spring security 用户授权/访问控制

落日映苍穹つ 2024-04-07 10:10 29阅读 0赞

**目录**

1、web 授权

（1）访问控制的url匹配

（2）基于权限的访问控制

（3）基于角色的访问控制

（3）基于表达式的访问控制

2、方法授权

（1）JSR-250注解

（2）@Secured注解

（3）支持表达式的注解

--------------------

授权的方式包括 web 授权和方法授权，**web授权**是通过 url 拦截进行授权，**方法授权**是通过方法拦截进行授权。他们都会调用 accessDecisionManager 进行授权决策，若为web授权则拦截器为FilterSecurityInterceptor；若为方法授权则拦截器为MethodSecurityInterceptor。如果同时通过web 授权和方法授权则先执行web授权，再执行方法授权，最后决策通过，则允许访问资源，否则将禁止访问。

### 1、web 授权 ###

Spring Security 可以通过 http.authorizeRequests() 对web请求进行授权保护 ，Spring Security使用标准Filter建立了对web请求的拦截，最终实现对资源的授权访问。

protected void configure(HttpSecurity http) throws Exception {
            http.formLogin();//表单提交
    
            // 授权 -> 认证拦截
            http.authorizeRequests()
                    .antMatchers(
                            "/login.html",
                            "/error.html",
                            "/main.html",
                            "/admin/**")
                    .permitAll() // 不需要认证
                    .anyRequest() // 所有请求都必须认证
                    .authenticated();
    
            http.csrf().disable(); //关闭csrf防护
        }

#### （1）访问控制的url匹配 ####

在配置类中http.authorizeRequests() 主要是对url进行控制。配置顺序会影响之后授权的效果，越是具体的应该放在前面，越是笼统的应该放到后面。

**anyRequest()**，表示匹配所有的请求。一般情况下此方法都会使用，设置全部内容都需要进行认证，会放在最后。

http.authorizeRequests()
                    .anyRequest() // 所有请求都必须认证
                    .authenticated();

**antMatchers() ，**方法定义如下：

public C antMatchers(String... antPatterns) {
    		return chainRequestMatchers(RequestMatchers.antMatchers(antPatterns));
    	}

参数是不定项参数，每个参数是一个 ant 表达式，用于匹配 URL规则。ANT通配符有三种：

<table style="width:500px;"> 
 <tbody> 
 <tr> 
 <td>通配符</td> 
 <td>说明</td> 
 </tr> 
 <tr> 
 <td>?</td> 
 <td>匹配任何单字符</td> 
 </tr> 
 <tr> 
 <td>*</td> 
 <td>匹配0或者任意数量的字符</td> 
 </tr> 
 <tr> 
 <td>**</td> 
 <td>匹配0或者更多的目录</td> 
 </tr> 
 </tbody> 
</table>

在实际项目中经常需要放行所有静态资源：

// 放行js和css 目录下所有的文件 
    .antMatchers("/js/**","/css/**").permitAll() 
    // 只要是.js 文件都放行 
    .antMatchers("/**/*.js").permitAll()

**regexMatchers()**，使用正则表达式进行匹配。

//所有以.js 结尾的文件都被放行 
    .regexMatchers( ".+[.]js").permitAll()

无论是 antMatchers() 还是 regexMatchers() 都具有两个参数的方法，其中第一个参数都是HttpMethod ，表示请求方式，当设置了 HttpMethod 后表示只有设定的特定的请求方式才执行对应的权限设置。

.antMatchers(HttpMethod.POST,"/admin/demo").permitAll() 
    .regexMatchers(HttpMethod.GET,".+[.]jpg").permitAll()

**mvcMatchers()**，适用于配置了 servletPath 的情况。 servletPath 就是所有的 URL 的统一前缀。在 SpringBoot 整合SpringMVC 的项目中可以在application.properties 中添加下面内容设置ServletPath。

spring.mvc.servlet.path=/web

在 Spring Security 的配置类中配置 .servletPath() 是 mvcMatchers()返回值特有的方法，antMatchers()和 regexMatchers() 没有这个方法。在 servletPath() 中配置了 servletPath 后，mvcMatchers()直接写 SpringMVC 中@RequestMapping()中设置的路径即可。

.mvcMatchers("/admin/demo").servletPath("/web").permitAll()

