前后端分离的项目,前端有菜单(menu),后端有API(backendApi),一个menu对应的页面有N个API接口来支持,本文介绍如何基于spring security实现前后端的同步权限控制。

实现思路

还是基于Role来实现,具体的思路是,一个Role拥有多个Menu,一个menu有多个backendApi,其中Role和menu,以及menu和backendApi都是ManyToMany关系。

验证授权也很简单,用户登陆系统时,获取Role关联的Menu,页面访问后端API时,再验证下用户是否有访问API的权限。

domain定义

我们用JPA来实现,先来定义Role

public class Role implements Serializable {

    @Id

    @GeneratedValue(strategy = GenerationType.IDENTITY)

    private Long id;

    /**

     * 名称

     */

    @NotNull

    @ApiModelProperty(value = "名称", required = true)

    @Column(name = "name", nullable = false)

    private String name;

    /**

     * 备注

     */

    @ApiModelProperty(value = "备注")

    @Column(name = "remark")

    private String remark;

    @JsonIgnore

    @ManyToMany

    @JoinTable(

        name = "role_menus",

        joinColumns = {@JoinColumn(name = "role_id", referencedColumnName = "id")},

        inverseJoinColumns = {@JoinColumn(name = "menu_id", referencedColumnName = "id")})

    @Cache(usage = CacheConcurrencyStrategy.NONSTRICT_READ_WRITE)

    @BatchSize(size = 100)

    private Set<Menu> menus = new HashSet<>();

	}

以及Menu:

public class Menu implements Serializable {

    @Id

    @GeneratedValue(strategy = GenerationType.IDENTITY)

    private Long id;

    @Column(name = "parent_id")

    private Integer parentId;

    /**

     * 文本

     */

    @ApiModelProperty(value = "文本")

    @Column(name = "text")

    private String text;

	@ApiModelProperty(value = "angular路由")

    @Column(name = "link")

    private String link;

    @ManyToMany

    @JsonIgnore

    @JoinTable(name = "backend_api_menus",

        joinColumns = @JoinColumn(name="menus_id", referencedColumnName="id"),

        inverseJoinColumns = @JoinColumn(name="backend_apis_id", referencedColumnName="id"))

    @Cache(usage = CacheConcurrencyStrategy.NONSTRICT_READ_WRITE)

    private Set<BackendApi> backendApis = new HashSet<>();

    @ManyToMany(mappedBy = "menus")

    @JsonIgnore

    private Set<Role> roles = new HashSet<>();

	}

最后是BackendApi,区分method(HTTP请求方法)、tag(哪一个Controller)和path(API请求路径):

public class BackendApi implements Serializable {

    private static final long serialVersionUID = 1L;

    @Id

    @GeneratedValue(strategy = GenerationType.IDENTITY)

    private Long id;

    @Column(name = "tag")

    private String tag;

    @Column(name = "path")

    private String path;

    @Column(name = "method")

    private String method;

    @Column(name = "summary")

    private String summary;

    @Column(name = "operation_id")

    private String operationId;

    @ManyToMany(mappedBy = "backendApis")

    @Cache(usage = CacheConcurrencyStrategy.NONSTRICT_READ_WRITE)

    private Set<Menu> menus = new HashSet<>();

	}

管理页面实现

Menu菜单是业务需求确定的,因此提供CRUD编辑即可。

BackendAPI,可以通过swagger来获取。

前端选择ng-algin,参见Angular 中后台前端解决方案 - Ng Alain 介绍

通过swagger获取BackendAPI

获取swagger api有多种方法,最简单的就是访问http接口获取json,然后解析,这很简单,这里不赘述,还有一种就是直接调用相关API获取Swagger对象。

查看官方的web代码,可以看到获取数据大概是这样的:

        String groupName = Optional.fromNullable(swaggerGroup).or(Docket.DEFAULT_GROUP_NAME);

