通常系统会拥有大量的用户,同时系统也会划分非常多的权限,为了能够更方便的管理用户和权限,往往需要隔离用户和权限,使它们不直接建立联系,而是通过“分组”,即将这些权限通过一定的逻辑划分为若干组,每个组包含若干权限,每个用户有属于若干组,如图所示。
Paste_Image.png
这种将权限进行打包处理的方式可以适应一下场景:
- 需要将用户划分为不同的组,而组之间的权限是重叠的。
- 需要全局地、批量的修改一类用户的权限。
- 当拥有大量用户时,避免直接面向用户级别授权。
加入“分组”的方式一定程度增加了用户权限管理的复杂,但其带来的低耦合、易维护的价值已远超过复杂性。这种将用户权限集中到组的技术通常称为基于组的用户访问控制,即Group Based Access Control,GBAC(属于RBAC的一种)。下面就为大家讲解一下Spring Security是如何实现GBAC的。
1.根据上图,生成MySql数据库脚本和测试数据
数据库中,Authorities表中的数据已经清空,我们之前建立的用户和权限的对应关系已经不存在。
SET FOREIGN_KEY_CHECKS=0;
-- ----------------------------
-- Table structure for authorities
-- ----------------------------
DROP TABLE IF EXISTS `authorities`;
CREATE TABLE `authorities` (
`username` varchar(50) NOT NULL,
`authority` varchar(50) NOT NULL,
UNIQUE KEY `ix_auth_username` (`username`,`authority`),
CONSTRAINT `fk_authorities_users` FOREIGN KEY (`username`) REFERENCES `users` (`username`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;
-- ----------------------------
-- Records of authorities
-- ----------------------------
-- ----------------------------
-- Table structure for groups
-- ----------------------------
DROP TABLE IF EXISTS `groups`;
CREATE TABLE `groups` (
`id` bigint(20) NOT NULL AUTO_INCREMENT,
`group_name` varchar(50) NOT NULL,
PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=3 DEFAULT CHARSET=utf8;
-- ----------------------------
-- Records of groups
-- ----------------------------
INSERT INTO `groups` VALUES ('1', 'Users');
INSERT INTO `groups` VALUES ('2', 'Administrators');
-- ----------------------------
-- Table structure for group_authorities
-- ----------------------------
DROP TABLE IF EXISTS `group_authorities`;
CREATE TABLE `group_authorities` (
`group_id` bigint(20) NOT NULL,
`authority` varchar(50) NOT NULL,
KEY `fk_group_authorities_group` (`group_id`),
CONSTRAINT `fk_group_authorities_group` FOREIGN KEY (`group_id`) REFERENCES `groups` (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;
-- ----------------------------
-- Records of group_authorities
-- ----------------------------
INSERT INTO `group_authorities` VALUES ('1', 'ROLE_USER');
INSERT INTO `group_authorities` VALUES ('2', 'ROLE_USER');
INSERT INTO `group_authorities` VALUES ('2', 'ROLE_ADMIN');
-- ----------------------------
-- Table structure for group_members
-- ----------------------------
DROP TABLE IF EXISTS `group_members`;
CREATE TABLE `group_members` (
`id` bigint(20) NOT NULL AUTO_INCREMENT,
`username` varchar(50) NOT NULL,
`group_id` bigint(20) NOT NULL,
PRIMARY KEY (`id`),
KEY `fk_group_members_group` (`group_id`),
CONSTRAINT `fk_group_members_group` FOREIGN KEY (`group_id`) REFERENCES `groups` (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=3 DEFAULT CHARSET=utf8;
-- ----------------------------
-- Records of group_members
-- ----------------------------
INSERT INTO `group_members` VALUES ('1', 'user', '1');
INSERT INTO `group_members` VALUES ('2', 'admin', '2');
-- ----------------------------
-- Table structure for persistent_logins
-- ----------------------------
DROP TABLE IF EXISTS `persistent_logins`;
CREATE TABLE `persistent_logins` (
`username` varchar(64) NOT NULL,
`series` varchar(64) NOT NULL,
`token` varchar(64) NOT NULL,
`last_used` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP,
PRIMARY KEY (`series`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;
-- ----------------------------
-- Records of persistent_logins
-- ----------------------------
-- ----------------------------
-- Table structure for users
-- ----------------------------
DROP TABLE IF EXISTS `users`;
CREATE TABLE `users` (
`username` varchar(50) NOT NULL,
`password` varchar(500) NOT NULL,
`enabled` tinyint(1) NOT NULL,
PRIMARY KEY (`username`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;
-- ----------------------------
-- Records of users
-- ----------------------------
INSERT INTO `users` VALUES ('admin', '$2a$10$tpJFaP1dBCLWGpPsreD8zOE2HxOJzuZ3cRHmhOODYSZLUrmlFkySi', '1');
INSERT INTO `users` VALUES ('user', '$2a$10$tpJFaP1dBCLWGpPsreD8zOE2HxOJzuZ3cRHmhOODYSZLUrmlFkySi', '1');
SET FOREIGN_KEY_CHECKS=1;
修改WebSecurityConfigurerAdapter开启Spring Security分组功能,并关闭用户直接获取权限的功能。同时将Spring Security默认创建的UserDetailsService发布为Spring的bean,这样我们就可一直获取该方法,完成一些基本的用户管理功能,比如创建、删除用户,加入分组等。
/**
* Description:配置认证细节
*
* @param auth
* @return
* @Author: 瓦力
* @Date: 2017/7/21 17:04
*/
@Autowired
public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
auth
.jdbcAuthentication()
.passwordEncoder(passwordEncoder())//启用密码加密功能
.dataSource(dataSource);
}
/**
* 获取默认创建的UserDetailsService,开启分组功能,关闭用户直接授权功能,并发布为Spring Bean
*
* @param auth
* @return
*/
@Bean
@Autowired
public UserDetailsService userDetailsService(AuthenticationManagerBuilder auth) {
UserDetailsService userDetailsService = auth.getDefaultUserDetailsService();
if (JdbcUserDetailsManager.class.isInstance(userDetailsService)) {
JdbcUserDetailsManager jdbcUserDetailsManager = (JdbcUserDetailsManager) userDetailsService;
jdbcUserDetailsManager.setEnableGroups(true);//开启分组功能
jdbcUserDetailsManager.setEnableAuthorities(false);//关闭用户直接获取权限功能
}
return userDetailsService;
}
利用UserDetailsService建立用户管理服务
@Component
public class UserService {
@Autowired
UserDetailsService userDetailsService;
@PostConstruct
public void init() {
System.out.println("---------------------------");
System.out.println(userDetailsService.getClass());
System.out.println("---------------------------");
}
}
启动服务器,验证用户认证。
这样我们非常简单的实现了基于GBAC的认证功能
代码示例:https://github.com/wexgundam/spring.security/tree/master/ch08
