前后端分离的项目,前端有菜单(menu),后端有API(backendApi),一个menu对应的页面有N个API接口来支持,本文介绍如何基于spring security实现前后端的同步权限控制。

实现思路

还是基于Role来实现,具体的思路是,一个Role拥有多个Menu,一个menu有多个backendApi,其中Role和menu,以及menu和backendApi都是ManyToMany关系。

验证授权也很简单,用户登陆系统时,获取Role关联的Menu,页面访问后端API时,再验证下用户是否有访问API的权限。

domain定义

我们用JPA来实现,先来定义Role

public class Role implements Serializable {

    @Id

    @GeneratedValue(strategy = GenerationType.IDENTITY)

    private Long id;

    /**

     * 名称

     */

    @NotNull

    @ApiModelProperty(value = "名称", required = true)

    @Column(name = "name", nullable = false)

    private String name;

    /**

     * 备注

     */

    @ApiModelProperty(value = "备注")

    @Column(name = "remark")

    private String remark;

    @JsonIgnore

    @ManyToMany

    @JoinTable(

        name = "role_menus",

        joinColumns = {@JoinColumn(name = "role_id", referencedColumnName = "id")},

        inverseJoinColumns = {@JoinColumn(name = "menu_id", referencedColumnName = "id")})

    @Cache(usage = CacheConcurrencyStrategy.NONSTRICT_READ_WRITE)

    @BatchSize(size = 100)

    private Set<Menu> menus = new HashSet<>();

	}

以及Menu:

public class Menu implements Serializable {

    @Id

    @GeneratedValue(strategy = GenerationType.IDENTITY)

    private Long id;

    @Column(name = "parent_id")

    private Integer parentId;

    /**

     * 文本

     */

    @ApiModelProperty(value = "文本")

    @Column(name = "text")

    private String text;

	@ApiModelProperty(value = "angular路由")

    @Column(name = "link")

    private String link;

    @ManyToMany

    @JsonIgnore

    @JoinTable(name = "backend_api_menus",

        joinColumns = @JoinColumn(name="menus_id", referencedColumnName="id"),

        inverseJoinColumns = @JoinColumn(name="backend_apis_id", referencedColumnName="id"))

    @Cache(usage = CacheConcurrencyStrategy.NONSTRICT_READ_WRITE)

    private Set<BackendApi> backendApis = new HashSet<>();

    @ManyToMany(mappedBy = "menus")

    @JsonIgnore

    private Set<Role> roles = new HashSet<>();

	}

最后是BackendApi,区分method(HTTP请求方法)、tag(哪一个Controller)和path(API请求路径):

public class BackendApi implements Serializable {

    private static final long serialVersionUID = 1L;

    @Id

    @GeneratedValue(strategy = GenerationType.IDENTITY)

    private Long id;

    @Column(name = "tag")

    private String tag;

    @Column(name = "path")

    private String path;

    @Column(name = "method")

    private String method;

    @Column(name = "summary")

    private String summary;

    @Column(name = "operation_id")

    private String operationId;

    @ManyToMany(mappedBy = "backendApis")

    @Cache(usage = CacheConcurrencyStrategy.NONSTRICT_READ_WRITE)

    private Set<Menu> menus = new HashSet<>();

	}

管理页面实现

Menu菜单是业务需求确定的,因此提供CRUD编辑即可。

BackendAPI,可以通过swagger来获取。

前端选择ng-algin,参见Angular 中后台前端解决方案 - Ng Alain 介绍

通过swagger获取BackendAPI

获取swagger api有多种方法,最简单的就是访问http接口获取json,然后解析,这很简单,这里不赘述,还有一种就是直接调用相关API获取Swagger对象。

查看官方的web代码,可以看到获取数据大概是这样的:

        String groupName = Optional.fromNullable(swaggerGroup).or(Docket.DEFAULT_GROUP_NAME);

        Documentation documentation = documentationCache.documentationByGroup(groupName);

        if (documentation == null) {

            return new ResponseEntity<Json>(HttpStatus.NOT_FOUND);

