设计思路

RBAC权限模型是基于角色的,因此在Spring Security中的权限就是角色,具体的认证授权流程如下:

  1. 用户登录申请令牌
  2. 通过UserDetailService查询、加载用户信息、比如密码、权限(角色)….封装到UserDetails
  3. 令牌申请成功,携带令牌访问资源
  4. 网关层面比较访问的URL所需要的权限(Redis中)是否与当前令牌具备的权限有交集。有交集则表示具备访问该URL的权限。
  5. 具备权限则访问,否则拒绝

上述只是大致的流程,其中还有一些细节有待商榷,如下:

1、URL对应的权限如何维护?

这个就比较容易实现了,涉及到RBAC权限模式的三张表,分别为权限表角色表权限角色对应关系表。具体实现流程如下:

  1. 项目启动时将权限(URL)和角色的对应关系加载到Redis中。
  2. 对于管理界面涉及到URL相应关系的变动要实时的变更到Redis。

比如权限中有这么一条数据,如下:

案例实现

此篇文章还是基于以下三个模块进行改动,有不清楚的可以查看陈某往期文章。

名称功能
oauth2-cloud-auth-serverOAuth2.0认证授权服
oauth2-cloud-gateway网关服务
oauth2-cloud-auth-common公共模块

涉及到的更改目录如下图:

此处代码在oauth2-cloud-auth-server模块下。

2、实现UserDetailsService加载权限

UserDetailsService相信大家都已经很熟悉了,主要作用就是根据用户名从数据库中加载用户的详细信息。

代码如下:

实战干货!Spring Cloud Gateway 整合 OAuth2.0 实现分布式统一认证授权!详细介绍了鉴权管理器的作用,这里就不再细说了。代码如下:

处的代码是将请求URL组装成restful风格的,比如POST:/order/info

处的代码是从Redis中取出URL和角色对应关系遍历,通过AntPathMatcher进行比对,获取当前请求URL的所需的角色。

处的代码就是比较当前URL所需的角色和当前用户的角色,分为两步:

  • 如果是超级管理员,则直接放行,不必比较权限
  • 不是超级管理员就需要比较角色,有交集才能放行

此处的代码在oauth2-cloud-gateway模块中。

4、总结

关键代码就是上述三处,另外关于一些DAO层的相关代码就不再贴出来了,自己下载源码看看!

附加的更改

这篇文章中顺带将客户端信息也放在了数据库中,前面的文章都是放在内存中。

数据库中新建一张表,SQL如下:

CREATE TABLE `oauth_client_details` (  `client_id` varchar(48) NOT NULL COMMENT '客户端id',  `resource_ids` varchar(256) DEFAULT NULL COMMENT '资源的id,多个用逗号分隔',  `client_secret` varchar(256) DEFAULT NULL COMMENT '客户端的秘钥',  `scope` varchar(256) DEFAULT NULL COMMENT '客户端的权限,多个用逗号分隔',  `authorized_grant_types` varchar(256) DEFAULT NULL COMMENT '授权类型,五种,多个用逗号分隔',  `web_server_redirect_uri` varchar(256) DEFAULT NULL COMMENT '授权码模式的跳转uri',  `authorities` varchar(256) DEFAULT NULL COMMENT '权限,多个用逗号分隔',  `access_token_validity` int(11) DEFAULT NULL COMMENT 'access_token的过期时间,单位毫秒,覆盖掉硬编码',  `refresh_token_validity` int(11) DEFAULT NULL COMMENT 'refresh_token的过期时间,单位毫秒,覆盖掉硬编码',  `additional_information` varchar(4096) DEFAULT NULL COMMENT '扩展字段,JSON',  `autoapprove` varchar(256) DEFAULT NULL COMMENT '默认false,是否自动授权',  PRIMARY KEY (`client_id`)) ENGINE=InnoDB DEFAULT CHARSET=utf8;复制代码

认证服务中的OAuth2.0的配置文件中将客户端的信息从数据库中加载,该实现类为JdbcClientDetailsService,关键代码如下:

@Override    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {        //使用JdbcClientDetailsService,从数据库中加载客户端的信息        clients.withClientDetails(new JdbcClientDetailsService(dataSource));    }复制代码

总结

本篇文章介绍了网关集成RBAC权限模型进行认证鉴权,核心思想就是将权限信息加载Redis缓存中,在网关层面的鉴权管理器中进行权限的校验,其中还整合了Restful风格的URL。