AuthorizationManager不同实现类

最新推荐文章于 2024-09-18 18:05:27 发布
最新推荐文章于 2024-09-18 18:05:27 发布
阅读量1.6k 收藏 19
点赞数 40
CC 4.0 BY-SA版权
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2401_85480529/article/details/142339997

AuthorizationManager 是 Spring Security 5.5 引入的一个接口,用于统一处理授权决策。在 Spring Security 中,AuthorizationManager 的不同实现类可用于处理各种授权场景,如基于认证状态、角色、权限等的授权决策。

以下是常见的 AuthorizationManager 实现类及其用途和用法:

1. AuthenticatedAuthorizationManager

  • 用途:用于授权所有经过认证的用户。只要用户已经登录,无论角色或权限,均可以访问某些资源。
  • 使用场景:例如保护某些资源,使得登录用户都可以访问。
代码示例
import org.springframework.security.authorization.AuthenticatedAuthorizationManager;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.web.SecurityFilterChain;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

@Configuration
public class SecurityConfig {

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http
            .authorizeHttpRequests(authz -> authz
                .requestMatchers("/authenticated").access(AuthenticatedAuthorizationManager.authenticated()) // 只要登录就可以访问
                .anyRequest().permitAll()
            )
            .formLogin(); // 启用表单登录
        return http.build();
    }
}

在这里,AuthenticatedAuthorizationManager.authenticated() 表示只要用户已经通过认证,就可以访问 /authenticated 路径。

2. AuthorityAuthorizationManager

  • 用途:用于基于用户角色或权限进行授权。可以使用 hasRolehasAuthority 来检查用户的角色或权限。
  • 使用场景:适用于需要基于用户角色或权限进行访问控制的场景,例如管理员角色才能访问某个路径。
代码示例
import org.springframework.security.authorization.AuthorityAuthorizationManager;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.web.SecurityFilterChain;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

@Configuration
public class SecurityConfig {

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http
            .authorizeHttpRequests(authz -> authz
                .requestMatchers("/admin").access(AuthorityAuthorizationManager.hasRole("ADMIN")) // 需要 ADMIN 角色
                .requestMatchers("/user").access(AuthorityAuthorizationManager.hasAuthority("ROLE_USER")) // 需要 USER 权限
                .anyRequest().permitAll()
            )
            .formLogin();
        
        return http.build();
    }
}

这里使用 AuthorityAuthorizationManager 来基于角色(hasRole)和权限(hasAuthority)进行访问控制。

3. WebExpressionAuthorizationManager

  • 用途:基于 Spring Security 表达式进行授权控制。使用 SpEL(Spring Expression Language)来定义灵活的授权规则。
  • 使用场景:适合需要更灵活或复杂的授权规则,例如基于请求的某些属性或者用户的动态状态。
代码示例
import org.springframework.security.authorization.method.SpringMethodAuthorizationExpressionHandler;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.web.SecurityFilterChain;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

@Configuration
public class SecurityConfig {

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http
            .authorizeHttpRequests(authz -> authz
                .requestMatchers("/admin").access(new WebExpressionAuthorizationManager("hasRole('ADMIN')")) // 使用表达式
                .requestMatchers("/profile").access(new WebExpressionAuthorizationManager("isAuthenticated() and principal.username == #username"))
                .anyRequest().permitAll()
            )
            .formLogin();

        return http.build();
    }
}

在这个例子中,WebExpressionAuthorizationManager 通过表达式 hasRole('ADMIN') 来检查是否具有管理员角色,isAuthenticated() 用于检查用户是否已登录,并且 principal.username == #username 用于检查用户是否为当前认证的用户。

4. DelegatingAuthorizationManager

  • 用途:这是一个复合 AuthorizationManager,可以将多个 AuthorizationManager 组合在一起,并按顺序执行它们。它会将授权决策委托给不同的 AuthorizationManager,并根据它们的决策来做最终的授权判断。
  • 使用场景:当你需要组合多个授权规则时,比如根据不同的条件决定授权结果。
代码示例
import org.springframework.security.authorization.AuthorizationManager;
import org.springframework.security.authorization.DelegatingAuthorizationManager;
import org.springframework.security.authorization.AuthorityAuthorizationManager;
import org.springframework.security.authorization.AuthenticatedAuthorizationManager;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.web.SecurityFilterChain;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.util.List;

@Configuration
public class SecurityConfig {

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        AuthorizationManager<?> compositeAuthManager = DelegatingAuthorizationManager.builder()
            .add(AuthenticatedAuthorizationManager.authenticated()) // 首先检查用户是否登录
            .add(AuthorityAuthorizationManager.hasRole("ADMIN")) // 然后检查是否有 ADMIN 角色
            .build();
        
        http
            .authorizeHttpRequests(authz -> authz
                .requestMatchers("/admin").access(compositeAuthManager) // 使用组合的 AuthorizationManager
                .anyRequest().permitAll()
            )
            .formLogin();
        
        return http.build();
    }
}

在这个例子中,DelegatingAuthorizationManager 组合了两个授权管理器:首先检查用户是否认证通过,然后检查用户是否具备 ADMIN 角色。只有这两个条件都满足时,才允许访问 /admin

