前后端分离的项目,前端有菜单(menu),后端有API(backendApi),一个menu对应的页面有N个API接口来支持,本文介绍如何基于spring security实现前后端的同步权限控制。

实现思路

还是基于Role来实现,具体的思路是,一个Role拥有多个Menu,一个menu有多个backendApi,其中Role和menu,以及menu和backendApi都是ManyToMany关系。

验证授权也很简单,用户登陆系统时,获取Role关联的Menu,页面访问后端API时,再验证下用户是否有访问API的权限。

domain定义

我们用JPA来实现,先来定义Role

public class Role implements Serializable {

    @Id

    @GeneratedValue(strategy = GenerationType.IDENTITY)

    private Long id;

    /**

     * 名称

     */

    @NotNull

    @ApiModelProperty(value = "名称", required = true)

    @Column(name = "name", nullable = false)

    private String name;

    /**

     * 备注

     */

    @ApiModelProperty(value = "备注")

    @Column(name = "remark")

    private String remark;

    @JsonIgnore

    @ManyToMany

    @JoinTable(

        name = "role_menus",

        joinColumns = {@JoinColumn(name = "role_id", referencedColumnName = "id")},

        inverseJoinColumns = {@JoinColumn(name = "menu_id", referencedColumnName = "id")})

    @Cache(usage = CacheConcurrencyStrategy.NONSTRICT_READ_WRITE)

    @BatchSize(size = 100)

    private Set<Menu> menus = new HashSet<>();

	}

以及Menu:

public class Menu implements Serializable {

    @Id

    @GeneratedValue(strategy = GenerationType.IDENTITY)

    private Long id;

    @Column(name = "parent_id")

    private Integer parentId;

    /**

     * 文本

     */

    @ApiModelProperty(value = "文本")

    @Column(name = "text")

    private String text;

	@ApiModelProperty(value = "angular路由")

    @Column(name = "link")

    private String link;

    @ManyToMany

    @JsonIgnore

    @JoinTable(name = "backend_api_menus",

        joinColumns = @JoinColumn(name="menus_id", referencedColumnName="id"),

        inverseJoinColumns = @JoinColumn(name="backend_apis_id", referencedColumnName="id"))

    @Cache(usage = CacheConcurrencyStrategy.NONSTRICT_READ_WRITE)

    private Set<BackendApi> backendApis = new HashSet<>();

    @ManyToMany(mappedBy = "menus")

    @JsonIgnore

    private Set<Role> roles = new HashSet<>();

	}

最后是BackendApi,区分method(HTTP请求方法)、tag(哪一个Controller)和path(API请求路径):

public class BackendApi implements Serializable {

    private static final long serialVersionUID = 1L;

    @Id

    @GeneratedValue(strategy = GenerationType.IDENTITY)

    private Long id;

    @Column(name = "tag")

    private String tag;

    @Column(name = "path")

    private String path;

    @Column(name = "method")

    private String method;

    @Column(name = "summary")

    private String summary;

    @Column(name = "operation_id")

    private String operationId;

    @ManyToMany(mappedBy = "backendApis")

    @Cache(usage = CacheConcurrencyStrategy.NONSTRICT_READ_WRITE)

    private Set<Menu> menus = new HashSet<>();

	}

管理页面实现

Menu菜单是业务需求确定的,因此提供CRUD编辑即可。

BackendAPI,可以通过swagger来获取。

前端选择ng-algin,参见Angular 中后台前端解决方案 - Ng Alain 介绍

通过swagger获取BackendAPI

获取swagger api有多种方法,最简单的就是访问http接口获取json,然后解析,这很简单,这里不赘述,还有一种就是直接调用相关API获取Swagger对象。

查看官方的web代码,可以看到获取数据大概是这样的:

        String groupName = Optional.fromNullable(swaggerGroup).or(Docket.DEFAULT_GROUP_NAME);

        Documentation documentation = documentationCache.documentationByGroup(groupName);

        if (documentation == null) {

            return new ResponseEntity<Json>(HttpStatus.NOT_FOUND);

