Triển Khai Role-Based Access Control trong Spring Security | Java Spring Roadmap

Chào mừng trở lại với chuỗi bài viết “Java Spring Roadmap”! Chúng ta đã cùng nhau đi qua nhiều kiến thức nền tảng quan trọng, từ việc lý do chọn Spring, giải thích các thuật ngữ cốt lõi, cách Spring hoạt động, đến việc hiểu về Dependency Injectionquản lý Beans với Spring IoC. Chúng ta cũng đã chạm ngõ thế giới web với Spring MVC và làm quen với Spring Annotations hữu ích.

Trong các bài viết gần đây, chúng ta đã bắt đầu hành trình khám phá Spring Security. Chúng ta đã làm rõ sự khác biệt cốt lõi giữa xác thực (Authentication) và phân quyền (Authorization), và thậm chí còn có một hướng dẫn thực hành cấu hình xác thực. Bây giờ, đã đến lúc đi sâu hơn vào khía cạnh Phân quyền (Authorization), đặc biệt là một mô hình phổ biến và mạnh mẽ: Role-Based Access Control (RBAC) – Kiểm soát truy cập dựa trên vai trò.

Nếu bạn đã xác thực được “Ai” đang truy cập vào hệ thống của mình, bước tiếp theo và cực kỳ quan trọng là quyết định “Người đó được phép làm gì?”. RBAC chính là câu trả lời cho vấn đề này trong rất nhiều ứng dụng.

Role-Based Access Control (RBAC) Là Gì?

Hãy hình dung công ty của bạn có nhiều vị trí khác nhau: Nhân viên (Employee), Quản lý (Manager), Trưởng phòng (Department Head), Giám đốc (Director), và Kế toán (Accountant). Mỗi vị trí này có quyền truy cập và thực hiện các tác vụ khác nhau trên hệ thống nội bộ.

  • Nhân viên chỉ có thể xem thông tin cá nhân của họ, nộp đơn xin nghỉ phép.
  • Quản lý có thể xem thông tin của nhân viên trong nhóm, duyệt đơn xin nghỉ phép.
  • Kế toán có thể truy cập hệ thống lương, báo cáo tài chính.
  • Giám đốc có thể xem tất cả các báo cáo, duyệt ngân sách lớn.

RBAC là một mô hình quản lý quyền truy cập trong đó các quyền (permissions) được gắn với các vai trò (roles), và người dùng (users) được gán (assigned) các vai trò đó. Thay vì gán trực tiếp quyền cho từng người dùng (điều này rất phức tạp và khó quản lý khi số lượng người dùng tăng lên), bạn chỉ cần gán cho họ một hoặc nhiều vai trò phù hợp. Khi quyền hạn của một vai trò thay đổi, tất cả người dùng có vai trò đó sẽ tự động có quyền hạn mới.

Tóm lại, mô hình RBAC đơn giản là:

Users → Roles → Permissions

Điều này giúp đơn giản hóa việc quản lý bảo mật, tăng khả năng mở rộng và dễ dàng kiểm soát ai có quyền truy cập những gì trong ứng dụng của bạn.

RBAC Trong Spring Security Hoạt Động Như Thế Nào?

Spring Security có sự hỗ trợ tuyệt vời và tích hợp sâu cho mô hình RBAC thông qua khái niệm GrantedAuthority.

Khi một người dùng được xác thực thành công, Spring Security sẽ tạo ra một đối tượng Authentication. Đối tượng này chứa thông tin về người dùng (Principal) và một danh sách các GrantedAuthority. Trong hầu hết các trường hợp sử dụng RBAC cơ bản, các GrantedAuthority này chính là các vai trò (roles) của người dùng đó.

Ví dụ, một người dên có thể có các vai trò như ROLE_USER, ROLE_MANAGER. Những vai trò này được load lên khi người dùng đăng nhập, thường là từ cơ sở dữ liệu hoặc một nguồn lưu trữ thông tin người dùng khác, thông qua implementation của UserDetailsService.

