sureness认证鉴权框架 v1.0.8

认证鉴权框架

  • 源码大小:3.4MB
  • 源码语言:简体中文
  • 源码类型:国产软件
  • 源码授权:免费软件
  • 源码类别:java源码
  • 应用平台:Java
  • 源码官网:
  • 更新时间:2023-01-15
  • 网友评分:
360通过 腾讯通过 金山通过

情介绍

sureness是一个简单高效的面向restful api的认证鉴权框架。

背景
现在很多网站都进行了前后端分离,后端提供rest api,前端调用接口获取数据渲染。这种架构下如何保护好后端所提供的rest api使得更加重视。

api的保护可以认为:认证-请求携带的认证信息是否校验通过,鉴权-认证通过的用户拥有指定api的权限才能访问此api。然而不仅于此,什么样的认证策略, jwt, basic,digest,oauth还是多支持, 权限配置是写死代码还是动态配置,我想动态赋权怎么办,云原生越来越火用的框架是quarkus等新秀不是spring生态咋弄,http实现不是servlet而是jax-rs规范咋整, to be or not to be, this is a question

目前java主流的权限框架有shiro,spring security, 下面对于它们的探讨都是个人之见,接受纠正

shiro对于restful api原生支持不太友好,需要改写一些代码,2年前一个项目 booshiro 就是改造shiro,使其在过滤链就能匹配不同的rest请求进行权限校验,之后给shiro commit几次pr,fix其在过滤链匹配时的危险漏洞,总的来说shiro很强大但其起源并非面向web,对restful不是很友好

spring security很强大,与spring深度集成,离开spring,比如javalin和之前用过的osgi框架karaf就用不了了

如果不用注解配置,它们都会在链式匹配这块,用请求的url和配置的链一个一个ant匹配(匹配过程中会有缓存等提高性能),但匹配的链过多时还是比较耗性能(根据算法时间复杂度判断,暂未测试验证)

我们希望能解决这些,提供一个针对restful api,无框架依赖,可以动态修改权限,多认证策略,更快速度,易用的认证鉴权框架。

介绍
sureness 是我们在使用 java 权限框架 shiro 之后,吸取其良好设计加上一些想法实现的全新认证鉴权项目

面对 restful api 的认证鉴权,基于 rbac (用户-角色-资源)主要关注于对 restful api 的安全保护

无特定框架依赖(本质就是过滤器处拦截判断,已有springboot,quarkus,javalin,ktor等demo)

支持动态修改权限配置(动态修改哪些api需要被认证,可以被谁访问)

支持主流http容器 servlet 和 jax-rs

支持多种认证策略, jwt, basic auth, digest auth ... 可扩展自定义支持的认证方式

基于改进的字典匹配树拥有的高性能

良好的扩展接口, demo和文档

sureness的低配置,易扩展,不耦合其他框架,能使开发者对自己的项目多场景快速安全的进行保护

框架示例支持
spring sample-bootstrap

springboot sample-tom

quarkus sample-quarkus

javalin sample-javalin

ktor sample-ktor

spring webflux sample-spring-webflux

more samples todo

快速开始

使用前一些约定

sureness尽量简洁,基于rbac,只有(角色-资源)的映射,没有(权限)动作映射,即 用户-角色-资源

我们将restful api请求视作一个资源,资源格式为: requestUri===httpMethod

即请求的路径加上其请求方式(post,get,put,delete...)作为一个整体被视作一个资源

eg: /api/v2/book===get get方式请求/api/v2/book接口数据

角色资源映射: 用户所属角色--角色拥有资源--用户拥有资源(用户就能访问此api)

资源路径匹配详见 url路径匹配

项目中加入sureness

项目使用maven或gradle构建,加入坐标

 <dependency>
<groupId>com.usthe.sureness</groupId>
<artifactId>sureness-core</artifactId>
<version>0.4</version>
</dependency>
compile group: 'com.usthe.sureness', name: 'sureness-core', version: '0.4'

