用Spring Security快速实现 RABC模型案例

2024-05-28 10:44

本文主要是介绍用Spring Security快速实现 RABC模型案例,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

RABC模型通常是指“基于角色的访问控制”(Role-Based Access Control,RBAC)模型。这是一种广泛使用的访问控制机制,用于限制用户或系统对计算机或网络资源的访问。在RBAC模型中,权限与角色相关联,用户通过分配角色来获得相应的权限,而不是直接将权限分配给用户。

下面 V 哥教你一步一步来实现 RABC 模型,你可以使用这个案例根据实际需求应用到你的项目中。

RBAC模型的主要组成部分包括:

  • 用户(Users):系统中的个体,可以是人、程序或设备。
  • 角色(Roles):定义在系统中的工作或责任的抽象。例如,“管理员”、“普通用户”、“访客”等。
  • 权限(Permissions):对系统资源的访问许可。例如,读、写、修改等操作。
  • 会话(Sessions):用户与系统交互的时期,用户可以在会话中激活其角色并获得相应的权限。
  • 角色分配(Role Assignments):将用户与角色相关联的过程。
  • 权限分配(Permission Assignments):将权限与角色相关联的过程。
  • 角色层次(Role Hierarchy):如果一组角色之间存在层次关系,可以形成角色层次,允许高级角色继承低级角色的权限。

RBAC模型的实施能够简化权限管理,使得权限的变更更为灵活,便于在大型组织中实施和维护。例如,如果一个用户的工作职责发生变化,只需要改变其角色,就可以自动调整其权限,而不需要逐个修改其权限设置。

在实施时,组织通常会根据自身的业务需求定制角色和权限,确保系统的安全性和用户的便利性。在中国,许多企业和政府部门都采用了基于角色的访问控制模型来提升信息系统的安全性和管理效率。

在Java Spring Security中实现RBAC模型通常涉及以下步骤:

  • 定义用户(User)和角色(Role)实体。
  • 配置Spring Security以使用自定义的UserDetailsService。
  • 创建角色和权限,并将它们分配给用户。
  • 配置Spring Security的WebSecurityConfigurerAdapter以使用角色进行访问控制。
import javax.persistence.*;
import java.util.HashSet;
import java.util.Set;@Entity
@Table(name = "users")
public class User {@Id@GeneratedValue(strategy = GenerationType.IDENTITY)private Long id;private String username;private String password;@ManyToMany(fetch = FetchType.EAGER)@JoinTable(name = "user_roles",joinColumns = @JoinColumn(name = "user_id"),inverseJoinColumns = @JoinColumn(name = "role_id"))private Set<Role> roles = new HashSet<>();// Getters and Setters
}@Entity
@Table(name = "roles")
public class Role {@Id@GeneratedValue(strategy = GenerationType.IDENTITY)private Long id;private String name;// Getters and Setters
}

接下来,创建一个UserDetailsService的实现,用于加载用户和他们的权限:

import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;@Service
public class CustomUserDetailsService implements UserDetailsService {private final UserRepository userRepository;public CustomUserDetailsService(UserRepository userRepository) {this.userRepository = userRepository;}@Overridepublic UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {User user = userRepository.findByUsername(username).orElseThrow(() -> new UsernameNotFoundException("User not found: " + username));return new org.springframework.security.core.userdetails.User(user.getUsername(),user.getPassword(),mapRolesToAuthorities(user.getRoles()));}private Collection<? extends GrantedAuthority> mapRolesToAuthorities(Collection<Role> roles) {return roles.stream().map(role -> new SimpleGrantedAuthority(role.getName())).collect(Collectors.toList());}
}

然后,配置Spring Security的WebSecurityConfigurerAdapter:

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {private final CustomUserDetailsService customUserDetailsService;public SecurityConfig(CustomUserDetailsService customUserDetailsService) {this.customUserDetailsService = customUserDetailsService;}@Overrideprotected void configure(AuthenticationManagerBuilder auth) throws Exception {auth.userDetailsService(customUserDetailsService).passwordEncoder(passwordEncoder());}@Overrideprotected void configure(HttpSecurity http) throws Exception {http.csrf().disable().authorizeRequests().antMatchers("/admin/**").hasRole("ADMIN").antMatchers("/user/**").hasAnyRole("USER", "ADMIN").antMatchers("/").permitAll().and().formLogin();}@Beanpublic PasswordEncoder passwordEncoder() {return new BCryptPasswordEncoder();}
}

在这个配置中,我们定义了不同URL路径的访问权限,例如/admin/**只允许具有ADMIN角色的用户访问,而/user/**则允许USER和ADMIN角色的用户访问。

最后,你需要创建一个Spring Data JPA的Repository来处理用户和角色的数据持久化:

public interface UserRepository extends JpaRepository<User, Long> {Optional<User> findByUsername(String username);
}

这个示例提供了一个基础的RBAC实现,实际应用中可能需要更复杂的角色和权限管理,以及与业务逻辑更紧密的集成。在实际部署时,还需要考虑加密用户密码、处理用户登录和注销、以及可能的安全漏洞。

首先,定义用户和角色实体:

import javax.persistence.*;
import java.util.HashSet;
import java.util.Set;@Entity
@Table(name = "users")
public class User {@Id@GeneratedValue(strategy = GenerationType.IDENTITY)private Long id;private String username;private String password;@ManyToMany(fetch = FetchType.EAGER)@JoinTable(name = "user_roles",joinColumns = @JoinColumn(name = "user_id"),inverseJoinColumns = @JoinColumn(name = "role_id"))private Set<Role> roles = new HashSet<>();// Getters and Setters
}@Entity
@Table(name = "roles")
public class Role {@Id@GeneratedValue(strategy = GenerationType.IDENTITY)private Long id;private String name;// Getters and Setters
}

接下来,创建一个UserDetailsService的实现,用于加载用户和他们的权限:

import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;@Service
public class CustomUserDetailsService implements UserDetailsService {private final UserRepository userRepository;public CustomUserDetailsService(UserRepository userRepository) {this.userRepository = userRepository;}@Overridepublic UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {User user = userRepository.findByUsername(username).orElseThrow(() -> new UsernameNotFoundException("User not found: " + username));return new org.springframework.security.core.userdetails.User(user.getUsername(),user.getPassword(),mapRolesToAuthorities(user.getRoles()));}private Collection<? extends GrantedAuthority> mapRolesToAuthorities(Collection<Role> roles) {return roles.stream().map(role -> new SimpleGrantedAuthority(role.getName())).collect(Collectors.toList());}
}

然后,配置Spring Security的WebSecurityConfigurerAdapter:

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {private final CustomUserDetailsService customUserDetailsService;public SecurityConfig(CustomUserDetailsService customUserDetailsService) {this.customUserDetailsService = customUserDetailsService;}@Overrideprotected void configure(AuthenticationManagerBuilder auth) throws Exception {auth.userDetailsService(customUserDetailsService).passwordEncoder(passwordEncoder());}@Overrideprotected void configure(HttpSecurity http) throws Exception {http.csrf().disable().authorizeRequests().antMatchers("/admin/**").hasRole("ADMIN").antMatchers("/user/**").hasAnyRole("USER", "ADMIN").antMatchers("/").permitAll().and().formLogin();}@Beanpublic PasswordEncoder passwordEncoder() {return new BCryptPasswordEncoder();}
}

在这个配置中,我们定义了不同URL路径的访问权限,例如/admin/**只允许具有ADMIN角色的用户访问,而/user/**则允许USER和ADMIN角色的用户访问。

最后,你需要创建一个Spring Data JPA的Repository来处理用户和角色的数据持久化:

public interface UserRepository extends JpaRepository<User, Long> {Optional<User> findByUsername(String username);
}

这个示例提供了一个基础的RBAC实现,实际应用中可能需要更复杂的角色和权限管理,以及与业务逻辑更紧密的集成。在实际部署时,还需要考虑加密用户密码、处理用户登录和注销、以及可能的安全漏洞。