Sau khi xác thực, Spring Security sử dụng các GrantedAuthority (vai trò) này để đưa ra quyết định phân quyền (authorization decisions). Quyết định này dựa trên các quy tắc bảo mật mà bạn cấu hình trong ứng dụng. Các quy tắc này có thể được áp dụng ở hai cấp độ chính:

  1. URL/Web Request Level: Kiểm soát người dùng có vai trò nào được phép truy cập vào các URL hoặc đường dẫn cụ thể trong ứng dụng web của bạn.
  2. Method Level: Kiểm soát người dên có vai trò nào được phép thực thi các phương thức (method) cụ thể trong các service hoặc controller của bạn.

Spring Security cung cấp nhiều cách để cấu hình các quy tắc này, sử dụng cả cấu hình Java (thường dùng annotations) hoặc file cấu hình (ít phổ biến hơn trong các ứng dụng hiện đại).

Định Nghĩa và Gán Vai Trò (Roles)

Vai trò trong Spring Security thường được biểu diễn dưới dạng các chuỗi (String), thường có tiền tố là ROLE_ (ví dụ: ROLE_ADMIN, ROLE_USER). Tiền tố này là quy ước mặc định của Spring Security để phân biệt vai trò với các loại quyền hạn khác, mặc dù bạn hoàn toàn có thể cấu hình lại hoặc bỏ qua tiền tố này tùy thuộc vào Access Decision Voter mà bạn sử dụng (mặc định là RoleVoter).

Để gán vai trò cho người dùng, bạn cần cung cấp một implementation của interface UserDetailsService. Phương thức loadUserByUsername(String username) trong implementation này sẽ trả về một đối tượng UserDetails, chứa thông tin về người dùng bao gồm tên đăng nhập, mật khẩu, trạng thái tài khoản (enabled, locked, expired), và quan trọng nhất là danh sách các GrantedAuthority (vai trò) của người dùng đó.

import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;

import java.util.ArrayList;
import java.util.List;

@Service
public class CustomUserDetailsService implements UserDetailsService {

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        // Logic to load user from database or other source
        // For demonstration, let's use hardcoded user data
        if ("admin".equals(username)) {
            List<GrantedAuthority> authorities = new ArrayList<>();
            authorities.add(new SimpleGrantedAuthority("ROLE_ADMIN"));
            authorities.add(new SimpleGrantedAuthority("ROLE_USER")); // A user can have multiple roles
            return new User("admin", "{noop}password", authorities); // {noop} for plain text password (use PasswordEncoder in real apps)
        } else if ("user".equals(username)) {
            List<GrantedAuthority> authorities = new ArrayList<>();
            authorities.add(new SimpleGrantedAuthority("ROLE_USER"));
            return new User("user", "{noop}password", authorities);
        } else {
            throw new UsernameNotFoundException("User not found with username: " + username);
        }
    }
}

Trong ví dụ trên, chúng ta định nghĩa hai người dùng cứng: ‘admin’ có cả hai vai trò ROLE_ADMINROLE_USER, còn ‘user’ chỉ có vai trò ROLE_USER. Trong ứng dụng thực tế, bạn sẽ truy vấn thông tin người dùng và vai trò của họ từ cơ sở dữ liệu.

Cấu Hình Phân Quyền RBAC trong Spring Security

Sau khi đã định nghĩa và gán vai trò cho người dùng, bước tiếp theo là cấu hình các quy tắc để Spring Security biết vai trò nào được phép truy cập tài nguyên nào. Chúng ta sẽ tập trung vào cấu hình bằng Java, phương pháp hiện đại và được khuyến khích trong Spring Boot.

1. Cấu Hình Bảo Mật Dựa Trên URL (URL-Based Security)

Cách phổ biến nhất để bắt đầu với phân quyền là bảo vệ các URL hoặc pattern URL. Điều này thường được cấu hình trong lớp cấu hình kế thừa SecurityFilterChain (hoặc sử dụng @Bean với Spring Boot 2.7+ và Spring Security 5.7+).