如果不习惯使用 mvcMatchers() 也可以使用 antMatchers()，下面代码和上面代码是等效的：

.antMatchers("/web/admin/demo").permitAll()

**RequestMatcher接口**，RequestMatcher 是 Spring Security Web 的一个概念模型接口，用于抽象建模对 HttpServletRequest 请求的匹配器这一概念。 Spring Security 内置提供了一些 RequestMatcher 的实现类。// 具体类查看官方文档

**内置的访问控制汇总**

*  \#permitAll() 方法，所有用户可访问。 
 *  \#denyAll() 方法，所有用户不可访问。 
 *  \#authenticated() 方法，登录用户可访问。 
 *  \#anonymous() 方法，无需登录，即匿名用户可访问。 
 *  \#rememberMe() 方法，通过 remember me 登录的用户可访问。 
 *  \#fullyAuthenticated() 方法，非 remember me 登录的用户可访问。 
 *  \#hasIpAddress(String ipaddressExpression) 方法，来自指定 IP 表达式的用户可访问。 
 *  \#hasRole(String role) 方法， 拥有指定角色的用户可访问，角色将被增加 “ROLE\_” 前缀。 
 *  \#hasAnyRole(String... roles) 方法，拥有指定任一角色的用户可访问。 
 *  \#hasAuthority(String authority) 方法，拥有指定权限(authority)的用户可访问。 
 *  \#hasAuthority(String... authorities) 方法，拥有指定任一权限(authority)的用户可访问。 
 *  \#access(String attribute) 方法，当 Spring EL 表达式的执行结果为 true 时，可以访问。

#### （2）基于权限的访问控制 ####

除了前边的内置权限控制，Spring Security 中还支持很多其他的权限控制。这些方法一般都用于用户已经被认证后，判断用户是否具有特定的权限。

**hasAuthority(String)**，判断用户是否具有特定的权限，用户的权限是在自定义登录逻辑中创建 User 对象时指定的。权限名称对大小写敏感

//其中,admin,user就是用户的权限
    return new User(
        "swadian",
        pw,
        AuthorityUtils.commaSeparatedStringToAuthorityList("admin,user"));

在配置类中通过 hasAuthority(“admin”) 设置具有 admin 权限时才能访问。

.antMatchers("/admin/demo").hasAuthority("admin")

如果无权限访问，则会报403错误

![9e147e5e7abe4e9faa78ae95c65c455b.png][]

**自定义403处理方案**

Spring Security 支持自定义权限受限处理，需要实现 AccessDeniedHandler 接口

import org.springframework.security.access.AccessDeniedException;
    import org.springframework.security.web.access.AccessDeniedHandler;
    import javax.servlet.http.HttpServletRequest;
    import javax.servlet.http.HttpServletResponse;
    import java.io.IOException;
    import java.io.PrintWriter;
    
    public class MyAccessDeniedHandler implements AccessDeniedHandler {
        @Override
        public void handle(HttpServletRequest request, HttpServletResponse response, 
                           AccessDeniedException accessDeniedException) throws IOException {
            response.setStatus(HttpServletResponse.SC_FORBIDDEN);
            response.setHeader("Content-Type", "application/json;charset=utf-8");
            PrintWriter out = response.getWriter();
            out.write("{\"status\":\"error\",\"msg\":\"权限不足，请联系管理员！\"}");
            out.flush();
            out.close();
        }
    }

在配置类中设置访问受限后交个 MyAccessDeniedHandler 处理

@Override
        protected void configure(HttpSecurity http) throws Exception {
            http.formLogin();//表单提交
            // 授权 -> 认证拦截
            http.authorizeRequests()
                    .antMatchers("/login.html", "/error.html", "/main.html").permitAll()
                    .antMatchers("/admin/test").hasAnyAuthority("admin")
                    .anyRequest().authenticated();// 所有请求都必须认证
            // 自定义403处理方案
            http.exceptionHandling()
                    .accessDeniedHandler(new MyAccessDeniedHandler());
            http.csrf().disable(); //关闭csrf防护
        }

**hasAnyAuthority(String ...)**，如果用户具备给定权限中的某一个，就允许访问。

.antMatchers("/admin/demo").hasAnyAuthority("admin","System")

