ch11:精確授權——頁面級權限控制與方法級權限控制

本節給大家介紹Spring Security精確授權。用戶通過認證只是證明了訪問者得身法是否合法,但是并未確認其能訪問和可執行的動作。精確授權就是對其能夠進行哪些操作的細粒度的控制。
頁面級精確授權一般是指對頁面中的部分元素進行選擇性的顯示控制,而不是控制整個頁面。此外,頁面授權只是控制功能的顯示與不顯示,對于那些繞過界面直接訪問服務的行為,還需要方法授權加以保護。Spring Security為我們提供了頁面級和方法級兩種精確授權。

頁面授權主要是通過Jsp標簽庫在頁面添加條件聲明來實現

  1. 基于URL控制頁面元素
    這種方式主要依據用戶權限配置的URL。我們在配置文件中配置了
    .antMatchers("/admin/**").hasRole("ADMIN"),即只有具有ROLE_ADMIN的用戶才能訪問/admin及其下級頁面。當使用以下標簽時,Spring Security會根據該配置控制元素的顯示。
<sec:authorize url="/admin">
        <h1>通過Url控制訪問:</h1>
        <c:out value="/admin"/>
</sec:authorize>

當用戶具備能夠訪問對應URL的角色時,標簽內部的元素就會顯示。

  1. 基于Spring EL控制頁面元素
    當我們沒有配置URL與角色關系時,我們可以使用Spring EL表達式控制頁面元素的顯示。
<sec:authorize access="hasRole('ROLE_ADMIN') and fullyAuthenticated">
        <h1>通過Spring EL控制訪問:</h1>
        <c:out value="hasRole('ROLE_ADMIN') and fullyAuthenticated"/>
</sec:authorize>

當用戶具備Spring EL描述的角色時,標簽內部的元素就會顯示。

方法授權主要是通過Annotation或者Java Configuration來實現

  1. Annotation
    在要控制訪問的方法上添加注解就可以實現訪問控制,前提是方法所在的實例應是Spring的bean。
    在@Configuration之后增加@EnableGlobalMethodSecurity(prePostEnabled = true)注解以開啟方法保護,其中prePostEnabled = true標識允許使用@PreAuthorize()注解。在UserService的preAuthorizeMethod方法標記注解,限制只有具備ROLE_ADMIN的用戶才能訪問該方法,否則系統拋出AccessDeniedException。
    @PreAuthorize("hasRole('ROLE_ADMIN')")
    public String preAuthorizeMethod() {
        return "This method is protected by Spring Security Annotation.";
    }

通過使用@PreFilter還可以控制集合的元素

    @PostFilter("((filterObject.contains('2') or filterObject.contains('4')) and hasRole('ROLE_USER')) or hasRole('ROLE_ADMIN')")
    public List<String> postFilter() {
        List<String> list = new ArrayList<>();
        for (int index = 0; index < 10; index++) {
            list.add("Item" + index);
        }
        return list;
    }

ROLE_USER角色只能訪問集合中的部分元素,而ROLE_ADMIN可以訪問全部元素

  1. Java Configuration
    使用Annotation需要我們在每個需要控制的方法上都要增加注解,這樣做非常繁雜且不易維護。Spring Security為我們提供了通過Java Configuration的方式控制方法訪問的渠道。那么我們就可以通過數據庫等方式動態訪問權限,簡化控制設置。為了實現Java Configuration的方式我們需要多做一些工作。
    創建一個新的類繼承GlobalMethodSecurityConfiguration,并且標記@EnableGlobalMethodSecurity。重寫方法customMethodSecurityMetadataSource就可以實現對于任意類的任意方法的精確授權。
   @Override
    protected MethodSecurityMetadataSource customMethodSecurityMetadataSource() {
        MapBasedMethodSecurityMetadataSource metadataSource = new MapBasedMethodSecurityMetadataSource();
        metadataSource.addSecureMethod(UserService.class, "javaConfiguredMethod", SecurityConfig.createList("ROLE_ADMIN"));
        return metadataSource;
    }

該方法至此靜態授權,即系統初始化時就確定好方法的訪問權限,初始化后不可再修改。查看源代碼發現,所有的方法授權都存儲在一個Spring bean中,DelegatingMethodSecurityMetadataSource包含所有的靜態授權權限。

@Bean
    public MethodSecurityMetadataSource methodSecurityMetadataSource() {
        List<MethodSecurityMetadataSource> sources = new ArrayList<MethodSecurityMetadataSource>();
        ExpressionBasedAnnotationAttributeFactory attributeFactory = new ExpressionBasedAnnotationAttributeFactory(
                getExpressionHandler());
        MethodSecurityMetadataSource customMethodSecurityMetadataSource = customMethodSecurityMetadataSource();
        if (customMethodSecurityMetadataSource != null) {
            sources.add(customMethodSecurityMetadataSource);
        }
        if (prePostEnabled()) {
            sources.add(new PrePostAnnotationSecurityMetadataSource(attributeFactory));
        }
        if (securedEnabled()) {
            sources.add(new SecuredAnnotationSecurityMetadataSource());
        }
        if (jsr250Enabled()) {
            GrantedAuthorityDefaults grantedAuthorityDefaults =
                    getSingleBeanOrNull(GrantedAuthorityDefaults.class);
            if (grantedAuthorityDefaults != null) {
                this.jsr250MethodSecurityMetadataSource.setDefaultRolePrefix(
                        grantedAuthorityDefaults.getRolePrefix());
            }
            sources.add(jsr250MethodSecurityMetadataSource);
        }
        return new DelegatingMethodSecurityMetadataSource(sources);
    }

