetadataSource; }}复制代码

          • 接下来我们就需要创建一个类来继承AccessDecisionManager,通过decide方法对访问接口所需权限和用户拥有的权限进行匹配,匹配则放行;
          /** * 动态权限决策管理器,用于判断用户是否有访问权限 * Created by macro on 2020/2/7. */public class DynamicAccessDecisionManager implements AccessDecisionManager {@Overridepublic void decide(Authentication authentication, Object object,Collection< ConfigAttribute> configAttributes) throws AccessDeniedException, InsufficientAuthenticationException {// 当接口未被配置资源时直接放行if (CollUtil.isEmpty(configAttributes)) {return; }Iterator< ConfigAttribute> iterator = configAttributes.iterator(); while (iterator.hasNext()) {ConfigAttribute configAttribute = iterator.next(); //将访问所需资源或用户拥有资源进行比对String needAuthority = configAttribute.getAttribute(); for (GrantedAuthority grantedAuthority : authentication.getAuthorities()) {if (needAuthority.trim().equals(grantedAuthority.getAuthority())) {return; }}}throw new AccessDeniedException("抱歉,您没有访问权限"); }@Overridepublic boolean supports(ConfigAttribute configAttribute) {return true; }@Overridepublic boolean supports(Class< ?> aClass) {return true; }}复制代码

          • 由于上面的decide方法中的configAttributes属性是从FilterInvocationSecurityMetadataSourcegetAttributes方法中获取的,我们还需创建一个类继承它,getAttributes方法可用于获取访问当前路径所需权限值;
          /** * 动态权限数据源,用于获取动态权限规则 * Created by macro on 2020/2/7. */public class DynamicSecurityMetadataSource implements FilterInvocationSecurityMetadataSource {private static Map< String, ConfigAttribute> configAttributeMap = null; @Autowiredprivate DynamicSecurityService dynamicSecurityService; @PostConstructpublic void loadDataSource() {configAttributeMap = dynamicSecurityService.loadDataSource(); }public void clearDataSource() {configAttributeMap.clear(); configAttributeMap = null; }@Overridepublic Collection< ConfigAttribute> getAttributes(Object o) throws IllegalArgumentException {if (configAttributeMap == null) this.loadDataSource(); List< ConfigAttribute> configAttributes = new ArrayList< > (); //获取当前访问的路径String url = ((FilterInvocation) o).getRequestUrl(); String path = URLUtil.getPath(url); PathMatcher pathMatcher = new AntPathMatcher(); Iterator< String> iterator = configAttributeMap.keySet().iterator(); //获取访问该路径所需资源while (iterator.hasNext()) {String pattern = iterator.next(); if (pathMatcher.match(pattern, path)) {configAttributes.add(configAttributeMap.get(pattern)); }}// 未设置操作请求权限,返回空集合return configAttributes; }@Overridepublic Collection< ConfigAttribute> getAllConfigAttributes() {return null; }@Overridepublic boolean supports(Class< ?> aClass) {return true; }}复制代码

          • 这里需要注意的是,所有路径对应的权限值数据来自于自定义的DynamicSecurityService
          /** * 动态权限相关业务类 * Created by macro on 2020/2/7. */public interface DynamicSecurityService {/*** 加载资源ANT通配符和资源对应MAP*/Map< String, ConfigAttribute> loadDataSource(); }复制代码

          • 一切准备就绪,把动态权限过滤器添加到FilterSecurityInterceptor之前;
          /** * SpringSecurity 5.4.x以上新用法配置 * 为避免循环依赖,仅用于配置HttpSecurity * Created by macro on 2022/5/19. */@Configurationpublic class SecurityConfig {@Autowiredprivate DynamicSecurityService dynamicSecurityService; @Autowiredprivate DynamicSecurityFilter dynamicSecurityFilter; @BeanSecurityFilterChain filterChain(HttpSecurity httpSecurity) throws Exception {//省略若干配置...//有动态权限配置时添加动态权限校验过滤器if(dynamicSecurityService!=null){registry.and().addFilterBefore(dynamicSecurityFilter, FilterSecurityInterceptor.class); }return httpSecurity.build(); }}复制代码

          • 如果你看过这篇仅需四步,整合SpringSecurity+JWT实现登录认证 ! 的话,就知道应该要配置这两个Bean了,一个负责获取登录用户信息,另一个负责获取存储的动态权限规则,为了适应Spring Security的新用法,我们不再继承SecurityConfig,简洁了不少!
          /** * mall-security模块相关配置 * 自定义配置,用于配置如何获取用户信息及动态权限 * Created by macro on 2022/5/20. */@Configurationpublic class MallSecurityConfig {@Autowiredprivate UmsAdminService adminService; @Beanpublic UserDetailsService userDetailsService() {//获取登录用户信息return username -> {AdminUserDetails admin = adminService.getAdminByUsername(username); if (admin != null) {return admin; }throw new UsernameNotFoundException("用户名或密码错误"); }; }@Beanpublic DynamicSecurityService dynamicSecurityService() {return new DynamicSecurityService() {@Overridepublic Map< String, ConfigAttribute> loadDataSource() {Map< String, ConfigAttribute> map = new ConcurrentHashMap< > (); List< UmsResource> resourceList = adminService.getResourceList(); for (UmsResource resource : resourceList) {map.put(resource.getUrl(), new org.springframework.security.access.SecurityConfig(resource.getId() + ":" + resource.getName())); }return map; }}; }}复制代码


          效果测试
          • 接下来启动我们的示例项目mall-tiny-security,使用如下账号密码登录,该账号只配置了访问/brand/listAll的权限,访问地址:http://localhost:8088/swagger-ui/
          Spring|Spring Security全新版本使用方式
          文章图片

          • 然后把返回的token放入到Swagger的认证头中;
          Spring|Spring Security全新版本使用方式
          文章图片

          • 当我们访问有权限的接口时可以正常获取到数据;
          Spring|Spring Security全新版本使用方式
          文章图片

          • 当我们访问没有权限的接口时,返回没有访问权限的接口提示。
          Spring|Spring Security全新版本使用方式
          文章图片


          总结 Spring Security的升级用法确实够优雅,够简单,而且对之前用法的兼容性也比较好!个人感觉一个成熟的框架不太会在升级过程中大改用法,即使改了也会对之前的用法做兼容,所以对于绝大多数框架来说旧版本会用,新版本照样会用!

          参考资料
          本文仅仅是对Spring Security新用法的总结,如果你想了解Spring Security更多用法,可以参考下之前的文章。
          • mall整合SpringSecurity和JWT实现认证和授权(一)
          • mall整合SpringSecurity和JWT实现认证和授权(二)
          • 仅需四步,整合SpringSecurity+JWT实现登录认证 !
          • 手把手教你搞定权限管理,结合Spring Security实现接口的动态权限控制!

          项目源码地址 github.com/macrozheng/…

          作者:MacroZheng
          链接:https://juejin.cn/post/7106300827035238407
          来源:稀土掘金
          著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
          以上就是Spring Security全新版本使用方式的详细内容,更多关于Spring Security新版本的资料请关注脚本之家其它相关文章!

            推荐阅读


            上一篇:C++|设计一个有getmin功能的栈

            下一篇:js实现表单校验功能