5. PreAuthorizeAuthorizationManager

  • 用途:用于方法级别的授权,支持使用 @PreAuthorize 注解对方法调用进行授权控制。
  • 使用场景:适合方法级别的安全控制,通过 Spring Security 的表达式来控制方法调用的权限。
代码示例
import org.springframework.security.access.prepost.PreAuthorize;
import org.springframework.stereotype.Service;

@Service
public class AdminService {

    @PreAuthorize("hasRole('ADMIN')") // 在方法调用前检查权限
    public void performAdminTask() {
        // 执行管理员任务
    }
}

在这个例子中,@PreAuthorize("hasRole('ADMIN')") 会在调用 performAdminTask 方法之前检查用户是否具备 ADMIN 角色。如果用户不具备该角色,将会拒绝方法调用。

总结

  • AuthenticatedAuthorizationManager:检查用户是否已经认证(登录),适用于只要登录就可以访问的场景。
  • AuthorityAuthorizationManager:基于用户角色或权限进行授权,适用于角色或权限控制的场景。
  • WebExpressionAuthorizationManager:使用 SpEL 表达式定义灵活的授权规则,适合复杂的授权逻辑。
  • DelegatingAuthorizationManager:复合授权管理器,可以组合多个 AuthorizationManager,适用于复杂的授权逻辑组合。
  • PreAuthorizeAuthorizationManager:用于方法级别的授权,配合 @PreAuthorize 注解,适用于控制方法调用的权限。

