Spring Security实现类似shiro权限表达式的RBAC权限控制

最新推荐文章于 2025-03-04 21:25:57 发布
最新推荐文章于 2025-03-04 21:25:57 发布
阅读量937 收藏 2
点赞数 1
CC 4.0 BY-SA版权
文章标签: java spring 设计模式 python shiro
本文为博主原创文章,未经博主允许不得转载。
本文链接:https://blog.csdn.net/qq_35067322/article/details/124287648
本文介绍了如何在SpringSecurity中实现类似Shiro的资源权限表达式控制,通过自定义PermissionEvaluator实现动态权限判断。详细讲解了权限表达式的概念、SpringSecurity的配置以及PermissionEvaluator的使用方法,并给出了具体的代码示例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

112236c09ce746f39ec2b43e7e5136b3.gif

昨天有个粉丝加了我,问我如何实现类似shiro的资源权限表达式的访问控制。我以前有一个小框架用的就是shiro,权限控制就用了资源权限表达式,所以这个东西对我不陌生,但是在Spring Security中我并没有使用过它,不过我认为Spring Security可以实现这一点。是的,我找到了实现它的方法。

再看、点赞、转发、关注来一波!

资源权限表达式

说了这么多,我觉得应该解释一下什么叫资源权限表达式。权限控制的核心就是清晰地表达出特定资源的某种操作,一个格式良好好的权限声明可以清晰表达出用户对该资源拥有的操作权限。

通常一个资源在系统中的标识是唯一的,比如User用来标识用户,ORDER标识订单。不管什么资源大都可以归纳出以下这几种操作

dbbd1d94c8ae415427c26d1c9707d887.png

在 shiro权限声明通常对上面的这种资源操作关系用冒号分隔的方式进行表示。例如读取用户信息的操作表示为USER:READ,甚至还可以更加细一些,用USER:READ:123表示读取ID123的用户权限。

资源操作定义好了,再把它和角色关联起来不就是基于RBAC的权限资源控制了吗?就像下面这样:

1619888ee43aad4437b29c7955358995.png

这样资源和角色的关系可以进行CRUD操作进行动态绑定。

Spring Security中的实现

资源权限表达式的动态权限控制在Spring Security也是可以实现的。首先开启方法级别的注解安全控制。

/**
 * 开启方法安全注解
 *
 * @author felord.cn
 */
@EnableGlobalMethodSecurity(prePostEnabled = true,
        securedEnabled = true,
        jsr250Enabled = true)
public class MethodSecurityConfig {
    
}
MethodSecurityExpressionHandler

MethodSecurityExpressionHandler 提供了一个对方法进行安全访问的门面扩展。它的实现类DefaultMethodSecurityExpressionHandler更是提供了针对方法的一系列扩展接口,这里我总结了一下:

b3a340bbecb3d07b051cc8e38d5ad40b.png

这里的PermissionEvaluator正好可以满足需要。

PermissionEvaluator

PermissionEvaluator 接口抽象了对一个用户是否有权限访问一个特定的领域对象的评估过程。

public interface PermissionEvaluator extends AopInfrastructureBean {

 
 boolean hasPermission(Authentication authentication, 
                          Object targetDomainObject, Object permission);

 
 boolean hasPermission(Authentication authentication, 
                          Serializable targetId, String targetType, Object permission);

}

这两个方法仅仅参数列表不同,这些参数的含义为:

  • authentication 当前用户的认证信息,持有当前用户的角色权限。

  • targetDomainObject 用户想要访问的目标领域对象,例如上面的USER

  • permission 这个当前方法设定的目标领域对象的权限,例如上面的READ

  • targetId 这种是对上面targetDomainObject 的具体化,比如ID为123USER,我觉得还可以搞成租户什么的。

  • targetType 是为了配合targetId

第一个方法是用来实现USER:READ的;第二个方法是用来实现USER:READ:123的。

思路以及实现

targetDomainObject:permission不就是USER:READ的抽象吗?只要找出USER:READ对应的角色集合,和当前用户持有的角色进行比对,它们存在交集就证明用户有权限访问。借着这个思路胖哥实现了一个PermissionEvaluator:

/**
 * 资源权限评估
 * 
 * @author felord.cn
 */
public class ResourcePermissionEvaluator implements PermissionEvaluator {
    private final BiFunction<String, String, Collection<? extends GrantedAuthority>> permissionFunction;

    public ResourcePermissionEvaluator(BiFunction<String, String, Collection<? extends GrantedAuthority>> permissionFunction) {
        this.permissionFunction = permissionFunction;
    }

