51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

Spring WebFlux Security结合R2DBC实现权限控制

作者:Springboot实战案例锦集
开发 前端
我们这里对实现的原理做简单的接收,主要核心是WebFilter。

环境:Springboot2.7.7

依赖管理

<dependency>
  <groupId>org.springframework.boot</groupId>
  <artifactId>spring-boot-starter-data-r2dbc</artifactId>
</dependency>
<dependency>
  <groupId>org.springframework.boot</groupId>
  <artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
  <groupId>org.springframework.boot</groupId>
  <artifactId>spring-boot-starter-webflux</artifactId>
</dependency>
<dependency>
  <groupId>dev.miku</groupId>
  <artifactId>r2dbc-mysql</artifactId>
  <version>0.8.2.RELEASE</version>
</dependency>

配置管理

spring:
  r2dbc:
    url: r2dbc:mysql://localhost:3306/testjpa?serverZoneId=GMT%2B8
    username: root
    password: 123123
    pool:
      initialSize: 100
      maxSize: 200
      maxCreateConnectionTime: 30s
---
logging:
  level:
    '[org.springframework.r2dbc]': DEBUG

实体对象,Repository,Service

@Table("t_users")
public class Users implements UserDetails {
  @Id
  private Integer id ;
  private String username ;
  private String password ;
}

这里实体对象实现了UserDetials,在后续配置的ReactiveUserDetailsService 配置返回值必须是UserDetails

Repository接口

public interface UsersRepository extends ReactiveSortingRepository<Users, String> {
Mono<Users> findByUsername(String username);
}

Service类

@Service
public class UsersService {

  @Resource
  private R2dbcEntityTemplate template;
  @Resource
  private UsersRepository ur ;

  public Mono<Users> queryUserByUsername(String username) {
    return ur.findByUsername(username) ;
  }
  
  public Mono<Users> queryUserByUsernameAndPassword(String username, String password) {
    return ur.findByUsernameAndPassword(username, password) ;
  }

  public Flux<Users> queryUsers() {
    return template.select(Users.class).all() ;
  }
  
}

数据库中插入几条数据

图片

单元测试

@SpringBootTest
class SpringBootWebfluxSecurity2ApplicationTests {

  @Resource
  private UsersService usersService ;
  
  @Test
  public void testQueryUserByUsername() throws Exception {
    usersService.queryUserByUsername("admin")
      .doOnNext(System.out::println)
      .subscribe() ;
      System.in.read() ;
  }

}

输出

2023-01-12 17:43:48.863 DEBUG 16612 --- [           main] o.s.w.r.r.m.a.ControllerMethodResolver   : ControllerAdvice beans: none
2023-01-12 17:43:48.896 DEBUG 16612 --- [           main] o.s.w.s.adapter.HttpWebHandlerAdapter    : enableLoggingRequestDetails='false': form data and headers will be masked to prevent unsafe logging of potentially sensitive data
2023-01-12 17:43:49.147  INFO 16612 --- [           main] ringBootWebfluxSecurity2ApplicationTests : Started SpringBootWebfluxSecurity2ApplicationTests in 1.778 seconds (JVM running for 2.356)
2023-01-12 17:43:50.141 DEBUG 16612 --- [actor-tcp-nio-2] o.s.r2dbc.core.DefaultDatabaseClient     : Executing SQL statement [SELECT t_users.id, t_users.username, t_users.password FROM t_users WHERE t_users.username = ?]
Users [id=3, username=admin, password=123123]

正常,接下来就是进行Security的配置

@Configuration
@EnableReactiveMethodSecurity
public class ReactiveSecurityConfig {

