SpringBoot怎么整合SpringSecurityOauth2實現鑒權動態權限問題

這篇文章主要介紹“SpringBoot怎么整合SpringSecurityOauth2實現鑒權動態權限問題”的相關知識，小編通過實際案例向大家展示操作過程，操作方法簡單快捷，實用性強，希望這篇“SpringBoot怎么整合SpringSecurityOauth2實現鑒權動態權限問題”文章能幫助大家解決問題。

準備

spring-boot：2.1.4.RELEASE

spring-security-oauth3：2.3.3.RELEASE（如果要使用源碼，不要隨意改動這個版本號，因為2.4往上的寫法不一樣了）

mysql：5.7

效果展示

這邊只用了postman做測試，暫時未使用前端頁面來對接，下個版本角色菜單權限分配的會有頁面的展示

1、訪問開放接口http://localhost:7000/open/hello 

2、不帶token訪問受保護接口http://localhost:7000/admin/user/info

3、登錄后獲取token，帶上token訪問，成功返回了當前的登錄用戶信息

實現

oauth3一共有四種模式，這邊就不做講解了，網上搜一搜，千篇一律

因為現在只考慮做單方應用的，所以使用的是密碼模式。

后面會出一篇SpringCloud+Oauth3的文章，網關鑒權

講一下幾個點吧

1、攔截器配置動態權限

新建一個 MySecurityFilter類，繼承AbstractSecurityInterceptor，并實現Filter接口

初始化，自定義訪問決策管理器

@PostConstruct
 public void init(){
        super.setAuthenticationManager(authenticationManager);
        super.setAccessDecisionManager(myAccessDecisionManager);
  }

自定義 過濾器調用安全元數據源

@Override
public SecurityMetadataSource obtainSecurityMetadataSource() {
    return this.mySecurityMetadataSource;
}

先來看一下自定義過濾器調用安全元數據源的核心代碼

以下代碼是用來獲取到當前請求進來所需要的權限（角色）

/**
     * 獲得當前請求所需要的角色
     * @param object
     * @return
     * @throws IllegalArgumentException
     */
    @Override
    public Collection<ConfigAttribute> getAttributes(Object object) throws IllegalArgumentException {
        String requestUrl = ((FilterInvocation) object).getRequestUrl();

        if (IS_CHANGE_SECURITY) {
            loadResourceDefine();
        }
        if (requestUrl.indexOf("?") > -1) {
            requestUrl = requestUrl.substring(0, requestUrl.indexOf("?"));
        }
        UrlPathMatcher matcher = new UrlPathMatcher();
        List<Object> list = new ArrayList<>();  //無需權限的，直接返回
        list.add("/oauth/**");
        list.add("/open/**");
        if(matcher.pathsMatchesUrl(list,requestUrl))
            return null;

        Set<String> roleNames = new HashSet();
        for (Resc resc: resources) {
            String rescUrl = resc.getResc_url();
            if (matcher.pathMatchesUrl(rescUrl, requestUrl)) {
                if(resc.getParent_resc_id() != null && resc.getParent_resc_id().intValue() == 1){   //默認權限的則只要登錄了，無需權限匹配都可訪問
                    roleNames = new HashSet();
                    break;
                }
                Map map = new HashMap();
                map.put("resc_id", resc.getResc_id());
                // 獲取能訪問該資源的所有權限(角色)
                List<RoleRescDTO> roles = roleRescMapper.findAll(map);
                for (RoleRescDTO rr : roles)
                    roleNames.add(rr.getRole_name());
            }
        }

        Set<ConfigAttribute> configAttributes = new HashSet();
        for(String roleName:roleNames)
            configAttributes.add(new SecurityConfig(roleName));

        log.debug("【所需的權限(角色)】:" + configAttributes);

        return configAttributes;
    }

再來看一下自定義訪問決策管理器核心代碼，這段代碼主要是判斷當前登錄用戶（當前登錄用戶所擁有的角色會在最后一項寫到）是否擁有該權限角色

@Override
    public void decide(Authentication authentication, Object o, Collection<ConfigAttribute> configAttributes) throws AccessDeniedException, InsufficientAuthenticationException {
        if(configAttributes == null){   //屬于白名單的，不需要權限
            return;
        }
        Iterator<ConfigAttribute> iterator = configAttributes.iterator();
        while (iterator.hasNext()){
            ConfigAttribute configAttribute = iterator.next();
            String needPermission = configAttribute.getAttribute();
            for (GrantedAuthority ga: authentication.getAuthorities()) {
                if(needPermission.equals(ga.getAuthority())){   //有權限，可訪問
                    return;
                }
            }
        }
        throw new AccessDeniedException("沒有權限訪問");