    @Override
    public boolean hasPermission(Authentication authentication, Object targetDomainObject, Object permission) {
        //查询方法标注对应的角色
        Collection<? extends GrantedAuthority> resourceAuthorities = permissionFunction.apply((String) targetDomainObject, (String) permission);
        // 用户对应的角色
        Collection<? extends GrantedAuthority> userAuthorities = authentication.getAuthorities();
         // 对比 true 就能访问  false 就不能访问
        return userAuthorities.stream().anyMatch(resourceAuthorities::contains);
    }

    @Override
    public boolean hasPermission(Authentication authentication, Serializable targetId, String targetType, Object permission) {
        //todo
        System.out.println("targetId = " + targetId);
        return true;
    }
}

第二个方法没有实现,因为两个差不多,第二个你可以想想具体的使用场景。

配置和使用

PermissionEvaluator 需要注入到Spring IoC,并且Spring IoC只能有一个该类型的Bean

@Bean
    PermissionEvaluator resourcePermissionEvaluator() {
        return new ResourcePermissionEvaluator((targetDomainObject, permission) -> {
            //TODO 这里形式其实可以不固定
            String key = targetDomainObject + ":" + permission;
            //TODO  查询 key 和  authority 的关联关系
            //  模拟 permission 关联角色   根据key 去查 grantedAuthorities
            Set<SimpleGrantedAuthority> grantedAuthorities = new HashSet<>();
            grantedAuthorities.add(new SimpleGrantedAuthority("ROLE_ADMIN"));
            return "USER:READ".equals(key) ? grantedAuthorities : new HashSet<>();
        });
    }

接下来写个接口,用@PreAuthorize注解标记,然后直接用hasPermission('USER','READ')来静态绑定该接口的访问权限表达式:

@GetMapping("/postfilter")
    @PreAuthorize("hasPermission('USER','READ')")
    public Collection<String> postfilter(){
        List<String> list = new ArrayList<>();
        list.add("felord.cn");
        list.add("码农小胖哥");
        list.add("请关注一下");
        return list;
    }

然后定义一个用户:

@Bean
    UserDetailsService users() {
        UserDetails user = User.builder()
                .username("felord")
                .password("123456")
      .passwordEncoder(PasswordEncoderFactories.createDelegatingPasswordEncoder()::encode)
                .roles("USER")
                .authorities("ROLE_ADMIN","ROLE_USER")
                .build();
        return new InMemoryUserDetailsManager(user);
    }

接下来肯定是正常能够访问接口的。当你改变了@PreAuthorize中表达式的值或者移除了用户的ROLE_ADMIN权限,再或者USER:READ关联到了其它角色等等,都会返回403。其它关于SpringSecurity注解的知识可以看50fe8bb102f701670048887998b6c9d8.png这一篇。

留给你去测试的

你可以看看注解改成这样会是什么效果:

@PreAuthorize("hasPermission('USER','READ') or hasRole('ADMIN')")

这样呢?

@PreAuthorize("hasPermission('1234','USER','READ')")

或者让targetId动态化:

@PreAuthorize("hasPermission(#id,'USER','READ')")
    public Collection<String> postfilter(String id){
        
    }

可以留言区回复测试结果

另外最近胖哥有很多成系列的内容输出:

有兴趣的可以看看。

0da6479a2dde7af3a460b8806630c077.gif

spring cloud+spring boot__基于SpringSecurity实现RABC模式实现系统登录和动态权限
xuemeng2016的专栏
08-07 447
如果你以前没有接触过springcloud,本专栏将带你一步步实现一套分布式架构基础框架。如果你以前看过很多demo,但是无法搞清楚每一个实现步骤,本专栏将值得你看一看。如果你选择学习本专栏,那么所有遇到相关技术问题都可以联系方式我们一起探讨。面向切面编程可以很好的解决代耦合等问题,方便对于预先业务不做修改的前提下做一些变更。...
Spring Security 按钮级别的权限怎么实现
l688899886的博客
06-27 2910
首先小伙伴们都知道权限有不同的颗粒度,在 vhr 项目中,整体上我是基于请求地址去处理权限的,这个粒度算粗还是算细呢?有的小伙伴们可能认为这个权限粒度太粗,所谓细粒度的权限应该是基于按钮的。如果有小伙伴们做过前后端不分的开发,应该会有这样的体会:在 Shiro 或者 Spring Security 框架中,都提供了一些标签,通过这些标签可以做到在满足某种角色或者权限的情况下,显示某个按钮;当用户不具备某种角色或者权限的时候,按钮则会自动隐藏起来。但是大家想想,按钮的显示与隐藏不过是前端页面为了提高用户体验而
Spring Security 可动态授权RBAC权限模块实践
深蓝传说
11-28 1万+
先在web.xml 中配置一个过滤器(必须在Struts的过滤器之前) springSecurityFilterChain org.springframework.web.filter.DelegatingFilterProxy springSecurityFilterChain /* 然后就是编写Spring安全的配置文件applicationContext-securi
SpringSecurity3.2.5搭建支持RBAC的源代
12-12
SpringSecurity3.2.5搭建支持RBAC的源代示例~~原文http://blog.csdn.net/yeluosc/article/details/41890351
Spring Security实现RBAC权限管理
weixin_33979745的博客
06-21 1313
Spring Security实现RBAC权限管理 一简介 在企业应用中,认证和授权是非常重要的一部分内容,业界最出名的两个框架就是大名鼎鼎的 ShiroSpring Security。由于Spring Boot非常的流行,选择Spring Security做认证和授权的 人越来越多,今天我们就来看看用Sp...
使用SpringSecurity3实现RBAC权限管理
novelly的专栏
02-13 1245
1、 What? 什么是权限管理?         具体可参见百度:http://baike.baidu.com/view/2108713.htm     名词备注:     数据级权限:百科内的权限管理一文解释的比较不错,但其中的“数据级权限”有的人看来会觉得有点摸不着头脑。数据级权限,即表示权限与特定数据有联系的权限,比方说,某用户只能创建100个用户。这个100,就
springcloud脚手架:(扩展:整合微信小程序博客,权限Shiro替换为spring security.zip
02-23
Spring Security提供了丰富的API和配置选项,能够实现基于角色的访问控制(RBAC)、表达式语言(EL)以及自定义访问决策机制。在本项目中,通过Spring Security,可以实现用户登录、权限验证、权限分配等功能,确保...
java】基于springboot+shiroRBAC权限管理系统_pgj.zip
01-03
基于Spring Boot和Shiro构建的RBAC权限管理系统,为开发人员提供了一个强大的平台,能够帮助他们快速且安全地实现复杂的企业级权限控制需求。通过这样的系统,企业可以有效地管理内部员工对信息系统的访问权限,从而...
SpringSecurity原理剖析与权限系统设计
ZHAOHUODIAN888的博客
08-28 682
并提供了系统内集成Spring Security的方法,结合RBAC通用权限系统模型,讨论了统一资源构建和统一鉴权的设计和实现。一般情况下,系统内需要权限管控的资源是无法用户自定义的,因为资源会耦合大量的业务逻辑,所以我们提供了自 资源工厂,通过配置化的方式构建业务模块所需的资源。使用动态代理的方式进行AOP,只允许在接口层面进行权限拦截,如果想在任意的方法上进行权限拦截,那么就需要借助于AspectJ的方式进行AOP。综上,基于统一资源抽象和资源配置化构建,可以实现资源的统一构建,继而实现统一鉴权。...
美年_移动端开发_权限控制_Spring Security入门与进阶
Princess_Y
12-03 4775
第三章权限控制 1:认证和授权的概念 • 认证:登录(用户名和密) • 授权:访问系统功能的权限 2:权限模块的数据模型 • 用户表 • 角色表 • 权限表 • 菜单表 3:表之间关系 • 用户和角色是多对多关系 • 角色和权限是多对多关系 • 权限和菜单是多对多关系 3.1. 认证和授权概念 前面我们已经完成了旅游后台管理系统的部分功能,例如自由行管理、跟团游管理、套餐管理、预约设置等。接下来我们需要思考2个问题: 问题1:在生产环境下我们如果不登录后台系统就可以完成这些功能操作吗? 答案显然是否定的,