  // 根据用户名查询用户信息
  @Bean
  public ReactiveUserDetailsService reativeUserDetailsService(UsersService usersService) {
    return username -> usersService.queryUserByUsername(username).map(user -> {
      return (UserDetails) user;
    });
  }
  // 根据查询出的用户进行密码比对,没有对密码进行加密所有就进行简单的equals比较
  @Bean
  public PasswordEncoder passwordEncoder() {
    return new PasswordEncoder() {
      @Override
      public String encode(CharSequence rawPassword) {
        return rawPassword.toString();
      }
      @Override
      public boolean matches(CharSequence rawPassword, String encodedPassword) {
        return rawPassword.toString().equals(encodedPassword);
      }
    };
  }
  @Order(Ordered.HIGHEST_PRECEDENCE + 1)
  @Bean
  public SecurityWebFilterChain springWebFilterChain(ServerHttpSecurity http) {
    http.authorizeExchange((authorize) -> 
        authorize
          // 配置资源访问权限,对于静态资源直接放行
          .pathMatchers("/resources/**", "/favicon.ico").permitAll()
          // /users开头的接口必须拥有ROLE_ADMIN角色
          .pathMatchers("/users/**").hasRole("ADMIN")
          // /api开头的接口通过自定义验证逻辑控制                 
          .pathMatchers("/api/**").access((authentication, context) -> {
            return authentication.map(auth -> {
              if ("user1".equals(auth.getName())) {
                return new AuthorizationDecision(false);
              }
              MultiValueMap<String, String> params = context.getExchange().getRequest().getQueryParams();
              List<String> sk = params.get("sk");
              if (sk == null || sk.get(0).equals("u")) {
                return new AuthorizationDecision(false);
              }
              return new AuthorizationDecision(true);
            });
          }).anyExchange().authenticated());
    // 异常处理
    http.exceptionHandling(execSpec -> {
      // 无权限时响应策略
      execSpec.accessDeniedHandler((exchange, denied) -> {
        ServerHttpResponse response = exchange.getResponse() ;
        response.getHeaders().add("Content-Type", "text/plain;charset=UTF-8");
        DataBuffer body = response.bufferFactory().allocateBuffer() ;
        body.write("无权限 - " + denied.getMessage(), StandardCharsets.UTF_8) ;
        return response.writeWith(Mono.just(body)) ;
      }) ;
      // 没有登录配置统一认证入口,这里默认系统提供的登录页面
      execSpec.authenticationEntryPoint((exchange, ex) -> {
        ServerHttpResponse response = exchange.getResponse() ;
        response.getHeaders().add("Content-Type", "text/html;charset=UTF-8");
        DataBuffer body = response.bufferFactory().allocateBuffer() ;
        body.write("请先登录 - " + ex.getMessage(), StandardCharsets.UTF_8) ;
        return response.writeWith(Mono.just(body)) ;
      }) ;
    }) ;
    http.csrf(csrf -> csrf.disable());
    http.formLogin();
    return http.build();
  }

}

以上就是Security的配置。这里就不做测试了

原理

这里对实现的原理做简单的接收,主要核心是WebFilter

自动配置类中

public class ReactiveSecurityAutoConfiguration {
  // 这里通过注解启用了Security功能
  @EnableWebFluxSecurity
  static class EnableWebFluxSecurityConfiguration {
  }
}

EnableWebFluxSecurity

@Import({ ServerHttpSecurityConfiguration.class, WebFluxSecurityConfiguration.class,
    ReactiveOAuth2ClientImportSelector.class })
@Configuration
public @interface EnableWebFluxSecurity {
}

这里有个重要的ServerHttpSecurityConfiguration和WebFluxSecurityConfiguration配置类

@Configuration(proxyBeanMethods = false)
class ServerHttpSecurityConfiguration {
  // 该类用来自定义配置我们的信息,也就是上面我们自定义的SecurityWebFilterChain
  // 通过ServerHttpSecurity构建SecurityWebFilterChain
  @Bean(HTTPSECURITY_BEAN_NAME)
  @Scope("prototype")
  ServerHttpSecurity httpSecurity() {
    ContextAwareServerHttpSecurity http = new ContextAwareServerHttpSecurity();
    return http.authenticationManager(authenticationManager())
      .headers().and()
      .logout().and();
  }
}