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.web.SecurityFilterChain;

@Configuration
@EnableWebSecurity
public class SecurityConfig {

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http
            .authorizeHttpRequests(authorizeRequests ->
                authorizeRequests
                    // Cho phép truy cập các URL công khai mà không cần xác thực
                    .requestMatchers("/", "/public/**", "/login", "/css/**", "/js/**").permitAll()
                    // Yêu cầu vai trò ADMIN cho các URL bắt đầu bằng /admin/
                    .requestMatchers("/admin/**").hasRole("ADMIN")
                    // Yêu cầu vai trò USER hoặc ADMIN cho các URL bắt đầu bằng /user/
                    .requestMatchers("/user/**").hasAnyRole("USER", "ADMIN")
                    // Yêu cầu xác thực for tất cả các request còn lại
                    .anyRequest().authenticated()
            )
            .formLogin(formLogin ->
                formLogin
                    .loginPage("/login") // Chỉ định trang đăng nhập tùy chỉnh
                    .permitAll() // Cho phép tất cả mọi người truy cập trang đăng nhập
            )
            .logout(logout ->
                logout
                    .permitAll() // Cho phép tất cả mọi người logout
            );
        return http.build();
    }

    // Cấu hình UserDetailsService và PasswordEncoder sẽ được đặt ở đây hoặc lớp khác
    // (Xem lại bài Hướng Dẫn Thực Hành Cấu Hình Xác Thực)
}

Trong cấu hình trên:

  • authorizeHttpRequests(): Bắt đầu phần cấu hình cho việc phân quyền các HTTP request.
  • requestMatchers("/...", "..."): Chọn các URL pattern áp dụng quy tắc. Spring Security sử dụng các Ant-style path patterns (ví dụ: /admin/** nghĩa là bất kỳ đường dẫn nào bắt đầu bằng /admin/).
  • .permitAll(): Cho phép truy cập mà không cần xác thực hay phân quyền.
  • .authenticated(): Yêu cầu người dùng phải được xác thực (đã đăng nhập).
  • .hasRole("ADMIN"): Yêu cầu người dùng phải có vai trò ADMIN. Lưu ý: khi sử dụng hasRole() trong biểu thức SpEL cho URL security (và `@PreAuthorize`), Spring Security mặc định tự động thêm tiền tố ROLE_. Do đó, nếu vai trò trong UserDetails của bạn là ROLE_ADMIN, bạn chỉ cần viết hasRole("ADMIN"). Nếu vai trò là ‘ADMIN’ (không có tiền tố), bạn cần dùng hasAuthority("ADMIN").
  • .hasAnyRole("USER", "ADMIN"): Yêu cầu người dùng phải có ít nhất một trong các vai trò USER hoặc ADMIN. Tương tự hasRole(), tiền tố ROLE_ được thêm tự động.
  • Các quy tắc được xử lý theo thứ tự từ trên xuống dưới. Quy tắc đầu tiên khớp với request sẽ được áp dụng. Do đó, các quy tắc cụ thể hơn (ví dụ: /admin/**) nên được đặt trước các quy tắc chung (ví dụ: anyRequest()).

2. Cấu Hình Bảo Mật Dựa Trên Phương Thức (Method-Based Security)

Bảo mật dựa trên URL là chỉ tốt cho việc bảo vệ toàn bộ phần của ứng dụng, nhưng đôi khi bạn cần kiểm soát truy cập ở cấp độ chi tiết hơn, ví dụ: chỉ cho phép người có vai trò Quản lý mới được gọi một phương thức cụ thể trong Service để cập nhật dữ liệu nhạy cảm. Đây là lúc bảo mật phương thức phát huy tác dụng.