最后

这是一个简单的 RBAC 模型案例,通过这个案例,你可以了解 RBAC 模型的实现步骤,应用在你的实际项目中,当然你需要考虑实际项目中的具体需求和逻辑来改造这个案例,你学会了吗。

这篇关于用Spring Security快速实现 RABC模型案例的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1010339

相关文章

mybatis执行insert返回id实现详解

《mybatis执行insert返回id实现详解》MyBatis插入操作默认返回受影响行数,需通过useGeneratedKeys+keyProperty或selectKey获取主键ID,确保主键为自... 目录 两种方式获取自增 ID:1. ​​useGeneratedKeys+keyProperty(推

Spring Boot集成Druid实现数据源管理与监控的详细步骤

《SpringBoot集成Druid实现数据源管理与监控的详细步骤》本文介绍如何在SpringBoot项目中集成Druid数据库连接池,包括环境搭建、Maven依赖配置、SpringBoot配置文件... 目录1. 引言1.1 环境准备1.2 Druid介绍2. 配置Druid连接池3. 查看Druid监控

Python通用唯一标识符模块uuid使用案例详解

《Python通用唯一标识符模块uuid使用案例详解》Pythonuuid模块用于生成128位全局唯一标识符,支持UUID1-5版本,适用于分布式系统、数据库主键等场景,需注意隐私、碰撞概率及存储优... 目录简介核心功能1. UUID版本2. UUID属性3. 命名空间使用场景1. 生成唯一标识符2. 数

Linux在线解压jar包的实现方式

《Linux在线解压jar包的实现方式》:本文主要介绍Linux在线解压jar包的实现方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录linux在线解压jar包解压 jar包的步骤总结Linux在线解压jar包在 Centos 中解压 jar 包可以使用 u

Java中读取YAML文件配置信息常见问题及解决方法

《Java中读取YAML文件配置信息常见问题及解决方法》:本文主要介绍Java中读取YAML文件配置信息常见问题及解决方法,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要... 目录1 使用Spring Boot的@ConfigurationProperties2. 使用@Valu

创建Java keystore文件的完整指南及详细步骤

《创建Javakeystore文件的完整指南及详细步骤》本文详解Java中keystore的创建与配置,涵盖私钥管理、自签名与CA证书生成、SSL/TLS应用,强调安全存储及验证机制,确保通信加密和... 目录1. 秘密键(私钥)的理解与管理私钥的定义与重要性私钥的管理策略私钥的生成与存储2. 证书的创建与

浅析Spring如何控制Bean的加载顺序

《浅析Spring如何控制Bean的加载顺序》在大多数情况下,我们不需要手动控制Bean的加载顺序,因为Spring的IoC容器足够智能,但在某些特殊场景下,这种隐式的依赖关系可能不存在,下面我们就来... 目录核心原则:依赖驱动加载手动控制 Bean 加载顺序的方法方法 1:使用@DependsOn(最直

SpringBoot中如何使用Assert进行断言校验

《SpringBoot中如何使用Assert进行断言校验》Java提供了内置的assert机制,而Spring框架也提供了更强大的Assert工具类来帮助开发者进行参数校验和状态检查,下... 目录前言一、Java 原生assert简介1.1 使用方式1.2 示例代码1.3 优缺点分析二、Spring Fr

java使用protobuf-maven-plugin的插件编译proto文件详解

《java使用protobuf-maven-plugin的插件编译proto文件详解》:本文主要介绍java使用protobuf-maven-plugin的插件编译proto文件,具有很好的参考价... 目录protobuf文件作为数据传输和存储的协议主要介绍在Java使用maven编译proto文件的插件

c++ 类成员变量默认初始值的实现

《c++类成员变量默认初始值的实现》本文主要介绍了c++类成员变量默认初始值,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧... 目录C++类成员变量初始化c++类的变量的初始化在C++中,如果使用类成员变量时未给定其初始值,那么它将被