当前位置：首页 > news >正文

Spring Security授权管理

news 来源：原创 2025/7/16 0:40:06

授权是Spring Security的核心功能之一，是根据用户的权限来控制用户访问资源的过程，拥有资源的访问权限则可正常访问，没有访问的权限时则会被拒绝访问。认证是为了保证用户身份的合法性，而授权则是为了更细粒度地对隐私数据进行划分，授权是在认证通过后发生的，以控制不同的用户访问不同的资源。Spring Security提供了授权方法，开发者通过这些方法进行用户访问控制.

Spring Security授权流程

实现授权需要对用户的访问进行拦截校验，校验用户的权限是否可以操作指定的资源。Spring Security使用标准Filter建立了对Web请求的拦截，最终实现对资源的授权访问。

①拦截请求。已认证用户访问受保护的Web资源将被SecurityFilterChain中FilterSecurityInterceptor实例对象拦截。

②获取资源访问策略。FilterSecurityInterceptor实例对象会通过SecurityMetadataSource的子类DefaultFilterInvocationSecurityMetadataSource实例对象中获取要访问当前资源所需要的权限，权限封装在Collection实例对象中。 SecurityMetadataSource是读取访问策略的抽象，具体读取的内容，就是开发者配置的访问规则。

③FilterSecurityInterceptor通过AccessDecisionManager进行授权决策，若决策通过，则允许访问资源，否则将禁止访问。AccessDecisionManager中包含一系列AccessDecisionVoter，可对当前认证过的身份是否有权访问对应的资源进行投票，AccessDecisionManager根据投票结果做出最终决策。

Spring Security自定义授权

根据授权的位置和形式，通常可以将授权的方式分为Web授权和方法授权，这两种授权方式都会调用AccessDecisionManager进行授权决策。下面分别对这两种自定义授权的方式进行讲解。

1.Web授权

Spring Security的底层实现本质是通过多个Filter形成的过滤器链完成，过滤器链中提供了默认的安全拦截机制，设置安全拦截规则，以控制用户的访问。HttpSecurity是SecurityBuilder接口的实现类，是HTTP安全相关的构建器，Spring Security中可以通过HttpSecurity对象设置安全拦截规则，并通过该对象构建过滤器链。

HttpSecurity可以根据不同的业务场景，对不同的URL采用不同的权限处理策略。当开发者需要配置项目的安全拦截规则时，可以调用HttpSecurity对象对应的方法实现。

HttpSecurity类的常用方法

方法	作用
authorizeRequests()	开启基于HttpServletRequest请求访问的限制
formLogin()	开启基于表单的用户登录
httpBasic()	开启基于HTTP请求的Basic认证登录
logout()	开启退出登录的支持
sessionManagement()	开启Session管理配置
rememberMe()	开启“记住我”功能
csrf()	配置CSRF跨站请求伪造防护功能

通过authorizeRequests()方法可以添加用户请求控制的规则，这些规则通过用户请求控制的相关方法指定。

用户请求控制的常用方法

方法	作用
antMatchers(String... antPatterns)	开启Ant风格的路径匹配
mvcMatchers(String... patterns)	开启MVC风格的路径匹配，与Ant风格类似
regexMatchers(String... regexPatterns)	开启正则表达式的路径匹配
and()	功能连接符
anyRequest()	匹配任何请求
rememberMe()	开启“记住我”功能
access(String attribute)	使用基于SpEL表达式的角色进行匹配

方法	作用
hasAnyRole(String... roles)	匹配用户是否有参数中的任意角色
hasRole(String role)	匹配用户是否有某一个角色
hasAnyAuthority(String... authorities)	匹配用户是否有参数中的任意权限
hasAuthority(String authority)	匹配用户是否有某一个权限
authenticated()	匹配已经登录认证的用户
fullyAuthenticated()	匹配完整登录认证的用户（非rememberMe登录用户）
hasIpAddress(String ipaddressExpression)	匹配某IP地址的访问请求
permitAll()	无条件对请求进行放行

通过HttpSecurity类的formLogin()方法开启基于表单的用户登录后，可以指定表单认证的相关设置。

基于表单的身份验证的常见方法

方法	作用
loginPage(String loginPage)	指定自定义登录界面，不使用SpringSecurity默认登录界面
loginProcessingUrl(String loginProcessingUrl)	指定处理登录的请求url，为表单提交用户信息的Action
successForwardUrl(String forwardUrl)	指定登录成功后默认跳转的路径

