Skip to content
体验新版
项目
组织
正在加载...
登录
切换导航
打开侧边栏
lzh_me
Sureness
提交
2b57258a
Sureness
项目概览
lzh_me
/
Sureness
与 Fork 源项目一致
Fork自
sureness / Sureness
通知
1
Star
0
Fork
0
代码
文件
提交
分支
Tags
贡献者
分支图
Diff
Issue
0
列表
看板
标记
里程碑
合并请求
0
Wiki
0
Wiki
分析
仓库
DevOps
项目成员
Pages
Sureness
项目概览
项目概览
详情
发布
仓库
仓库
文件
提交
分支
标签
贡献者
分支图
比较
Issue
0
Issue
0
列表
看板
标记
里程碑
合并请求
0
合并请求
0
Pages
分析
分析
仓库分析
DevOps
Wiki
0
Wiki
成员
成员
收起侧边栏
关闭侧边栏
动态
分支图
创建新Issue
提交
Issue看板
前往新版Gitcode,体验更适合开发者的 AI 搜索 >>
提交
2b57258a
编写于
9月 01, 2020
作者:
sinat_25235033
浏览文件
操作
浏览文件
下载
电子邮件补丁
差异文件
update readme
上级
112e0f69
变更
1
隐藏空白更改
内联
并排
Showing
1 changed file
with
33 addition
and
22 deletion
+33
-22
README.md
README.md
+33
-22
未找到文件。
README.md
浏览文件 @
2b57258a
# `sureness`
> A simple and efficient open-source security framework that focus on the protection of restful api.
> A simple and efficient open-source
java
security framework that focus on the protection of restful api.
[
![License
](
https://img.shields.io/badge/license-Apache%202-4EB1BA.svg
)
](https://www.apache.org/licenses/LICENSE-2.0.html)
![
GitHub pull request check contexts
](
https://img.shields.io/github/status/contexts/pulls/tomsun28/sureness/8?label=pull%20checks
)
...
...
@@ -11,34 +11,38 @@
[
英文文档 -> English Documentation
](
README_EN.md
)
## <font color="green">`Introduction`</font>
## Background
现在很多网站都进行了前后端分离,后端提供rest api,前端调用接口获取数据渲染。这种架构下如何保护好后端所提供的rest api使得更加重视。保护即:
认证-校验前端请求携带的认证信息是否通过,鉴权-用户拥有指定api的访问权限,校验其是否能访问此api。
> 目前`java`主流的权限框架有`shiro,spring security`, 下面对于它们的探讨都是个人之见,接受纠正
> `shiro`对于`restful api`原生支持不是太友好,需要改写一些代码,2年前一个项目 [booshiro](https://gitee.com/tomsun28/bootshiro) 就是改造`shiro`,使其在过滤链就能匹配不同的`rest`请求进行权限校验,之后给`shiro commit`几次`pr`,`fix`其在过滤链匹配时的危险漏洞,总的来说`shiro`很强大但其起源并非面向`web`,对`restful`不是很友好
> `spring security`很强大,与`spring`深度集成,离开`spring`,比如`google`的精简`guice`,之前用过的`osgi`框架`karaf`就用不了了
> 它们都会在链式匹配这块,用请求的url和配置的链一个一个`ant`匹配(匹配过程中会有缓存等提高性能),但匹配的链过多时还是比较耗性能(根据算法时间复杂度判断,暂未测试验证)
> sureness希望能解决这些,提供一个针对restful api,无框架依赖,可以动态修改权限,更快速度,易用的认证鉴权框架
> `sureness` 是我们在使用`java`权限框架`shiro`之后,吸取其良好的设计加上一些自己想法实现的全新认证鉴权项目
> 面对`restful api`的认证鉴权,基于`rbac`主要关注于对`restful api`的保护
## <font color="green">Introduction</font>
> `sureness` 是我们在使用`java`权限框架`shiro`之后,吸取其良好设计加上一些想法实现的全新认证鉴权项目
> 面对`restful api`的认证鉴权,基于`rbac`(用户-角色-资源)主要关注于对`restful api`的保护
> 原生支持 `restful api, websocket protection`
> 原生支持动态权限(权限配置的动态
加载
)
> 原生支持动态权限(权限配置的动态
修改配置
)
> 原生支持 `jwt`, `basic auth` ... 可扩展自定义支持的认证方式
> [基于改进的字典匹配树拥有的高性能](#高性能匹配 )
> 良好的扩展接口, demo和文档
>`sureness`的低配置,易扩展,不耦合其他框架,能使开发者对自己的项目多场景快速安全的进行保护
### 仓库的组成部分:
-
[
sureness的核心代码--sureness-core
](
core
)
-
[
使用sureness10分钟搭建权限项目--sample-bootstrap
](
sample-bootstrap
)
-
[
使用sureness30分钟搭建权限项目--sample-tom
](
sample-tom
)
## 快速开始
### <font color="red">使用前一些约定</font>
###
##
<font color="red">使用前一些约定</font>
-
`sureness`
尽量简洁,基于
`rbac`
,
但只有(角色-资源)的映射,没有(权限)动作映射
-
`sureness`
尽量简洁,基于
`rbac`
,
只有(角色-资源)的映射,没有(权限)动作映射,即 用户-角色-资源
-
我们将
`restful api`
请求视作一个资源,资源格式为:
`requestUri===httpMethod`
即请求的路径加上其请求方式(
`post,get,put,delete...`
)作为一个整体被视作一个资源
`eg: /api/v2/book===get`
`get`
方式请求
`/api/v2/book`
接口数据
-
角色资源映射: 用户所属角色--角色拥有资源--用户拥有资源(用户就能访问此
`api`
)
### 项目中加入sureness
###
##
项目中加入sureness
1.