        Documentation documentation = documentationCache.documentationByGroup(groupName);

        if (documentation == null) {

            return new ResponseEntity<Json>(HttpStatus.NOT_FOUND);

        }

        Swagger swagger = mapper.mapDocumentation(documentation);

        UriComponents uriComponents = componentsFrom(servletRequest, swagger.getBasePath());

        swagger.basePath(Strings.isNullOrEmpty(uriComponents.getPath()) ? "/" : uriComponents.getPath());

        if (isNullOrEmpty(swagger.getHost())) {

            swagger.host(hostName(uriComponents));

        }

        return new ResponseEntity<Json>(jsonSerializer.toJson(swagger), HttpStatus.OK);

其中的documentationCache、environment、mapper等可以直接Autowired获得:

@Autowired

    public SwaggerResource(

        Environment environment,

        DocumentationCache documentationCache,

        ServiceModelToSwagger2Mapper mapper,

        BackendApiRepository backendApiRepository,

        JsonSerializer jsonSerializer) {

        this.hostNameOverride = environment.getProperty("springfox.documentation.swagger.v2.host", "DEFAULT");

        this.documentationCache = documentationCache;

        this.mapper = mapper;

        this.jsonSerializer = jsonSerializer;

        this.backendApiRepository = backendApiRepository;

    }

然后我们自动加载就简单了,写一个updateApi接口,读取swagger对象,然后解析成BackendAPI,存储到数据库:

@RequestMapping(

        value = "/api/updateApi",

        method = RequestMethod.GET,

        produces = { APPLICATION_JSON_VALUE, HAL_MEDIA_TYPE })

    @PropertySourcedMapping(

        value = "${springfox.documentation.swagger.v2.path}",

        propertyKey = "springfox.documentation.swagger.v2.path")

    @ResponseBody

    public ResponseEntity<Json> updateApi(

        @RequestParam(value = "group", required = false) String swaggerGroup) {

        // 加载已有的api

        Map<String,Boolean> apiMap = Maps.newHashMap();

        List<BackendApi> apis = backendApiRepository.findAll();

        apis.stream().forEach(api->apiMap.put(api.getPath()+api.getMethod(),true));

        // 获取swagger

        String groupName = Optional.fromNullable(swaggerGroup).or(Docket.DEFAULT_GROUP_NAME);

        Documentation documentation = documentationCache.documentationByGroup(groupName);

        if (documentation == null) {

            return new ResponseEntity<Json>(HttpStatus.NOT_FOUND);

        }

        Swagger swagger = mapper.mapDocumentation(documentation);

        // 加载到数据库

        for(Map.Entry<String, Path> item : swagger.getPaths().entrySet()){

            String path = item.getKey();

            Path pathInfo = item.getValue();

            createApiIfNeeded(apiMap, path,  pathInfo.getGet(), HttpMethod.GET.name());

            createApiIfNeeded(apiMap, path,  pathInfo.getPost(), HttpMethod.POST.name());

            createApiIfNeeded(apiMap, path,  pathInfo.getDelete(), HttpMethod.DELETE.name());

            createApiIfNeeded(apiMap, path,  pathInfo.getPut(), HttpMethod.PUT.name());

        }

        return new ResponseEntity<Json>(HttpStatus.OK);

    }

其中createApiIfNeeded,先判断下是否存在,不存在的则新增:

 private void createApiIfNeeded(Map<String, Boolean> apiMap, String path, Operation operation, String method) {

        if(operation==null) {

            return;

        }

        if(!apiMap.containsKey(path+ method)){

            apiMap.put(path+ method,true);

            BackendApi api = new BackendApi();

            api.setMethod( method);

            api.setOperationId(operation.getOperationId());

            api.setPath(path);

            api.setTag(operation.getTags().get(0));

            api.setSummary(operation.getSummary());

            // 保存

            this.backendApiRepository.save(api);

        }

    }

最后,做一个简单页面展示即可:

菜单管理

新增和修改页面,可以选择上级菜单,后台API做成按tag分组,可多选即可:

