偷偷摘套内射激情视频,久久精品99国产国产精,中文字幕无线乱码人妻,中文在线中文a,性爽19p

實戰(zhàn)!Spring Cloud Gateway集成 Rbac 權(quán)限模型實現(xiàn)動態(tài)權(quán)限控制!

作者: 不才陳某
開發(fā) 前端
本篇文章介紹了網(wǎng)關(guān)集成RBAC權(quán)限模型進行認證鑒權(quán),核心思想就是將權(quán)限信息加載Redis緩存中,在網(wǎng)關(guān)層面的鑒權(quán)管理器中進行權(quán)限的校驗,其中還整合了Restful風格的URL。

這篇文章介紹下網(wǎng)關(guān)層如何集成RBAC權(quán)限模型進行認證鑒權(quán),文章目錄如下:

什么是RBAC權(quán)限模型?

RBAC(Role-Based Access Control)基于角色訪問控制,目前使用最為廣泛的權(quán)限模型。

相信大家對這種權(quán)限模型已經(jīng)比較了解了。此模型有三個用戶、角色和權(quán)限,在傳統(tǒng)的權(quán)限模型用戶直接關(guān)聯(lián)加了角色層,解耦了用戶和權(quán)限,使得權(quán)限系統(tǒng)有了更清晰的職責劃分和更高的靈活度。

以上五張表的SQL就不再詳細貼出來了,都會放在案例源碼的doc目錄下,如下圖:

設(shè)計思路

RBAC權(quán)限模型是基于角色的,因此在Spring Security中的權(quán)限就是角色,具體的認證授權(quán)流程如下:

  • 用戶登錄申請令牌
  • 通過UserDetailService查詢、加載用戶信息、比如密碼、權(quán)限(角色)....封裝到UserDetails中
  • 令牌申請成功,攜帶令牌訪問資源
  • 網(wǎng)關(guān)層面比較訪問的URL所需要的權(quán)限(Redis中)是否與當前令牌具備的權(quán)限有交集。有交集則表示具備訪問該URL的權(quán)限。
  • 具備權(quán)限則訪問,否則拒絕

上述只是大致的流程,其中還有一些細節(jié)有待商榷,如下:

1、URL對應(yīng)的權(quán)限如何維護?

這個就比較容易實現(xiàn)了,涉及到RBAC權(quán)限模式的三張表,分別為權(quán)限表、角色表、權(quán)限角色對應(yīng)關(guān)系表。具體實現(xiàn)流程如下:

項目啟動時將權(quán)限(URL)和角色的對應(yīng)關(guān)系加載到Redis中。

對于管理界面涉及到URL相應(yīng)關(guān)系的變動要實時的變更到Redis。

比如權(quán)限中有這么一條數(shù)據(jù),如下:

其中的 /order/info 這個URL就是一個權(quán)限,管理員可以對其分配給指定的角色。

2、如何實現(xiàn)Restful風格的權(quán)限控制?

restful風格的接口URL是相同的,不同的只是請求方式,因此要想做到權(quán)限的精細控制還需要保留請求方式,比如POST,GET,PUT,DELETE....

可以在權(quán)限表中的url字段放置一個method標識,比如POST,此時的完整URL為:POST:/order/info

當然*:/order/info中的星號表示一切請求方式都滿足。

3、這樣能實現(xiàn)動態(tài)權(quán)限控制嗎?

權(quán)限的控制方式有很多種,比如Security自身的注解、方法攔截,其實擴展Spring Security也是可以實現(xiàn)動態(tài)權(quán)限控制的,這個在后面的文章中會單獨介紹!

陳某此篇文章是將權(quán)限、角色對應(yīng)關(guān)系存入Redis中,因此想要實現(xiàn)動態(tài)權(quán)限控制只需要在Redis中維護這種關(guān)系即可。Redis中的數(shù)據(jù)如下:

案例實現(xiàn)

此篇文章還是基于以下三個模塊進行改動,有不清楚的可以查看陳某往期文章。

名稱 功能
oauth2-cloud-auth-server OAuth2.0認證授權(quán)服
oauth2-cloud-gateway 網(wǎng)關(guān)服務(wù)
oauth2-cloud-auth-common 公共模塊

涉及到的更改目錄如下圖:

1、從數(shù)據(jù)庫加載URL<->角色對應(yīng)關(guān)系到Redis

在項目啟動之初直接讀取數(shù)據(jù)庫中的權(quán)限加載到Redis中,當然方法有很多種,自己根據(jù)情況選擇。代碼如下:

此處代碼在oauth2-cloud-auth-server模塊下。

案例源碼已經(jīng)上傳GitHub,關(guān)注公眾號:碼猿技術(shù)專欄,回復(fù)關(guān)鍵詞:9529 獲取!

2、實現(xiàn)UserDetailsService加載權(quán)限

UserDetailsService相信大家都已經(jīng)很熟悉了,主要作用就是根據(jù)用戶名從數(shù)據(jù)庫中加載用戶的詳細信息。

代碼如下:

①處的代碼是將通過JPA從數(shù)據(jù)庫中查詢用戶信息并且組裝角色,必須是以 ROLE_ 開頭。

②處的代碼是將獲取的角色封裝進入authorities向下傳遞。

此處代碼在oauth2-cloud-auth-server模塊下。

案例源碼已經(jīng)上傳GitHub,關(guān)注公眾號:碼猿技術(shù)專欄,回復(fù)關(guān)鍵詞:9529 獲取!

