今天想和小伙伴們來聊一聊 Spring Security 中的角色繼承問題����。
創(chuàng)新互聯(lián)專注于企業(yè)網(wǎng)絡(luò)營銷推廣���、網(wǎng)站重做改版��、忻府網(wǎng)站定制設(shè)計���、自適應(yīng)品牌網(wǎng)站建設(shè)、H5網(wǎng)站設(shè)計�、商城網(wǎng)站制作、集團公司官網(wǎng)建設(shè)�����、成都外貿(mào)網(wǎng)站制作�、高端網(wǎng)站制作、響應(yīng)式網(wǎng)頁設(shè)計等建站業(yè)務(wù)����,價格優(yōu)惠性價比高,為忻府等各大城市提供網(wǎng)站開發(fā)制作服務(wù)�。
角色繼承實際上是一個很常見的需求,因為大部分公司治理可能都是金字塔形的��,上司可能具備下屬的部分甚至所有權(quán)限�,這一現(xiàn)實場景,反映到我們的代碼中���,就是角色繼承了�����。
Spring Security 中為開發(fā)者提供了相關(guān)的角色繼承解決方案�����,但是這一解決方案在最近的 Spring Security 版本變遷中���,使用方法有所變化�����。今天除了和小伙伴們分享角色繼承外����,也來順便說說這種變化�����,避免小伙伴們踩坑�����,同時購買了我的書的小伙伴也需要留意����,書是基于 Spring Boot2.0.4 這個版本寫的,這個話題和最新版 Spring Boot 的還是有一點差別�����。
以前的寫法
這里說的以前寫法,就是指 SpringBoot2.0.8(含)之前的寫法�,在之前的寫法中��,角色繼承只需要開發(fā)者提供一個 RoleHierarchy 接口的實例即可�����,例如下面這樣:
@Bean
RoleHierarchy roleHierarchy() {
RoleHierarchyImpl roleHierarchy = new RoleHierarchyImpl();
String hierarchy = "ROLE_dba > ROLE_admin ROLE_admin > ROLE_user";
roleHierarchy.setHierarchy(hierarchy);
return roleHierarchy;
}在這里我們提供了一個 RoleHierarchy 接口的實例�����,使用字符串來描述了角色之間的繼承關(guān)系��, ROLE_dba 具備 ROLE_admin 的所有權(quán)限��,而 ROLE_admin 則具備 ROLE_user 的所有權(quán)限����,繼承與繼承之間用一個空格隔開。提供了這個 Bean 之后����,以后所有具備 ROLE_user 角色才能訪問的資源�����, ROLE_dba 和 ROLE_admin 也都能訪問��,具備 ROLE_amdin 角色才能訪問的資源��, ROLE_dba 也能訪問����。
現(xiàn)在的寫法
但是上面這種寫法僅限于 Spring Boot2.0.8(含)之前的版本���,在之后的版本中�,這種寫法則不被支持��,新版的寫法是下面這樣:
@Bean
RoleHierarchy roleHierarchy() {
RoleHierarchyImpl roleHierarchy = new RoleHierarchyImpl();
String hierarchy = "ROLE_dba > ROLE_admin \n ROLE_admin > ROLE_user";
roleHierarchy.setHierarchy(hierarchy);
return roleHierarchy;
}變化主要就是分隔符�,將原來用空格隔開的地方,現(xiàn)在用換行符了��。這里表達式的含義依然和上面一樣�,不再贅述。
上面兩種不同寫法都是配置角色的繼承關(guān)系��,配置完成后����,接下來指定角色和資源的對應(yīng)關(guān)系即可��,如下:
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests().antMatchers("/admin/**")
.hasRole("admin")
.antMatchers("/db/**")
.hasRole("dba")
.antMatchers("/user/**")
.hasRole("user")
.and()
.formLogin()
.loginProcessingUrl("/doLogin")
.permitAll()
.and()
.csrf().disable();
}這個表示 /db/** 格式的路徑需要具備 dba 角色才能訪問��, /admin/** 格式的路徑則需要具備 admin 角色才能訪問��, /user/** 格式的路徑,則需要具備 user 角色才能訪問�,此時提供相關(guān)接口,會發(fā)現(xiàn)�,dba 除了訪問 /db/** ,也能訪問 /admin/** 和 /user/** �����,admin 角色除了訪問 /admin/** ��,也能訪問 /user/** ��,user 角色則只能訪問 /user/** ��。
源碼分析
這樣兩種不同的寫法��,其實也對應(yīng)了兩種不同的解析策略���,角色繼承關(guān)系的解析在 RoleHierarchyImpl 類的 buildRolesReachableInOneStepMap 方法中���,Spring Boot2.0.8(含)之前該方法的源碼如下:
private void buildRolesReachableInOneStepMap() {