根据具体的安全需求,可以选择或组合使用这些 AuthorizationManager 实现类。

Jmeter配置元件之授权管理器HTTP Authorization Manager
岁月的博客
08-18 3245
该属性管理器用于设置自动对一些需要NTLM验证的页面进行认证和登录。如下图:监控tomcat 文章来源:https://www.cnblogs.com/yangxia-test/p/4123155.html
SpringSecurity系列——授权架构day4-1(源于官网5.7.2版本)
qq_51553982的博客
07-22 1319
源于官方最新5.7.2文档,若你觉得官方文档阅读起来很枯燥,内容复杂,我提供了解析概括在每个部分的结尾,我对官方文档的内容做了一些改变,实例代码我会在后续进行更新,请查看如SpringSecurity系列——认证架构实例代码的文章但是如果你有能力,还是推荐直接阅读官方文档显然,您还可以实现自定义AuthorizationManager,并且您可以在其中放入几乎任何您想要的访问控制逻辑。它可能特定于您的应用程序(与业务逻辑相关),或者它可能实现一些安全管理逻辑。...
使用 Authorization Manager 对多层应用程序进行基于角色的访问控制
江湖·郎中·路
12-30 4868
使用 Authorization Manager 对多层应用程序进行基于角色的访问控制作者:Dave McPherson(Microsoft Corporation)致谢:非常感谢 Jason Rush、Praerit Garg、Don Schmidt、Paul Leach 和 Doug Bayer 的支持。本页内容介绍授权策略存储
如何利用azMan (Authorization Manager) 实现 role-based的安全验证机制
weixin_34310369的博客
12-10 263
在WCF中如何配置基于asp.net role的授权机制,看了些时日,总算有点眉目了 。 以下是一个典型的通过自定义的role-based (principalPermissionMode=UseAspNetRoles)来进行授权的WCF service config file. Code <?xmlversion="1.0"encoding="utf-8"?> &lt...
MS AzMan(Authorization Manager)心得小记
01-31 3352
AzMan是在Microsoft提供的一套授权管理的组件,底层支持XML/AD/ADAM/SQLServer(Vista Only)的存储方式,对于在Windows平台部署应用系统来说,不失为一种偷懒的替代解决办法(想完全自己开发基于数据库的授权管理者除外) ,但微软的东西只有微软自己最清楚,一些基本概念和封装开发过程中碰到的一些问题和困扰,和大家来分享一下:  Authorization M
在Asp.net MVC中使用Authorization Manager (AzMan)进行Windows用户身份认证
weixin_30553777的博客
11-19 646
背景 创建需要通过Windows用户进行身份认证的Asp.net MVC应用 要点 在Asp.net MVC应用基于Windows用户进行身份认证的方法有很多,如MVC自带的Windows认证就经常被用到。但AzMan(Authorization Manager)提供了在某些场合下相对更灵活多样,更易于维护的快速解决方案。 AzMan是在Microsoft提供的一套授权管理的组件,底层支持...
Authorization
03-31
- **AuthorizationManager**:.NET Framework提供了`AuthorizationManager`类,用于自定义授权策略。 - **PrincipalPermissionAttribute**:这个特性可以应用于方法或类,基于主体的角色或权限进行授权检查。 - *...
AuthorizationService类如何定义
06-07
以下是一个AuthorizationService类的简单实现示例: ```csharp public class AuthorizationService { private readonly IHttpContextAccessor _httpContextAccessor; public AuthorizationService...
Spring Security访问控制Authorization
daiwuliang的博客
04-28 3166
文章目录Authorization架构用户权限Authorities前置调用处理AccessDecisionManager基于选举机制的AccessDecisionManagerRoleVoterAuthenticatedVoter其它AccessDecisionVoter后置调用处理HTTP请求访问控制 FilterSecurityInterceptor表达式访问控制规则常见的表达式方法Web ...
VMware vSphere Web Services SDK编程指南(八)- 8.5 使用 AuthorizationManager 管理角色和权限
zhouxukun123的专栏
08-26 3377
8.5 使用 AuthorizationManager 管理角色和权限 AuthorizationManager 是处理分配给用户或组(使用 HostLocalAccountManager 定义)的权限和角色的服务接口, AuthorizationManager 方法允许你创建、修改及管理角色和许可权限,并获取在系统中定义的角色和许可权限的信息。
AuthorizationManager和AccessDecisionManager
最新发布
2401_85480529的博客
09-18 813
和都是 Spring Security 中用于处理授权的组件,但它们来自不同的版本和授权机制。在 Spring Security 5.5 之前,授权主要是通过实现的。而在 Spring Security 5.5 之后,引入了新的授权机制,即,作为一种替代或补充。
内有红包封面|Spring Security的新接口AuthorizationManager
码农小胖哥
01-25 2174
Spring Security 5.5 增加了一个新的授权管理器接口AuthorizationManager<T>,它让动态权限的控制接口化了,更加方便我们使用了,今天就来分享...
Spring Security 源码解读(三)Authorization授权
qq_41481367的博客
12-20 1360
Authorization就是授权的意思,在SpringSecurity中,无论你是采用何种方式进行认证的,其授权服务都可以在我们的Spring应用中使用。
Spring Security 授权体系结构
swadian2008的博客
07-25 1009
例如,在具有“Admin”和“User”角色概念的应用程序中,希望管理员(“Admin”)能够执行普通用户(“User”)的所有操作。用户可以通过实现 AuthorizationManager 接口来自定义授权控制,同时,Spring Security 附带了一个委托 AuthorizationManager,它可以与各个 AuthorizationManager 进行协作。至此,Spring Security 的授权架构介绍完毕,在这篇文章中,更多的是方法论,具体的使用细节将在后续文章中进行补充。
Spring Security —06—自定义认证数据源
weixin_48994585的博客
08-24 1108
覆盖原有的全局AuthenticationManager,也就是构建出一个空的AuthenticationManager也没有指定的UserDetailService。@Override//重写的父类WebSecurityConfigurerAdapter中的configure方法,使用的也是父类的AuthenticationManagerBuilder总结自定义全局 AuthenticationManager。
springboot3整合SpringSecurity实现登录校验与权限认证(万字超详细讲解)
热门推荐
2301_78646673的博客
12-11 3万+
用户提交登录请求Spring Security 将请求交给 UsernamePasswordAuthenticationFilter 过滤器处理。UsernamePasswordAuthenticationFilter 获取请求中的用户名和密码,并生成一个 AuthenticationToken 对象,将其交给 AuthenticationManager 进行认证。
Spring Security 6,Spring Boot 3 使用 access 进行自定义方法权限控制时,出现:EL1057E: No bean resolver registered
萌新的博客
02-06 951
解决 Spring Security 使用 access 进行自定义方法权限控制时,没有 BeanResolver 的问题。
springsecurity学习笔记-未完
给自己的程序生涯留下一点痕迹
10-26 658
记录一下学习springcurity的过程开发环境:IDEAspring提供的安全管理框架,核心功能是认证,授权认证:验证当前用户是不是本系统注册的用户,识别具体是哪个用户授权:通过认证的用户,需要判断是否具有权限进行某个操作。
Spring Security(十六):授权(Authorization)
人不风流枉少年
07-09 4616
一:简介 授权 就是控制url能不能访问。一个请求过来会先经过FilterSecurityInterceptor过滤器拦截,然后调用访问决定管理器AccessDecisionManager,访问决定管理器是通过访问决定投票器AccessDecisionVoter来投票的,如果投票器投通过那么这个url就可以访问,如果投票器投拒绝那么这个url就不能被访问,会抛出一个访问被拒绝的异常。 访问决定投票...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值