AuthorizationManager和AccessDecisionManager

于 2024-09-18 18:05:27 发布
阅读量813 收藏 18
点赞数 23
CC 4.0 BY-SA版权
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2401_85480529/article/details/142340047

AuthorizationManagerAccessDecisionManager 都是 Spring Security 中用于处理授权的组件,但它们来自不同的版本和授权机制。在 Spring Security 5.5 之前,授权主要是通过 AccessDecisionManager 实现的。而在 Spring Security 5.5 之后,引入了新的授权机制,即 AuthorizationManager,作为一种替代或补充。

主要区别和关系

1. AccessDecisionManager(旧机制)
  • 版本:引入于 Spring Security 早期版本,一直沿用到 Spring Security 5.x。
  • 作用:通过多个 AccessDecisionVoter 对用户访问资源的权限进行投票,最后做出授权决策。
  • 结构AccessDecisionManager 接收 Authentication 对象、目标对象(如 FilterInvocation)、和配置的权限信息,然后通过 AccessDecisionVoter 来投票决定是否允许用户访问。
  • 工作流程
    1. 请求到达 FilterSecurityInterceptor
    2. FilterSecurityInterceptor 调用 AccessDecisionManager 来决定是否允许访问。
    3. AccessDecisionManager 收集多个 AccessDecisionVoter 的投票结果,做出最终授权决策。
public interface AccessDecisionManager {
    void decide(Authentication authentication, Object object, Collection<ConfigAttribute> configAttributes) 
        throws AccessDeniedException, InsufficientAuthenticationException;
}
2. AuthorizationManager(新机制)
  • 版本:引入于 Spring Security 5.5,作为一种更现代、更灵活的授权机制。
  • 作用:通过直接检查 Authentication 对象来做出授权决策,简化了授权流程,不再依赖投票机制。
  • 结构AuthorizationManager 接受 Authentication 对象以及请求的上下文信息(如 RequestAuthorizationContext),直接返回一个 AuthorizationDecision(授权结果)。
  • 工作流程
    1. 请求到达时,AuthorizationManager 会接收到 Authentication 对象。
    2. AuthorizationManager 根据提供的授权规则,直接做出 truefalse 的授权决策。
public interface AuthorizationManager<T> {
    AuthorizationDecision check(Supplier<Authentication> authentication, T object);
}

关系

  1. 历史演变AccessDecisionManager 是 Spring Security 的旧授权机制,而 AuthorizationManager 是新引入的授权机制。AuthorizationManager 提供了更简洁、更灵活的授权方式,可以看作对 AccessDecisionManager 的一种替代或简化。

  2. 授权决策方式

    • AccessDecisionManager:依赖多个 AccessDecisionVoter 进行投票,最后根据投票结果(比如 AffirmativeBasedConsensusBased 等投票策略)做出决策。
    • AuthorizationManager:直接返回一个 AuthorizationDecision,简化了整个流程,不需要多个投票器。

  3. 功能重叠:在 Spring Security 5.5 之后,AuthorizationManager 逐渐成为推荐的授权机制,而 AccessDecisionManager 仍然存在于老的应用中,但一般来说,它们不会同时使用。如果你在项目中使用 AuthorizationManager,则不需要再配置 AccessDecisionManagerAccessDecisionVoter

具体示例对比

使用 AccessDecisionManager
import org.springframework.security.access.AccessDecisionManager;
import org.springframework.security.access.AccessDecisionVoter;
import org.springframework.security.access.vote.AffirmativeBased;
import org.springframework.security.access.vote.RoleVoter;
import org.springframework.security.access.vote.AuthenticatedVoter;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.web.access.intercept.FilterSecurityInterceptor;

import java.util.Arrays;

public class SecurityConfig {

    public AccessDecisionManager accessDecisionManager() {
        // 定义投票器
        AccessDecisionVoter<?> roleVoter = new RoleVoter();
        AccessDecisionVoter<?> authenticatedVoter = new AuthenticatedVoter();
        return new AffirmativeBased(Arrays.asList(roleVoter, authenticatedVoter)); // Affirmative 策略
    }

    public void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
            .antMatchers("/admin").hasRole("ADMIN")
            .anyRequest().permitAll()
            .and()
            .addFilter(new FilterSecurityInterceptor());  // 使用 AccessDecisionManager
    }
}

在这里,AccessDecisionManager 使用了 RoleVoterAuthenticatedVoter 来投票,最后通过 AffirmativeBased 策略做出决策。

使用 AuthorizationManager
import org.springframework.security.authorization.AuthorityAuthorizationManager;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.web.SecurityFilterChain;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