列表页面

角色管理

普通的CRUD,最主要的增加一个菜单授权页面,菜单按层级显示即可:

认证实现

管理页面可以做成千奇百样,最核心的还是如何实现认证。

在上一篇文章spring security实现动态配置url权限的两种方法里我们说了,可以自定义FilterInvocationSecurityMetadataSource来实现。

实现FilterInvocationSecurityMetadataSource接口即可,核心是根据FilterInvocation的Request的method和path,获取对应的Role,然后交给RoleVoter去判断是否有权限。

自定义FilterInvocationSecurityMetadataSource

我们新建一个DaoSecurityMetadataSource实现FilterInvocationSecurityMetadataSource接口,主要看getAttributes方法:

     @Override

    public Collection<ConfigAttribute> getAttributes(Object object) throws IllegalArgumentException {

        FilterInvocation fi = (FilterInvocation) object;

        List<Role> neededRoles = this.getRequestNeededRoles(fi.getRequest().getMethod(), fi.getRequestUrl());

        if (neededRoles != null) {

            return SecurityConfig.createList(neededRoles.stream().map(role -> role.getName()).collect(Collectors.toList()).toArray(new String[]{}));

        }

        //  返回默认配置

        return superMetadataSource.getAttributes(object);

    }

核心是getRequestNeededRoles怎么实现,获取到干净的RequestUrl(去掉参数),然后看是否有对应的backendAPI,如果没有,则有可能该API有path参数,我们可以去掉最后的path,去库里模糊匹配,直到找到。

 public List<Role> getRequestNeededRoles(String method, String path) {

        String rawPath = path;

        //  remove parameters

        if(path.indexOf("?")>-1){

            path = path.substring(0,path.indexOf("?"));

        }

        // /menus/{id}

        BackendApi api = backendApiRepository.findByPathAndMethod(path, method);

        if (api == null){

            // try fetch by remove last path

            api = loadFromSimilarApi(method, path, rawPath);

        }

        if (api != null && api.getMenus().size() > 0) {

            return api.getMenus()

                .stream()

                .flatMap(menu -> menuRepository.findOneWithRolesById(menu.getId()).getRoles().stream())

                .collect(Collectors.toList());

        }

        return null;

    }

    private BackendApi loadFromSimilarApi(String method, String path, String rawPath) {

        if(path.lastIndexOf("/")>-1){

            path = path.substring(0,path.lastIndexOf("/"));

            List<BackendApi> apis = backendApiRepository.findByPathStartsWithAndMethod(path, method);

            // 如果为空,再去掉一层path

            while(apis==null){

                if(path.lastIndexOf("/")>-1) {

                    path = path.substring(0, path.lastIndexOf("/"));

                    apis = backendApiRepository.findByPathStartsWithAndMethod(path, method);

                }else{

                    break;

                }

            }

            if(apis!=null){

                for(BackendApi backendApi : apis){

                    if (antPathMatcher.match(backendApi.getPath(), rawPath)) {

                        return backendApi;

                    }

                }

            }

        }

        return null;

    }

其中,BackendApiRepository:

    @EntityGraph(attributePaths = "menus")

    BackendApi findByPathAndMethod(String path,String method);

    @EntityGraph(attributePaths = "menus")

    List<BackendApi> findByPathStartsWithAndMethod(String path,String method);

以及MenuRepository

    @EntityGraph(attributePaths = "roles")

    Menu findOneWithRolesById(long id);

使用DaoSecurityMetadataSource

需要注意的是,在DaoSecurityMetadataSource里,不能直接注入Repository,我们可以给DaoSecurityMetadataSource添加一个方法,方便传入:

   public void init(MenuRepository menuRepository, BackendApiRepository backendApiRepository) {

        this.menuRepository = menuRepository;

        this.backendApiRepository = backendApiRepository;

