在网上看见不少的博客、技术文章,发现大家对于Spring Security中的角色(roles)存在较大的误解,最大的误解就是没有搞清楚其中角色和权限的差别(好多人在学习Spring Security时,是不是对于到底加不加“ROLE_”前缀有点犯蒙),有时候觉得在进行权限控制时用权限名称或者用角色名称都差不多(大家这种感觉是对的,如果简单应用确实差不太多)。
        我们在进行角色权限控制设计时,一般包括账户(users)、角色(roles)、权限(authorities)这三部分。
                1)一个账户一般对应一个或多个角色;
                2)一个角色对应多个权限(authorities),反过来一个权限也对应多个角色;
                3)账户只和角色关联,通过角色,间接和权限产生关系;
                4)角色不是固定死的,是能够动态创建的,每个角色具有的权限能够灵活的进行调整;
                5)在系统完成详细设计后,有哪些权限就已经确定下来,权限的层级结构和数量、与账户和角色没半点关系。
        基于以上的说明,我们从源码的角度来说明Spring Security的账户、角色和权限是怎么一回事。
        Spring Security工作流程:通过登录的账户,找到该账户对应的角色/权限,并把自定义的权限集合转换为Spring Security认可的权限集合List<GrantedAuthority>,然后结合自定义的账号、密码,和新权限集合这三个参数,创建一个Spring Security认可的账号实例,再然后根据自定义的鉴权规则,进行权限控制。
        这里面如何创建账号、角色、权限,实现用户认证、进行鉴权的细节就不讲了,因为这个不是本篇文章的重点,有兴趣的读者可以看我的视频介绍:https://edu.51cto.com/sd/091c7 ,里面有详细的如何进行实战型的Spring Security角色权限控制模块的开发。
        重点来了,通过应用角色权限控制的应用,看Spring Security如何利用角色和权限的
四种鉴权的方式:
        hasRole(String role)
        hasAnyRole(String... roles)
        hasAuthority(String authority)
        hasAnyAuthority(String... authorities)
在源码类SecurityExpressionRoot.java中,我们看看这四种方式的实现形式:

大家从上面的图看出什么端倪没有?
        hasRole(String role) --》 hasAnyRole(String... roles) --》hasAnyAuthorityName
        hasAuthority(String authority) --》hasAnyAuthority(String... authorities) --》hasAnyAuthorityName
不管是基于角色,还是基于权限,最后鉴权都落实到hasAnyAuthorityName这个方法上。

follow me,我们继续往下刨根,看看hasAnyAuthorityName这个方法里面有些什么,注意上面代码中的调用hasAnyAuthorityName时,传递的参数,一个是

另外一个是

对应的都是一个实现方法。

从hasAnyAuthorityName这个方法中,我们可以知道,这是把传进去的一个或多个角色/权限,在登录用户具有的权限中进行查找

这里面的大家看到了吧,角色和权限是混合在一起进行鉴权的(题外话,大家看大神们写的代码,注意到其中的var5、var6、var4,这是搞什么?严重不符合命名规范啊)。
那么Spring Security是如何区分集合中的是权限、还是角色呢,我们继续抽丝剥茧,看看该方法中的getRoleWithDefaultPrefix(prefix, role)方法。

看上面的代码清晰明了了吧,说明如下:
        如果传进去的角色名称/权限名称为null,直接返回null;
        如果传进去的角色名称/权限名称不为null,则判断defaultRolePrefix前缀这个参数是否为空和其长度,如果不为空,且长度不为0,则传进的参数为角色名称,那么继续判断其是否是以“ROLE”开始,如果不是,则在名称前添加前缀“ROLE”,并返回新的名称;
        如果不是以上情况,即参数是权限名称或者带有“ROLE_”前缀的角色名称,直接返回传进去的字符串参数。

看了以上的部分源码解析,我们可以得出什么结论呢(以角色、权限存放在数据库为例):
        1、原生的角色和权限并没有本质的区别,在鉴权时走的是完全相同的一个通道;
        2、在进行权限控制时,角色可加可不加“ROLE”前缀,但在数据库中定义时,角色名称一定要添加“ROLE”前缀;
        3、角色与权限之间并没有建立映射关系,角色是角色、权限是权限,这与我们实际应用中对角色的要求有很大出入;
        4、实际应用中的角色被固化到代码中,也与实际要求不符,实际应用中,权限作为子节点可以写死,而角色作为全部或者部分权限的集合应该可以灵活调整;
        5、不管是角色鉴权,还是权限鉴权,都只是以角色/权限的名称作为判断依据,所以权限的名称要唯一。
        另外,从Spring Security的源码分析中可以发现,我们还可以通过RoleHierarchy进行角色的继承(默认admin登录只能访问/admin,访问不了/user;而user登录只能访问/user),但在实际项目中,最主要强调的是角色的灵活性,而不是继承性。
        所以,对角色的管理、角色和权限的映射关系,都需要我们自己来实现。
        好了,对Spring Security角色(roles)的分析就到此结束,从以上分析看,我们如果要把Spring Security应用于实际项目中,还需要做不少工作,至于如何简洁高效的利用Spring Security进行角色权限控制模块的开发,有兴趣的读者可以参见视频:https://edu.51cto.com/sd/091c7 ,希望对大家有有所帮助。

看源码,重新审视Spring Security中的角色(roles)是怎么回事的更多相关文章

  1. 五:Spring Security 中的角色继承问题

    Spring Security 中的角色继承问题 以前的写法 现在的写法 源码分析 SpringSecurity 在角色继承上有两种不同的写法,在 Spring Boot2.0.8(对应 Spring ...