Để sử dụng bảo mật phương thức, bạn cần bật tính năng này. Trong cấu hình Java hiện đại của Spring Security (Spring Boot 2.7+), bạn sử dụng annotation @EnableMethodSecurity trên lớp cấu hình bảo mật.

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.method.configuration.EnableMethodSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.web.SecurityFilterChain;
import org.springframework.context.annotation.Bean;

// ... (các import khác như trong ví dụ URL-based)

@Configuration
@EnableWebSecurity // Vẫn cần cho bảo mật web/URL
@EnableMethodSecurity // Bật bảo mật phương thức
public class SecurityConfig {

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        // ... (Cấu hình URL-based như ví dụ trước, hoặc cấu hình tối thiểu nếu chỉ dùng method security)
        http
            .authorizeHttpRequests(authorizeRequests ->
                 // Cho phép tất cả các request nếu chỉ dùng method security,
                 // hoặc kết hợp cả 2: các request cần auth thì cho phép, còn phân quyền sâu hơn dùng @PreAuthorize
                 authorizeRequests.anyRequest().authenticated()
            )
            .formLogin(formLogin -> formLogin.permitAll())
            .logout(logout -> logout.permitAll());
        return http.build();
    }

    // ... UserDetailsService, PasswordEncoder beans ...
}

Sau khi bật @EnableMethodSecurity, bạn có thể sử dụng các annotations sau trên các phương thức của Spring Beans (ví dụ: các phương thức trong lớp @Service hoặc @Controller):

  • @PreAuthorize: Kiểm tra quyền trước khi phương thức được thực thi. Đây là annotation mạnh mẽ nhất vì nó hỗ trợ Spring Expression Language (SpEL), cho phép bạn viết các biểu thức kiểm tra phức tạp.
  • @PostAuthorize: Kiểm tra quyền sau khi phương thức đã thực thi (và giá trị trả về có sẵn). Hữu ích khi quyết định có cho phép trả về kết quả cho người dùng hay không, hoặc kiểm tra quyền dựa trên dữ liệu được trả về.
  • @Secured({"ROLE_ADMIN", "ROLE_MANAGER"}): Annotation đơn giản hơn, chỉ kiểm tra sự tồn tại của các vai trò/quyền hạn cụ thể. Không hỗ trợ SpEL.
  • @RolesAllowed({"ADMIN", "MANAGER"}): Tương tự @Secured nhưng là một phần của chuẩn JSR-250. Cũng không hỗ trợ SpEL và yêu cầu bật hỗ trợ JSR-250 trong cấu hình @EnableMethodSecurity (thường là mặc định). Lưu ý: Annotation này *không* tự động thêm tiền tố ROLE_, bạn phải sử dụng tên vai trò chính xác như trong GrantedAuthority (ví dụ: “ADMIN” nếu GrantedAuthority là “ADMIN”, hoặc “ROLE_ADMIN” nếu GrantedAuthority là “ROLE_ADMIN”). Tuy nhiên, với cấu hình mặc định và SimpleGrantedAuthority("ROLE_ADMIN"), bạn vẫn dùng @RolesAllowed("ADMIN") vì nó sử dụng một Voter khác hoặc xử lý tiền tố nội bộ. Tốt nhất nên kiểm tra hành vi cụ thể hoặc stick with @PreAuthorize để nhất quán.

Ví dụ với @PreAuthorize:

import org.springframework.security.access.prepost.PreAuthorize;
import org.springframework.stereotype.Service;

@Service
public class AdminService {

    @PreAuthorize("hasRole('ADMIN')") // Chỉ ADMIN mới được gọi phương thức này
    public String deleteUserData(String userId) {
        // Logic xóa dữ liệu người dùng
        System.out.println("Deleting data for user: " + userId + " by admin.");
        return "User data deleted successfully.";
    }

    @PreAuthorize("hasAnyRole('ADMIN', 'MANAGER')") // ADMIN hoặc MANAGER đều được
    public String viewSensitiveReport() {
        // Logic lấy báo cáo nhạy cảm
        System.out.println("Accessing sensitive report.");
        return "Sensitive Report Data";
    }