下面通过案例演示在Spring Boot项目中使用Spring Security的Web授权方式进行权限管理。

（1）导入登录页面

在项目的resources目录的templates文件夹中导入自定义的登录页面login.html。

<html lang="en" xmlns:th="http://www.thymeleaf.org"><head><title>图书管理系统</title><link rel="stylesheet" type="text/css" th:href="@{/css/webbase.css}"><link rel="stylesheet" type="text/css" th:href="@{/css/pages-login-manage.css}"></head><body><div class="loginmanage"><div class="py-container"><h4 class="manage-title">图书管理系统</h4><div class="loginform"><ul class="sui-nav nav-tabs tab-wraped"><li class="active"><h3>账户登录</h3></li></ul><div class="tab-content tab-wraped"><div id="profile" class="tab-pane active"><form id="loginform" class="sui-form" th:action="@{/doLogin}" method="post"><div class="input-prepend"><span class="add-on loginname">用户名</span><input type="text" placeholder="用户名" class="span2 input-xfat" name="username"></div><div class="input-prepend"><span class="add-on loginpwd">密码</span><input type="password" placeholder="请输入密码" class="span2 input-xfat" name="password"></div><div class="logined"><a class="sui-btn btn-block btn-xlarge btn-danger"href='javascript:document:loginform.submit();' target="_self">登&nbsp;&nbsp;录</a></div></form></div></div></div></div></div></body></html>

（2）编辑配置类

在项目的WebSecurityConfig配置类中使用HttpSecurity对象设置安全拦截规则，并创建SecurityFilterChain对象交由Spring管理

@Configuration
public  class  WebSecurityConfig {
@Bean
public  PasswordEncoder passwordEncoder() {
return  new  BCryptPasswordEncoder();
}
@Bean
public  SecurityFilterChain securityFilterChain(HttpSecurity http) throws  Exception{
http.authorizeRequests() // 定义哪些URL需要被保护、哪些不需要被保护
.mvcMatchers("/loginview","/css/**","/img/**").permitAll()
.mvcMatchers("/book/admin/**").hasRole("ADMIN")
.anyRequest().authenticated() // 任何请求,登录后可以访问
.and()
.formLogin()
.loginPage("/loginview")
.loginProcessingUrl("/doLogin")
.and()
.csrf().disable()//禁止csrf 跨站请求保护;
.headers().frameOptions().sameOrigin();
return  http.build();
}
}

在WebMvcConfig配置类中添加loginview的视图映射

@Configuration
public  class  WebMvcConfig implements  WebMvcConfigurer {
@Override
public  void  addViewControllers(ViewControllerRegistry registry) {
registry.addViewController("/").setViewName("main");
registry.addViewController("/loginview").setViewName("login");
}
}

（3）测试效果

启动项目，在浏览器中通过“http://localhost:8080/”访问项目首页。

在登录页面使用zhangsan的用户信息进行登录。

图书管理需要角色为ROLE_ADMIN的用户才可以访问，用户zhangsan的角色为ROLE_COMMON，在后台首页单击“图书管理”链接。

使用用户lisi进行登录，lisi对应的角色为ROLE_ADMIN，登录成功再次访问“图书管理”。

2.方法授权

Spring Security除了可以在配置类中通过创建过滤器链设置安全拦截规则外，还可以使用@Secured、@RolesAllowed和@PreAuthorize注解控制类中所有方法或者单独某个方法的访问权限，以实现对访问进行授权管理。

使用@Secured和@RolesAllowed注解时，只需在注解中指定访问当前注解标注的类或方法所需要具有的角色，允许多个角色访问时，使用大括号对角色信息进行包裹，角色信息之间使用分号分隔即可。

@RequestMapping("list")
@Secured({"ROLE_ADMIN","ROLE_COMMON"})
public String findList() {return "book_list";
}
@RequestMapping("admin/manag")
@RolesAllowed("ROLE_ADMIN")
public String findManagList() {return "book_manag";
}

@PreAuthorize注解会在方法执行前进行权限验证，支持SpEL表达式。

@RequestMapping("list")
@PreAuthorize("hasAnyRole('ROLE_ADMIN','ROLE_COMMON')")
public String findList() {return "book_list";
}
@RequestMapping("admin/manag")
@PreAuthorize("hasRole('ROLE_ADMIN')")
public String findManagList() {return "book_manag";
}

@Secured、@RolesAllowed和@PreAuthorize注解都可以对方法的访问进行权限控制。 @Secured为Spring Security提供的注解。

@RolesAllowed为基于JSR 250规范的注解。

@PreAuthorize支持SpEL表达式。

Spring Security默认是禁用方法级别的安全控制注解，要想使用注解进行方法授权，可以使用@EnableGlobalMethodSecurity注解开启基于方法的安全认证机制，该注解可以标注在任意配置类上。

@Configuration
@EnableGlobalMethodSecurity(securedEnabled = true,jsr250Enabled = true,prePostEnabled = true)
public class WebSecurityConfig  {……}

（1）开启基于方法的安全认证机制在项目的WebSecurityConfig配置类中开启基于方法的安全认证机制，并将类中HttpSecurity对象设置的访问“图书管理”拦截规则删除，以确保对资源授权地为方法授权，修改后的代码如下所示。