使用默认配置来配置sureness
默认配置使用了文件数据源sureness.yml作为账户权限数据源

默认配置支持了jwt, basic auth, digest auth认证

@Bean
public DefaultSurenessConfig surenessConfig() {
return new DefaultSurenessConfig();
}

配置权限账户数据源

sureness认证鉴权,当然也需要我们提供自己的账户数据,角色权限数据等,这些数据可能来自文本,关系数据库,非关系数据库,注解等。

我们提供了数据源接口:SurenessAccountProvider - 账户数据接口, PathTreeProvider - 资源权限数据接口,用户可以实现此接口实现自定义数据源。

当前我们也提供文本形式的数据源实现 DocumentResourceDefaultProvider 和 注解形式的资源权限数据源实现 AnnotationLoader。

如果是使用了默认sureness配置-DefaultSurenessConfig,其配置的是文本数据源,用户可以直接通过修改sureness.yml文件来配置数据。

文本数据源sureness.yml配置使用方式详见文档 默认文本数据源

注解形式的资源权限数据源配置使用方式详见文档 注解资源权限数据源

我们提供了使用代码DEMO:

默认文本数据源具体实现,请参考使用sureness10分钟搭建权限项目--sample-bootstrap

若权限配置数据来自数据库,请参考使用sureness30分钟搭建权限项目--sample-tom

添加过滤器拦截所有请求
sureness的本质就拦截所有rest请求对其认证鉴权判断。

入口拦截器器实现一般可以是 filter or spring interceptor

在拦截器中加入sureness的安全过滤器,如下:

SubjectSum subject = SurenessSecurityManager.getInstance().checkIn(servletRequest)

实现认证鉴权相关异常处理流程
sureness使用异常处理流程:

若认证鉴权成功,checkIn会返回包含用户信息的SubjectSum对象

若中间认证鉴权失败,checkIn会抛出不同类型的认证鉴权异常,用户需根据这些异常来继续后面的流程(返回相应的请求响应)

这里我们就需要对checkIn抛出的异常做自定义处理,认证鉴权成功直接通过,失败抛出特定异常进行处理,如下:

try {
SubjectSum subject = SurenessSecurityManager.getInstance().checkIn(servletRequest);
} catch (ProcessorNotFoundException | UnknownAccountException | UnsupportedSubjectException e4) {
// 账户创建相关异常
} catch (DisabledAccountException | ExcessiveAttemptsException e2 ) {
// 账户禁用相关异常
} catch (IncorrectCredentialsException | ExpiredCredentialsException e3) {
// 认证失败相关异常
} catch (UnauthorizedException e5) {
// 鉴权失败相关异常
} catch (SurenessAuthenticationException | SurenessAuthorizationException e) {
// 其他自定义异常
}

异常详见 默认异常类型

HAVE FUN

进阶扩展

如果了解 处理流程,就大概知道sureness提供的扩展点

sureness支持自定义subject,自定义subjectCreator注册,自定义processor处理器等

扩展之前需要了解以下接口:

Subject: 认证鉴权对象接口,提供访问对象的账户密钥,请求资源,角色等信息

SubjectCreate: 创建Subject接口,根据请求内容创建不同类型的Subject对象

Processor: Subject处理接口,根据Subject信息,进行认证鉴权

PathTreeProvider: 资源的数据源接口,实现从数据库,文本等加载数据

SurenessAccountProvider: 用户的账户密钥信息接口,实现从数据库,文本等加载数据

sureness大致流程:

1、自定义数据源

实现 PathTreeProvider的接口, 加载到DefaultPathRoleMatcher中

实现 SurenessAccountProvider的接口,加载到需要的processor中

2、自定义subject

实现Subject接口,添加自定义的subject内容

实现SubjectCreate接口方法,创建出自定义的subject

实现Processor接口,支持处理自定义的subject

3、自定义processor

一个subject当然也可以被不同的processor处理,所以可以单独自定义processor

实现Processor接口,设置支持的subject,实现处理该subject的逻辑

具体扩展实践请参考 使用sureness30分钟搭建权限项目--sample-tom

参与贡献

非常欢迎参与项目贡献,跟sureness一起走得更远更好。对项目代码有疑问或者建议请直接联系 @tomsun28

仓库的组成部分:

sureness的核心代码--sureness-core

使用sureness10分钟搭建权限项目--sample-bootstrap

使用sureness30分钟搭建权限项目--sample-tom

各个框架使用sureness的样例项目(javalin,ktor,quarkus)--samples

载地址

下载错误?【投诉报错】

sureness认证鉴权框架 v1.0.8

      气源码

      关文章

      • Java轻量级类隔离框架 SOFAArk Project v2.2.14

        SOFAArk 是一款基于 Java 实现的动态热部署和轻量级类隔离框架,由蚂蚁集团开源贡献,主要提供应用模块的动态热部署和类隔离能力。欢迎需要的朋友下载使用...

      • SpringBlade微服务开发平台 v4.2.0

        SpringBlade 是一个由商业级项目升级优化而来的SpringCloud分布式微服务架构、SpringBoot单体式微服务架构并存的综合型项目,采用Java8 API重构了业务代码,完全遵循阿里巴...

      • Diboot轻代码开发平台 v2.11.0

        Diboot轻代码开发平台是一个面向开发人员的低代码开发平台,将重复性的工作自动化,提高质量、效率、可维护性...

      • RuoYi-activiti工作流平台源码 v4.1

        RuoYi-activiti是一款以若依开源权限管理系统为基础开发平台并集成了activiti框架完成的工作流系统,旨在打造集流程设计、流程部署、流程执行、任务办理、流程监控于一体的...

      • RuoYi若依权限管理系统 v4.7.9

        RuoYi若依权限管理系统是一个基于SpringBoot的权限管理系统,代码易读易懂、界面简洁美观, 核心技术采用Spring、MyBatis、Shiro没有任何其它重度依赖,喜欢的朋友快来下载...

      • Java Struts2漏洞复现工具

        今天给大家分享Java Struts2漏洞复现工具,喜欢的朋友快来下载体验吧...

      • java操作excel的jar包(jxl.jar包 源码)

        jxl.jar是通过java操作excel表格的工具类库,能够修饰单元格属性,是由java语言开发而成的,接下来通过本文给大家介绍java操作excel的jar包(jxl.jar包 源码),喜欢的朋友快...

      • springboot整合QuartJob实现定时器实时管理源代码

        Quartz是一个完全由java编写的开源作业调度框架,形式简易,功能强大,,下面给大家分享springboot整合QuartJob实现定时器实时管理源代码,感兴趣的朋友快来下载体验吧...

      • SOFABoot开源框架 v3.24.0

        SOFABoot 是蚂蚁集团开源的基于 Spring Boot 的研发框架,它在 Spring Boot 的基础上,提供了诸如 Readiness Check,上下文隔离,类隔离,日志空间隔离等等能力...

      • 基于SSM的应急资源管理系统源码 v1.0

        应急资源管理系统用的是是比较流行的SSM和前端JSP技术,用它来创建使用脚本语言,结合HTML代码来制作动态 网页,欢迎需要的朋友下载使用...

      载声明

      ☉ 解压密码:www.jb51.net 就是本站主域名,希望大家看清楚,[ 分享码的获取方法 ]可以参考这篇文章
      ☉ 推荐使用 [ 迅雷 ] 下载,使用 [ WinRAR v5 ] 以上版本解压本站软件。
      ☉ 如果这个软件总是不能下载的请在评论中留言,我们会尽快修复,谢谢!
      ☉ 下载本站资源,如果服务器暂不能下载请过一段时间重试!或者多试试几个下载地址
      ☉ 如果遇到什么问题,请评论留言,我们定会解决问题,谢谢大家支持!
      ☉ 本站提供的一些商业软件是供学习研究之用,如用于商业用途,请购买正版。
      ☉ 本站提供的sureness认证鉴权框架 v1.0.8资源来源互联网,版权归该下载资源的合法拥有者所有。