    }

然后建立一个容器,存储实例化的DaoSecurityMetadataSource,我们可以建立如下的ApplicationContext来作为对象容器,存取对象:

public class ApplicationContext {

    static Map<Class<?>,Object> beanMap = Maps.newConcurrentMap();

    public static <T> T getBean(Class<T> requireType){

        return (T) beanMap.get(requireType);

    }

    public static void registerBean(Object item){

        beanMap.put(item.getClass(),item);

    }

}

在SecurityConfiguration配置中使用DaoSecurityMetadataSource,并通过 ApplicationContext.registerBeanDaoSecurityMetadataSource注册:

 @Override

    protected void configure(HttpSecurity http) throws Exception {

        http

            .addFilterBefore(corsFilter, UsernamePasswordAuthenticationFilter.class)

            .exceptionHandling()

            .authenticationEntryPoint(problemSupport)

            .accessDeniedHandler(problemSupport)

			....

           // .withObjectPostProcessor()

            // 自定义accessDecisionManager

            .accessDecisionManager(accessDecisionManager())

            // 自定义FilterInvocationSecurityMetadataSource

            .withObjectPostProcessor(new ObjectPostProcessor<FilterSecurityInterceptor>() {

                @Override

                public <O extends FilterSecurityInterceptor> O postProcess(

                    O fsi) {

                    fsi.setSecurityMetadataSource(daoSecurityMetadataSource(fsi.getSecurityMetadataSource()));

                    return fsi;

                }

            })

        .and()

            .apply(securityConfigurerAdapter());

    }

    @Bean

    public DaoSecurityMetadataSource daoSecurityMetadataSource(FilterInvocationSecurityMetadataSource filterInvocationSecurityMetadataSource) {

        DaoSecurityMetadataSource securityMetadataSource = new DaoSecurityMetadataSource(filterInvocationSecurityMetadataSource);

        ApplicationContext.registerBean(securityMetadataSource);

        return securityMetadataSource;

    }

最后,在程序启动后,通过ApplicationContext.getBean获取到daoSecurityMetadataSource,然后调用init注入Repository

 public static void postInit(){

        ApplicationContext

            .getBean(DaoSecurityMetadataSource.class)

 .init(applicationContext.getBean(MenuRepository.class),applicationContext.getBean(BackendApiRepository.class));

    }

    static ConfigurableApplicationContext applicationContext;

    public static void main(String[] args) throws UnknownHostException {

        SpringApplication app = new SpringApplication(UserCenterApp.class);

        DefaultProfileUtil.addDefaultProfile(app);

        applicationContext = app.run(args);

        // 后初始化

        postInit();

}

大功告成!

延伸阅读

作者:Jadepeng

出处:jqpeng的技术记事本--http://www.cnblogs.com/xiaoqi

您的支持是对博主最大的鼓励,感谢您的认真阅读。

本文版权归作者所有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接,否则保留追究法律责任的权利。

基于spring security 实现前后端分离项目权限控制的更多相关文章

  1. 基于 Spring Security 的前后端分离的权限控制系统

    话不多说,入正题.一个简单的权限控制系统需要考虑的问题如下: 权限如何加载 权限匹配规则 登录 1.  引入maven依赖 1 <?xml version="1.0" enc ...

  2. 喜大普奔,两个开源的 Spring Boot + Vue 前后端分离项目可以在线体验了

    折腾了一周的域名备案昨天终于搞定了. 松哥第一时间想到赶紧把微人事和 V 部落部署上去,我知道很多小伙伴已经等不及了. 1. 也曾经上过线 其实这两个项目当时刚做好的时候,我就把它们部署到服务器上了, ...

  3. 两个开源的 Spring Boot + Vue 前后端分离项目

    折腾了一周的域名备案昨天终于搞定了. 松哥第一时间想到赶紧把微人事和 V 部落部署上去,我知道很多小伙伴已经等不及了. 1. 也曾经上过线 其实这两个项目当时刚做好的时候,我就把它们部署到服务器上了, ...