    @PreAuthorize("isAuthenticated()") // Chỉ cần người dùng đã đăng nhập
    public String getUserProfile(String username) {
        // Logic lấy profile người dùng
        return "Profile for " + username;
    }

    // Ví dụ phức tạp hơn với SpEL, kiểm tra quyền dựa trên tham số
    @PreAuthorize("hasRole('ADMIN') or authentication.principal.username == #username")
    public String updateProfile(String username, String newData) {
        // Chỉ ADMIN hoặc chính người dùng đó mới được cập nhật profile của họ
        System.out.println("Updating profile for " + username);
        return "Profile updated.";
    }
}

Trong @PreAuthorize, bạn sử dụng SpEL để viết các biểu thức kiểm tra. Các hàm phổ biến bao gồm hasRole(), hasAnyRole(), hasAuthority(), hasAnyAuthority(), isAuthenticated(), isAnonymous(), isFullyAuthenticated(), isRememberMe(). Bạn cũng có thể truy cập các tham số của phương thức (ví dụ: #username) và đối tượng authentication hiện tại (ví dụ: authentication.principal.username).

Ví dụ với @Secured@RolesAllowed:

import org.springframework.security.access.annotation.Secured;
import javax.annotation.security.RolesAllowed; // Lưu ý import chuẩn JSR-250
import org.springframework.stereotype.Service;

@Service
public class LegacyService {

    @Secured("ROLE_ADMIN") // Yêu cầu vai trò ROLE_ADMIN
    public String performCriticalOperation() {
        System.out.println("Performing critical operation.");
        return "Operation successful (Secured).";
    }

    @RolesAllowed("ADMIN") // Yêu cầu vai trò 'ADMIN' (hoặc ROLE_ADMIN tùy cấu hình)
    public String performAnotherOperation() {
        System.out.println("Performing another operation.");
        return "Operation successful (RolesAllowed).";
    }
}

Sự khác biệt chính giữa @PreAuthorize@Secured/@RolesAllowed nằm ở khả năng sử dụng SpEL. @PreAuthorize linh hoạt và mạnh mẽ hơn nhiều. Trong các ứng dụng mới, @PreAuthorize thường là lựa chọn ưu tiên.

URL-Based vs. Method-Based Security: Khi nào sử dụng?

Việc lựa chọn giữa bảo mật dựa trên URL và bảo mật dựa trên phương thức phụ thuộc vào yêu cầu của bạn. Trong nhiều ứng dụng, bạn sẽ sử dụng cả hai kết hợp với nhau.

Dưới đây là bảng so sánh giúp bạn đưa ra quyết định:

Tính năng URL-Based Security Method-Based Security
Mức độ áp dụng Áp dụng cho toàn bộ URL/pattern URL Áp dụng cho từng phương thức (method) cụ thể
Độ chi tiết Thô hơn (kiểm soát truy cập vào một nhóm tài nguyên) Chi tiết hơn (kiểm soát truy cập vào một hành động cụ thể)
Cấu hình Trong SecurityFilterChain Sử dụng annotations (@PreAuthorize, @Secured…) trên phương thức và bật @EnableMethodSecurity
Tính linh hoạt Chủ yếu dựa vào path patterns và vai trò/quyền cơ bản Sử dụng Spring EL (SpEL) rất mạnh mẽ, có thể kiểm tra dựa trên tham số, dữ liệu trả về, v.v.
Ưu điểm Dễ dàng bảo vệ nhóm URL; Là lớp bảo vệ đầu tiên cho web request. Kiểm soát chi tiết; Logic bảo mật gần với code nghiệp vụ; Dễ áp dụng cho các phương thức không phải endpoint web.
Nhược điểm Khó áp dụng cho các trường hợp phân quyền phức tạp dựa trên dữ liệu; Không bảo vệ các phương thức được gọi nội bộ (không qua web request). annotations có thể làm rối code; Yêu cầu cẩn thận khi sử dụng @PostAuthorize (có thể trả về dữ liệu nhạy cảm trước khi kiểm tra); Performance overhead nhỏ hơn so với URL filtering.
Trường hợp sử dụng điển hình Bảo vệ các khu vực quản trị (/admin/**); Cho phép truy cập công khai (/public/**); Yêu cầu xác thực cho hầu hết các trang. Kiểm soát ai được gọi phương thức xóa người dùng; Ai được xem báo cáo cụ thể; Ai được chỉnh sửa dữ liệu của người khác.