@Configuration
public class SecurityConfig {

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http
            .authorizeHttpRequests(authz -> authz
                .requestMatchers("/admin").access(AuthorityAuthorizationManager.hasRole("ADMIN")) // 使用 AuthorizationManager
                .anyRequest().permitAll()
            )
            .formLogin(); // 表单登录

        return http.build();
    }
}

在这个示例中,AuthorizationManager 直接通过 AuthorityAuthorizationManager.hasRole("ADMIN") 来做出授权决策,代码更为简洁。

总结

  1. AccessDecisionManager:基于多个 AccessDecisionVoter 进行投票,然后由 AccessDecisionManager 根据投票结果做出最终决策。这是旧的授权机制,常用于较为复杂的投票场景。
  2. AuthorizationManager:这是 Spring Security 5.5 引入的更灵活、更简洁的授权机制,推荐用于新的项目或应用。它可以直接根据 Authentication 和资源上下文进行授权决策,无需依赖投票机制。

如果你是从老项目迁移或者新项目开发,建议使用 AuthorizationManager 来实现授权逻辑,因为它简化了授权流程,并提供了更现代化的授权模型。

Jmeter配置元件之授权管理器HTTP Authorization Manager
岁月的博客
08-18 3245
该属性管理器用于设置自动对一些需要NTLM验证的页面进行认证登录。如下图:监控tomcat 文章来源:https://www.cnblogs.com/yangxia-test/p/4123155.html
AccessDecisionManager
11-25
自定义AccessDecisionManager初始化了但是还是走默认的决策器。翻看了官方说明,需要在http上制定决策器。
Spring Security-授权(AccessDecisionManager,AccessDecisionVoter)
热门推荐
kaikai8552的专栏
03-07 1万+
 AccessDecisionManager完成授权的功能。观察AccessDecisionManager接口的授权方法void decide(Authentication authentication, Object object, ConfigAttributeDefinition config)        throws AccessDeniedException, Insufficien
AccessDecisionManager 访问决策管理器
2023年最新地推相关信息
10-01 432
throw new AccessDeniedException(“没有操作权限”);访问决策管理器是做什么的?这一段代码是什么意思呀。// 获取用户权限列表。
MS AzMan(Authorization Manager)心得小记
01-31 3352
AzMan是在Microsoft提供的一套授权管理的组件,底层支持XML/AD/ADAM/SQLServer(Vista Only)的存储方式,对于在Windows平台部署应用系统来说,不失为一种偷懒的替代解决办法(想完全自己开发基于数据库的授权管理者除外) ,但微软的东西只有微软自己最清楚,一些基本概念封装开发过程中碰到的一些问题困扰,大家来分享一下:  Authorization M
SpringSecurity框架原理浅谈之AccessDecisionManager
黄先生的博客
02-14 1908
授权流程 Spring Security可以通过 http.authorizeRequests() 对web请求进行授权保护。 Spring Security使用标准Filter建立了对web请求的拦截,最终实现对资源的授权访问。
SpringSecurity系列——授权架构day4-1(源于官网5.7.2版本)
qq_51553982的博客
07-22 1319
源于官方最新5.7.2文档,若你觉得官方文档阅读起来很枯燥,内容复杂,我提供了解析概括在每个部分的结尾,我对官方文档的内容做了一些改变,实例代码我会在后续进行更新,请查看如SpringSecurity系列——认证架构实例代码的文章但是如果你有能力,还是推荐直接阅读官方文档显然,您还可以实现自定义AuthorizationManager,并且您可以在其中放入几乎任何您想要的访问控制逻辑。它可能特定于您的应用程序(与业务逻辑相关),或者它可能实现一些安全管理逻辑。...
Spring Security Authorization 官方文档分析
qq_37813031的博客
03-06 1419
Spring Security Authorization 官方文档分析
Spring Security 授权体系结构
swadian2008的博客
07-25 1009
例如,在具有“Admin”“User”角色概念的应用程序中,希望管理员(“Admin”)能够执行普通用户(“User”)的所有操作。用户可以通过实现 AuthorizationManager 接口来自定义授权控制,同时,Spring Security 附带了一个委托 AuthorizationManager,它可以与各个 AuthorizationManager 进行协作。至此,Spring Security 的授权架构介绍完毕,在这篇文章中,更多的是方法论,具体的使用细节将在后续文章中进行补充。
SpringSecurity6实现动态权限,rememberMe、OAuth2.0授权登录,退出登录等功能
路漫漫其修远兮,吾将上下而求索
