在日常应用的权限系统中,一个角色包含其他角色是一个很常见的需求。例如,在一个应用中如果有两个角色 admin和user,我们会希望所有user用户能做的事admin用户都可以做。为了实现这样的功能,我们可以把所有需要user用户访问的资源再赋一遍权限给admin用户,但是当我们的应用系统中有很多的角色时,这样的设计将变的极其复杂。所以srpng给我们提供了另一种实现方式,让我们很容易的可以把一种角色的权限赋给了另一角色。
环境:
spring-boot 版本:1.5.4.RELEASE
1.项目结构
2.配置类SecurityConfig.java
/** * */ package falcon.chengf.security.samples.javaconfig.rolehierarchy; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity; import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter; /** * @author: 作者: chengaofeng * @date: 创建时间:2018-01-16 19:32:47 * @Description: TODO * @version V1.0 */ @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired public void auth(AuthenticationManagerBuilder auth) throws Exception { auth.inMemoryAuthentication() .withUser("admin").password("password").authorities("ROLE_ADMIN").and() .withUser("user").password("password").authorities("ROLE_USER"); } @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() .authorizeRequests() .antMatchers("/admin/**").hasRole("ADMIN") .anyRequest().hasRole("USER") .and() .formLogin() .permitAll(); } }
在配置中我们定义了两种角色ROLE_ADMIN和ROLE_USER,分别赋予了两个用户admin和user,接着我们把/admin/目录下的资源限制为有ADMIN权限的用户才能访问,其他目录下的都需要USER权限。
3.权限继承关系配置类SecurityConfiguration.java
/** * */ package falcon.chengf.security.samples.javaconfig.rolehierarchy; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.security.access.hierarchicalroles.RoleHierarchy; import org.springframework.security.access.hierarchicalroles.RoleHierarchyImpl; /** * @author: 作者: chengaofeng * @date: 创建时间:2018-01-27 17:34:10 * @Description: TODO * @version V1.0 */ @Configuration public class SecurityConfiguration { @Bean public RoleHierarchy roleHierarchy() { RoleHierarchyImpl roleHierarchy = new RoleHierarchyImpl(); roleHierarchy.setHierarchy("ROLE_ADMIN > ROLE_USER"); return roleHierarchy; } }
ROLE_ADMIN > ROLE_USER 代表ADMIN角色包含USER角色
4.启动类SecurityRoleHierarchyApp.java
package falcon.chengf.security.samples.javaconfig.rolehierarchy; import org.springframework.boot.SpringApplication; import org.springframework.boot.autoconfigure.SpringBootApplication; /** * Hello world! * */ @SpringBootApplication public class SecurityRoleHierarchyApp { public static void main( String[] args ) { SpringApplication.run(SecurityRoleHierarchyApp.class, args); } }
5.项目的pom.xml
4.0.0 falcon.chengf security-samples-javaconfig-rolehierarchy 0.0.1-SNAPSHOT jar security-samples-javaconfig-rolehierarchy http://maven.apache.org UTF-8 org.springframework.boot spring-boot-starter-parent 1.5.4.RELEASE pom import junit junit test org.springframework.boot spring-boot-starter-web org.springframework.security spring-security-config org.springframework.security spring-security-web org.springframework.boot spring-boot-maven-plugin repackage ${start-class}
6.admin页面 admin.html
Static hello, admin!
user页面 user.html
Static hello user!
7.启动项目
选中启动类,选择 Run As->Java application,启动后在浏览器中输入
http://localhost:8080/admin/admin.html
之后我们会被重定向到login页面
输入用户名:admin 和密码:password,我们就会看到admin页面
之后我们再在浏览器中输入http://localhost:8080/user/user.html,也能正常访问
我们清除器记录,再重新访问http://localhost:8080/user/user.html,之后再次重定向到login页面,输入用户名:user和密码:password,就会看到user页面,但是再在浏览器中输入http://localhost:8080/admin/admin.html,会出现403页面
下载源码