Lời khuyên: Thường thì bạn nên sử dụng cả hai. Dùng URL-based security như lớp bảo vệ đầu tiên để lọc các request không hợp lệ hoặc yêu cầu xác thực cơ bản. Sau đó, sử dụng method-based security với @PreAuthorize để kiểm soát quyền truy cập chi tiết hơn vào các hành động nghiệp vụ quan trọng trong Service hoặc Controller.

Một Vài Lưu Ý và Best Practices

  • Tiền tố ROLE_: Như đã đề cập, hasRole('ADMIN') trong SpEL mặc định kiểm tra ROLE_ADMIN. Nếu bạn không muốn sử dụng tiền tố này, bạn có thể cấu hình lại RoleVoter hoặc sử dụng hasAuthority('ADMIN') (kiểm tra chính xác chuỗi ‘ADMIN’). Tuy nhiên, tuân thủ quy ước ROLE_ thường là tốt nhất trừ khi có lý do đặc biệt.
  • Thiết kế Vai trò: Đừng tạo ra quá nhiều vai trò chồng chéo. Hãy nghĩ về các vai trò như các vị trí công việc hoặc nhóm người dùng có tập quyền hạn tương tự.
  • Lưu trữ Vai trò: Trong ứng dụng thực tế, vai trò của người dùng thường được lưu trữ trong cơ sở dữ liệu. UserDetailsService sẽ truy vấn database để lấy thông tin này.
  • Sự kết hợp URL và Method Security: Nếu một URL được bảo vệ bởi cả cấu hình URL-based và phương thức được gọi bởi URL đó cũng được bảo vệ bởi annotation method-based, Spring Security sẽ kiểm tra cả hai. Người dùng chỉ được phép truy cập nếu cả hai quy tắc đều cho phép.
  • Thử nghiệm (Testing): Khi triển khai RBAC, việc thử nghiệm là cực kỳ quan trọng. Spring Security cung cấp các tiện ích giúp bạn dễ dàng viết unit test và integration test cho các quy tắc bảo mật của mình.

Kết Luận

Role-Based Access Control là một mô hình phân quyền hiệu quả và là nền tảng cho bảo mật trong rất nhiều ứng dụng doanh nghiệp. Spring Security cung cấp các công cụ mạnh mẽ và linh hoạt để triển khai RBAC thông qua khái niệm GrantedAuthority và các phương pháp cấu hình dựa trên URL và phương thức.

Việc làm chủ RBAC trong Spring Security là một bước tiến quan trọng trên lộ trình Java Spring Boot của bạn. Bằng cách hiểu rõ cách định nghĩa vai trò, gán chúng cho người dùng và cấu hình các quy tắc truy cập bằng authorizeHttpRequests()@PreAuthorize, bạn có thể xây dựng các ứng dụng an toàn và dễ quản lý hơn.

Trong bài viết tiếp theo, chúng ta có thể sẽ đi sâu hơn vào việc tích hợp Spring Security với cơ sở dữ liệu thực tế để quản lý người dên và vai trò, hoặc khám phá các khía cạnh nâng cao hơn của phân quyền. Hãy tiếp tục theo dõi nhé!

Chúc bạn học tốt và code an toàn!

Recent News Articles

Fresh job related news content posted each day.

Mục lục

Chỉ mục