        }

        Swagger swagger = mapper.mapDocumentation(documentation);

        UriComponents uriComponents = componentsFrom(servletRequest, swagger.getBasePath());

        swagger.basePath(Strings.isNullOrEmpty(uriComponents.getPath()) ? "/" : uriComponents.getPath());

        if (isNullOrEmpty(swagger.getHost())) {

            swagger.host(hostName(uriComponents));

        }

        return new ResponseEntity<Json>(jsonSerializer.toJson(swagger), HttpStatus.OK);

其中的documentationCache、environment、mapper等可以直接Autowired获得:

@Autowired

    public SwaggerResource(

        Environment environment,

        DocumentationCache documentationCache,

        ServiceModelToSwagger2Mapper mapper,

        BackendApiRepository backendApiRepository,

        JsonSerializer jsonSerializer) {

        this.hostNameOverride = environment.getProperty("springfox.documentation.swagger.v2.host", "DEFAULT");

        this.documentationCache = documentationCache;

        this.mapper = mapper;

        this.jsonSerializer = jsonSerializer;

        this.backendApiRepository = backendApiRepository;

    }

然后我们自动加载就简单了,写一个updateApi接口,读取swagger对象,然后解析成BackendAPI,存储到数据库:

@RequestMapping(

        value = "/api/updateApi",

        method = RequestMethod.GET,

        produces = { APPLICATION_JSON_VALUE, HAL_MEDIA_TYPE })

    @PropertySourcedMapping(

        value = "${springfox.documentation.swagger.v2.path}",

        propertyKey = "springfox.documentation.swagger.v2.path")

    @ResponseBody

    public ResponseEntity<Json> updateApi(

        @RequestParam(value = "group", required = false) String swaggerGroup) {

        // 加载已有的api

        Map<String,Boolean> apiMap = Maps.newHashMap();

        List<BackendApi> apis = backendApiRepository.findAll();

        apis.stream().forEach(api->apiMap.put(api.getPath()+api.getMethod(),true));

        // 获取swagger

        String groupName = Optional.fromNullable(swaggerGroup).or(Docket.DEFAULT_GROUP_NAME);

        Documentation documentation = documentationCache.documentationByGroup(groupName);

        if (documentation == null) {

            return new ResponseEntity<Json>(HttpStatus.NOT_FOUND);

        }

        Swagger swagger = mapper.mapDocumentation(documentation);

        // 加载到数据库

        for(Map.Entry<String, Path> item : swagger.getPaths().entrySet()){

            String path = item.getKey();

            Path pathInfo = item.getValue();

            createApiIfNeeded(apiMap, path,  pathInfo.getGet(), HttpMethod.GET.name());

            createApiIfNeeded(apiMap, path,  pathInfo.getPost(), HttpMethod.POST.name());

            createApiIfNeeded(apiMap, path,  pathInfo.getDelete(), HttpMethod.DELETE.name());

            createApiIfNeeded(apiMap, path,  pathInfo.getPut(), HttpMethod.PUT.name());

        }

        return new ResponseEntity<Json>(HttpStatus.OK);

    }

其中createApiIfNeeded,先判断下是否存在,不存在的则新增:

 private void createApiIfNeeded(Map<String, Boolean> apiMap, String path, Operation operation, String method) {

        if(operation==null) {

            return;

        }

        if(!apiMap.containsKey(path+ method)){

            apiMap.put(path+ method,true);

            BackendApi api = new BackendApi();

            api.setMethod( method);

            api.setOperationId(operation.getOperationId());

            api.setPath(path);

            api.setTag(operation.getTags().get(0));

            api.setSummary(operation.getSummary());

            // 保存

            this.backendApiRepository.save(api);

        }

    }

最后,做一个简单页面展示即可:

菜单管理

新增和修改页面,可以选择上级菜单,后台API做成按tag分组,可多选即可:

列表页面

角色管理

普通的CRUD,最主要的增加一个菜单授权页面,菜单按层级显示即可:

认证实现

管理页面可以做成千奇百样,最核心的还是如何实现认证。

在上一篇文章spring security实现动态配置url权限的两种方法里我们说了,可以自定义FilterInvocationSecurityMetadataSource来实现。

实现FilterInvocationSecurityMetadataSource接口即可,核心是根据FilterInvocation的Request的method和path,获取对应的Role,然后交给RoleVoter去判断是否有权限。

自定义FilterInvocationSecurityMetadataSource

我们新建一个DaoSecurityMetadataSource实现FilterInvocationSecurityMetadataSource接口,主要看getAttributes方法:

     @Override

    public Collection<ConfigAttribute> getAttributes(Object object) throws IllegalArgumentException {

        FilterInvocation fi = (FilterInvocation) object;

        List<Role> neededRoles = this.getRequestNeededRoles(fi.getRequest().getMethod(), fi.getRequestUrl());

        if (neededRoles != null) {

            return SecurityConfig.createList(neededRoles.stream().map(role -> role.getName()).collect(Collectors.toList()).toArray(new String[]{}));

        }

        //  返回默认配置

        return superMetadataSource.getAttributes(object);

    }

核心是getRequestNeededRoles怎么实现,获取到干净的RequestUrl(去掉参数),然后看是否有对应的backendAPI,如果没有,则有可能该API有path参数,我们可以去掉最后的path,去库里模糊匹配,直到找到。

 public List<Role> getRequestNeededRoles(String method, String path) {

        String rawPath = path;

        //  remove parameters

        if(path.indexOf("?")>-1){

            path = path.substring(0,path.indexOf("?"));

        }

        // /menus/{id}

        BackendApi api = backendApiRepository.findByPathAndMethod(path, method);

        if (api == null){

            // try fetch by remove last path

            api = loadFromSimilarApi(method, path, rawPath);

        }

        if (api != null && api.getMenus().size() > 0) {

            return api.getMenus()

                .stream()

                .flatMap(menu -> menuRepository.findOneWithRolesById(menu.getId()).getRoles().stream())

                .collect(Collectors.toList());

        }

        return null;

    }

    private BackendApi loadFromSimilarApi(String method, String path, String rawPath) {

        if(path.lastIndexOf("/")>-1){

            path = path.substring(0,path.lastIndexOf("/"));

            List<BackendApi> apis = backendApiRepository.findByPathStartsWithAndMethod(path, method);

            // 如果为空,再去掉一层path

            while(apis==null){

                if(path.lastIndexOf("/")>-1) {

                    path = path.substring(0, path.lastIndexOf("/"));

                    apis = backendApiRepository.findByPathStartsWithAndMethod(path, method);

                }else{

                    break;

                }

            }

            if(apis!=null){

                for(BackendApi backendApi : apis){

                    if (antPathMatcher.match(backendApi.getPath(), rawPath)) {

                        return backendApi;

                    }

                }

            }

        }

        return null;

    }

其中,BackendApiRepository:

    @EntityGraph(attributePaths = "menus")

    BackendApi findByPathAndMethod(String path,String method);

    @EntityGraph(attributePaths = "menus")

    List<BackendApi> findByPathStartsWithAndMethod(String path,String method);

以及MenuRepository

    @EntityGraph(attributePaths = "roles")

    Menu findOneWithRolesById(long id);

使用DaoSecurityMetadataSource

需要注意的是,在DaoSecurityMetadataSource里,不能直接注入Repository,我们可以给DaoSecurityMetadataSource添加一个方法,方便传入:

   public void init(MenuRepository menuRepository, BackendApiRepository backendApiRepository) {

        this.menuRepository = menuRepository;

        this.backendApiRepository = backendApiRepository;

    }

然后建立一个容器,存储实例化的DaoSecurityMetadataSource,我们可以建立如下的ApplicationContext来作为对象容器,存取对象:

public class ApplicationContext {

    static Map<Class<?>,Object> beanMap = Maps.newConcurrentMap();

    public static <T> T getBean(Class<T> requireType){

        return (T) beanMap.get(requireType);

    }

    public static void registerBean(Object item){

        beanMap.put(item.getClass(),item);

    }

}

在SecurityConfiguration配置中使用DaoSecurityMetadataSource,并通过 ApplicationContext.registerBeanDaoSecurityMetadataSource注册:

 @Override

    protected void configure(HttpSecurity http) throws Exception {

        http

            .addFilterBefore(corsFilter, UsernamePasswordAuthenticationFilter.class)

            .exceptionHandling()

            .authenticationEntryPoint(problemSupport)

            .accessDeniedHandler(problemSupport)

			....