如果希望實現動態的授權,可以重新定義該bean("methodSecurityMetadataSource"),擴展MethodSecurityMetadataSource,增加通過數據庫等方式獲取方法授權的信息即可。

代碼示例:https://github.com/wexgundam/spring.security/tree/master/ch11

最后編輯于
?著作權歸作者所有,轉載或內容合作請聯系作者
  • 人面猴
    序言:七十年代末,一起剝皮案震驚了整個濱河市,隨后出現的幾起案子,更是在濱河造成了極大的恐慌,老刑警劉巖,帶你破解...
    沈念sama閱讀 227,428評論 6 531
  • 死咒
    序言:濱河連續發生了三起死亡事件,死亡現場離奇詭異,居然都是意外死亡,警方通過查閱死者的電腦和手機,發現死者居然都...
    沈念sama閱讀 98,024評論 3 413
  • 救了他兩次的神仙讓他今天三更去死
    文/潘曉璐 我一進店門,熙熙樓的掌柜王于貴愁眉苦臉地迎上來,“玉大人,你說我怎么就攤上這事。” “怎么了?”我有些...
    開封第一講書人閱讀 175,285評論 0 373
  • 道士緝兇錄:失蹤的賣姜人
    文/不壞的土叔 我叫張陵,是天一觀的道長。 經常有香客問我,道長,這世上最難降的妖魔是什么? 我笑而不...
    開封第一講書人閱讀 62,548評論 1 307
  • ?港島之戀(遺憾婚禮)
    正文 為了忘掉前任,我火速辦了婚禮,結果婚禮上,老公的妹妹穿的比我還像新娘。我一直安慰自己,他們只是感情好,可當我...
    茶點故事閱讀 71,328評論 6 404
  • 惡毒庶女頂嫁案:這布局不是一般人想出來的
    文/花漫 我一把揭開白布。 她就那樣靜靜地躺著,像睡著了一般。 火紅的嫁衣襯著肌膚如雪。 梳的紋絲不亂的頭發上,一...
    開封第一講書人閱讀 54,878評論 1 321
  • 城市分裂傳說
    那天,我揣著相機與錄音,去河邊找鬼。 笑死,一個胖子當著我的面吹牛,可吹牛的內容都是我干的。 我是一名探鬼主播,決...
    沈念sama閱讀 42,971評論 3 439
  • 雙鴛鴦連環套:你想象不到人心有多黑
    文/蒼蘭香墨 我猛地睜開眼,長吁一口氣:“原來是場噩夢啊……” “哼!你這毒婦竟也來了?” 一聲冷哼從身側響起,我...
    開封第一講書人閱讀 42,098評論 0 286
  • 萬榮殺人案實錄
    序言:老撾萬榮一對情侶失蹤,失蹤者是張志新(化名)和其女友劉穎,沒想到半個月后,有當地人在樹林里發現了一具尸體,經...
    沈念sama閱讀 48,616評論 1 331
  • ?護林員之死
    正文 獨居荒郊野嶺守林人離奇死亡,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內容為張勛視角 年9月15日...
    茶點故事閱讀 40,554評論 3 354
  • ?白月光啟示錄
    正文 我和宋清朗相戀三年,在試婚紗的時候發現自己被綠了。 大學時的朋友給我發了我未婚夫和他白月光在一起吃飯的照片。...
    茶點故事閱讀 42,725評論 1 369
  • 活死人
    序言:一個原本活蹦亂跳的男人離奇死亡,死狀恐怖,靈堂內的尸體忽然破棺而出,到底是詐尸還是另有隱情,我是刑警寧澤,帶...
    沈念sama閱讀 38,243評論 5 355
  • ?日本核電站爆炸內幕
    正文 年R本政府宣布,位于F島的核電站,受9級特大地震影響,放射性物質發生泄漏。R本人自食惡果不足惜,卻給世界環境...
    茶點故事閱讀 43,971評論 3 345
  • 男人毒藥:我在死后第九天來索命
    文/蒙蒙 一、第九天 我趴在偏房一處隱蔽的房頂上張望。 院中可真熱鬧,春花似錦、人聲如沸。這莊子的主人今日做“春日...
    開封第一講書人閱讀 34,361評論 0 25
  • 一樁弒父案,背后竟有這般陰謀
    文/蒼蘭香墨 我抬頭看了看天上的太陽。三九已至,卻和暖如春,著一層夾襖步出監牢的瞬間,已是汗流浹背。 一陣腳步聲響...
    開封第一講書人閱讀 35,613評論 1 280
  • 情欲美人皮
    我被黑心中介騙來泰國打工, 沒想到剛下飛機就差點兒被人妖公主榨干…… 1. 我叫王不留,地道東北人。 一個月前我還...
    沈念sama閱讀 51,339評論 3 390
  • 代替公主和親
    正文 我出身青樓,卻偏偏與公主長得像,于是被迫代替她去往敵國和親。 傳聞我的和親對象是個殘疾皇子,可洞房花燭夜當晚...
    茶點故事閱讀 47,695評論 2 370

推薦閱讀更多精彩內容