Pattern pattern = Pattern.compile("(\\s*([^\\s>]+)\\s*>\\s*([^\\s>]+))");
Matcher roleHierarchyMatcher = pattern
.matcher(this.roleHierarchyStringRepresentation);
this.rolesReachableInOneStepMap = new HashMap>();
while (roleHierarchyMatcher.find()) {
GrantedAuthority higherRole = new SimpleGrantedAuthority(
roleHierarchyMatcher.group(2));
GrantedAuthority lowerRole = new SimpleGrantedAuthority(
roleHierarchyMatcher.group(3));
Set rolesReachableInOneStepSet;
if (!this.rolesReachableInOneStepMap.containsKey(higherRole)) {
rolesReachableInOneStepSet = new HashSet<>();
this.rolesReachableInOneStepMap.put(higherRole,
rolesReachableInOneStepSet);
}
else {
rolesReachableInOneStepSet = this.rolesReachableInOneStepMap
.get(higherRole);
}
addReachableRoles(rolesReachableInOneStepSet, lowerRole);
logger.debug("buildRolesReachableInOneStepMap() - From role " + higherRole
+ " one can reach role " + lowerRole + " in one step.");
}
}從這段源碼中我們可以看到�,角色的繼承關(guān)系是通過正則表達式進行解析����,通過空格進行切分,然后構(gòu)建相應(yīng)的 map 出來��。
Spring Boot2.1.0(含)之后該方法的源碼如下:
private void buildRolesReachableInOneStepMap() {
this.rolesReachableInOneStepMap = new HashMap>();
try (BufferedReader bufferedReader = new BufferedReader(
new StringReader(this.roleHierarchyStringRepresentation))) {
for (String readLine; (readLine = bufferedReader.readLine()) != null;) {
String[] roles = readLine.split(" > ");
for (int i = 1; i < roles.length; i++) {
GrantedAuthority higherRole = new SimpleGrantedAuthority(
roles[i - 1].replaceAll("^\\s+|\\s+$", ""));
GrantedAuthority lowerRole = new SimpleGrantedAuthority(roles[i].replaceAll("^\\s+|\\s+$
Set rolesReachableInOneStepSet;
if (!this.rolesReachableInOneStepMap.containsKey(higherRole)) {
rolesReachableInOneStepSet = new HashSet();
this.rolesReachableInOneStepMap.put(higherRole, rolesReachableInOneStepSet);
} else {
rolesReachableInOneStepSet = this.rolesReachableInOneStepMap.get(higherRole);
}
addReachableRoles(rolesReachableInOneStepSet, lowerRole);
if (logger.isDebugEnabled()) {
logger.debug("buildRolesReachableInOneStepMap() - From role " + higherRole
+ " one can reach role " + lowerRole + " in one step.");
}
}
}
} catch (IOException e) {
throw new IllegalStateException(e);
}
}從這里我們可以看到�����,這里并沒有一上來就是用正則表達式�,而是先將角色繼承字符串轉(zhuǎn)為一個 BufferedReader ,然后一行一行的讀出來��,再進行解析�����,最后再構(gòu)建相應(yīng)的 map�����。從這里我們可以看出為什么前后版本對此有不同的寫法。
以上就是本文的全部內(nèi)容����,希望對大家的學習有所幫助,也希望大家多多支持創(chuàng)新互聯(lián)�����。
分享文章:SpringSecurity角色繼承分析
瀏覽路徑:
http://weahome.cn/article/pjdgjd.html
重慶分公司
重慶分公司
