轻量级权限控制框架 Light Security 1.0.1 发布

栏目: 软件资讯 · 发布时间: 5年前

内容简介：Light Security是一个基于 jwt 的权限控制框架，支持与 Spring Boot 配合使用。地址 GitHub：https://github.com/eacdy/light-security Gitee：https://gitee.com/itmuch/light-security 特点优点上手快速开箱...

Light Security是一个基于 jwt 的权限控制框架，支持与 Spring Boot 配合使用。

地址

GitHub：https://github.com/eacdy/light-security

Gitee：https://gitee.com/itmuch/light-security

特点

优点

上手快速
开箱即用
轻量级，代码精简，不到500行代码；
功能实用，市面上安全框架常用能力与套路均已具备：
- 支持 RESTful 权限控制
- 支持灵活的权限配置(代码配置方式优先级更高)
  - 支持基于配置文件的权限配置
  - 支持基于代码的权限控制
- 支持基于注解的权限控制
设计简单，没有复杂概念；
- 基于权限配置的方式：核心是1个拦截器
- 基于注解的权限控制：核心是1个切面

缺点

功能比Spring Security、Apache Shiro弱；
只考虑权限相关问题
- 不考虑身份认证(登录)，意味着登录逻辑得自己玩；
- 不考虑安全，意味着网络攻击得自己防；
目前与Spring MVC强绑定，暂不支持WebFlux或其他框架。

依赖

Spring MVC：用到Spring MVC的拦截器；
Spring AOP：如果不用基于注解的权限控制，则无需该部分依赖；
jwt：你懂的

快速上手

TIPS

快速上手可详见项目 light-security-example 目录，内附详细测试步骤。

基于配置文件的权限配置

加依赖：

<dependency>
    <groupId>com.itmuch.security</groupId>
    <artifactId>light-security-spring-boot-starter</artifactId>
    <version>1.0.1-RELEASE</version>
</dependency>
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-aop</artifactId>
</dependency>

写配置

light-security:
  # 权限规则配置：表示用{http-method}方法请求的{path}路径必须具备什么{expression}
  spec-list:
    - http-method: ANY
      path: /login
      expression: "anon()"
    - http-method: ANY
      path: /user
      expression: "hasAnyRoles('user','admin')"
    - http-method: GET
      path: /error
      expression: "anon()"
    - http-method: ANY
      path: /**
      expression: "hasLogin()"
  jwt:
    # jwt sign算法
    algorithm: hs512
    # jwt secret
    secret: http-security-secret-modify-mehttp-security-secret-modify
    # jwt 有效时间
    expiration-in-second: 1209600

写代码：

@RequestMapping
@RestController
@RequiredArgsConstructor(onConstructor = @__(@Autowired))
public class TestController {
    private final UserOperator userOperator;
    private final JwtOperator operator;

    /**
     * 演示如何获取当前登录用户信息
     * - 该路径需要具备user或admin权限才可访问，详见application.yml
     *
     * @return 用户信息
     */
    @GetMapping("/user")
    public User user() {
        return userOperator.getUser();
    }

    /**
     * 演示基于注解的权限控制
     *
     * @return 如果有权限返回 亲，你同时有user、admin角色..
     */
    @GetMapping("/annotation-test")
    @PreAuthorize("hasAllRoles('user','admin')")
    public String annotationTest() {
        return "亲，你同时有user、admin角色..";
    }

    /**
     * 模拟登录，颁发token
     *
     * @return token字符串
     */
    @GetMapping("/login")
    public String loginReturnToken() {
        User user = User.builder()
                .id(1)
                .username("张三")
                .roles(Arrays.asList("user", "admin"))
                .build();
        return operator.generateToken(user);
    }
}

基于代码的权限配置

@Configuration
public class LightSecurityConfigurtion {
    @Bean
    public SpecRegistry specRegistry() {
        return new SpecRegistry()
                .add(HttpMethod.GET, "/user", "hasAnyRoles('user')")
                .add(HttpMethod.ANY, "/**", "hasLogin()");
    }
}

此时，application.yml 中的如下配置可删除，因为代码配置方式优先级更高，配置文件方式将会失效。

light-security:
  # 权限规则配置：表示用{http-method}方法请求的{path}路径必须具备什么{expression}
  spec-list:
    - http-method: ANY
      path: /login
      expression: "anon()"
    - http-method: ANY
      path: /user
      expression: "hasAnyRoles('user','admin')"
    - http-method: GET
      path: /error
      expression: "anon()"
    - http-method: ANY
      path: /**
      expression: "hasLogin()"

扩展点

类	作用
com.itmuch.lightsecurity.jwt.UserOperator	提供用户相关操作，例如解析token获得用户信息等。
com.itmuch.lightsecurity.el.PreAuthorizeExpressionRoot	提供了表达式，例如`hasAnyRoles('user')` 等，如需新能力，只要写新方法即可
com.itmuch.lightsecurity.annotation.support.PreAuthorizeAspect	为注解 `@PreAuthorize("hasAllRoles('user','admin')")`提供支持

常见问题

为什么要再造个轮子？

老是有人问我诸如"微服务安全怎么管理？"、"Spring Securityxxxx问题你遇到过吗？"、"能写个Spring Cloud Security的系列教程吗？"、"Shiroxxxx问题你遇到过吗？"

烦不胜烦，初期积极回复；后来消极回复；再后来懒得回复。

分析一下，发现主要原因还是Spring Security、Shiro学习曲线较高，特别是Spring Security。所以就想写个轻量的框架，能够快速解决主要矛盾——足够简单、能实现权限控制。

为什么实现一个通用的权限解决方案？

有考虑实现一个通用权限框架，但那样会增加挺多代码，而且要添加挺多适配逻辑(例如适配Spring MVC、WebFlux等)。

个人认为这在现阶段去实现还不合适，个人不太喜欢画饼。既然"通用性"不是目前最主要的矛盾，高效解决问题相对更加重要。那何必花精力去实现通用性？设计上支持往"通用性"迁移即可。

未来如果有需求，我会做一个通用版本，并且低版本也可无痛、平滑地迁移。

为什么不考虑身份认证(登录)？

目前市面上大多权限框架都考虑了"身份认证(登录)" + "权限管理" 。然而登录操作在现在这个时代，是一个"五花八门"的操作。例如：

手机号 + 验证码登录
扫二维码登录
账号密码登录
证书登录

往往还需还同时支持多种登录方式。这挺难去抽象出通用模式，并为典型的登录方式提供支持。

索性不考虑了——把登录问题留给使用者自己。用户可根据业务需求实现登录逻辑，并颁发Token，后面的事情就交给 Light Security ，让它给你搞定。这样相对更加灵活，更重要的是——你也不再需要去学习用框架应该怎么登录。

以上所述就是小编给大家介绍的《轻量级权限控制框架 Light Security 1.0.1 发布》，希望对大家有所帮助，如果大家有任何疑问请给我留言，小编会及时回复大家的。在此也非常感谢大家对码农网的支持！

查看所有标签

猜你喜欢:

本站部分资源来源于网络，本站转载出于传递更多信息之目的，版权归原作者或者来源机构所有，如转载稿涉及版权问题，请联系我们。

码农书籍

Web Scalability for Startup Engineers

Artur Ejsmont / McGraw / 2015-6-23 / USD 34.81

Design and build scalable web applications quickly This is an invaluable roadmap for meeting the rapid demand to deliver scalable applications in a startup environment. With a focus on core concept......一起来看看《Web Scalability for Startup Engineers》这本书的介绍吧!

码农工具