项目使用
`maven`
构建,加入
`maven`
坐标
```
...
...
@@ -55,23 +59,22 @@ compile group: 'com.usthe.sureness', name: 'sureness-core', version: '0.0.2.7'
```
3.
项目为普通工程,加入
`sureness-core.jar`
依赖
```
在 mvnrepository 下载jar
https://mvnrepository.com/artifact/com.usthe.sureness/sureness-core
```
### 添加拦截所有请求的过滤器入口
###
##
添加拦截所有请求的过滤器入口
入口拦截器器实现一般可以是
`filter or spring interceptor`
在拦截器加入sureness的安全过滤器,如下:
入口,一般放在拦截所有请求的
`filter`
:
```
SurenessSecurityManager.getInstance().checkIn(servletRequest)
```
### 实现相关异常处理
###
##
实现相关异常处理
`sureness`
使用异常处理流程,我们需要对
`checkIn`
抛出的异常做自定义处理,
安全过滤器,认证鉴权成功直接通过,失败抛出特定异常,捕获异常,如下:
...
...
@@ -107,7 +110,7 @@ UnauthorizedException | 鉴权异常,没有权限访问此
自定义异常需要继承
`SurenessAuthenticationException`
或
`SurenessAuthorizationException`
才能被最外层捕获
### 加载配置数据
###
##
加载配置数据
`sureness`
认证鉴权当然也需要我们自己的配置数据:账户数据,角色权限数据等
这些配置数据可能来自文本,关系数据库,非关系数据库
...
...
@@ -165,7 +168,7 @@ account:
**HAVE FUN**
##
#
进阶扩展
## 进阶扩展
如果了解
[
处理流程
](
#处理流程
)
,就大概知道
`sureness`
提供的扩展点
`sureness`
支持自定义
`subject`
,自定义
`subjectCreator`
注册,自定义
`processor`
处理器等
...
...
@@ -201,13 +204,21 @@ account:
具体扩展实践请参考
[
使用sureness30分钟搭建权限项目--sample-tom
](
sample-tom
)
##
#
高性能匹配
## 高性能匹配
![
pathRoleMatcher
](
/docs/_images/PathRoleMatcher.svg
)
##
#
处理流程
## 处理流程
![
sureness-core
](
/docs/_images/sureness-core.svg
)
### License
## 参与贡献
非常欢迎参与项目贡献,帮助sureness走得更好更远。对项目代码有疑问或者建议请直接联系 @tomsun28
仓库的组成部分:
-
[
sureness的核心代码--sureness-core
](
core
)
-
[
使用sureness10分钟搭建权限项目--sample-bootstrap
](
sample-bootstrap
)
-
[
使用sureness30分钟搭建权限项目--sample-tom
](
sample-tom
)
## License
[
`Apache License, Version 2.0`
](
https://www.apache.org/licenses/LICENSE-2.0.html
)
\ No newline at end of file
编辑
预览
Markdown
is supported
0%
请重试
或
添加新附件
.
添加附件
取消
You are about to add
0
people
to the discussion. Proceed with caution.
先完成此消息的编辑!
取消
想要评论请
注册
或
登录