        }

        Swagger swagger = mapper.mapDocumentation(documentation);

        UriComponents uriComponents = componentsFrom(servletRequest, swagger.getBasePath());

        swagger.basePath(Strings.isNullOrEmpty(uriComponents.getPath()) ? "/" : uriComponents.getPath());

        if (isNullOrEmpty(swagger.getHost())) {

            swagger.host(hostName(uriComponents));

        }

        return new ResponseEntity<Json>(jsonSerializer.toJson(swagger), HttpStatus.OK);

其中的documentationCache、environment、mapper等可以直接Autowired获得:

@Autowired

    public SwaggerResource(

        Environment environment,

        DocumentationCache documentationCache,

        ServiceModelToSwagger2Mapper mapper,

        BackendApiRepository backendApiRepository,

        JsonSerializer jsonSerializer) {

        this.hostNameOverride = environment.getProperty("springfox.documentation.swagger.v2.host", "DEFAULT");

        this.documentationCache = documentationCache;

        this.mapper = mapper;

        this.jsonSerializer = jsonSerializer;

        this.backendApiRepository = backendApiRepository;

    }

然后我们自动加载就简单了,写一个updateApi接口,读取swagger对象,然后解析成BackendAPI,存储到数据库:

@RequestMapping(

        value = "/api/updateApi",

        method = RequestMethod.GET,

        produces = { APPLICATION_JSON_VALUE, HAL_MEDIA_TYPE })

    @PropertySourcedMapping(

        value = "${springfox.documentation.swagger.v2.path}",

        propertyKey = "springfox.documentation.swagger.v2.path")

    @ResponseBody

    public ResponseEntity<Json> updateApi(

        @RequestParam(value = "group", required = false) String swaggerGroup) {

        // 加载已有的api

        Map<String,Boolean> apiMap = Maps.newHashMap();

        List<BackendApi> apis = backendApiRepository.findAll();

        apis.stream().forEach(api->apiMap.put(api.getPath()+api.getMethod(),true));

        // 获取swagger

        String groupName = Optional.fromNullable(swaggerGroup).or(Docket.DEFAULT_GROUP_NAME);

        Documentation documentation = documentationCache.documentationByGroup(groupName);

        if (documentation == null) {

            return new ResponseEntity<Json>(HttpStatus.NOT_FOUND);

        }

        Swagger swagger = mapper.mapDocumentation(documentation);

        // 加载到数据库

        for(Map.Entry<String, Path> item : swagger.getPaths().entrySet()){

            String path = item.getKey();

            Path pathInfo = item.getValue();

            createApiIfNeeded(apiMap, path,  pathInfo.getGet(), HttpMethod.GET.name());

            createApiIfNeeded(apiMap, path,  pathInfo.getPost(), HttpMethod.POST.name());

            createApiIfNeeded(apiMap, path,  pathInfo.getDelete(), HttpMethod.DELETE.name());

            createApiIfNeeded(apiMap, path,  pathInfo.getPut(), HttpMethod.PUT.name());

        }

        return new ResponseEntity<Json>(HttpStatus.OK);

    }

其中createApiIfNeeded,先判断下是否存在,不存在的则新增:

 private void createApiIfNeeded(Map<String, Boolean> apiMap, String path, Operation operation, String method) {

        if(operation==null) {

            return;

        }

        if(!apiMap.containsKey(path+ method)){

            apiMap.put(path+ method,true);

            BackendApi api = new BackendApi();

            api.setMethod( method);

            api.setOperationId(operation.getOperationId());

            api.setPath(path);

            api.setTag(operation.getTags().get(0));

            api.setSummary(operation.getSummary());

            // 保存

            this.backendApiRepository.save(api);

        }

    }

最后,做一个简单页面展示即可:

菜单管理

新增和修改页面,可以选择上级菜单,后台API做成按tag分组,可多选即可:

列表页面

角色管理

普通的CRUD,最主要的增加一个菜单授权页面,菜单按层级显示即可:

认证实现

管理页面可以做成千奇百样,最核心的还是如何实现认证。

在上一篇文章spring security实现动态配置url权限的两种方法里我们说了,可以自定义FilterInvocationSecurityMetadataSource来实现。

实现FilterInvocationSecurityMetadataSource接口即可,核心是根据FilterInvocation的Request的method和path,获取对应的Role,然后交给RoleVoter去判断是否有权限。

自定义FilterInvocationSecurityMetadataSource

我们新建一个DaoSecurityMetadataSource实现FilterInvocationSecurityMetadataSource接口,主要看getAttributes方法:

     @Override

    public Collection<ConfigAttribute> getAttributes(Object object) throws IllegalArgumentException {

        FilterInvocation fi = (FilterInvocation) object;

        List<Role> neededRoles = this.getRequestNeededRoles(fi.getRequest().getMethod(), fi.getRequestUrl());

        if (neededRoles != null) {

            return SecurityConfig.createList(neededRoles.stream().map(role -> role.getName()).collect(Collectors.toList()).toArray(new String[]{}));

        }

        //  返回默认配置

        return superMetadataSource.getAttributes(object);

    }

核心是getRequestNeededRoles怎么实现,获取到干净的RequestUrl(去掉参数),然后看是否有对应的backendAPI,如果没有,则有可能该API有path参数,我们可以去掉最后的path,去库里模糊匹配,直到找到。

 public List<Role> getRequestNeededRoles(String method, String path) {

        String rawPath = path;

        //  remove parameters

        if(path.indexOf("?")>-1){

            path = path.substring(0,path.indexOf("?"));

        }

        // /menus/{id}

        BackendApi api = backendApiRepository.findByPathAndMethod(path, method);

        if (api == null){

            // try fetch by remove last path

            api = loadFromSimilarApi(method, path, rawPath);

        }

        if (api != null && api.getMenus().size() > 0) {

            return api.getMenus()

                .stream()

                .flatMap(menu -> menuRepository.findOneWithRolesById(menu.getId()).getRoles().stream())

                .collect(Collectors.toList());

        }

        return null;

    }

    private BackendApi loadFromSimilarApi(String method, String path, String rawPath) {

        if(path.lastIndexOf("/")>-1){

            path = path.substring(0,path.lastIndexOf("/"));

            List<BackendApi> apis = backendApiRepository.findByPathStartsWithAndMethod(path, method);

            // 如果为空,再去掉一层path

            while(apis==null){

                if(path.lastIndexOf("/")>-1) {

                    path = path.substring(0, path.lastIndexOf("/"));

                    apis = backendApiRepository.findByPathStartsWithAndMethod(path, method);

                }else{

                    break;

                }

            }

            if(apis!=null){

                for(BackendApi backendApi : apis){

                    if (antPathMatcher.match(backendApi.getPath(), rawPath)) {

                        return backendApi;

                    }

                }

            }

        }

        return null;

    }

其中,BackendApiRepository:

    @EntityGraph(attributePaths = "menus")

    BackendApi findByPathAndMethod(String path,String method);

    @EntityGraph(attributePaths = "menus")

    List<BackendApi> findByPathStartsWithAndMethod(String path,String method);

以及MenuRepository

    @EntityGraph(attributePaths = "roles")

    Menu findOneWithRolesById(long id);

使用DaoSecurityMetadataSource

需要注意的是,在DaoSecurityMetadataSource里,不能直接注入Repository,我们可以给DaoSecurityMetadataSource添加一个方法,方便传入:

   public void init(MenuRepository menuRepository, BackendApiRepository backendApiRepository) {

        this.menuRepository = menuRepository;

        this.backendApiRepository = backendApiRepository;

    }

然后建立一个容器,存储实例化的DaoSecurityMetadataSource,我们可以建立如下的ApplicationContext来作为对象容器,存取对象:

public class ApplicationContext {

    static Map<Class<?>,Object> beanMap = Maps.newConcurrentMap();

    public static <T> T getBean(Class<T> requireType){

        return (T) beanMap.get(requireType);