#### （3）基于角色的访问控制 ####

**hasRole(String)**，如果用户具备给定角色就允许访问，否则出现 403。参数取值来源于自定义登录逻辑 UserDetailsService 实现类中创建 User 对象时给 User 赋予的授权。 在给用户赋予角色时角色需要以：ROLE\_ 开头 ，后面添加角色名称。例如：ROLE\_admin ，其中 admin是角色名，ROLE\_ 是固定的字符开头。

return new User(
        "swadian", 
        pw, 
        AuthorityUtils.commaSeparatedStringToAuthorityList("ROLE_admin"));//给用户赋予admin角色

使用 hasRole() 时参数也只写 admin 即可，否则启动报错。

.antMatchers("/admin/test").hasRole("admin")

**hasAnyRole(String ...)**，如果用户具备给定角色的任意一个，就允许被访问 。

**hasIpAddress(String)**，如果请求是指定的 IP 就运行访问。 可以通过 request.getRemoteAddr() 获取 ip 地址。需要注意的是在本机进行测试时 localhost 和 127.0.0.1 输出的 ip地址是不一样的。

// @Autowired
    // protected HttpServletRequest request;
    // String remoteAddr = request.getRemoteAddr();
    // localhost --> getRemoteAddr: 0:0:0:0:0:0:0:1
    
    .antMatchers("/admin/test").hasIpAddress("127.0.0.1")

#### （3）基于表达式的访问控制 ####

**access(表达式)**，以上的登录用户权限判断实际上底层实现都是调用access(表达式)

[Spring Security Reference][]

表达式根对象的基类是SecurityExpressionRoot，提供了一些在web和方法安全性中都可用的通用表达式。

![6d72a85c36d64cebb38572a9f8d40d72.png][]

可以通过 access() 实现和之前学习的权限控制完成相同的功能。

.antMatchers("/user/login","/login.html").access("permitAll") 
    .antMatchers("/admin/test").access("hasAuthority('System')")

### 2、方法授权 ###

**基于注解的访问控制**

Spring Security在方法的权限控制上支持三种类型的注解，JSR-250注解、@Secured注解和支持表达式的注解。这三种注解默认都是没有启用的，需要通过@EnableGlobalMethodSecurity来进行启用。

这些注解可以写到 Service 接口或方法上，也可以写到 Controller或 Controller 的方法上。通常情况下都是写在控制器方法上的，控制接口URL是否允许被访问。

#### （1）JSR-250注解 ####

**@RolesAllowed**

@RolesAllowed的值是由角色名称组成的数组，表示访问对应方法应该具有的角色。其可以标注在类上，也可以标注在方法上，当方法和类上都使用了@RolesAllowed进行标注，则方法上的@RolesAllowed将覆盖类上的@RolesAllowed。

@GetMapping("/test")
        @RolesAllowed({"ROLE_USER", "ROLE_ADMIN"})
        public String test() {
            return "Spring Security Test";
        }

**@PermitAll // 使用有坑**

允许所有的角色进行访问，@PermitAll可以标注在方法上也可以标注在类上。//方法优先于类

1.  当@PermitAll标注在类上，@RolesAllowed标注在方法上，@RolesAllowed将覆盖@PermitAll，需要@RolesAllowed对应的角色才能访问方法。
2.  当@RolesAllowed标注在类上，@PermitAll标注在方法上，则对应的方法不进行权限控制。
3.  当在类和方法上同时使用了@PermitAll和@RolesAllowed，先定义注解的将发生作用（实际应用中不应该有这样的定义）。

注意：@PermitAll 注解在存在java config 配置了授权模式的情况下（存在： http.authorizeRequests().anyRequest().authenticated()）同样需要认证后再访问？// 注解失效

因为 spring security 认证会先经过 FilterSecurityInterceptor 过滤器，利用匿名的认证用户进行投票决策，此时 vote 返回-1（因为没有匹配到当前url，只能匹配authenticated()），默认AffirmativeBased 决策下就会直接抛出 AccessDeniedException ，跳转到认证界面。此时就不会进入到 MethodSecurityInterceptor 的判断逻辑，所以必须认证之后才行。

因此 @PermitAll 注解正常使用需要不被FilterSecurityInterceptor拦截，也就不能在 WebSecurityConfig 中配置 http.authorizeRequests().anyRequest().authenticated()

