Oauth2介绍:Oauth2是为用户资源的授权定义了一个安全、开放及简单的标准,第三方无需知道用户的账号及密码,就可获取到用户的授权信息,并且这是安全的。

简单的来说,当用户登陆网站的时候,需要账号和密码,但是你没有账号和密码,你需要注册网站的账号和密码,可是你不想注册,如果我有(qq,github,微博,facebook)第三方网站的账号,直接登陆当前网站访问网站的资源就好了?有没有这种实现呢?

答案是yes,当然为统一规范,其中就用到 oauh2。

ouah2有4中实现模式(参考阮一峰的 http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html)

(1)授权码模式

用户访问网站登陆的时候,选择qq登陆,facebook登陆,或者微博登陆的时候,网站将你导入qq,facebook,微博的登陆页面(也就是认证服务器)输入账号和密码,当授权成功时,将获取唯一的授权码(Auth code),然后客户端拿到这个Auth code附上早先的重定向url,向认qq,facebook,请求token,向认证服务器(qq,facebook)提交的请求头核对授权码和重定向url,确认无误,返回token和更新令牌

(2)密码模式

用户向客户端提高自己的账号和密码。客户端使用这些信息,向服务器提供商索要授权码,认证服务器认证通过以后,返回令牌,用户通过令牌就可以访问网站的资源

(3)简易模式

不通过第三方应用程序的服务器,直接在浏览器中向认证服务器索要令牌,跳过授权码这个步骤。

(4)客户端模式

指客户端以自己的名义,而不是以用户的名义,向"服务提供商"进行认证。严格地说,客户端模式并不属于OAuth框架所要解决的问题。在这种模式中,用户直接向客户端注册,客户端以自己的名义要求"服务提供商"提供服务,其实不存在授权问题。

Spring Security介绍:

Spring Security是一个专注于为Java应用程序提供身份验证和授权的框架,使用内部使用Servlet过滤器对url的请求进行过滤,并且在应用程序处理该请求之前进行某些安全处理。 Spring Security提供有若干个过滤器,它们能够拦截Servlet请求,并将这些请求转给认证和访问决策管理器处理,从而增强安全性。根据自己的需要,可以使用适当的过滤器来保护自己的应用程序。

Spring Security 与oath2自定义权限控制:

1、创建自己的一个决策器AccessDecisionManager ——AccessDecisionManager在Spring Security Filter(过滤器) 充当权限的判断,即判断某个用户请求某一个url的是否具有权限。实现这个接口,就具有决策管理功能

Spring提供了3个决策管理器,至于这三个管理器是如何工作的请查看SpringSecurity源码

AffirmativeBased 一票通过,只要有一个投票器通过就允许访问

ConsensusBased 有一半以上投票器通过才允许访问资源

UnanimousBased 所有投票器都通过才允许访问

代码如下:

@Component

public class MyAccessDecisionManager implements AccessDecisionManager {

   protected final Log logger = LogFactory.getLog(getClass());

/***

 *

 *

 * @param authentication  登陆系统用户的权限

 *

 * @param object

 * @param configAttributes url的权限

 *

 * @throws AccessDeniedException

 *             配置属性

 * @throws InsufficientAuthenticationException

 */

   @Override

   public void decide(Authentication authentication, Object object, Collection<ConfigAttribute> configAttributes)

         throws AccessDeniedException, InsufficientAuthenticationException {

      if (null == configAttributes || configAttributes.size() <= 0 || authentication.getAuthorities().size() == 0) {

         return;

      }

      ConfigAttribute c;

      String needRole;

      for (Iterator<ConfigAttribute> iterable = configAttributes.iterator(); iterable.hasNext();) {

         c = iterable.next();

         String a = c.getAttribute() == null ? "" : c.getAttribute();

         needRole = a.replaceAll("\b", "");

         for (GrantedAuthority ga : authentication.getAuthorities()) { // authentication

            if (needRole.trim().equals(ga.getAuthority()) || ga.getAuthority().equals(AuthoritiesConstants.ADMIN)) { // 循环添加到GrantedAuthority对象中的权限信息集合

               return;

            }

         }

      }

      throw new AccessDeniedException("没有权限访问!");

   }

   @Override

   public boolean supports(ConfigAttribute attribute) {

      return true;

   }

   @Override

   public boolean supports(Class<?> clazz) {

      return true;

   }

}
2、继承 AbstractSecurityInterceptor 并实现Filter 这里主要是获取用户的权限和获取url路径的权限提供给决策器(AccessDecisionManager)使用

