我一直在阅读如何实现基于角色的访问控制(RBAC),以期在基于Spring的微服务API中实现它。
似乎在实施RBAC时,应该检查权限而不是角色。以下帖子似乎在这一点上达成了共识:
上面第一个链接中选择的答案是“春季安全性和许多其他杰出的访问控制机制传播了此安全性反模式”(检查角色而不是权限)。尽管只有3个投票,所以我不确定该声明是否会被广泛接受。
所以我想知道,如何最好地在基于Spring的API中使用RBAC,以便我检查权限而不是角色。
采取以下情形:
我的应用程序中的用户可以具有角色PLAN_MANAGER,该角色可能具有权限VIEW_PLAN,CREATE_PLAN,EDIT_PLAN,DELETE_PLAN。在我们的应用程序中,我们将允许某些用户更改与角色相关联的权限,例如,管理员用户可以编辑PLAN_MANAGER角色上的权限以删除DELETE_PLAN权限。
在春季之内,我将有一种deletePlan方法。我想知道如何让用户只有在拥有DELETE_PLAN权限的情况下才能执行此方法。看起来PreAuthorize检查是检查用户在春季是否可以访问方法的标准方法,但是似乎PreAuthorize批注最常使用hasRole而不是hasPermision。
我找不到使用仅引用权限的PreAuthorize检查的示例/教程,相反,似乎更常见的是引用角色(但是,以下示例显示了同时使用 both 角色和权限检查https://www.dontpanicblog.co.uk/2012/08/19/protecting-service-methods-with-spring-security-annotations/)。
我发现大多数示例似乎只是在做类似的事情:
@PreAuthorize("hasRole('PLAN_MANAGER'))
但是,如果我使用这种方法,并且管理员用户从DELETE_PLAN角色中删除了PLAN_MANAGER权限,那么我们将错误地允许该用户执行deletePlan。
所以我应该使用类似的东西
@PreAuthorize("hasPermission('DELETE_PLAN'))
因此,即使与角色相关联的权限发生更改,此检查对于此特定方法也始终有效,并且无需更改代码。因此,可以使用DELETE_PLAN权限将新角色添加到应用中,并且我们不需要在代码中为这些新角色添加新的显式角色检查。
谢谢。
更新
在这里https://stackoverflow.com/a/60251931,我发现有人试图做与我相同的事情,看来他在https://github.com/savantly-net/spring-role-permissions上做了一个仓库。
自述文件中显示了一个示例,粘贴在下面,该示例似乎正是我想要实现的-因此,似乎我需要使用hasAuthority而不是hasRole或hasPermission(hasPermission需要对象目标参数,而我不这样做)不想指定,因为这似乎超出了RBAC的范围,所以我只想指定一个权限/特权,这就是为什么hasAuthority看起来合适的原因:
@PreAuthorize("hasAuthority('CREATE')")
@RequestMapping("/create")
public String create() {...}
(还发现了一篇较旧的文章,其中详细介绍了另一种自定义方法,该方法允许检查特权/权限而不是角色-https://stackoverflow.com/a/22612076/14147607)