           // .withObjectPostProcessor()

            // 自定义accessDecisionManager

            .accessDecisionManager(accessDecisionManager())

            // 自定义FilterInvocationSecurityMetadataSource

            .withObjectPostProcessor(new ObjectPostProcessor<FilterSecurityInterceptor>() {

                @Override

                public <O extends FilterSecurityInterceptor> O postProcess(

                    O fsi) {

                    fsi.setSecurityMetadataSource(daoSecurityMetadataSource(fsi.getSecurityMetadataSource()));

                    return fsi;

                }

            })

        .and()

            .apply(securityConfigurerAdapter());

    }

    @Bean

    public DaoSecurityMetadataSource daoSecurityMetadataSource(FilterInvocationSecurityMetadataSource filterInvocationSecurityMetadataSource) {

        DaoSecurityMetadataSource securityMetadataSource = new DaoSecurityMetadataSource(filterInvocationSecurityMetadataSource);

        ApplicationContext.registerBean(securityMetadataSource);

        return securityMetadataSource;

    }

最后,在程序启动后,通过ApplicationContext.getBean获取到daoSecurityMetadataSource,然后调用init注入Repository

 public static void postInit(){

        ApplicationContext

            .getBean(DaoSecurityMetadataSource.class)

 .init(applicationContext.getBean(MenuRepository.class),applicationContext.getBean(BackendApiRepository.class));

    }

    static ConfigurableApplicationContext applicationContext;

    public static void main(String[] args) throws UnknownHostException {

        SpringApplication app = new SpringApplication(UserCenterApp.class);

        DefaultProfileUtil.addDefaultProfile(app);

        applicationContext = app.run(args);

        // 后初始化

        postInit();

}

大功告成!

延伸阅读

作者:Jadepeng

出处:jqpeng的技术记事本--http://www.cnblogs.com/xiaoqi

您的支持是对博主最大的鼓励,感谢您的认真阅读。

本文版权归作者所有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接,否则保留追究法律责任的权利。

基于spring security 实现前后端分离项目权限控制的更多相关文章

  1. 基于 Spring Security 的前后端分离的权限控制系统

    话不多说,入正题.一个简单的权限控制系统需要考虑的问题如下: 权限如何加载 权限匹配规则 登录 1.  引入maven依赖 1 <?xml version="1.0" enc ...

  2. 喜大普奔,两个开源的 Spring Boot + Vue 前后端分离项目可以在线体验了

    折腾了一周的域名备案昨天终于搞定了. 松哥第一时间想到赶紧把微人事和 V 部落部署上去,我知道很多小伙伴已经等不及了. 1. 也曾经上过线 其实这两个项目当时刚做好的时候,我就把它们部署到服务器上了, ...

  3. 两个开源的 Spring Boot + Vue 前后端分离项目

    折腾了一周的域名备案昨天终于搞定了. 松哥第一时间想到赶紧把微人事和 V 部落部署上去,我知道很多小伙伴已经等不及了. 1. 也曾经上过线 其实这两个项目当时刚做好的时候,我就把它们部署到服务器上了, ...

  4. 如何使用Spring Securiry实现前后端分离项目的登录功能

    如果不是前后端分离项目,使用SpringSecurity做登录功能会很省心,只要简单的几项配置,便可以轻松完成登录成功失败的处理,当访问需要认证的页面时,可以自动重定向到登录页面.但是前后端分离的项目 ...

  5. Spring Boot + Vue + Shiro 实现前后端分离、权限控制

    本文总结自实习中对项目的重构.原先项目采用Springboot+freemarker模版,开发过程中觉得前端逻辑写的实在恶心,后端Controller层还必须返回Freemarker模版的ModelA ...