AbstractSecurityInterceptor源码解读:
Collection<ConfigAttribute> attributes = this.obtainSecurityMetadataSource()
      .getAttributes(object); //获取url所需要的权限
Authentication authenticated = authenticateIfRequired();//获取用户的权限

this.accessDecisionManager.decide(authenticated, object, attributes); //调用决策器的方法


代码如下:
/**

 * <p>

 * 访问url时,会通过AbstractSecurityInterceptor拦截器拦截,其中会调用

 * FilterInvocationSecurityMetadataSource的getAttributes拦截url所需的全部权限

 * 在调用授权管理器AccessDecisionManage,如果权限足够,则通过权限认证

 * </p>

 * Created by develop on 2017/9/1.

 */

@Component

public class MyFilterSecurityInterceptor extends AbstractSecurityInterceptor implements Filter {

    @Autowired

    private MyInvocationSecurityMetadataSourceService securityMetadataSource;

    protected final Log logger = LogFactory.getLog(getClass());

    private TokenExtractor tokenExtractor = new BearerTokenExtractor();

    //注入

    @Autowired

    public void setMyAccessDecisionManager(MyAccessDecisionManager myAccessDecisionManager) {

        super.setAccessDecisionManager(myAccessDecisionManager);

    }

    @Override

    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override

    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {

        FilterInvocation fi = new FilterInvocation(servletRequest, servletResponse, filterChain);

        logger.debug("用户上下文信息:{}", SecurityContextHolder.getContext().getAuthentication());

        logger.debug("url地址:{}",fi.getHttpRequest().getRequestURI());

        logger.debug("客户端信息:{}", fi.getHttpRequest());

        invoke(fi);

    }

    public void invoke(FilterInvocation fi) throws IOException, ServletException {

        InterceptorStatusToken token = null;

        if(SecurityContextHolder.getContext().getAuthentication()!=null){ //这里要做非空判断,因为有可能 SecurityContextHolder.getContext().getAuthentication()获取为空,导致后面报错

            token=super.beforeInvocation(fi);

        }

        try {

            fi.getChain().doFilter(fi.getRequest(), fi.getResponse());

        } finally {

            super.afterInvocation(token, null);

        }

    }

    @Override

    public void destroy() {

    }

    @Override

    public Class<?> getSecureObjectClass() {

        return FilterInvocation.class;

    }

    @Override

    public SecurityMetadataSource obtainSecurityMetadataSource() {

        return this.securityMetadataSource;

    }

}


3、实现FilterInvocationSecurityMetadataSource接口:这个接口提供AbstractSecurityInterceptor需要的url权限 :到这里就可以通过数据库自定义url权限进行拦截了


代码如下:




public class MyInvocationSecurityMetadataSourceService implements FilterInvocationSecurityMetadataSource {

    private final Logger log = LoggerFactory.getLogger(MyInvocationSecurityMetadataSourceService.class);

    @Autowired

    private SecurityResourcesRepository securityResourcesRepository; //资源对应的路径

    @Autowired

    private SecurityAuthorityRepository securityAuthorityRepository; //资源对应的权限

   @Autowired

    private SecurityAuxiliaryRoleRepository auxiliaryRoleRepository; //主角色对应的副角色

    private HashMap<String, Collection<ConfigAttribute>> requestMap = null; //存储url的权限

    private Map<String, List<SecurityResources>> requestHttpMethod = null; //存储url对应的请求

    //通过@Autowired注入MyInvocationSecurityMetadataSourceService,

   //在页面调用loadResourceDefine(),就可以重新刷新权限,因为Spring加载完权限,除非你自己重启服务器,否则这个数据放在内存会一直没有变化,所以得通过这样的方式。

    public void loadResourceDefine() {

        requestMap = Maps.newHashMap();

        requestHttpMethod = Maps.newHashMap();

        Collection<ConfigAttribute> array;

        ConfigAttribute cfg;

        List<SecurityResources> resourcesList = this.securityResourcesRepository.findAll(); //所有的菜单

        for (SecurityResources securityResources : resourcesList) { //遍历url对应的资源

            List<SecurityAuthority> securityAuthorityList = securityAuthorityRepository.findByResourcesUrl(securityResources.getId().toString());//获取