WebFluxSecurityConfiguration

配置类最主要就是用来配置一个WebFilter

@Configuration(proxyBeanMethods = false)
class WebFluxSecurityConfiguration {
  private List<SecurityWebFilterChain> securityWebFilterChains;
  // 注入当前系统中的所有SecurityWebFilterChain,主要就是我们自定义实现的该类型
  @Autowired(required = false)
  void setSecurityWebFilterChains(List<SecurityWebFilterChain> securityWebFilterChains) {
    this.securityWebFilterChains = securityWebFilterChains;
  }
  @Bean(SPRING_SECURITY_WEBFILTERCHAINFILTER_BEAN_NAME)
  @Order(WEB_FILTER_CHAIN_FILTER_ORDER)
  WebFilterChainProxy springSecurityWebFilterChainFilter() {
    return new WebFilterChainProxy(getSecurityWebFilterChains());
  }
  private List<SecurityWebFilterChain> getSecurityWebFilterChains() {
    List<SecurityWebFilterChain> result = this.securityWebFilterChains;
    if (ObjectUtils.isEmpty(result)) {
      return Arrays.asList(springSecurityFilterChain());
    }
    return result;
  }
}

WebFilterChainProxy核心过滤器

public class WebFilterChainProxy implements WebFilter {

  private final List<SecurityWebFilterChain> filters;
  @Override
  public Mono<Void> filter(ServerWebExchange exchange, WebFilterChain chain) {
    return Flux.fromIterable(this.filters)
      .filterWhen((securityWebFilterChain) -> securityWebFilterChain.matches(exchange)).next()
      .switchIfEmpty(chain.filter(exchange).then(Mono.empty()))
      .flatMap((securityWebFilterChain) -> securityWebFilterChain.getWebFilters().collectList())
      .map((filters) -> new FilteringWebHandler(chain::filter, filters)).map(DefaultWebFilterChain::new)
      .flatMap((securedChain) -> securedChain.filter(exchange));
  }

}

以上就是WebFlux中应用Security的原理

责任编辑:武晓燕 来源: 实战案例锦集
WebFilterR2DBC权限
相关推荐
Spring WebFlux整合R2DBC实现数据库操作(反应式编程系列)
SpringDataR2DBC的目标是在概念上变得简单。为了实现这一点,它不提供缓存、延迟加载、写后处理或ORM框架的许多其他特性。这使得SpringDataR2DBC成为一个简单、有限、固执己见的对象映射器。

2023-09-21 08:01:27

SpringR2DBC实现数据库
SpringBoot WebFlux整合R2DBC实现数据库反应式编程
Spring框架中包含原始web框架SpringWebMVC是专门为ServletAPI和Servlet容器构建的。

2022-03-29 07:32:38

R2DBC数据库反应式
Spring Security权限控制系列(二)
默认项目中引入SpringSecurity后会拦截所有的请求,这其中包括了静态资源,这肯定不是我们希望的,接下来我们看如何进行资源自定义的拦截。

2022-08-15 08:45:21

Spring权限控制
Spring Security权限控制系列(三)
当登录时填写的错误用户名或密码时,再次返回了登录页面,并且携带了错误信息。接下来通过源码查看这部分路径。

2022-08-30 08:36:13

Spring权限控制
Spring Security权限控制系列(六)
SpringSecurity还提供了基于访问注解的方式细化接口权限的控制定义,接下来使用基于注解的方式控制Controller接口权限。

2022-08-30 08:55:49

Spring权限控制
Spring Security权限控制系列(一)
这里我们通过Postman访问默认的登录login接口先进行登录,登录完成后我们在访问这个post接口。

2022-08-15 08:42:46

权限控制Spring
Spring Security权限控制系列(四)
SpringSecurity核心是通过Filter过滤器链来完成一系列逻辑处理的,今天就带大家聊一聊这个话题。

2022-08-30 08:43:11

Spring权限控制
Spring Security权限控制系列(五)
本篇内容将会带详细了解如何基于数据库中的用户进行登录授权。

2022-08-30 08:50:07

Spring权限控制
Spring Security 动态权限实现方案!
动态管理权限规则就是我们将URL拦截规则和访问URL所需要的权限都保存在数据库中,这样,在不改变源代码的情况下,只需要修改数据库中的数据,就可以对权限进行调整。

