- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
因此,我目前正在为我的组织重构后端代码,为将来的升级做准备。它目前运行良好,只是代码变得相当困惑,因为这个组织中存在大量的角色和授权。
所以我们这里的后端堆栈是一个简单的 springboot Rest API,我们使用第三方 Oauth 身份验证提供程序作为我们的安全提供程序。
因此,对于每个传入的请求,我们都有一个 spring 安全过滤器,它从身份验证 header JWT 中获取用户角色,并根据它分配授权。
List<GrantedAuthority> authorities = new ArrayList<>();
for (Map.Entry<String,Object> role : user.getCustomClaims().entrySet()) {
authorities.add(new SimpleGrantedAuthority((String) user.getCustomClaims().get("role")));
}
SecurityContextHolder.getContext().setAuthentication(new UsernamePasswordAuthenticationToken(user.getEmail(), user.getUid(), authorities));
filterChain.doFilter(request, response);
现在“问题”的存在是因为存在的角色和身份验证的数量,8 年前这家公司最初是一家只有 10 名员工的简单初创公司,现在是一家拥有 500 ~ 名员工的中型公司。因此角色和权限的数量呈指数级增长。
以财务部为例,我们目前有5级权限,而且都是级联的。
其中Finance Admin拥有Finance 3的所有权限+自己专属的权限等。
其余 API 中的每个端点最终看起来像这样:
@PreAuthorize("hasAuthority('FinanceHead') or hasAuthority('FinanceAdmin') or hasAuthority('Finance3') or hasAuthority('Finance2') or hasAuthority('Finance1')")
许多端点是多部门的,拥有 20 多个 hasAuthorities。不要误会我的意思,这目前工作正常,但改变一个角色变得很痛苦,因为 id 必须搜索所有端点并更改每个端点。有更好的方法吗?
我在想是否可以将 GrantedAuthority 对象重写成这样:
public class GrantedAuthority {
String role; ("Finance","Logistics", etc)
int authLevel; (1,2,3,4,5)
}
这样我就可以为每个主要端点执行 hasRole("Finance") at 然后使用hasAuth(>3) 用于任何其他端点中的每个方法,如下所示:
@PreAuthorize("hasRole('Finance')
@CrossOrigin
@RestController
@RequestMapping("/test")
public class test {
@PreAuthorize("hasAuthority('authLevel > 3')
@GetMapping
public ResponseEntity<String> ping() {
return new ResponseEntity<>("test", HttpStatus.OK);
}
}
有更好的方法吗?
最佳答案
这就是我最终的处理方式,感谢 M. Deinum 向我展示了 Spring Security 中存在分层角色。
所以我所做的就是像这样创建角色层次结构:
@Bean
public RoleHierarchyImpl roleHierarchy() {
RoleHierarchyImpl roleHierarchy = new RoleHierarchyImpl();
roleHierarchy.setHierarchy(
"ROLE_BOSS > ROLE_FINANCE_HEAD > ROLE_FINANCE_ADMIN > ROLE_FINANCE_3 > ROLE_FINANCE_2 > ROLE_FINANCE_1"
return roleHierarchy;
}
private SecurityExpressionHandler<FilterInvocation> webExpressionHandler() {
DefaultWebSecurityExpressionHandler defaultWebSecurityExpressionHandler = new DefaultWebSecurityExpressionHandler();
defaultWebSecurityExpressionHandler.setRoleHierarchy(roleHierarchy());
return defaultWebSecurityExpressionHandler;
}
然后像这样将它们添加到我的安全配置中:
http
.authorizeRequests().anyRequest().authenticated()
.expressionHandler(webExpressionHandler())
所以现在而不是
@PreAuthorize("hasAuthority('FinanceHead') or hasAuthority('FinanceAdmin') or hasAuthority('Finance3') or hasAuthority('Finance2') or hasAuthority('Finance1')")