            List<SecurityResources> securityResourcesList = securityResourcesRepository.findByUrl(securityResources.getUrl());

            array = Lists.newArrayList();

            for (SecurityAuthority securityAuthority : securityAuthorityList) {

                cfg = new SecurityConfig(securityAuthority.getAuthorityName()); //获取权限的名字

                array.add(cfg); //添加权限的内容

                List<SecurityAuxiliaryRole> securityAuxiliaryRoleList =

                    auxiliaryRoleRepository.findByRoleName(securityAuthority.getAuthorityName());

                for (SecurityAuxiliaryRole securityAuxiliaryRole : securityAuxiliaryRoleList) { // 获取主角色对应的副角色

                    cfg = new SecurityConfig(securityAuxiliaryRole.getAuxiliaryRole());

                    array.add(cfg);

                }

            }

            //权限的url作为map的key,用ConfigAttribute

            requestMap.put(securityResources.getUrl(), array);

            requestHttpMethod.put(securityResources.getUrl(), securityResourcesList);

        }

    }

    /**

     * 此方法是为了判断用户请求的url 是否在权限表中,如果在权限表中,则返回decide方法,用来判断用户是否具有此权限

     * 当用户访问url时,通过url获取requestMap的其中的权限。

     *

     * @param object

     * @return

     * @throws IllegalArgumentException

     */

    @Override

    public Collection<ConfigAttribute> getAttributes(Object object) throws IllegalArgumentException {

        if (requestMap == null) loadResourceDefine();

        //object 中包含用户请求的request 信息

        HttpServletRequest request = ((FilterInvocation) object).getHttpRequest(); //url

        AntPathRequestMatcher matcher;

        for (Map.Entry<String, Collection<ConfigAttribute>> entry : requestMap

            .entrySet()) {

            for (int i = 0; i < requestHttpMethod.get(entry.getKey()).size(); i++) { //获取请求

                SecurityResources securityResources = requestHttpMethod.get(entry.getKey()).get(i);

                if (null != securityResources && null != securityResources.getHttpMethod()) {

                    matcher = new AntPathRequestMatcher(entry.getKey(), securityResources.getHttpMethod().toUpperCase());

                } else {

                    matcher = new AntPathRequestMatcher(entry.getKey());

                }

                if (matcher.matches(request) && entry.getValue().size() > 0) {

                    log.debug("返回url的需要的权限为" + entry.getValue());

                    return entry.getValue();

                }

            }

        }

        return null;

    }

    @Override

    public Collection<ConfigAttribute> getAllConfigAttributes() {

        return null;

    }

    @Override

    public boolean supports(Class<?> clazz) {

        return true;

    }

}




结束语


这篇文章其实还有很多地方没有写好,比如oauh2的这块还是没有讲清楚,如oauh2的如何配置资源服务器和认证服务器的搭建,权限的配置。Spring Security的拦截器具体实现步骤,用户登陆时权限的拦截实现。


这块我也不是特别熟悉,所以一点带过。不过还是希望这个能帮助大家,解决业务上的一点问题!行千里路,还要读万卷书。只要这样才能诚心诚意做好技术,才是对自己最大的负责。
												


											
Spring Security +Oauth2 +Spring boot 动态定义权限的更多相关文章
	

    
								
  1. 微服务下前后端分离的统一认证授权服务,基于Spring Security OAuth2 + Spring Cloud Gateway实现单点登录
		
    1.  整体架构 在这种结构中,网关就是一个资源服务器,它负责统一授权(鉴权).路由转发.保护下游微服务. 后端微服务应用完全不用考虑权限问题,也不需要引入spring security依赖,就正常的 ...
    
		
    2. 
						
  2. Spring Security 解析(五) —— Spring Security Oauth2 开发
		
    Spring Security 解析(五) -- Spring Security Oauth2 开发   在学习Spring Cloud 时,遇到了授权服务oauth 相关内容时,总是一知半解,因此决 ...
    
		
    3. 
						
  3. Spring Boot 中使用 Spring Security, OAuth2 跨域问题 (自己挖的坑)
		
    使用 Spring Boot 开发 API 使用 Spring Security + OAuth2 + JWT 鉴权,已经在 Controller 配置允许跨域: @RestController @C ...
    
		
    4. 
						
  4. 【Spring Cloud & Alibaba 实战 | 总结篇】Spring Cloud Gateway + Spring Security OAuth2 + JWT 实现微服务统一认证授权和鉴权
		
    一. 前言 hi,大家好~ 好久没更文了,期间主要致力于项目的功能升级和问题修复中,经过一年时间的打磨,[有来]终于迎来v2.0版本,相较于v1.x版本主要完善了OAuth2认证授权.鉴权的逻辑,结合 ...
    