@Configuration
@EnableGlobalMethodSecurity(securedEnabled = true ,prePostEnabled = true )
public  class  WebSecurityConfig {
@Bean
public  PasswordEncoder passwordEncoder() {
return  new  BCryptPasswordEncoder();
}
@Bean
public  SecurityFilterChain securityFilterChain(HttpSecurity http) throws  Exception {
http.authorizeRequests() // 定义哪些URL需要被保护、哪些不需要被保护
.mvcMatchers("/loginview","/css/**","/img/**").permitAll()
.anyRequest().authenticated() // 任何请求,登录后才可以访问
.and()
.formLogin()
.loginPage("/loginview")
.loginProcessingUrl("/doLogin")
.permitAll()
.and()
.csrf().disable()//禁止csrf 跨站请求保护;
.headers().frameOptions().sameOrigin();
return  http.build();
}
}

（2）方法授权

在BookController类的findManagList()方法上使用注解指定访问该方法所需的角色

@Controller
@RequestMapping("book")public  class  BookController {
@RequestMapping("list")
public  String findList() {
return  "book_list";
}
@RequestMapping("admin/manag")
@Secured("ROLE_ADMIN")
public  String findManagList() {
return  "book_manag";
}
}

（3）测试效果

启动项目，在浏览器中通过“http://localhost:8080/”访问项目首页后，使用用户zhangsan登录系统。

单击左侧的“图书管理”链接。

在用户登录页面使用用户lisi进行登录，登录成功后再次访问“图书管理”。

动态展示菜单

掌握动态展示菜单，能够通过Spring Security的授权管理实现动态展示菜单。

在前面的讲解中，只是通过Spring Security对后台资源的访问根据角色进行权限控制，前端页面并没有做任何处理，不同角色能看到的前端页面是一样的，即使当前用户没有对应的访问权限，依然能看到对应的菜单，用户体验较差。下面在前面案例的基础上，讲解如何使用Spring Security与Thymeleaf整合实现前端页面根据登录用户的角色动态展示菜单。

1．添加依赖

添加Thymeleaf与Spring Security 5的集成包：thymeleaf-extras-springsecurity5

<dependency><groupId>org.thymeleaf.extras</groupId><artifactId>thymeleaf-extras-springsecurity5</artifactId>
</dependency>

2．修改页面代码

打开后台首页main.html，引入Spring Security安全标签，并在页面中根据需求使用Spring Security标签指定为不同角色显示不同的页面内容，实现动态展示控制

<html xmlns:th="http://www.thymeleaf.org"xmlns:sec="http://www.thymeleaf.org/extras/spring-security"><head><meta charset="utf-8"><title>网上图书馆</title><headers><frame-options policy="SAMEORIGIN" /></headers><link rel="stylesheet" th:href="@{/css/bootstrap.css}"><link rel="stylesheet" th:href="@{/css/AdminLTE.css}"><link rel="stylesheet" th:href="@{/css/_all-skins.min.css}"><script th:src="@{/js/jquery.min.js}"></script><script th:src="@{/js/bootstrap.js}"></script><script type="text/javascript">function SetIFrameHeight() {var iframeid = document.getElementById("iframe");if (document.getElementById) {/*设置 内容展示区的高度等于页面可视区的高度*/iframeid.height = document.documentElement.clientHeight;}}</script></head><body class="hold-transition skin-green sidebar-mini"><div class="wrapper"><!-- 页面头部 --><header class="main-header"><!-- Logo --><a th:href="@{/}" class="logo"><span class="logo-lg"><b>网上图书馆</b></span></a><!-- 头部导航 --><nav class="navbar navbar-static-top"><div class="navbar-custom-menu"><ul class="nav navbar-nav"><li class="dropdown user user-menu"><a th:if="${session.user !=null}"><img th:src="@{/img/user.jpg}" class="user-image"alt="User Image"><span class="hidden-xs" th:text="${session.user.name}"></span>
</a></li><li class="dropdown user user-menu"><a><span class="hidden-xs">注销</span></a></li></ul></div></nav></header><!-- 页面头部 /--><!-- 导航侧栏 --><aside class="main-sidebar"><section class="sidebar"><ul class="sidebar-menu"><li sec:authorize="hasAnyAuthority('ROLE_COMMON','ROLE_ADMIN')"><a th:href="@{/book/list}" target="iframe"><i class="fa fa-circle-o"></i>图书阅读</a></li><li sec:authorize="hasAuthority('ROLE_ADMIN')"><a th:href="@{/book/admin/manag}" target="iframe"><i class="fa fa-circle-o"></i>图书管理</a></li></ul></section><!-- /.sidebar --></aside><!-- 导航侧栏 /--><!-- 内容展示区域 --><div class="content-wrapper"><iframe width="100%" id="iframe" name="iframe" onload="SetIFrameHeight()"frameborder="0" ></iframe></div></div></body></html>

3．效果测试

重启项目。

使用用户zhangsan的信息进行登录，登录后展示后台首页。

使用用户lisi的信息进行登录，登录后展示后台首页。