@GetMapping("/test")
public ResponseEntity<String> test1() {
return new ResponseEntity<>("Test", HttpStatus.OK);
}
我可以走了
@PreAuthorize("hasRole('ROLE_ADMIN_3')")
@GetMapping("/test")
public ResponseEntity<String> test1() {
return new ResponseEntity<>("Test", HttpStatus.OK);
}
如果请求具有以下任何角色:
ROLE_BOSS, ROLE_FINANCE_HEAD, ROLE_FINANCE_ADMIN, ROLE_FINANCE_3
请求将完成,否则抛出 403。
关于java - 在 Spring Security 中实现大量级联角色和权限的更好方法?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/72810153/
我想了解 Ruby 方法 methods() 是如何工作的。 我尝试使用“ruby 方法”在 Google 上搜索,但这不是我需要的。 我也看过 ruby-doc.org,但我没有找到这种方法。
Test 方法 对指定的字符串执行一个正则表达式搜索,并返回一个 Boolean 值指示是否找到匹配的模式。 object.Test(string) 参数 object 必选项。总是一个
Replace 方法 替换在正则表达式查找中找到的文本。 object.Replace(string1, string2) 参数 object 必选项。总是一个 RegExp 对象的名称。
Raise 方法 生成运行时错误 object.Raise(number, source, description, helpfile, helpcontext) 参数 object 应为
Execute 方法 对指定的字符串执行正则表达式搜索。 object.Execute(string) 参数 object 必选项。总是一个 RegExp 对象的名称。 string
Clear 方法 清除 Err 对象的所有属性设置。 object.Clear object 应为 Err 对象的名称。 说明 在错误处理后,使用 Clear 显式地清除 Err 对象。此
CopyFile 方法 将一个或多个文件从某位置复制到另一位置。 object.CopyFile source, destination[, overwrite] 参数 object 必选
Copy 方法 将指定的文件或文件夹从某位置复制到另一位置。 object.Copy destination[, overwrite] 参数 object 必选项。应为 File 或 F
Close 方法 关闭打开的 TextStream 文件。 object.Close object 应为 TextStream 对象的名称。 说明 下面例子举例说明如何使用 Close 方
BuildPath 方法 向现有路径后添加名称。 object.BuildPath(path, name) 参数 object 必选项。应为 FileSystemObject 对象的名称
GetFolder 方法 返回与指定的路径中某文件夹相应的 Folder 对象。 object.GetFolder(folderspec) 参数 object 必选项。应为 FileSy
GetFileName 方法 返回指定路径(不是指定驱动器路径部分)的最后一个文件或文件夹。 object.GetFileName(pathspec) 参数 object 必选项。应为
GetFile 方法 返回与指定路径中某文件相应的 File 对象。 object.GetFile(filespec) 参数 object 必选项。应为 FileSystemObject
GetExtensionName 方法 返回字符串,该字符串包含路径最后一个组成部分的扩展名。 object.GetExtensionName(path) 参数 object 必选项。应
GetDriveName 方法 返回包含指定路径中驱动器名的字符串。 object.GetDriveName(path) 参数 object 必选项。应为 FileSystemObjec
GetDrive 方法 返回与指定的路径中驱动器相对应的 Drive 对象。 object.GetDrive drivespec 参数 object 必选项。应为 FileSystemO
GetBaseName 方法 返回字符串,其中包含文件的基本名 (不带扩展名), 或者提供的路径说明中的文件夹。 object.GetBaseName(path) 参数 object 必
GetAbsolutePathName 方法 从提供的指定路径中返回完整且含义明确的路径。 object.GetAbsolutePathName(pathspec) 参数 object
FolderExists 方法 如果指定的文件夹存在,则返回 True;否则返回 False。 object.FolderExists(folderspec) 参数 object 必选项
FileExists 方法 如果指定的文件存在返回 True;否则返回 False。 object.FileExists(filespec) 参数 object 必选项。应为 FileS
我是一名优秀的程序员,十分优秀!