在 Spring Security中授予权限与角色

清疚 2023-09-25 13:12 77阅读 0赞

### **1. 概述** ###

在这篇快速文章中，我们将解释**Spring 安全性中*角色*和*授予权限*之间的微妙但显着的区别**。有关角色和权限的更多详细信息，请参阅[此处][Link 1]的文章。

### **2.*授权*** ###

在Spring Security中，我们可以**将每个*GrantedAuthority*视为一个单独的特权**。示例可能包括*READ\_AUTHORITY*、*WRITE\_PRIVILEGE* 甚至*CAN\_EXECUTE\_AS\_ROOT*。重要的是要了解**该名称是任意的**。

当直接使用*GrantedAuthority*时，例如通过使用*像 hasAuthority（'READ\_AUTHORITY'*） 这样的表达式，我们以**细粒度的方式限制访问**。

正如你可能收集到的那样，我们也可以通过使用*特权*来引用*权威*的概念。

### **3. 作为权威的角色** ###

类似地，在 Spring Security 中，我们可以**将每个*角色*视为一个粗粒度的*GrantedAuthority*，它表示为*字符串*并以“*ROLE*”为前缀**。当直接使用*角色*时，例如通过*像hasRole（“ADMIN”）*这样的表达式，我们以粗粒度的方式限制访问。

值得注意的是，默认的“*ROLE”*前缀是可配置的，但解释如何做到这一点超出了本文的范围。

**这两者之间的核心区别在于我们对如何使用该功能的语义。**对于框架来说，差异很小——它基本上以完全相同的方式处理这些问题。

### **4. 容器角色** ###

现在我们已经了解了框架如何使用*角色*概念，让我们也快速讨论一个替代方案 -**即将角色用作权限/特权的容器**。

这是一种更高层次的角色方法，使它们成为更面向业务的概念，而不是以实施为中心的概念。

Spring 安全框架没有就我们应该如何使用这个概念提供任何指导，所以选择完全是特定于实现的。

### **5. 弹簧安全配置** ###

我们可以通过将访问*/保护权限*限制为具有*READ\_AUTHORITY*的用户来演示细粒度的授权要求。

我们可以通过将访问*/protectedbyrole*限制为具有*ROLE\_USER*的用户来演示粗粒度的授权要求。

让我们在安全配置中配置这样的场景：

@Override
    protected void configure(HttpSecurity http) throws Exception {
        // ...
        .antMatchers("/protectedbyrole").hasRole("USER")
        .antMatchers("/protectedbyauthority").hasAuthority("READ_PRIVILEGE")
        // ...
    }

### **6. 简单的数据初始化** ###

现在我们更好地理解了核心概念，让我们谈谈在应用程序启动时创建一些设置数据。

当然，这是一种非常简单的方法，可以在开发过程中与一些初步测试用户一起开始运行 - 而不是您应该在生产中处理数据的方式。

我们将侦听上下文刷新事件：

@Override
    @Transactional
    public void onApplicationEvent(ContextRefreshedEvent event) {
        MyPrivilege readPrivilege
          = createPrivilegeIfNotFound("READ_PRIVILEGE");
        MyPrivilege writePrivilege
          = createPrivilegeIfNotFound("WRITE_PRIVILEGE"); 
    }

此处的实际实现并不重要 - 通常取决于您使用的持久性解决方案。重点是 - 我们保留了我们在代码中使用的权限。

### **7.*用户详细信息服务*** ###

我们的***UserDetailsService*实现是进行权限映射的地方**。一旦用户通过身份验证，我们的*getAuthority（）*方法就会填充并返回一个*UserDetails*对象：

private Collection<? extends GrantedAuthority> getAuthorities(
      Collection<Role> roles) {
        List<GrantedAuthority> authorities
          = new ArrayList<>();
        for (Role role: roles) {
            authorities.add(new SimpleGrantedAuthority(role.getName()));
            role.getPrivileges().stream()
             .map(p -> new SimpleGrantedAuthority(p.getName()))
             .forEach(authorities::add);
        }
        
        return authorities;
    }

### **8. 运行和测试示例** ###

我们可以执行示例*RolesAuthorityApplication*Java 应用程序，可以在[GitHub 项目][GitHub]中找到。

**若要查看基于角色的授权的实际应用，我们需要：**

*  访问 http://localhost:8082/protectedbyrole
 *  以*user@test.com* 身份进行身份验证（密码*为“用户”*)
 *  注意授权成功
 *  访问 http://localhost:8082/protectedbyauthority
 *  注意授权失败

**要查看基于权限的授权，我们需要注销应用程序，然后：**

*  访问 http://localhost:8082/protectedbyauthority
 *  asadmin@test.com/ 管理员进行身份验证
 *  注意授权成功
 *  访问 http://localhsot:8082/protectedbyrole
 *  注意授权失败

### **9. 结论** ###

在这个快速教程中，我们研究了 Spring 安全性中*角色*和*授予权限*之间的微妙但显着的区别。

[Link 1]: https://www.baeldung.com/role-and-privilege-for-spring-security-registration
[GitHub]: https://github.com/eugenp/tutorials/tree/master/spring-security-modules/spring-security-web-boot-1