Light Security是一个基于 jwt 的权限控制框架,支持与 Spring Boot 配合使用。
特点
优点
- 上手快速
- 开箱即用
- 轻量级,代码精简,不到500行代码;
- 功能实用,市面上安全框架常用能力与套路均已具备:
- 支持
RESTful权限控制 - 支持灵活的权限配置(代码配置方式优先级更高)
- 支持基于配置文件的权限配置
- 支持基于代码的权限控制
- 支持基于注解的权限控制
- 支持
- 设计简单,没有复杂概念;
- 基于权限配置的方式:核心是1个拦截器
- 基于注解的权限控制:核心是1个切面
缺点
- 功能比Spring Security、Apache Shiro弱;
- 只考虑权限相关问题
- 不考虑身份认证(登录),意味着登录逻辑得自己玩;
- 不考虑安全,意味着网络攻击得自己防;
- 目前与Spring MVC强绑定,暂不支持WebFlux或其他框架。
依赖
- Spring MVC:用到Spring MVC的拦截器;
- Spring AOP:如果不用基于注解的权限控制,则无需该部分依赖;
- jwt:你懂的
快速上手
TIPS
快速上手可详见项目
light-security-example目录,内附详细测试步骤。
基于配置文件的权限配置
-
加依赖:
<dependency> <groupId>com.itmuch.security</groupId> <artifactId>light-security-spring-boot-starter</artifactId> <version>1.0.1-RELEASE</version> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-aop</artifactId> </dependency> -
写配置
light-security: # 权限规则配置:表示用{http-method}方法请求的{path}路径必须具备什么{expression} spec-list: - http-method: ANY path: /login expression: "anon()" - http-method: ANY path: /user expression: "hasAnyRoles('user','admin')" - http-method: GET path: /error expression: "anon()" - http-method: ANY path: /** expression: "hasLogin()" jwt: # jwt sign算法 algorithm: hs512 # jwt secret secret: http-security-secret-modify-mehttp-security-secret-modify # jwt 有效时间 expiration-in-second: 1209600 -
写代码:
@RequestMapping @RestController @RequiredArgsConstructor(onConstructor = @__(@Autowired)) public class TestController { private final UserOperator userOperator; private final JwtOperator operator; /** * 演示如何获取当前登录用户信息 * - 该路径需要具备user或admin权限才可访问,详见application.yml * * @return 用户信息 */ @GetMapping("/user") public User user() { return userOperator.getUser(); } /** * 演示基于注解的权限控制 * * @return 如果有权限返回 亲,你同时有user、admin角色.. */ @GetMapping("/annotation-test") @PreAuthorize("hasAllRoles('user','admin')") public String annotationTest() { return "亲,你同时有user、admin角色.."; } /** * 模拟登录,颁发token * * @return token字符串 */ @GetMapping("/login") public String loginReturnToken() { User user = User.builder() .id(1) .username("张三") .roles(Arrays.asList("user", "admin")) .build(); return operator.generateToken(user); } }
基于代码的权限配置
@Configuration
public class LightSecurityConfigurtion {
@Bean
public SpecRegistry specRegistry() {
return new SpecRegistry()
.add(HttpMethod.GET, "/user", "hasAnyRoles('user')")
.add(HttpMethod.ANY, "/**", "hasLogin()");
}
}
此时,application.yml 中的如下配置可删除,因为代码配置方式优先级更高,配置文件方式将会失效。
light-security:
# 权限规则配置:表示用{http-method}方法请求的{path}路径必须具备什么{expression}
spec-list:
- http-method: ANY
path: /login
expression: "anon()"
- http-method: ANY
path: /user
expression: "hasAnyRoles('user','admin')"
- http-method: GET
path: /error
expression: "anon()"
- http-method: ANY
path: /**
expression: "hasLogin()"
扩展点
| 类 | 作用 |
|---|---|
| com.itmuch.lightsecurity.jwt.UserOperator | 提供用户相关操作,例如解析token获得用户信息等。 |
| com.itmuch.lightsecurity.el.PreAuthorizeExpressionRoot | 提供了表达式,例如hasAnyRoles('user') 等,如需新能力,只要写新方法即可 |
| com.itmuch.lightsecurity.annotation.support.PreAuthorizeAspect | 为注解 @PreAuthorize("hasAllRoles('user','admin')")提供支持 |
常见问题
为什么要再造个轮子?
老是有人问我诸如"微服务安全怎么管理?"、"Spring Securityxxxx问题你遇到过吗?"、"能写个Spring Cloud Security的系列教程吗?"、"Shiroxxxx问题你遇到过吗?"
烦不胜烦,初期积极回复;后来消极回复;再后来懒得回复。
分析一下,发现主要原因还是Spring Security、Shiro学习曲线较高,特别是Spring Security。所以就想写个轻量的框架,能够快速解决主要矛盾——足够简单、能实现权限控制。
为什么实现一个通用的权限解决方案?
有考虑实现一个通用权限框架,但那样会增加挺多代码,而且要添加挺多适配逻辑(例如适配Spring MVC、WebFlux等)。
个人认为这在现阶段去实现还不合适,个人不太喜欢画饼。既然"通用性"不是目前最主要的矛盾,高效解决问题相对更加重要。那何必花精力去实现通用性?设计上支持往"通用性"迁移即可。
未来如果有需求,我会做一个通用版本,并且低版本也可无痛、平滑地迁移。
为什么不考虑身份认证(登录)?