  6. Springboot + Vue + shiro 实现前后端分离、权限控制

    本文总结自实习中对项目对重构.原先项目采用Springboot+freemarker模版,开发过程中觉得前端逻辑写的实在恶心,后端Controller层还必须返回Freemarker模版的ModelA ...

  7. 使用 Nginx 部署前后端分离项目,解决跨域问题

    前后端分离这个问题其实松哥和大家聊过很多了,上周松哥把自己的两个开源项目部署在服务器上以帮助大家可以快速在线预览(喜大普奔,两个开源的 Spring Boot + Vue 前后端分离项目可以在线体验了 ...

  8. 七个开源的 Spring Boot 前后端分离项目,一定要收藏!

    前后端分离已经在慢慢走进各公司的技术栈,根据松哥了解到的消息,不少公司都已经切换到这个技术栈上面了.即使贵司目前没有切换到这个技术栈上面,松哥也非常建议大家学习一下前后端分离开发,以免在公司干了两三年 ...

  9. 基于Vue的前后端分离项目实践

    一.为什么需要前后端分离 1.1什么是前后端分离  前后端分离这个词刚在毕业(15年)那会就听说过,但是直到17年前都没有接触过前后端分离的项目.怎么理解前后端分离?直观的感觉就是前后端分开去做,即功 ...

随机推荐

  1. PHP超精简文章管理系统 Summer Article

    2017年3月8日 21:18:43 星期三 git: https://git.oschina.net/myDcool/article.git 截图:

  2. Light OJ 1020

    简单推理题: #include<bits/stdc++.h> using namespace std; int main() { int T, n; string Name; cin &g ...

  3. 洛谷P4841 城市规划 [生成函数,NTT]

    传送门 题意简述:求\(n​\)个点的简单无向连通图的数量\(\mod \;1004535809​\),\(n \leq 130000​\) 经典好题呀!这里介绍两种做法:多项式求逆.多项式求对数 先 ...

  4. C语言学习及应用笔记之二:C语言static关键字及其使用

    C语言有很多关键字,大多关键字使用起来是很明确的,但有一些关键字却要相对复杂一些.我们这里要说明的static关键字就是如此,它的功能很强大,相应的使用也就更复杂. 一般来说static关键字的常见用 ...

  5. Confluence 6 管理协同编辑 - 修改编辑模式

    编辑模式确定了你站点所有用户使用协同编辑的体验,这个是你对协同编辑进行启用和关闭的地方. 希望修改编辑模式: 进入  > 基本配置(General Configuration) > 协同编 ...

  6. 好用的JS拖拽插件

    下载artDialog插件的时候发现它把拖拽单独封装成了一个方法,挺好用的,使用方法如下... 第一种拖拽方式-点击容器指定区域进行拖拽 $('.ui-dialog').on(DragEvent.ty ...

  7. SpringBoot图片上传(二)

    需求简介:做新增的时候,需要上传图片.(⊙o⊙)…这需求描述也太简单了吧,限制文件大小60*60 512kb ,第一次做,记录一下嗷,废话就不啰嗦了 上代码 代码: //html代码<div c ...

  8. kali linux DVWA config 问题解决方案

    1.下载DVWA之后解压到 var/www/html目录下 unzip DVWA-master.zip -d /usr/www/html 2.配置 打开终端,执行以下命令: 将apache2停止:se ...

  9. Vue中使用Vue.component定义两个全局组件,用单标签应用组件时,只显示一个组件的问题和 $emit的使用。

    解决方法: 定义了两个 Vue.component 在 el 中使用的时候要用 双标签, 用单表标签的时候,只会显示第个 组件间 这样写只显示 welcome-button 组件 <welcom ...

  10. JAVA中的Token

    JAVA中的Token 基于Token的身份验证 来源:转载 最近在做项目开始,涉及到服务器与安卓之间的接口开发,在此开发过程中发现了安卓与一般浏览器不同,安卓在每次发送请求的时候并不会带上上一次请求 ...