    }

    public static void registerBean(Object item){

        beanMap.put(item.getClass(),item);

    }

}

在SecurityConfiguration配置中使用DaoSecurityMetadataSource,并通过 ApplicationContext.registerBeanDaoSecurityMetadataSource注册:

 @Override

    protected void configure(HttpSecurity http) throws Exception {

        http

            .addFilterBefore(corsFilter, UsernamePasswordAuthenticationFilter.class)

            .exceptionHandling()

            .authenticationEntryPoint(problemSupport)

            .accessDeniedHandler(problemSupport)

			....

           // .withObjectPostProcessor()

            // 自定义accessDecisionManager

            .accessDecisionManager(accessDecisionManager())

            // 自定义FilterInvocationSecurityMetadataSource

            .withObjectPostProcessor(new ObjectPostProcessor<FilterSecurityInterceptor>() {

                @Override

                public <O extends FilterSecurityInterceptor> O postProcess(

                    O fsi) {

                    fsi.setSecurityMetadataSource(daoSecurityMetadataSource(fsi.getSecurityMetadataSource()));

                    return fsi;

                }

            })

        .and()

            .apply(securityConfigurerAdapter());

    }

    @Bean

    public DaoSecurityMetadataSource daoSecurityMetadataSource(FilterInvocationSecurityMetadataSource filterInvocationSecurityMetadataSource) {

        DaoSecurityMetadataSource securityMetadataSource = new DaoSecurityMetadataSource(filterInvocationSecurityMetadataSource);

        ApplicationContext.registerBean(securityMetadataSource);

        return securityMetadataSource;

    }

最后,在程序启动后,通过ApplicationContext.getBean获取到daoSecurityMetadataSource,然后调用init注入Repository

 public static void postInit(){

        ApplicationContext

            .getBean(DaoSecurityMetadataSource.class)

 .init(applicationContext.getBean(MenuRepository.class),applicationContext.getBean(BackendApiRepository.class));

    }

    static ConfigurableApplicationContext applicationContext;

    public static void main(String[] args) throws UnknownHostException {

        SpringApplication app = new SpringApplication(UserCenterApp.class);

        DefaultProfileUtil.addDefaultProfile(app);

        applicationContext = app.run(args);

        // 后初始化

        postInit();

}

大功告成!

延伸阅读

作者:Jadepeng

出处:jqpeng的技术记事本--http://www.cnblogs.com/xiaoqi

您的支持是对博主最大的鼓励,感谢您的认真阅读。

本文版权归作者所有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接,否则保留追究法律责任的权利。

基于spring security 实现前后端分离项目权限控制的更多相关文章

  1. 基于 Spring Security 的前后端分离的权限控制系统

    话不多说,入正题.一个简单的权限控制系统需要考虑的问题如下: 权限如何加载 权限匹配规则 登录 1.  引入maven依赖 1 <?xml version="1.0" enc ...

  2. 喜大普奔,两个开源的 Spring Boot + Vue 前后端分离项目可以在线体验了

    折腾了一周的域名备案昨天终于搞定了. 松哥第一时间想到赶紧把微人事和 V 部落部署上去,我知道很多小伙伴已经等不及了. 1. 也曾经上过线 其实这两个项目当时刚做好的时候,我就把它们部署到服务器上了, ...

  3. 两个开源的 Spring Boot + Vue 前后端分离项目

    折腾了一周的域名备案昨天终于搞定了. 松哥第一时间想到赶紧把微人事和 V 部落部署上去,我知道很多小伙伴已经等不及了. 1. 也曾经上过线 其实这两个项目当时刚做好的时候,我就把它们部署到服务器上了, ...

  4. 如何使用Spring Securiry实现前后端分离项目的登录功能

    如果不是前后端分离项目,使用SpringSecurity做登录功能会很省心,只要简单的几项配置,便可以轻松完成登录成功失败的处理,当访问需要认证的页面时,可以自动重定向到登录页面.但是前后端分离的项目 ...