3、鑒權(quán)管理器中校驗權(quán)限

在上篇文章中實戰(zhàn)干貨!Spring Cloud Gateway 整合 OAuth2.0 實現(xiàn)分布式統(tǒng)一認證授權(quán)!詳細介紹了鑒權(quán)管理器的作用,這里就不再細說了。代碼如下:

①處的代碼是將請求URL組裝成restful風格的,比如POST:/order/info

②處的代碼是從Redis中取出URL和角色對應(yīng)關(guān)系遍歷,通過AntPathMatcher進行比對,獲取當前請求URL的所需的角色。

③處的代碼就是比較當前URL所需的角色和當前用戶的角色,分為兩步:

如果是超級管理員,則直接放行,不必比較權(quán)限

不是超級管理員就需要比較角色,有交集才能放行

此處的代碼在oauth2-cloud-gateway模塊中。

案例源碼已經(jīng)上傳GitHub,關(guān)注公眾號:碼猿技術(shù)專欄,回復(fù)關(guān)鍵詞:9529 獲取!

4、總結(jié)

關(guān)鍵代碼就是上述三處,另外關(guān)于一些DAO層的相關(guān)代碼就不再貼出來了,自己下載源碼看看!

案例源碼已經(jīng)上傳GitHub,關(guān)注公眾號:碼猿技術(shù)專欄,回復(fù)關(guān)鍵詞:9529 獲取!

附加的更改

這篇文章中順帶將客戶端信息也放在了數(shù)據(jù)庫中,前面的文章都是放在內(nèi)存中。

數(shù)據(jù)庫中新建一張表,SQL如下:

  1. CREATE TABLE `oauth_client_details` ( 
  2.   `client_id` varchar(48) NOT NULL COMMENT '客戶端id'
  3.   `resource_ids` varchar(256) DEFAULT NULL COMMENT '資源的id,多個用逗號分隔'
  4.   `client_secret` varchar(256) DEFAULT NULL COMMENT '客戶端的秘鑰'
  5.   `scope` varchar(256) DEFAULT NULL COMMENT '客戶端的權(quán)限,多個用逗號分隔'
  6.   `authorized_grant_types` varchar(256) DEFAULT NULL COMMENT '授權(quán)類型,五種,多個用逗號分隔'
  7.   `web_server_redirect_uri` varchar(256) DEFAULT NULL COMMENT '授權(quán)碼模式的跳轉(zhuǎn)uri'
  8.   `authorities` varchar(256) DEFAULT NULL COMMENT '權(quán)限,多個用逗號分隔'
  9.   `access_token_validity` int(11) DEFAULT NULL COMMENT 'access_token的過期時間,單位毫秒,覆蓋掉硬編碼'
  10.   `refresh_token_validity` int(11) DEFAULT NULL COMMENT 'refresh_token的過期時間,單位毫秒,覆蓋掉硬編碼'
  11.   `additional_information` varchar(4096) DEFAULT NULL COMMENT '擴展字段,JSON'
  12.   `autoapprove` varchar(256) DEFAULT NULL COMMENT '默認false,是否自動授權(quán)'
  13.   PRIMARY KEY (`client_id`) 
  14. ) ENGINE=InnoDB DEFAULT CHARSET=utf8; 

認證服務(wù)中的OAuth2.0的配置文件中將客戶端的信息從數(shù)據(jù)庫中加載,該實現(xiàn)類為JdbcClientDetailsService,關(guān)鍵代碼如下:

  1. @Override 
  2.    public void configure(ClientDetailsServiceConfigurer clients) throws Exception { 
  3.        //使用JdbcClientDetailsService,從數(shù)據(jù)庫中加載客戶端的信息 
  4.        clients.withClientDetails(new JdbcClientDetailsService(dataSource)); 
  5.    } 

總結(jié)

本篇文章介紹了網(wǎng)關(guān)集成RBAC權(quán)限模型進行認證鑒權(quán),核心思想就是將權(quán)限信息加載Redis緩存中,在網(wǎng)關(guān)層面的鑒權(quán)管理器中進行權(quán)限的校驗,其中還整合了Restful風格的URL。

 

責任編輯:武曉燕 來源: 碼猿技術(shù)專欄
Rbac權(quán)限模型
相關(guān)推薦

2025-06-30 01:33:00

2021-03-01 09:29:55

數(shù)據(jù)權(quán)限模型

2022-06-16 10:38:24

URL權(quán)限源代碼

2024-10-17 09:14:24

RBAC模型管理

2023-07-05 13:58:10

權(quán)限模型設(shè)計模式

2019-08-22 09:55:17

RedisAPI數(shù)據(jù)

2024-10-23 08:45:07

ACLABACRBAC

2023-02-20 10:13:00

灰度發(fā)布實現(xiàn)

2014-08-15 10:05:37

Angular權(quán)限控制

2021-11-04 10:11:02

Sentinel網(wǎng)關(guān)限流

2022-08-30 08:36:13

Spring權(quán)限控制

2022-08-15 08:45:21

Spring權(quán)限控制

2022-08-15 08:42:46

權(quán)限控制Spring

2022-08-30 08:55:49

Spring權(quán)限控制

2022-08-30 08:43:11

Spring權(quán)限控制

2022-08-30 08:50:07

Spring權(quán)限控制

2010-08-24 09:32:13

Exchange201RBAC用戶權(quán)限

2021-04-02 08:02:10

Gin集成Casbin開源

2024-03-15 11:47:19

Vue2前端權(quán)限控制

2017-04-25 10:46:57

Spring BootRESRful API權(quán)限
點贊
收藏

51CTO技術(shù)棧公眾號