  4. 如何使用Spring Securiry实现前后端分离项目的登录功能

    如果不是前后端分离项目,使用SpringSecurity做登录功能会很省心,只要简单的几项配置,便可以轻松完成登录成功失败的处理,当访问需要认证的页面时,可以自动重定向到登录页面.但是前后端分离的项目 ...

  5. Spring Boot + Vue + Shiro 实现前后端分离、权限控制

    本文总结自实习中对项目的重构.原先项目采用Springboot+freemarker模版,开发过程中觉得前端逻辑写的实在恶心,后端Controller层还必须返回Freemarker模版的ModelA ...

  6. Springboot + Vue + shiro 实现前后端分离、权限控制

    本文总结自实习中对项目对重构.原先项目采用Springboot+freemarker模版,开发过程中觉得前端逻辑写的实在恶心,后端Controller层还必须返回Freemarker模版的ModelA ...

  7. 使用 Nginx 部署前后端分离项目,解决跨域问题

    前后端分离这个问题其实松哥和大家聊过很多了,上周松哥把自己的两个开源项目部署在服务器上以帮助大家可以快速在线预览(喜大普奔,两个开源的 Spring Boot + Vue 前后端分离项目可以在线体验了 ...

  8. 七个开源的 Spring Boot 前后端分离项目,一定要收藏!

    前后端分离已经在慢慢走进各公司的技术栈,根据松哥了解到的消息,不少公司都已经切换到这个技术栈上面了.即使贵司目前没有切换到这个技术栈上面,松哥也非常建议大家学习一下前后端分离开发,以免在公司干了两三年 ...

  9. 基于Vue的前后端分离项目实践

    一.为什么需要前后端分离 1.1什么是前后端分离  前后端分离这个词刚在毕业(15年)那会就听说过,但是直到17年前都没有接触过前后端分离的项目.怎么理解前后端分离?直观的感觉就是前后端分开去做,即功 ...

随机推荐

  1. c 中打印格式%g

    C语言中打印float或double类型最常用的是%f格式,最近看书时看到有使用%g格式打印. %f  表示按浮点数的格式打印. 小数点后固定6位 %e 表示以指数形式的浮点数格式输出. %g 表示自 ...

  2. ES--02

    第十一讲: 2个node环境下replica shard 是如何分配的 1)replica shard分配:3个primary shard,3个replica shard,1 node(2)prima ...

  3. Sublime Text 3安装Package Control快速建立html5和xhtml文档

    Sublime Text 3安装Package Control快速建立html5和xhtml文档 先关闭Sublime text 3:第1步:下载sublime_package_control-mas ...

  4. useful tips for python

    import module; help(module.function) import module; help(module.class)

  5. Spring动态数据源实现读写分离

    一.创建基于ThreadLocal的动态数据源容器,保证数据源的线程安全性 package com.bounter.mybatis.extension; /** * 基于ThreadLocal实现的动 ...

  6. 安装v2ray+SwitchyOmega使用谷歌***

    系统环境:ubuntu18.04 1.安装v2ray 在root用户下执行命令:bash < (curl  -L -s https://install.direct/go.sh) $ cd /e ...

  7. 1)requests模块

    一:requests 介绍 requests 是使用 Apache2 Licensed 许可证的 基于Python开发的HTTP 库,其在Python内置模块的基础上进行了高度的封装, 从而使得Pyt ...

  8. python-序列化模块

    本节内容 前言 json模块 pickle模块 shelve模块 总结 一.前言 1. 现实需求 每种编程语言都有各自的数据类型,其中面向对象的编程语言还允许开发者自定义数据类型(如:自定义类),Py ...

  9. 分布式系统的一致性协议之 2PC 和 3PC

    在分布式系统领域,有一个理论,对于分布式系统的设计影响非常大,那就是 CAP 理论,即对于一个分布式系统而言,它是无法同时满足 Consistency(强一致性).Availability(可用性) ...

  10. ES6笔记

    /** * Created by Administrator on 2017/4/13. */ /*---------------------Es6编码规范---------------------* ...