  5. Spring Boot + Vue + Shiro 实现前后端分离、权限控制

    本文总结自实习中对项目的重构.原先项目采用Springboot+freemarker模版,开发过程中觉得前端逻辑写的实在恶心,后端Controller层还必须返回Freemarker模版的ModelA ...

  6. Springboot + Vue + shiro 实现前后端分离、权限控制

    本文总结自实习中对项目对重构.原先项目采用Springboot+freemarker模版,开发过程中觉得前端逻辑写的实在恶心,后端Controller层还必须返回Freemarker模版的ModelA ...

  7. 使用 Nginx 部署前后端分离项目,解决跨域问题

    前后端分离这个问题其实松哥和大家聊过很多了,上周松哥把自己的两个开源项目部署在服务器上以帮助大家可以快速在线预览(喜大普奔,两个开源的 Spring Boot + Vue 前后端分离项目可以在线体验了 ...

  8. 七个开源的 Spring Boot 前后端分离项目,一定要收藏!

    前后端分离已经在慢慢走进各公司的技术栈,根据松哥了解到的消息,不少公司都已经切换到这个技术栈上面了.即使贵司目前没有切换到这个技术栈上面,松哥也非常建议大家学习一下前后端分离开发,以免在公司干了两三年 ...

  9. 基于Vue的前后端分离项目实践

    一.为什么需要前后端分离 1.1什么是前后端分离  前后端分离这个词刚在毕业(15年)那会就听说过,但是直到17年前都没有接触过前后端分离的项目.怎么理解前后端分离?直观的感觉就是前后端分开去做,即功 ...

随机推荐

  1. 021_nginx动态upstream检查

    GET: 请求指定的页面信息,并返回实体主体.HEAD: 只请求页面的首部. #参考:http://tengine.taobao.org/document_cn/http_upstream_check ...

  2. PHP一维数组转二维数组正则表达式

    2017年11月20日17:17:08 array(1 => '哈哈')  变成  array('id' => 1, 'name' => '哈哈') 查找目标:  (\d)\s=&g ...

  3. sqlserver记录去重

    ,[emp_name] ,[gender] ,[department] ,[salary] from [employee] select * from ( select ROW_NUMBER() ov ...

  4. Elasticsearch索引别名、Filtered索引别名、Template

    在使用elasticsearch的时候,经常会遇到需要淘汰掉历史数据的场景. 为了方便数据淘汰,并使得数据管理更加灵活,我们经常会以时间为粒度建立索引,例如: 每个月建立一个索引:monthly-20 ...

  5. 【转】Jmeter中使用CSV Data Set Config参数化不重复数据执行N遍

    Jmeter中使用CSV Data Set Config参数化不重复数据执行N遍 要求: 今天要测试上千条数据,且每条数据要求执行多次,(模拟多用户多次抽奖) 1.用户id有175个,且没有任何排序规 ...

  6. JS中的进制转换

    1 前言 js的进制转换, 分为2进制,8进制,10进制,16进制之间的相互转换, 我们直接利用 对象.toString()即可实现. 仅作为记录. 2 代码 //10进制转为16进制 (10).to ...

  7. cocos2d内存管理,类的生命周期

    下面资料来自<Cocos2d-x之Lua核心编程>

  8. C# 中使用 Excel

    using System;using System.Collections.Generic;using System.Text;using System.Reflection;using System ...

  9. Oracle+PL+SQL从入门到精通.丁士锋.清华大学出版社.2012

    \t第1篇 pl/sql开发入门第1章 oracle 11g数据库系统1.1 关系型数据库系统介绍1.1.1 什么是关系型数据模型1.1.2 数据库系统范式1.1.3 关系型数据库管理系统1.1.4 ...

  10. Confluence 6 禁用或者重新启用一个任务

    在默认的情况下,所有的 Confluence 计划任务都是默认启用的. 使用 启用(Disable )/ 禁用(Enable )连接操作来启用和禁用每一个计划任务. 不是所有的加护任务都可以被禁用的. ...