05-13 2744
SpringSecurity第三讲,介绍动态权限,OAuth2.0的第三方授权登录,退出登录等功能
Spring Security访问控制Authorization
daiwuliang的博客
04-28 3166
文章目录Authorization架构用户权限Authorities前置调用处理AccessDecisionManager基于选举机制的AccessDecisionManagerRoleVoterAuthenticatedVoter其它AccessDecisionVoter后置调用处理HTTP请求访问控制 FilterSecurityInterceptor表达式访问控制规则常见的表达式方法Web ...
在Asp.net MVC中使用Authorization Manager (AzMan)进行Windows用户身份认证
weixin_30553777的博客
11-19 646
背景 创建需要通过Windows用户进行身份认证的Asp.net MVC应用 要点 在Asp.net MVC应用基于Windows用户进行身份认证的方法有很多,如MVC自带的Windows认证就经常被用到。但AzMan(Authorization Manager)提供了在某些场合下相对更灵活多样,更易于维护的快速解决方案。 AzMan是在Microsoft提供的一套授权管理的组件,底层支持...
使用AccessDecisionManager实现HttpSecurity的自定义动态路由鉴权
CodeCattle的博客
05-06 1412
1. 使用AccessDecisionManager实现HttpSecurity的自定义动态路由鉴的主要思路是利用投票机制进行鉴权。即通过自定义实现的AnonymousAccessVoter来鉴权投票,从Redis中读取到的路由权限表配置,进行逻辑判断请求是否符合配置权限要求,从而投出相对应的投票,如果请求是开放的接口,且不符合权限要求直接抛出AccessDeniedException异常即可,若符合权限要求则投已认证票,如果请求不是开放的接口,则投出弃权票
spring security访问控制决策管理器
a807719447的专栏
11-16 583
我们先来看下类图。顶层接口为 AccessDecisionManager,仅有一个抽象实现,三个具体实现类继承自抽象类。 AffirmativeBased 一票通过制 ConsensusBased 半数以上通过制 UnanimousBased 全数通过制 见名知意,不用我多解释了。 在这几个决策器中调用投票器AccessDecisionVoter,进行投票。 RoleVoter投票器的逻辑如下: public int vote(Authentication authentication,.
使用 Authorization Manager 对多层应用程序进行基于角色的访问控制
江湖·郎中·路
12-30 4868
使用 Authorization Manager 对多层应用程序进行基于角色的访问控制作者:Dave McPherson(Microsoft Corporation)致谢:非常感谢 Jason Rush、Praerit Garg、Don Schmidt、Paul Leach Doug Bayer 的支持。本页内容介绍授权策略存储
VMware vSphere Web Services SDK编程指南(八)- 8.5 使用 AuthorizationManager 管理角色权限
zhouxukun123的专栏
08-26 3377
8.5 使用 AuthorizationManager 管理角色权限 AuthorizationManager 是处理分配给用户或组(使用 HostLocalAccountManager 定义)的权限角色的服务接口, AuthorizationManager 方法允许你创建、修改及管理角色许可权限,并获取在系统中定义的角色许可权限的信息。
史上最简单的Spring Security教程(二十一):AccessDecisionManager简介及自定义访问决策管理器
银河架构师的博客
08-10 1万+
AccessDecisionManager顾名思义,访问决策管理器。 Makesafinalaccesscontrol(authorization)decision 做出最终的访问控制(授权)决定。 而常用的AccessDecisionManager有三个,分别介绍一下其权限决策逻辑。 AffirmativeBased Spring Security框架默认的AccessDecisionManager。 /** * Simple concrete ...
(已过时)AccessDecisionManager授权(Authorization)流程
最新发布
2401_85480529的博客
09-18 604
在 Spring Security 中,共同作用于(Authorization)流程。它们通过投票机制来决定用户是否具备访问某个受保护资源的权限。:负责最终的访问决策,它通过调用多个对请求进行投票,决定是否授予访问权限。:负责对单一的授权判断进行投票。每个Voter会根据自己的逻辑判断用户是否有权限访问特定资源,并返回投票结果(批准、拒绝或弃权)。:用户的权限或角色信息,它是判断用户是否拥有访问权限的核心依据。Voter。
内有红包封面|Spring Security的新接口AuthorizationManager
码农小胖哥
01-25 2174
Spring Security 5.5 增加了一个新的授权管理器接口AuthorizationManager<T>,它让动态权限的控制接口化了,更加方便我们使用了,今天就来分享...
掌握Spring Security核心基础教程
Spring Security使用了基于角色的访问控制模型,其中包含`AccessDecisionManager``AuthorizationManager`等组件来完成授权任务。 #### AccessDecisionManager `AccessDecisionManager`负责决定一个已认证用户...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值