SpringSecurity实现RBAC权限验证
weixin_45881125的博客
03-20 2741
基于角色的访问控制(RBAC)是一种访问控制策略,用于管理系统、应用程序或网络中的用户对资源的访问权限RBAC 将用户分配给角色,然后将权限分配给角色,而不是直接将权限分配给个别用户。这种方式简化了权限管理,特别是在大型组织或系统中,可以更轻松地管理权限。角色(Roles):角色是一组具有相似职责或权限需求的用户集合。例如,一个企业应用可能有角色如“管理员”、“普通用户”、“审计员”等。
Spring Security快速实现 RBAC模型案例
威哥爱编程,CSDN 博客专家、全栈领域新星创作者、华为 HDE,愿交天下 IT 技术爱好者
05-28 1589
这个示例提供了一个基础的RBAC实现,实际应用中可能需要更复杂的角色和权限管理,以及与业务逻辑更紧密的集成。这是一个简单的 RBAC 模型案例,通过这个案例,你可以了解 RBAC 模型的实现步骤,应用在你的实际项目中,当然你需要考虑实际项目中的具体需求和逻辑来改造这个案例,你学会了吗。在这个配置中,我们定义了不同URL路径的访问权限,例如/admin/**只允许具有ADMIN角色的用户访问,而/user/**则允许USER和ADMIN角色的用户访问。在这个配置中,我们定义了不同URL路径的访问权限,例如。
SpringSecurityRBAC角色权限控制
user__kk的博客
09-12 1505
RBAC 全称为用户角色权限控制,通过角色关联用户,角色关联权限,这种方式,间阶的赋予用户的权限。对于通常的系统而言,存在多个用户具有相同的权限,在分配的时候,要为指定的用户分配相关的权限,修改的时候也要依次的对这几个用户的权限进行修改,有了角色这个权限,在修改权限的时候,只需要对角色进行修改,就可以实现相关的权限的修改。这样做增加了效率,减少了权限漏洞的发生。权限是资源的集合,这里的资源指的是软件中的所有的内容,即,对页面的操作权限,对页面的访问权限,对数据的增删查改的权限
Spring Security(基于RBAC模型的权限控制框架)搭建
私は悪い人ですか的博客
12-17 2677
什么是RBAC模型: 概念 权限管理,这是每个软件系统都会涉及到的,而且权限管理的需求本质往往都是一样,不同的角色拥有不同的权限,只要你充当了某个角色,你就拥有了相对应的功能。 RBAC(Role-Based Access Control,基于角色的访问控制),就是用户通过角色与权限进行关联。 简单地说,一个用户拥有若干角色,每一个角色拥有若干权限。 这样,就构造成“用户-角色-权限”的...
【技术方案】权限系统设计方案实践(Spring Security + RBAC 模型)
最新发布
_Djhhh` blog
03-04 1763
本文将介绍中大型项目中常用的一套权限系统设计方案,通过 SpringSecurity 安全管理框架,并结合 RBAC 模型进行数据模型设计,可以完成一个较为完整的权限系统
基于Spring Aop实现类似shiro的简单权限校验功能
weixin_30689307的博客
12-12 175
在我们的web开发过程中,经常需要用到功能权限校验,验证用户是否有某个角色或者权限,目前有很多框架,如Shiro Shiro有基于自定义登录界面的版本,也有基于CAS登录的版本,目前我们的系统是基于CAS单点登录,各个公司的单点登录机制略有差异,和Shiro CAS的标准单点登录校验方式也自然略有不同。 在尝试将自定义登录的普通版Shiro改造失败后,在系统登录、校验角色、权限我认为相对简单后...
spring boot整合spring security实现基于rbac权限控制
热门推荐
轻描淡写
12-09 1万+
1.spring security基于rabc权限控制 1.1 引入依赖 <dependency> <groupId>org.projectlombok</groupId> <artifactId>lombok</artifactId> </dependency>...
springboot 自定义注解记录控制器执行时间(HandlerInterceptor实现
weixin_43931625的博客
07-16 761
springboot自定义注解记录控制器执行时间(HandlerInterceptor实现
springSecurity实现基于资源的访问控制
qiuxinfa123的博客
04-17 2707
通过自定义springSecurity的授权逻辑,参考上篇博客 :springSecurity授权简单分析 ,你会发现它的使用场景是 基于角色的访问控制,网上很多文章写的也是基于角色的权限控制。但是,我很觉得很诧异,为什么很少有人思考 基于资源的访问控制?毕竟,在shiro中是可以实现的。为什么要思考基于资源的访问控制? 我的出发点是,即使是同样的角色,也可以拥有不用的权限,可以动态...
Java权限管理系统的设计与实现
Spring Security提供了SpEL(Spring Expression Language),而Apache Shiro则提供了自己的权限表达式语言。 8. JWT(JSON Web Token): JWT是一种紧凑的、自包含的方式,用于在各方之间安全地传输信息。在Java...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

码农小胖哥

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值