  2. 专治不会看源码的毛病--spring源码解析AOP篇

    昨天有个大牛说我啰嗦,眼光比较细碎,看不到重点.太他爷爷的有道理了!要说看人品,还是女孩子强一些.原来记得看到一个男孩子的抱怨,说怎么两人刚刚开始在一起,女孩子在心里就已经和他过完了一辈子.哥哥们,不 ...

  3. 【spring源码学习】spring事务中的嵌套事务中的保存点相关知识

    JDBC事务保存点(setSavepoint, releaseSavepoint )实例 以下是使用事务教程中描述的setSavepoint和回滚的代码示例. 此示例代码是基于前面章节中完成的环境和数 ...

  4. Spring AOP源码解析——专治你不会看源码的坏毛病!

    昨天有个大牛说我啰嗦,眼光比较细碎,看不到重点.太他爷爷的有道理了!要说看人品,还是女孩子强一些. 原来记得看到一个男孩子的抱怨,说怎么两人刚刚开始在一起,女孩子在心里就已经和他过完了一辈子.哥哥们, ...

  5. 【源码讲解】Spring事务是如何应用到你的业务场景中的?

    初衷 日常开发中经常用到@Transaction注解,那你知道它是怎么应用到你的业务代码中的吗?本篇文章将从以下两个方面阐述Spring事务实现原理: 解析并加载事务配置:本质上是解析xml文件将标签 ...

  6. 带着萌新看springboot源码8(spring ioc源码上)

    emmm.....这次先不说springboot原理,先好好回顾一下以前的注解版spring原理,先把spring原理了解清晰了,再看springboot原理更容易. 要说起spring,最重要的就是 ...

  7. FastJson遇见的问题或项目实战中优化的问题,看源码都可以解决

    1:感觉见鬼了一般存储JSONObject中的字段竟然不见了? JSONObject object=new JSONObject(); Map fields = new HashMap(); fiel ...

  8. python3-开发进阶 django-rest framework 中的 版本操作(看源码解说)

    今天我们来说一说rest framework 中的 版本 操作的详解 首先我们先回顾一下 rest framework的流程: 请求进来走view ,然后view调用视图的dispath函数 为了演示 ...

  9. 结合源码浅谈Spring容器与其子容器Spring MVC 冲突问题

    容器是整个Spring 框架的核心思想,用来管理Bean的整个生命周期. 一个项目中引入Spring和SpringMVC这两个框架,Spring是父容器,SpringMVC是其子容器,子容器可以看见父 ...

随机推荐

  1. Java实现 蓝桥杯VIP 算法训练 二元函数

    问题描述 令二元函数f(x,y)=ax+by,a和b为整数,求一个表达式S的值. 只有满足以下要求的表达式才是合法的: 1.任意整数x是一个合法的表达式: 2.如果A和B都是合法的表达式,则f(A,B ...

  2. Java中lang包的常用方法介绍

    JAVA API(图片来源:实验楼) 包装类 Integer包装类 方法 返回值 功能描述 byteValue() byte 以 byte 类型返回该 Integer 的值 intValue() in ...

  3. Go 语言入门教程:变量

    基础使用 // base.go  注释package main  // 包名import "fmt"  // 导入 func main() { fmt.Println(" ...

  4. 几种常见的dfs模板

    判断从v出发是否能走到终点 bool dfs(v){ if(v is 终点)return true; if(v is 旧点)return false; 将v标记为旧点: 对和v相邻的每个节点u{ if ...

  5. transport方式连接Elasticsearch6.2.3

    连接ES有3中方式: ①transport方式 ②rest方式 ③JEST方式(第三方) 我自己项目使用第一种方式,代码和配置如下: 1.引入依赖 <dependency> <gro ...

  6. v-on 缩写

    <!-- 完整语法 --> <a v-on:click="doSomething"></a> <!-- 缩写 --> <a @ ...

  7. 开窗函数_ROW_NUMBER() / RANK() / DENSE_RANK() / NTILE() ------4个排名函数训练_1

    排名函数(训练,其实从SQL2005时就已经被引入) /*SQL Server 2012从零开始学_7.8  排序函数*/ --DROP TABLE fruits GO Create table fr ...

  8. 添加cookie绕过登陆

    添加cookie绕过登陆 #!/usr/bin/env python # -*- coding: utf-8 -*- from selenium import webdriver import tim ...

  9. 恕我直言你可能真的不会java第1篇:lambda表达式会用了么?

    本文配套教学视频:B站观看地址 在本号之前写过的一些文章中,笔者使用了lambda表达式语法,一些读者反映说代码看不懂.本以为java 13都已经出了,java 8中最重要特性lambda表达式大家应 ...

  10. Python中和迭代有关的两个函数next()和iter()

    next(): next()返回迭代器的下一个项目 next语法: next(iterator[,dafault]) iterator -- 可迭代对象 default -- 可选,用于设置在没有下一 ...