[Java实战]Spring Boot 3实现 RBAC 权限控制(二十五)
一、RBAC 权限控制简介
RBAC(Role-Based Access Control,基于角色的访问控制)是一种常见的权限管理模型,通过为用户分配角色,再为角色分配权限,从而实现对资源的访问控制。这种模型简化了权限管理,提高了系统的安全性和可维护性。
二、项目结构设计
在 Spring Boot 项目中实现 RBAC 权限控制,通常需要以下模块:
- 用户模块(User):存储用户的基本信息,如用户名、密码等。
- 角色模块(Role):定义系统中的角色,如管理员、普通用户等。
- 权限模块(Permission):定义具体的权限,如访问特定接口、操作特定数据等。
- 用户角色关系模块(UserRole):关联用户和角色。
- 角色权限关系模块(RolePermission):关联角色和权限。
三、数据库设计
以下是实现 RBAC 权限控制所需的数据库表结构:
- 用户表(users)
id:用户IDusername:用户名password:密码
- 角色表(roles)
id:角色IDname:角色名称
- 权限表(permissions)
id:权限IDname:权限名称
- 用户角色关系表(user_roles)
user_id:用户IDrole_id:角色ID
- 角色权限关系表(role_permissions)
role_id:角色IDpermission_id:权限ID
四、Spring Security 配置
使用 Spring Security 配置 RBAC 权限控制,需要实现以下步骤:
- 配置 Spring Security
- 添加
@EnableWebSecurity注解,启用 Spring Security 配置。 - 配置
HttpSecurity,定义哪些请求需要认证,哪些请求需要特定角色。 - 配置
AuthenticationManager,用于用户认证。
- 添加
- 实现 UserDetailsService
- 从数据库加载用户信息,包括用户名、密码和角色。
- 为用户分配角色和权限。
- 配置 JWT 令牌
- 使用 JWT 令牌进行用户认证和授权。
- 在请求中验证 JWT 令牌,提取用户信息和角色。
五、代码实现
以下是实现 RBAC 权限控制的关键代码:
1. 安全配置类(SecurityConfig)
@Configuration
@EnableWebSecurity
public class SecurityConfig {
@Autowired
private UserDetailsService userDetailsService;
@Autowired
private JwtRequestFilter jwtRequestFilter;
@Bean
public PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder();
}
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.csrf(AbstractHttpConfigurer::disable)
.authorizeHttpRequests(auth -> auth
.requestMatchers("/api/auth/**").permitAll()
.requestMatchers("/api/admin/**").hasRole("ADMIN")
.requestMatchers("/api/user/**").hasAnyRole("USER", "ADMIN")
.anyRequest().authenticated()
)
.sessionManagement(session -> session.sessionCreationPolicy(SessionCreationPolicy.STATELESS));
http.addFilterBefore(jwtRequestFilter, UsernamePasswordAuthenticationFilter.class);
return http.build();
}
@Bean
public AuthenticationManager authManager(HttpSecurity http) throws Exception {
AuthenticationManagerBuilder authenticationManagerBuilder =
http.getSharedObject(AuthenticationManagerBuilder.class);
authenticationManagerBuilder.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder());
return authenticationManagerBuilder.build();
}
}
2. 用户详情服务(UserDetailsService)
@Service
public class UserDetailsServiceImpl implements UserDetailsService {
@Autowired
private UserRepository userRepository;
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
User user = userRepository.findByUsername(username)
.orElseThrow(() -> new UsernameNotFoundException("User not found with username: " + username));
return new org.springframework.security.core.userdetails.User(user.getUsername(), user.getPassword(), getAuthorities(user));
}
private Collection<? extends GrantedAuthority> getAuthorities(User user) {
return user.getRoles().stream()
.map(role -> new SimpleGrantedAuthority("ROLE_" + role.getName()))
.collect(Collectors.toList());
}
}
3. JWT 工具类(JwtUtils)
@Component
public class JwtUtils {
private String secretKey = "yourSecretKey";
public String generateToken(UserDetails userDetails) {
Map<String, Object> claims = new HashMap<>();
return createToken(claims, userDetails.getUsername());
}
private String createToken(Map<String, Object> claims, String subject) {
return Jwts.builder()
.setClaims(claims)
.setSubject(subject)
.setIssuedAt(new Date(System.currentTimeMillis()))
.setExpiration(new Date(System.currentTimeMillis() + 1000 * 60 * 60 * 10)) // 10 hours
.signWith(SignatureAlgorithm.HS256, secretKey)
.compact();
}
}
六、测试 RBAC 权限控制
使用 Postman 测试 RBAC 权限控制:
- 注册用户:发送 POST 请求到
/api/auth/register,包含用户名和密码。 - 登录获取 JWT 令牌:发送 POST 请求到
/api/auth/login,使用用户名和密码获取 JWT 令牌。 - 访问受保护的接口:在请求头中添加 JWT 令牌,访问
/api/user/**或/api/admin/**接口,验证角色权限。
七、最佳实践
- 明确角色和权限:清晰定义角色和权限,避免权限重叠。
- 限制角色变更:减少角色变更频率,确保变更记录清晰。
- 定期审计:定期审计用户角色和权限,确保符合安全策略。
如果你在使用过程中遇到任何问题,欢迎在评论区留言交流。感谢你的阅读,希望这篇文章对你有所帮助!