目前市面上大多权限框架都考虑了"身份认证(登录)" + "权限管理" 。然而登录操作在现在这个时代,是一个"五花八门"的操作。例如:
- 手机号 + 验证码登录
- 扫二维码登录
- 账号密码登录
- 证书登录
往往还需还同时支持多种登录方式。这挺难去抽象出通用模式,并为典型的登录方式提供支持。
索性不考虑了——把登录问题留给使用者自己。用户可根据业务需求实现登录逻辑,并颁发Token,后面的事情就交给 Light Security ,让它给你搞定。这样相对更加灵活,更重要的是——你也不再需要去学习用框架应该怎么登录。
-
Spring Boot整合Spring Security Spring Security的安全管理两个重要概念是:认证(Authentication)和授权(Authorization)。认证即对用户登录进行管控,授权即对登录用户的权限进行管控。 一、配置 添加spring-boot-starter-security启动器,pom中引入依赖 <dependency> <groupId>or
-
Spring Security入门基础 一,Spring Security的使用 1.1 基本术语 SpringSecurity是一个强大的可高度定制的认证和授权框架,对于Spring应用来说它是一套Web安全标准。Spring Security注重于为java应用提供认证和授权功能。 OAuth2是用于授权的行业标准协议,为简化客户端开发提供类特定的授权流。 Resource owner(资源拥
-
SpringSecurity配置类代码: @Configuration @EnableWebSecurity @EnableGlobalMethodSecurity(prePostEnabled = true) public class WelfareSecurityConfig extends WebSecurityConfigurerAdapter { @Autowired
-
本页内容包括: 模块和源文件 访问级别 访问级别的使用原则 默认访问级别 单目标应用程序的访问级别 Framework的访问级别 访问控制语法 自定义类型 元组类型 函数类型 枚举类型 原始值和关联值 嵌套类型 子类 常量、变量、属性、下标 Getter和Setter 初始化 默认初始化方法 结构体的默认成员初始化方法 协议 协议继承 协议一致性 扩展 协议的扩展 泛型 类型别名 访问控制可以限定
-
数据只能由所属的智能合约读写,智能合约默认无法读写其他智能合约的数据。 为了方便用户操作,使用智能合约的私有对象作为数据对象,系统通过反射,获取私有对象所属的智能合约和对象名。其他智能合约无法创建和获取该智能合约的私有对象,就无法读写对应的数据。 如果智能合约希望自己的数据能够被其他智能合约读写,需要智能合约主动提供数据操作接口,其他智能合约通过引用该合约,调用相应接口,从而操作相应数据。 智能合
-
正如我所看到的,Spring Security OAuth2.x项目被移到了Spring Security 5.2.x。我尝试用一种新的方式来实现授权和资源服务器。Everythin工作正常,除了一件事--注释。当我尝试将其与标准一起使用时,我总是被禁止。我看到的是对象的类型为不能解析权限,我不知道为什么。 并在将其强制转换为后声明 资源服务器配置 也许有人也有类似的问题?
-
一、前言 为了避免存储在 Zookeeper 上的数据被其他程序或者人为误修改,Zookeeper 提供了 ACL(Access Control Lists) 进行权限控制。只有拥有对应权限的用户才可以对节点进行增删改查等操作。下文分别介绍使用原生的 Shell 命令和 Apache Curator 客户端进行权限设置。 二、使用Shell进行权限管理 2.1 设置与查看权限 想要给某个节点设置权
-
本文向大家介绍Android权限控制之自定义权限,包括了Android权限控制之自定义权限的使用技巧和注意事项,需要的朋友参考一下 天哪,这篇文章终于说道如何自定义权限了,左盼右盼,其实这个自定义权限相当easy。为了方便叙述,我这边会用到两个app作为例子示范。 Permission App: used to define a new permission 这个作为定义权限的App,我称之为Pe
-
本文向大家介绍浅谈基于SpringBoot实现一个简单的权限控制注解,包括了浅谈基于SpringBoot实现一个简单的权限控制注解的使用技巧和注意事项,需要的朋友参考一下 注解是 JDK 5.0 引入的一种注释机制。注解可以作用在类型(类、接口、枚举等)、属性、方法、参数等不同位置,具体的 JDK 版本所支持的注解位置可参考 java.lang.annotation.ElementType 。此
-
读后http://en.wikipedia.org/wiki/Role-based_access_control看到人们建立授权/访问控制的方式,我想到了这个问题:“为什么我们在检查用户是否被允许执行X操作时检查用户的角色,而不是检查他们的权限?” 这就是我所理解的,用户有角色,角色有权限,这就是用户可以拥有权限的方式(用户不能明确地拥有分配给它的权限,它通过拥有角色获得权限) 我认为,在处理添加
-
本文向大家介绍asp.net core mvc权限控制:在视图中控制操作权限,包括了asp.net core mvc权限控制:在视图中控制操作权限的使用技巧和注意事项,需要的朋友参考一下 在asp.net core mvc中提供了权限验证框架,前面的文章中已经介绍了如何进行权限控制配置,权限配置好后,权限验证逻辑自动就会执行,但是在某些情况下,我们可能需要在代码里或者视图中通过手工方式判断权限,我