		
    5. 
						
  5. Spring Security OAuth2 SSO
		
    通常公司肯定不止一个系统,每个系统都需要进行认证和权限控制,不可能每个每个系统都自己去写,这个时候需要把登录单独提出来 登录和授权是统一的 业务系统该怎么写还怎么写 最近学习了一下Spring Sec ...
    
		
    6. 
						
  6. springboot+spring security +oauth2.0 demo搭建(password模式)(认证授权端与资源服务端分离的形式)
		
    项目security_simple(认证授权项目) 1.新建springboot项目 这儿选择springboot版本我选择的是2.0.6 点击finish后完成项目的创建 2.引入maven依赖   ...
    
		
    7. 
						
  7. Spring Security Oauth2 单点登录案例实现和执行流程剖析
		
    Spring Security Oauth2 OAuth是一个关于授权的开放网络标准,在全世界得到的广泛的应用,目前是2.0的版本.OAuth2在“客户端”与“服务提供商”之间,设置了一个授权层(au ...
    
		
    8. 
						
  8. Spring Security OAuth2学习
		
    什么是 oAuth oAuth 协议为用户资源的授权提供了一个安全的.开放而又简易的标准.与以往的授权方式不同之处是 oAuth 的授权不会使第三方触及到用户的帐号信息(如用户名与密码),即第三方无需 ...
    
		
    9. 
						
  9. [Spring Cloud实战 | 第六篇:Spring Cloud Gateway+Spring Security OAuth2+JWT实现微服务统一认证授权
		
    一. 前言 本篇实战案例基于 youlai-mall 项目.项目使用的是当前主流和最新版本的技术和解决方案,自己不会太多华丽的言辞去描述,只希望能勾起大家对编程的一点喜欢.所以有兴趣的朋友可以进入 g ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. fread和fwrite用法小结
			
    fwrite和fread是以记录为单位的I/O函数,fread和fwrite函数一般用于二进制文件的输入输出. #include <stdio.h>size_t fread(void *p ...
    
			
    2. 
						
  2. leecode刷题(15)-- 验证回文字符串
			
    leecode刷题(15)-- 验证回文字符串 验证回文字符串 给定一个字符串,验证它是否是回文串,只考虑字母和数字字符,可以忽略字母的大小写. 说明:本题中,我们将空字符串定义为有效的回文串. 示例 ...
    
			
    3. 
						
  3. adb命令之pm
			
    常用的用法: 查看已经安装的包 pm list packages 查看已经安装的包以及apk路径(-3:只看第三方应用: -s:只看系统应用) -f: see their associated fil ...
    
			
    4. 
						
  4. [BZOJ]4650 优秀的拆分(Noi2016)(哈希+二分)
			
    传送门   题解 听说大佬们这题都是用SA秒掉的 然而SA的时间复杂度的确很优秀,缺点就是看不太懂…… 然后发现一位大佬用哈希华丽的过了此题,而且讲的特别清楚->这里 我们只要考虑以每一个点结尾 ...
    
			
    5. 
						
  5. 各大SRC中的CSRF技巧
			
    本文作者:i春秋签约作家——Max. 一.CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/ses ...
    
			
    6. 
						
  6. Linux  与 Windows 搭建域名解析
			
    实现 Win2012-D1 中 DNS 服务器的冗余备份,同时提供本域内主机名与 IP 地址的解析,此域名服务器的地址数据库需要 Win2012-D1 中定期更新. 假设环境:Server12 以及  ...
    
			
    7. 
						
  7. MyBatis框架流程
			
    Hibernate与Mybatis的本质区别和应用场景 Hibernate:标准的ORM框架,不需要写SQL语句,但是优化和修改SQL语句比较难. 应用于需求变化固定的中小型的项目,例如后台管理系统. ...
    
			
    8. 
						
  8. UITableView定制左滑效果
			
    UITableViewRowAction类 object defines a single action to present when the user swipes horizontally in ...
    
			
    9. 
						
  9. mybatis的入门(一)
			
    一.mybatis的介绍 mybatis是Apache的一个开源项目ibatis,2010年这个项目由apache software foundation 迁移到了google code,并且改名为M ...
    
			
    10. 
						
  10. 2019 CCPC-Wannafly Winter Camp Day2(Div2, onsite)
			
    solve 4/11 A Erase Numbers II Code:KK Thinking :KK 用ans表示当前最优答案,maxx表示遍历到的最大数字,一开始ans肯定等于a[ 1 ]+a[ 2 ...
    
			
    11.