Spring Security 控制授权的方法

本文介绍了Spring Security 控制授权的方法，分享给大家，具体如下：

使用授权方法进行授权配置

每一个 Spring Security 控制授权表达式（以下简称为表达式）实际上都在在 API 中对应一个授权方法，该方法是请求的 URL 权限配置时的处理方法。例如：

@Override
protected void configure(HttpSecurity http) throws Exception {
  http.authorizeRequests()
    .antMatchers(HttpMethod.DELETE, "/user/*").hasRole("ADMIN")
    .antMatchers("/index").permitAll()
    .antMatchers("/pay").hasAnyRole("WE_CHAT_PAY", "ALI_PAY")
    .antMatchers("/debug").hasIpAddress("192.168.1.0/24");
}

使用授权表达式给多权限要求的请求授权

那么，何时需要用到表达式进行授权处理呢？一个安全应用的权限要求往往是复杂多样的，比如，项目的调试请求希望访问者既要拥有管理员权限又必须是通过公司内部局域网内部访问。而这样的需求下，仅仅通过Security API 提供的方法是无法满足的，因为这些授权方法是无法连续调用的。

此时就可以使用授权表达式解决：

@Override
protected void configure(HttpSecurity http) throws Exception {
  http.authorizeRequests()
    .antMatchers("/debug")
      .access("hasRole('ADMIN') and hasIpAddress('192.168.1.0/24')");
}

授权表达式举例说明

基于角色的访问控制 RBAC（Role-Based Access Control）

或许你会认为上述方式已能满足绝大多数应用安全授权管理。但事实上的企业级应用的授权往往是基于数据库数据动态变化的，若是使用上述方式进行字符串拼接，不仅对于开发者极不友好（每一次人人员变动都意味着需要改代码，显然不合理），而且应用的性能也会随之降低。那么，如何解决呢？

数据模型

通用的 RBAC 数据模型， 一般需要五张表（三张实体表，两张关系表）。三张实体表包括用户表、角色表、资源表。两张关系表包括。其之间关系如下图：

RBAC数据模型

用户表

任何一个用户都必须要有用户表，当公司发生人员变动时，由业务人员（如人力资源）对该数据表进行增删记录。

角色表

公司有哪些身份的人，例如总裁、副总裁、部门经理等，有业务人员根据公司的具体情况对该表数据进行操作。

资源表

存储需要进行权限控制的资源，由于我们进行控制授权时实际上是基于 URL 的，但业务人员非按 URL 组织数据条目，而是以视图界面的形式进行曹操作。所以在这张表中存储的是呈现给业务人员的菜单、按钮及其所进行权限控制的 URL 。

用户―角色关系表

用户表与角色表（用户 id 与角色id ）之间是一个多对多的关系。一个用户可以是多个角色（一个用户既可以是部门经理又可以是某个管理员），而一个角色往往对应多个用户。

角色―资源关系表

角色表与资源表（）也是一个多对多的关系。一种角色可以访问多个资源（按钮或菜单等），一个资源也可以被多个角色访问。

spring security 还支持自定义表达式来完成这项工作，就像这样