Spring Security的角色roles是什么?這篇文章從源碼出發(fā),詳細解析了Spring Security的角色roles,感興趣的小伙伴們可以參考借鑒,希望對大家有所幫助。
我們在進行角色權限控制設計時,一般包括賬戶(users)、角色(roles)、權限(authorities)這三部分。
1)一個賬戶一般對應一個或多個角色;
2)一個角色對應多個權限(authorities),反過來一個權限也對應多個角色;
3)賬戶只和角色關聯(lián),通過角色,間接和權限產(chǎn)生關系;
4)角色不是固定死的,是能夠動態(tài)創(chuàng)建的,每個角色具有的權限能夠靈活的進行調(diào)整;
5)在系統(tǒng)完成詳細設計后,有哪些權限就已經(jīng)確定下來,權限的層級結構和數(shù)量、與賬戶和角色沒半點關系。
基于以上的說明,我們從源碼的角度來說明Spring Security的賬戶、角色和權限是怎么一回事。
Spring Security工作流程:通過登錄的賬戶,找到該賬戶對應的角色/權限,并把自定義的權限集合轉換為Spring Security認可的權限集合List
這里面如何創(chuàng)建賬號、角色、權限,實現(xiàn)用戶認證、進行鑒權的細節(jié)就不講了,因為這個不是本篇文章的重點,有興趣的讀者可以看我的視頻介紹:https://edu.51cto.com/course/21185.html ,里面有詳細的如何進行實戰(zhàn)型的Spring Security角色權限控制模塊的開發(fā)。
重點來了,通過應用角色權限控制的應用,看Spring Security如何利用角色和權限的
四種鑒權的方式:
hasRole(String role)
hasAnyRole(String... roles)
hasAuthority(String authority)
hasAnyAuthority(String... authorities)
在源碼類SecurityExpressionRoot.java中,我們看看這四種方式的實現(xiàn)形式:
大家從上面的圖看出什么端倪沒有?
hasRole(String role) --》 hasAnyRole(String... roles) --》hasAnyAuthorityName
hasAuthority(String authority) --》hasAnyAuthority(String... authorities) --》hasAnyAuthorityName
不管是基于角色,還是基于權限,最后鑒權都落實到hasAnyAuthorityName這個方法上。
follow me,我們繼續(xù)往下刨根,看看hasAnyAuthorityName這個方法里面有些什么,注意上面代碼中的調(diào)用hasAnyAuthorityName時,傳遞的參數(shù),一個是
另外一個是
對應的都是一個實現(xiàn)方法。
從hasAnyAuthorityName這個方法中,我們可以知道,這是把傳進去的一個或多個角色/權限,在登錄用戶具有的權限中進行查找
這里面的大家看到了吧,角色和權限是混合在一起進行鑒權的(題外話,大家看大神們寫的代碼,注意到其中的var5、var6、var4,這是搞什么?嚴重不符合命名規(guī)范?。?br/>那么Spring Security是如何區(qū)分集合中的是權限、還是角色呢,我們繼續(xù)抽絲剝繭,看看該方法中的getRoleWithDefaultPrefix(prefix, role)方法
看上面的代碼清晰明了了吧,說明如下:
如果傳進去的角色名稱/權限名稱為null,直接返回null;
如果傳進去的角色名稱/權限名稱不為null,則判斷defaultRolePrefix前綴這個參數(shù)是否為空和其長度,如果不為空,且長度不為0,則傳進的參數(shù)為角色名稱,那么繼續(xù)判斷其是否是以“ROLE”開始,如果不是,則在名稱前添加前綴“ROLE”,并返回新的名稱;
如果不是以上情況,即參數(shù)是權限名稱或者帶有“ROLE_”前綴的角色名稱,直接返回傳進去的字符串參數(shù)。
看了以上的部分源碼解析,我們可以得出什么結論呢(以角色、權限存放在數(shù)據(jù)庫為例):
1、原生的角色和權限并沒有本質(zhì)的區(qū)別,在鑒權時走的是完全相同的一個通道;
2、在進行權限控制時,角色可加可不加“ROLE”前綴,但在數(shù)據(jù)庫中定義時,角色名稱一定要添加“ROLE”前綴;
3、角色與權限之間并沒有建立映射關系,角色是角色、權限是權限,這與我們實際應用中對角色的要求有很大出入;
4、實際應用中的角色被固化到代碼中,也與實際要求不符,實際應用中,權限作為子節(jié)點可以寫死,而角色作為全部或者部分權限的集合應該可以靈活調(diào)整;
5、不管是角色鑒權,還是權限鑒權,都只是以角色/權限的名稱作為判斷依據(jù),所以權限的名稱要唯一。
另外,從Spring Security的源碼分析中可以發(fā)現(xiàn),我們還可以通過RoleHierarchy進行角色的繼承(默認admin登錄只能訪問/admin,訪問不了/user;而user登錄只能訪問/user),但在實際項目中,最主要強調(diào)的是角色的靈活性,而不是繼承性。
所以,對角色的管理、角色和權限的映射關系,都需要我們自己來實現(xiàn)。
看完上述內(nèi)容,你們對Spring Security的角色有進一步的了解嗎?如果還想學到更多技能或想了解更多相關內(nèi)容,歡迎關注創(chuàng)新互聯(lián)行業(yè)資訊頻道,感謝各位的閱讀。
另外有需要云服務器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn,海內(nèi)外云服務器15元起步,三天無理由+7*72小時售后在線,公司持有idc許可證,提供“云服務器、裸金屬服務器、高防服務器、香港服務器、美國服務器、虛擬主機、免備案服務器”等云主機租用服務以及企業(yè)上云的綜合解決方案,具有“安全穩(wěn)定、簡單易用、服務可用性高、性價比高”等特點與優(yōu)勢,專為企業(yè)上云打造定制,能夠滿足用戶豐富、多元化的應用場景需求。