    }

2、自定義鑒權異常返回通用結果

為什么需要這個呢，如果不配置這個，對于前端，后端來說都很難去理解鑒權失敗返回的內容，還不能統一解讀，廢話不多說，先看看不配置和配置了的返回情況

（1）未自定義前，沒有攜帶token去訪問受保護的API接口時，返回的結果是這樣的

（2）我們規定一下，鑒權失敗的接口返回接口之后，變成下面這種了，是不是更利于我們處理和提示用戶

好了，來看一下是在哪里去配置的吧

我們資源服務器OautyResourceConfig，重寫下下面這部分的代碼，來自定義鑒權異常返回的結果

大伙可以參考下這個http://www.mlszssj.com/article/131668.htm

@Override
    public void configure(ResourceServerSecurityConfigurer resources) throws Exception {
        resources.authenticationEntryPoint(authenticationEntryPoint)    //token失效或沒攜帶token時
                .accessDeniedHandler(requestAccessDeniedHandler);   //權限不足時
    }

3、獲取當前登錄用戶

第一種：使用JWT攜帶用戶信息，拿到token后再解析

暫不做解釋

第二種：寫一個SecurityUser實現UserDetails接口（這個工程中使用的是這一種）

原來的只有UserDetails接口只有username和password，這里我們加上我們系統中的User

protected User user;
    public SecurityUser(User user) {
        this.user = user;
    }

    public User getUser() {
        return user;
    }

在BaseController，每個Controller都會繼承這個的，在里面寫給getUser()的方法，只要用戶帶了token來訪問，我們可以直接獲取當前登錄用戶的信息了

protected User getUser() {
        try {
            SecurityUser userDetails = (SecurityUser) SecurityContextHolder.getContext().getAuthentication()
                    .getPrincipal();

            User user = userDetails.getUser();
            log.debug("【用戶:】:" + user);

            return user;
        } catch (Exception e) {
        }
        return null;
    }

那么用戶登錄成功后，如何去拿到用戶的角色集合等呢，這里面就要實現UserDetailsService接口了

@Service
public class TokenUserDetailsService implements UserDetailsService{

    @Autowired
    private LoginService loginService;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        User user = loginService.loadUserByUsername(username);  //這個我們拎出來處理
        if(Objects.isNull(user))
            throw new UsernameNotFoundException("用戶名不存在");
        return new SecurityUser(user);
    }
}

然后在我們的安全配置類中設置UserDetailsService為上面的我們自己寫的就行

@Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder());
    }

最后我們只需要在loginService里面實現我們的方法就好，根據我們的實際業務處理判斷該用戶是否存在等

@Override
    public User loadUserByUsername(String username){
        log.debug(username);
        Map map = new HashMap();
        map.put("username",username);
        map.put("is_deleted",-1);
        User user = userMapper.findByUsername(map);
        if(user != null){
            map = new HashMap();
            map.put("user_id",user.getUser_id());
            //查詢用戶的角色
            List<UserRoleDTO> userRoles = userRoleMapper.findAll(map);
            user.setRoles(listRoles(userRoles));
            //權限集合
            Collection<? extends GrantedAuthority> authorities = merge(userRoles);
            user.setAuthorities(authorities);
            return user;
        }
        return null;

    }

數據庫文件在這

關于“SpringBoot怎么整合SpringSecurityOauth2實現鑒權動態權限問題”的內容就介紹到這里了，感謝大家的閱讀。如果想了解更多行業相關的知識，可以關注億速云行業資訊頻道，小編每天都會為大家更新不同的知識點。