**@DenyAll**

和PermitAll相反的，表示所有角色禁止访问。@DenyAll只能定义在方法上。

有人可能会有疑问，使用@DenyAll标注的方法无论什么权限都不能访问，那还定义它的意义何在呢？@DenyAll定义的方法只是在权限控制中不能访问，但脱离了权限控制还是可以访问的。

**注解的开启**

在启动类或者在配置类上添加 @EnableGlobalMethodSecurity(jsr250Enabled = true)

@Configuration // 标记为注解类
    @EnableGlobalMethodSecurity(jsr250Enabled = true)
    public class WebSecurityConfigurer extends WebSecurityConfigurerAdapter {
    }

#### （2）@Secured注解 ####

@Secured 是由 Spring Security 定义用来支持方法权限控制的注解。它的使用也是需要启用对应的支持才会生效的。@Secured 是专门用于判断是否具有角色的，能写在方法或类上。参数要以 ROLE\_开头。

开启注解 在启动类或者在配置类上添加 @EnableGlobalMethodSecurity(securedEnabled = true)

@Configuration // 标记为注解类
    @EnableGlobalMethodSecurity(securedEnabled = true)
    public class WebSecurityConfigurer extends WebSecurityConfigurerAdapter {
    }

@GetMapping("/test")
        @Secured("ROLE_ADMIN")
        public String test() {
            return "Spring Security Test";
        }

#### （3）支持表达式的注解 ####

Spring Security 定义了四个支持使用表达式的注解，分别是@PreAuthorize、@PostAuthorize、

@PreFilter 和 @PostFilter。其中前两者可以用来在方法调用前或者调用后进行权限检查，后两者可以用来对集合类型的参数或者返回值进行过滤。

**使用 @PreAuthorize 和 @PostAuthorize 进行访问控制**

@Configuration // 标记为注解类
    @EnableGlobalMethodSecurity(prePostEnabled = true)
    public class WebSecurityConfigurer extends WebSecurityConfigurerAdapter {
    }

**@PreAuthorize** 可以用来控制一个方法是否能够被调用，执行之前先判断权限，大多情况下都是使用这个注解。

@GetMapping("/test")
 // @PreAuthorize("hasRole('ROLE_ADMIN')") 
 // @PreAuthorize("hasRole('ROLE_USER') or hasRole('ROLE_ADMIN')")
 // @PreAuthorize("#id<10") //限制只能查询Id小于10的用户 
 @PreAuthorize("principal.username.equals('admin')") //限制只能用户名称为admin的用户
 public String test() {
 return "Spring Security Test";
 }

@PostAuthorize 可以在方法调用完之后进行权限检查

// 在方法find()调用完成后进行权限检查，如果返回值的id是偶数则表示校验通过，
    // 否则表示校验失败，抛出AccessDeniedException 
    @PostAuthorize("returnObject.id%2==0") 
    public User find(int id) { 
        User user = new User(); 
        user.setId(id); 
        return user; 
    }

**使用@PreFilter和@PostFilter进行过滤**

使用 @PreFilter 和 @PostFilter 可以对集合类型的参数或返回值进行过滤。使用@PreFilter和@PostFilter，Spring Security将移除对应表达式的结果为 false 的元素。

@GetMapping("/user")
 @PostFilter("filterObject.id %2 == 0") //只会输出id为偶数的数据
 public List<TbUser> findAll() {
 List<TbUser> userList = new ArrayList<>();
 TbUser user;
 for (int i = 0; i < 10; i++) {
 user = new TbUser();
 user.setId(i);
 userList.add(user);
 }
 return userList;
 }

@PreFilter 对输入参数进行过滤

@PostMapping("/delete")
 @PreFilter(filterTarget = "ids", value = "filterObject %2 == 0")
 public void delete(List<Integer> ids, List<String> usernames) {
 }

至此，spring security 用户授权方法介绍完毕，更详细内容请参照官方文档。

[9e147e5e7abe4e9faa78ae95c65c455b.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/043a520e860d4ab49a27fed570992d10.png
[Spring Security Reference]: https://docs.spring.io/spring-security/site/docs/5.2.7.RELEASE/reference/htmlsingle/#tech-intro-access-control
[6d72a85c36d64cebb38572a9f8d40d72.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/dbce71d9befb41fb823768919d742ba2.png