2022-06-16 10:38:24

URL权限源代码
Spring Security权限控制框架使用指南
本文给大家讲解了后管系统如何引入权限控制框架SpringSecurity3.0版本以及代码实战。

2024-02-18 12:44:22

是时候考虑Spring非阻塞编程模式
Spring框架中,同时存在WebFlux和R2DBC这样的响应式模块,也存在WebMVC和JDBC这样的阻塞框架。应该在什么情况下使用不同技术栈,可能会困扰很多技术人。本文作者对这两种技术栈做了详细的对比和压力测试,为技术选型提供支持。

2020-05-08 10:34:30

Spring非阻塞编程
Spring Security 中的四种权限控制方式
SpringSecurity中对于权限控制默认已经提供了很多了,但是,一个优秀的框架必须具备良好的扩展性,恰好,SpringSecurity的扩展性就非常棒,我们既可以使用SpringSecurity提供的方式做授权,也可以自定义授权逻辑。

2020-06-17 08:31:10

权限控制Spring Secu
Spring Security 中的四种权限控制方式
SpringSecurity中对于权限控制默认已经提供了很多了,但是,一个优秀的框架必须具备良好的扩展性,恰好,SpringSecurity的扩展性就非常棒,我们既可以使用SpringSecurity提供的方式做授权,也可以自定义授权逻辑。一句话,你想怎么玩都可以!

2021-07-27 10:49:10

SpringSecurity权限
Spring Security 中如何细化权限粒度?
有小伙伴表示微人事(https:github.comlenvevhr)的权限粒度不够细。不过松哥想说的是,技术都是相通的,明白了vhr中权限管理的原理,在此基础上就可以去细化权限管理粒度,细化过程和还是用的vhr中用的技术,只不过设计层面重新规划而已。

2020-09-16 08:07:54

权限粒度Spring Secu
Spring Cloud Gateway集成 Rbac 权限模型实现动态权限控制
本篇文章介绍了网关集成RBAC权限模型进行认证鉴权,核心思想就是将权限信息加载Redis缓存中,在网关层面的鉴权管理器中进行权限的校验,其中还整合了Restful风格的URL。

2022-01-07 07:29:08

Rbac权限模型
实战:Hyper-V Server 2008 R2权限控制
对于文件服务器、主域服务器、邮箱服务器、代理服务器,我们都有严格的权限管控。即便是某项权限设置的不当,影响的也只是单一服务,虚拟化服务器则不然,由于它承载的虚拟服务太多,一旦虚拟系统的权限失控,轻则丢失文件,某一服务失效;重则会导致其构建的所有虚拟系统中断运行。因此,我们对虚拟系统的权限控制要谨慎操作。

2011-03-01 16:44:02

Hyper-V Ser
如何在Spring Webflux实现双因素认证
在本文中,我将和您讨论如何在SpringWebflux中通过RESTAPI实现双因素认证。

2020-05-25 07:00:00

双因素认证身份认证密码
再见 Shiro、Spring Security权限认证我选择它
看得出来,比起Shiro、SpringSecurity这些被广泛使用的鉴权项目,这个项目的集成使用方式可以简单到令人发指。

2023-05-26 01:05:10

Spring Security 中的权限注解很神奇吗?
SpringExpressionLanguage(简称SpEL)是一个支持查询和操作运行时对象导航图功能的强大的表达式语言。它的语法类似于传统EL,但提供额外的功能,最出色的就是函数调用和简单字符串的模板函数。

2022-05-05 10:40:36

Spring权限对象
Spring MVC 与 Spring Webflux 性能测试
通过以上结果,很容易得出结论,SpringWebflux(响应式编程)确实比SpringBoot(线程池)带来了一些显着的性能优势。SpringWebflux在资源成本相当的情况下提供大约两倍的RPS。

2023-09-04 11:52:53

SpringMVC性能
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服